- •Вопрос 1. Компьютерные сети: определение, назначение, характеристики, каналы связи.
- •Вопрос 2. Классификация компьютерных сетей.
- •Вопрос 3. Электронная коммерция. Модели электронной коммерции.
- •Вопрос 4. Виртуальные бизнес-площадки.
- •Вопрос 5. Электронная розничная торговля.
- •6. Классификация эпс
- •7. Интрнет-банкинг
- •8. Интернет-трейдинг
- •9. Интернет-страхование.
- •10.Понятие информационных систем.
- •11. Классификация ис.
- •12. Внутренняя и внешняя ценность ис
- •13. Архитектура ис
- •14. Особенности трехуровневой архитектуры ис. Хранилище данных.
- •15. Общие принципы построения современных ис:
- •16. Понятие информационного менеджмента.
- •18. Методология информационного менеджмента.
- •19. Управление экономическими аспектами ис: инвестиции в ис, бюджет ис, распределение издержек ис, анализ ис-расходов.
- •20. Проектирование ис.
- •21. Информационная безопасность ис. Классификация угроз информационной безопасности.
- •22. Методы и средства информационной защиты.
- •23. Построение систем информационной защиты.
- •24. Аудит ис. Оценка системы информационной защиты организации.
- •Вопрос 25. Биологическая безопасность пользователей ис.
- •26. Производственно-ориентированные ис управления (стандарт erp)
- •27. Информационная система управления финансами.
- •30. Ис бухгалтерского учёта. Способы построения систем в современных организациях.
- •32. Ис Финансового анализа.
- •33. Ис Бюджетирования.
- •36. Справочно-правовые системы
24. Аудит ис. Оценка системы информационной защиты организации.
Аудит ИС направлен на выявление и предотвращении негативных явлений в деятельности ИС организации. В ходе аудита анализируется и прогнозируется состояния ИС, выявляются риски в деятельности организации, даются рекомендации по устранению выявленных угроз. Для аудита ИС могут использоваться как международные стандарты аудита (критерий оценки безопасности ИС), а также российские стандарты, гостехкомиссией РФ. Также вопросом аудита ИС посвящены стандарты аудита «аудит в условиях компьютерной обработки данных». Аудит ИС в настоящее время проводится во всех организациях в ходе контрольных аудиторских проверок. Для проведения аудита ИС рекомендуют приглашать специалистов по информационной безопасности. Для внутреннего аудита без привлечения сторонних специалистов рекомендуется использовать достаточно простую методику. Данная методика предлагается проведение аудита ИС по 3м направлениям.
1.проверка надежности (безопасности) технических средств и коммуникации. В ходе данной проверки выявляются достаточность технического обеспечения для решения задач организации. Проверяется способность технических средств работать без сбоев и остановок, надежность хранения компьютерных носителей, наличие средств, организация доступа к техническим средствам и т.д.
2.контроль(проверка) ПО наличие лицензии на используемое ПО, управление доступом к ПО, автоматич. контроль действий пользователя со стороны программы, наличие антивирусной защиты, регулярность обновления программного обеспечения, корректность настройки программного обеспечения, корректность ведения справочников, заполнения документов и т.д.
3.проверка технологий организаций компьютерной обработки данных. Наличие необходимых внутренних документов о безопасности ИС. В этих документах закрепляются принципы, правила, процедуры, методы и средства, кот использует организация для обеспечения безопасности своей ИС. К таким документам относят регламент информационной безопасности, стандарты информационной безопасности, политика ИБ. Политика ИБ – это один из важнейших внутренних документов организации. В ней закрепляются осн механизмы и правила информ защиты, оценка системы поддержки пользователей со стороны обслуживающего персонала (скорость устранения проблем, корректность действий обслуживающего персонала и т.д.), соответствие действий персонала политике ИБ, знание персонала о действиях в критической ситуации, наличие резервных копий баз данных, корректность в формировании отчетности.
По результатам аудита формируются рабочие документы, в которых указываются выявленные нарушения в деятельности ИС, выявленные риски, дается общая оценка безопасности ИС, делаются рекомендации по устранению выявленных угроз.
Для оценки систем информационной безопасности разрабатывается иерархия классов безопасности. Для каждого класса безопасности выделяются соответствующие показатели и функции.
По российским стандартам выделяют 9 классов информационной безопасности. Стандарт дает характеристику каждого из классов, предлагает рекомендации по проведению проверки каждого классов безопасности.
1.класс Д – система ненадежна и небезопасна.
В организации отсутствует система ИБ. Мероприятия по информационной защите носят разовый характер, применяются лишь отдельные методы и средства защиты. Отсутствует управление доступом. Не регистрируются проблемы в сфере ИБ, не проводится их анализ.
2.класс С – фрагментарная система информационной защиты.
Организация выявляет наиболее уязвимые компоненты ИС и обеспечивает их защиту на достаточно высоком уровне. Прочие угрозы либо игнорируются, либо устраняются в недостаточной степени. В таких организациях имеется политика по информационной безопасности, осуществляется управление доступом, ведется журнал безопасности. В организации могут действовать сотрудники, отвечающие за информационную защиту.
3.класс В – система надежна и безопасна.
Организация имеет полноценную систему ИБ, отвечающую российским или международным стандартам. Разработана и задокументирована политика ИБ, применяются все необходимые методы и средства защиты, регулярно проводится аудит безопасности ИС, регулярно действует группа специалистов по информационной безопасности.
4.класс А – безопасность и надежность системы гарантированны.
Система информационной защиты организации прошла проверку гос.тех. комиссии и имеет соответствующий сертификат, подтверждающий и гарантирующий безопасность ИС. Риски ИС застрахованы.