5. Перевірка інформаційних систем

Підрозділ інформаційних послуг повинен періодично екзаменуватися, або перевірятися зовнішніми фахівцями із бізнесових фірм. Згадаємо, що періодичні аудити, що проводяться зовнішніми аудиторами із професійних бухгалтерських фірм, є гарною бізнесовою практикою. Такі перевірки мають показати та оцінити, чи правильні й адекватні методи управління інформаційною системою, процедурного контролю, об'єктного контролю, а також інші управлінські заходи контролю були розроблені та впроваджені. Існують два основні підходи до перевірки інформаційних систем – тобто перевірки дій комп'ютерних інформаційних систем з обробки інформації. Вони відомі як перевірка навколо комп'ютерної системи і наскрізна перевірка комп'ютерної системи.

Перевірка навколо комп’ютерної системи охоплює перевірку точності та правильності введення даних і виведення виробленої інформації без оцінки програм, які обробляють дані. Це простий і легкий спосіб, але він не відстежує трансакцію через всі етапи її обробки і не перевіряє достовірність та цілісність використаного програмного забезпечення. Тому рекомендується його використовувати тільки як доповнення до інших методів перевірки.

Наскрізна перевірка комп’ютерної системи охоплює перевірку точності та цілісності програм, які обробляють дані, так само, як введення даних і виведення інформаційного продукту, виробленого комп’ютерними системами і мережами. Наскрізна перевірка комп’ютера вимагає знань операцій комп’ютерної системи і мережі та розробки програмного забезпечення. Деякі фірми наймають спеціальних ревізорів електронної обробки даних (ЕОД ревізорів) такого призначення. Вони мають використовувати спеціальні тестові дані для перевірки точності обробки та контрольні процедури, вбудовані в програмне забезпечення. Ревізори можуть розробляти спеціальні тестові програми або використовувати контролюючі пакети програм.

ЕОД ревізори використовують такі програми для обробки своїх тестових даних. Потім вони порівнюють результати, отримані їхньою перевірочною програмою, із результатами, згенерованими власними програмами комп’ютера користувача. Одною із цілей такого тестування є визначення присутності неавторизованих змін або вставок у комп’ютерні програми. Неавторизовані програмні вставки можуть бути причиною нез’ясованих помилок або можуть бути використані із шахрайськими цілями. Іншою важливою метою таких процедур перевірки є тестування цілісності контрольного журналу застосувань.

Контрольний журнал може бути визначений як наявна документація, яка дає змогу відстежувати трансакцію на всіх стадіях її інформаційної обробки. Цей журнал може починатися із появи трансакції на документальному джерелі і може закінчуватися її перетворенням на інформацію у завершальному вихідному документі або звіті. Контрольні журнали ручних інформаційних систем були дуже наочні та легко простежувалися. Проте, комп’ютерні інформаційні системи змінили форму контрольного журналу. Інформація, яка раніше була доступна аудитору у вигляді візуальних записів, більше недоступна. Тепер аудитори, здійснюючи перевірку більшості бізнесових систем, повинні знати, як вести пошук файлів минулої діяльності в електронному вигляді на магнітних дисках.

Через деякий час такі електронні контрольні журнали прийняли форму контрольного вахтового журналу, який автоматично записує всі комп’ютерні мережеві дії на магнітний диск. Ці засоби перевірки можна знайти на багатьох онлайнових системах обробки трансакцій, моніторах продуктивності та безпеки, операційних системах і програми управління мережею. Програми, які записують всі мережеві дії, також широко використовуються в Інтернеті, особливо на WWW, так само, як в корпоративних інтранетах і екстранетах. Такі контрольні журнали допомагають аудиторам перевірити наявність помилок або шахрайства, а також допомагають фахівцям з безпеки інформаційних систем відстежувати та оцінювати сліди хакерських атак на комп'ютерні мережі.

Контрольні запитання

1. Що є критеріями захищеності комп’ютерних і мережевих ресурсів організації?

2. Яки загрози інформації у ІТС є найбільш типовими?

3. У чому сутність біометричного контролю?

4. Яке функціональне навантаження підрозділів інформаційного обслуговування?

5. Що розуміють під системним збоєм?

6. З якою метою впроваджуються відмовостійкі системи?

7. Хто такі ревізори електронної обробки даних?

8. Які існують два основні підходи до перевірки інформаційних систем?

9. Що включає у себе наскрізна перевірка комп’ютерної системи?