Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Пример аудита системы расчета зарплаты

Средства полного анализа рисков | Метод CRAMM | Пример использования метода CRAMM | Средства компании MethodWare | RiskWatch | Актуальность аудита безопасности | Сертификация и аудит: организационные аспекты | Методика проведения аудита | Организация проведения аудита | Аудит информационной системы: рекомендации COBIT 3rd Edition |


Читайте также:
  1. A)используется для вызова всех функций системы
  2. B16. Готовы ли Вы петь бесплатно в церковном хоре (например, если у храма нет денег, чтобы заплатить)?
  3. D13.0 Доброкачественные новообразования других и неточно обозначенных отделов пищеварительной системы
  4. G 09 Последствия воспалительных болезней центральной нервной системы
  5. I. Общая характеристика и современное состояние уголовно-исполнительной системы (по состоянию на 2012 год).
  6. I.4. Состояния системы. Уравнения состояния системы.
  7. II. ПОРЯДОК ПРИМЕНЕНИЯ НАКОПИТЕЛЬНОЙ БАЛЛЬНО-РЕЙТИНГОВОЙ СИСТЕМЫ В УЧЕБНОМ ПРОЦЕССЕ

Корпорация, имеющая около 5000 сотрудников, территориально расположена в центральном офисе и восьми филиалах, находящихся в других городах.

Расчет зарплаты производится в центральном офисе.

Требуется оценить угрозы ИБ и предложить адекватную систему контрмер.

План проведения аудита ИБ предусматривает рассмотрение следующих технологических стадий (рис. 5.2) решения этой задачи:

– учет фактически отработанного сотрудниками времени;

– передача данных для расчета в центральный офис;

– работа с массивом персональных данных, которые требуются при начислении зарплаты;

– расчет зарплаты;

– передача платежных ведомостей в банк;

– формирование отчетов и справок по зарплате;

– работа с управляющей информацией подсистемы (временные зоны, ставки по категориям, фиксированная часть премиальных и т.д.).

Рис. 5.2. Стадии проведения аудита ИБ подсистемы расчета и выдачи зарплаты

Для каждой стадии составляется список факторов риска, эксперту предлагается выбрать наиболее значимый фактор и ранжировать остальные. Затем рассматриваются возможные контрмеры, характеризуемые стоимостью и эффективностью. Требуется подобрать набор мер с оптимальным (по мнению аудитора) соотношением стоимость-эффективность.

Опишем, например, технологическую стадию - работу с массивом персональных данных, используемых при начислении зарплаты (рис. 5.3).

Рассматривался следующий набор угроз:

– Т1 - данные вводит неавторизованный пользователь (оператор);

– Т2 - данные, нужные для выдачи зарплаты, посылаются в банк с неверными банковскими реквизитами;

– ТЗ - оператором вводятся фиктивные данные на несуществующих людей (мошенничества с получением денег за несуществующих сотрудников);

Рис. 5.3. Угрозы безопасности при работе с массивом персональных данных

– Т4 - несанкционированный доступ (для чтения) к платежным документам получает внешний нарушитель;

– Т5 - в бухгалтерию поступают фальсифицированные платежные ведомости;

– Т6 - информация в базе меняется в результате телефонного разговора, данные оказываются некорректными;

– Т7 - частично отсутствуют необходимые для начисления зарплаты данные.

– Т8 - описки в количестве нулей - по ошибке оператора размер зарплаты сотрудника увеличивается в 10 раз;

– Т9 - банковские реквизиты в базе данных некорректны;

– Т10 - информация, на основе которой начисляется зарплата, изменяется без уведомления ответственного за это лица.

Аудитору предлагается выбрать наиболее значимую (вероятную) угрозу. Правильный ответ: ошибки оператора (Т8), остальные угрозы могут быть ранжированы, как показано на рис. 5.4.

Затем выбирается подходящий набор контрмер из следующего списка (рис. 5.5);

– доступ к базе данных по расчету зарплаты разрешен только имеющему к этому отношение персоналу;

– другие пользователи должны одобрить вносимые изменения;

– при внесении изменений обязателен двойной ввод;

– отсутствует возможность изменения данных, касающихся себя самого, любым сотрудником;

Рис. 5.4. Ранжирование угроз безопасности

Рис. 5.5. Набор контрмер

– запрос на изменение данных делается в письменном виде;

– составляется ежегодный отчет о выданной зарплате по получателям;

– администратором ведется журнал изменений базы данных бухгалтерии;

– журнал изменений направляется контролеру;

– об изменениях базы данных сообщается получателю зарплаты;

– информация об изменениях вносится в распечатку расчета зарплаты;

– журнал изменений сохраняется в файле.

Каждая из контрмер требует некоторых затрат и уменьшает вероятность реализации нескольких угроз. Аудитор выбирает набор контрмер, обладающий подходящим соотношением стоимость-эффективность.

Например, сравнительно дешевая контрмера - просмотр журнала изменений контролером - является достаточно эффективной: она уменьшает вероятности реализации практически всех угроз (рис. 5.6), а более дорогая контрмера - двойной ввод при внесении изменений - в этом смысле менее эффективна (рис. 5.7).

Подходящий по соотношению стоимость-эффективность набор контрмер может выглядеть, как на рис 5.8. Здесь указан дополнительный эффект применения контрмеры: доступ к базе данных по расчету зарплаты может получить только персонал, имеющий к этому отношение.

Рис. 5.6. Эффективность просмотра журнала изменений

Рис. 5.7. Эффективность дублирования ввода при внесении изменений

Рис. 5.8. Суммарная эффективность набора контрмер


 

Дата добавления: 2015-09-02; просмотров: 58 | Нарушение авторских прав

<== предыдущая страница | следующая страница ==>
Этапы проведения аудита| Глава 6 Анализ защищенности информационной системы
mybiblioteka.su - 2015-2024 год. (0.007 сек.)