Программа дисциплины «Аудит информационных систем и управление информационными системами»



Скачать 402.52 Kb.
Дата24.04.2018
Размер402.52 Kb.
ТипПрограмма дисциплины

Министерство экономического развития и торговли

Российской Федерации




Государственный университет –


Высшая школа экономики
Факультет Бизнес-информатика
Программа дисциплины
«Аудит информационных систем и

управление информационными системами»
для направления 080700.62 «Бизнес-информатика»

подготовки магистра

Автор: Гусева Н.Н.

кандидат экономических наук

nnguseva@hse.ru


Одобрена УМС Одобрена на заседании кафедры

Секция бизнес-информатики Управления информационными

Председатель ресурсами предприятия


Зав. кафедрой

________________ В.И. Грекул _________________А.П.Сериков

“___” __________ 2007 г. “___” __________ 2007 г.


Утверждена

Ученым Советом факультета бизнес-информатики

Ученый секретарь




_____________________________________

«___»______________2007 г.

Москва, 2007 г.





  1. Обязательный минимум содержания дисциплины

Аудит ИС. Стандарты аудита ИС. Риско-ориентированный подход. Контроли. Организация аудита. Планирование аудита. Цели и масштаб проведения аудита. Поле работы аудита. Результаты аудита.


Управление планированием и организацией ИС. Оценка стратегии ИС и бизнес-цели. Оценка организационной структуры ИС. Оценка политики ИС, стандарты и процедуры. Оценка третьей части выбора услуг и менеджмента. Оценка управления проектами. Оценка управления изменениями. Оценка управления проблемами. Оценка управления качеством. Оценка управления производительностью.
Техническая инфраструктура и практики управления. Оценка систем программного обеспечения. Оценка приобретения, инсталляции и эксплуатации. Оценка сетевой инфраструктуры. Оценка практик управления ИС. Оценка производительности систем. Ресурсы.
Защита информационных активов. Риски информационной безопасности и обзор целей. Идентификация, аутентификация и авторизация. Оценка эффективности администрирования. Логическая оценка контроля доступа. Архитектура информационной безопасности. Оценка сетевой инфраструктуры безопасности. Оценка контролей среды программирования. Оценка физического контроля доступа и процедур.
Восстановление после катастроф и непрерывность бизнеса. Бизнес кейс для непрерывного планирования. Процесс планирования адекватного восстановления и непрерывности. Оценка планов по восстановлению, документированию и эксплуатации. Оценка методов тестирования, результатов ведения отчетов, и их обработка.
Развитие систем бизнес-приложений, приобретение, ввод в эксплуатацию и обеспечение функционирования. Оценочный подход. Функциональные требования. Анализ функционирования ИС. Системные спецификации. Построение системы. Развитие системы. Приобретение. Внедрение. Эксплуатация.
Оценка бизнес-процессов и риск-менеджмент. Корпоративное управление. Оценка эффективности информационных систем в поддержке бизнес-процессов. Оценка построения и внедрения контроля рисков. Оценка управления рисками и управления процессами. Ресурсы.
Внутренний контроль. Мониторинг. Информация и коммуникация. Контрольные процедуры. Оценка рисков. Среда контроля.

II. Пояснительная записка
Программа разработана на кафедре «Управление информационными ресурсами предприятия»
Автор программы: к.э.н., доцент Гусева Надежда Николаевна

Аннотация:

Целью изучения дисциплины является получение студентами теоретических знаний в области аудита и управления информационными системами, а также практических навыков, позволяющих оценивать обеспечение функционирования существующих информационных систем.

Задачи, решаемые в процессе изучения дисциплины, направлены на овладение студентами масштабного видения поставленных перед ними задач управления планированием и организацией информационных систем, развитием систем бизнес-приложений и проведением аудита информационных систем в рамках корпоративного управления предприятием.

Дисциплина изучается на лекциях, семинарах, практических занятиях и в ходе самостоятельной работы студентов.

На лекциях студенты приобретают теоретические знания по основным подходам к управлению информационными системами и аудиту информационных систем, современным методологиям обеспечения функционирования существующих систем, их стратегической оценке с учетом бизнес целей организации.

На практических занятиях студенты апробируют на практике теоретические, методические вопросы управления информационными системами и аудита информационных систем (ИС), применяют методы оценки систем и практик управления ими, используя стандарты аудита ИС, раскрывая их природу, сущность и основные принципы планирования и управления ИС.


В методическом плане в ходе преподавания данного курса активно используются интерактивные формы работы со студентами на семинарах. С этой целью в программу курса включен ряд заданий, носящих явный практический характер и позволяющих наиболее эффективно закреплять теоретическую информацию.
На семинарах студенты приобретают навыки выступлениями с докладами и презентациями, а также навыки ведения дискуссии по обсуждаемым вопросам.

В ходе самостоятельной работы студенты выполняют проработку теоретического материала по конспектам лекций и рекомендованной литературе, прорабатывают промежуточные индивидуальные задания и контрольные домашние задания.


Программа дисциплины состоит из введения, 8 тем и заключения.

III. Требования к студенту и учебная задача дисциплины
Изучение дисциплины базируется на знаниях студентами основ вычислительной техники, сетей и телекоммуникаций, основ программного обеспечения, моделирования и оптимизации бизнес-процессов, менеджмента организации, управления персоналом.

В результате изучения дисциплины студент должен:


ЗНАТЬ:

  • Стратегии информационных систем;

  • Организационную структуру информационных систем;

  • Политику ИС, стандарты ИС и процедуры ИС;

  • Управление проектами, управления изменениями;

  • Управление проблемами, управление качеством, управление производительностью;

- Сетевую инфраструктуру ИС;

  • Информационную безопасность ИС;

  • Сетевую инфраструктуру безопасности ИС;

  • Непрерывное планирование;

  • Управление рисками и управление процессами;

- Администрирование ИС.
УМЕТЬ:

  • Проводить аудит информационных систем;

  • Управлять планированием и организацией ИС;

  • Оценивать стратегии, политики и стандарты ИС;

  • Оценивать эффективность администрирования ИС;

  • Оценивать сетевую инфраструктуру безопасности ИС;

  • Оценивать эффективность информационных систем;

  • Оценивать управление рисками и управление процессами;

  • Проводить мониторинг ИС;

  • Оценивать риски ИС.

ИМЕТЬ ПРЕДСТАВЛЕНИЕ:



  • О риско-ориентированном подходе;

  • О целях и масштабах проведения аудита ИС;

  • О результатах аудита ИС;

- О стандартах в области аудита ИС;

- О бизнес-целях организации, структуре ИС, стратегии ИС;



  • О технической инфраструктуре ИС и ресурсах;

  • О идентификации, аутентификации и авторизации;

  • О планировании адекватного восстановления и непрерывности бизнеса;

  • О анализе функционирования ИС;

  • О корпоративном управлении ИС;

  • О риск-менеджменте.

ОБЛАДАТЬ НАВЫКАМИ:

- формализации требований к управлению и аудиту ИС;

- определения ресурсов, необходимых для проведения аудита ИС;

- анализа показателей эффективности аудита информационных систем и управления ИС;

- организации работ по проведению аудита ИС и управлению ИС.



IV. Тематический расчет часов


Аудиторные часы

Формы текущего контроля

Самостоятельная работа

Всего часов

Лекции

Практические занятия

Всего

20

20

40

Домашнее задание

90

130


V. Структура учебных тем





Название темы

Всего

Лекции (час)

ПЗ

1

Введение

2

2




2

Тема 1. Аудит ИС

4

2

2

3

Тема 2. Управление планированием и организацией ИС

6

2

4


4

Тема 3. Техническая инфраструктура и практики управления

4

2

2


5

Тема 4. Защита информационных активов

4

2

2

6

Тема 5. Восстановление после катастроф и непрерывность бизнеса

6

2

4


7

Тема 6. Развитие систем бизнес-приложений, приобретение, ввод в эксплуатацию и обеспечение функционирования

4

2

2


8

Тема 7. Оценка бизнес-процессов и риск-менеджмент

4

2

2

9

Тема 8. Внутренний контроль

4

2

2

10

Заключение

2

2







ИТОГО

40

20

20



VI. Формы текущего контроля и структура итоговой оценки
Итоговая оценка по учебной дисциплине складывается из следующих элементов:
- Домашнее задание.

-Активность на семинарах.

- Зачет.

Структура итоговой оценки по учебной дисциплине:




Формы работы

Вклад в итоговую оценку (%)

Домашнее контрольное задание (Одз)

30

Активность на семинарах. (Ос)

20

Зачет (Оз)

50



Оит = 0.2*Oдз + 0.3*Oс + 0.5* Oз
При выставлении итоговой оценки Оит за дисциплину средневзвешенная оценка округляется до большего целого, если дробная часть оценки не ниже 0.5, в противном случае оценка округляется до меньшего целого. При выставлении итоговой оценки ОИТ5 по 5-балльной шкале используется решающее правило:

  • Если Оит  8, то ОИТ5 = 5 (“отлично”);

  • Если 6  Оит < 8, то ОИТ5 = 4 (“хорошо”);

  • если 4  Оит < 6, то ОИТ5 = 3 (“удовлетворительно”);

  • если Оит < 4, то ОИТ5 = 2 (“неудовлетворительно”).


VII. Литература


  1. Базовая литература




    1. CISA Review Manual 2008

    2. Auditing Business Continuity: Global Best Practices, Rolf Von Roessing, Business Continuity Institute, Rothstein Associates, USA, 2002

    3. Auditing Information Systems, 2nd Edition, Jack J. Champlain, John Wiley & Sons Inc. USA, 2003

    4. Documents of Basle Committee on Banking Supervision

    5. Board Briefing on IT Governance, 2nd Edition, IT Governance Institute, USA, 2003

    6. BS ISO/IEC17799:2005, "Information Technology—Code of Practice for Information Security Management," chapter 5, Asset Classification and Control, British Standard Institute

    7. Business Continuity Institute, "Business Continuity Management Standards," www.thebci.org/certification_standards. Html

    8. Business Continuity Institute, "Good Practice Guidelines," UK, 2002, www.thebci.org/BCI%20GPG%20-%20Introduction.pdf

    9. Business Continuity Institute, "Good Practices for Business Continuity Management," 2004, www.thebci.org/GPGMain.html

    10. Архитектура и стратегия, инь и янь информационных технологий Авторы: А. Данилин, А. Слюсаренко Издательство: Интернет-Университет ИТ, Москва, 2005 г.

    11. Лейн Д. Просвещенный ИТ-директор: Лучшие примеры из практики Кремниевой долины/Дин Лейн; Пер. с англ. – М.: Альпина Бизнес Букс, 2005. – 500 с.

    12. Стратегия информационных технологий предприятия: Как Cisco Systems и ведущие компании мира используют Интернет Решения для Бизнеса: Авторы: Н.Н. Ермошкин, А.А. Тарасов Издательство: Московского Гуманитарного Университа  ISBN: 5-85085-851-2  2003 г.

    13. Ховард М., Лебланк Д. Защищенный код/Пер. с англ. – М.: Издательско-торговый дом «Русская редакция», 2003. – 704 стр.: ил.



  1. Дополнительная литература




    1. Computer and Intrusion Forensics, George Mohay, Alison Anderson, Byron Collie, Olivier de Vel, D. Rodney McKemmish, Artech House Computer Security Series, UK, 2004

    2. Defending Your Digital Assets Against Hackers, Crackers, Spies and Thieves, Randall K. Nichols, Daniel J. Ryan, McGraw Hill, California, USA, 2000

    3. Disaster Recovery Institute International, "Professional Practices for Business Continuity Professionals," 2004, www.drii.org/displaycommon.cfm7an-2

    4. Disaster Recovery Planning: Preparing for the Unthinkable, 3rd Edition, Jon William Toigo, Prentice Hall, USA, 2003

    5. e-Commerce Security—Business Continuity Planning, IT Governance Institute and Deloitte & Touche, USA, 2002

    6. e-Commerce Security—Enterprise Best Practices, IT Governance Institute and Deloitte & Touche, ' USA, 2000

    7. e-Commerce Security—A Global Status Report, IT Governance Institute and Deloitte & Touche, USA, 2000

    8. e-Commerce Security—Securing the Network Perimeter, IT Governance Institute and Deloitte & Touche, USA, 2002

    9. E-commerce Security: Weak Links, Best Defenses, Anup K. Ghosh, John Wiley & Sons Inc., USA, 1998

    10. Fraud Detection: A Revealing Look at Fraud, 2nd Edition, David G. Coderre, Ekaros Analytical Inc., Canada, 2004

    11. A Guide to the Project Management Body of Knowledge, Project Management Institute, USA, 2000 Hacking Exposed, 4th Edition, Stuart Me Clure, Joel Sambray, George Kurz, McGraw Hill, USA, 2003

    12. Handbook of International Auditing, Assurance, and Ethics Pronouncements, International Federation of Accountants, 2003, www.ifac.org

    13. Handbook of MRP II Integration and Implementation, John N Petroff, Prentice Hall, USA, 1993.

    14. Information Headquarters, "IEEE 802.11 (Wi-Fi),"2004, www.informationheadquarters.com/Apple_Macintosh/IEEE_80211b.shtml

    15. Information Systems Control Journal, ISACA, USA

    16. Information Technology Control and Audit, 2nd Edition, Frederick Gallegos, Daniel P. Manson, Sandra Senft, Carol Gonzales, Auerbach, USA, 2004

    17. "Information Technology Tool Box," ERP Knowledgebase, USA, 2004, http://erp.ittoolbox.com/

    18. International Journal of Computer Integrated Manufacturing, Taylor & Francis Group, USA, 2004, www.tandf.co.uk/joumals/titles/0951192X.asp

    19. International Organization for Standardization, ISO9000, "Quality Management Principles," UK, 2000

    20. International Organization for Standardization, ISO9001, "Quality Management Systems— Requirements," UK, 2000

    21. International Organization for Standardization, ISO9004, "Quality Management Systems—Guidelines for Performance Improvements," UK, 2000

    22. International Organization for Standardization, ISO 9126, "Software Engineering—Product Qualify," UK, 2001, 2003, 2004

    23. An Internet Banking Primer, Federal Reserve Bank of Chicago, USA

    24. Internetworking Technologies Handbook, 3rd Edition, Merilee Ford, H. Kim Lew, Steve Spanier, Tim Stevenson, Cisco Press, USA, 2000

    25. IS Standards, Guidelines and Procedures for Audit and Control Professionals, Information Systems Audit and Control Association, USA, 2004, www.isaca.org/standards

    26. Large Bank Supervision—Comptroller's Handbook, Comptroller of the Currency Administration of National Banks, USA, May 2001

    27. Miller Information Technology Audits, 2nd Edition, Xenia Ley Parker, CCH Inc., USA, 2004

    28. National Emergency Management Association, "National Incident Management System," USA, 2004, http://nemaweb.org/docs/NIMS%20-%20Final°/o20Draft.pdf

    29. National Institute of Justice, "Electronic Crime Scene Investigation: A Guide for First Responders," USA, www.ncjrs.org/pdffilesl/nij/l87736.pdf, 2001

    30. National Institute of Standards and Technology, "Guidelines for Security Computer Applications," USA, 1980, csrc.nist.gov/publications/fips/fips73/fips73.PDF

    31. Network Auditing: A Control Assessment Approach, Gordon E. Smith, John Wiley & Sons Inc., USA, 1999

    32. Practical IT Auditing, 2nd Edition, Jack Champlain, Warren Gorham & Lament, RIA, USA, 2002

    33. Purdue University, "Computer Integrated Manufacturing Technology," USA 2004, www. tech.purdue.edu/dmt/

    34. RFC 2828 Internet Security Glossary, May 2000, www.faqs.org/rfcs/rfc2828.html

    35. Secrets & Lies: Digital Security in a Networked World, Bruce Schneier, John Wiley & Sons Inc., USA, 2000

    36. Security, Audit and Control Features SAP® R/3*—A Technical and Risk Management Reference Guide, IT Governance Institute, USA, 2002

    37. Software Architecture Documentation In Practice: Documenting Architectural Layers, Felix Bachmann, Len Bass, Jeromy Carriere, Paul Clements, David Garlan, James Ivers, Robert Nord, Reed Little, Software Engineering Institute, CMU/SEI-2000-SR-004, USA, March 2000

    38. A Standard for Auditing Computer Applications, Martin A. Krist, Auerbach Publishers, USA, 1999

    39. Stepping Through the IS Audit: What to Expect. How to Prepare, 2nd Edition, Jennifer L. Bayuk, Information Systems Audit and Control Association, USA, 2004



VIII. Содержание программы
Тема 1. Аудит ИС. Стандарты аудита ИС. Риско-ориентированный подход. Контроли. Организация аудита. Планирование аудита. Цели и масштаб проведения аудита. Поле работы аудита. Управление ИС аудита. Анализ рисков. Внутренний контроль. Самооценка контроля. Результаты аудита.

Литература

[1.2], [2.15], www.isaca.org , www.abiss.ru



Контрольные вопросы

1. Аудитор ИС, выполняя проверку контроля приложений, обнаруживает уязвимость в системе программного обеспечения, которая могла реально повлиять на приложения. Аудитор ИС должен:

A. неучитывать эту уязвимость контроля как обзор системы программного обеспечения, что является вне поля этой проверки.

B. сопровождать детализированную проверку системы программного обеспечения и составлять отчет о контроле за уязвимостями.

C. включать в отчет заголовка, что аудит был ограничен проверкой контроля приложений.

D. провести аудит контролей систем программного обеспечения как необходимый и рекомендуемый детализированной проверкой системы программного обеспечения.

2. Причина контроля в инфраструктуре ИС:

A. остается неизменной от руководства инфраструктурой, но инструменты контроля могут отличаться.

B. меняется от руководства инфраструктурой, поэтому инструменты контроля могут отличаться.

C. меняется от руководства инфраструктурой, но инструменты контроля могут остаться теми же.

D. остается неизменной от руководства инфраструктурой и выполнения инструментами контроля, который также остается тот же.

3. Который из нижеследующих типов рисков подразумевает компенсацию проверкой в рассматриваемой области?

A. Риск контролей

B. Риск обнаружения

C. Риск наследования

D. Риск примера

4. Аудитор ИС сопровождает нетривиальные тесты новым расчетным модулем. У аудитора весьма загруженный график работы и ограничено время на экспертизу. Который из видов аудита мог бы быть использован в этой ситуации?

A. Тестирование данных

B. Параллельная симуляция

C. Интегрированное средство тестирования

D. Воплощенный модуль аудита

5. Первоначальная цель самооценки контроля или программа контроля самоуверенности это:

A. заменить некоторые внутренние ответственности аудитора.

B. удалить ответственность контролей по линии менеджеров.

C. превзойти мониторинг контроля ответственности по функциональности.

D. улучшить мониторинг общего контроля организации.

6. Который из следующих лучших обзоров описывает раннюю стадию аудита ИС?

A. Делая обзор ключевых организационных средств.

B. Оценивая инфраструктуру ИС.

C. Понимая бизнес-процессы и инфраструктуру применительно к аудиту.

D. Заслушивая предыдущий из докладываемых отчетов аудита ИС.
7. Самая лучшая из инфраструктур в использовании средств интегрированного контроля – это необходимость:

A. изолировать контроль данных от производственных данных.

B. заметить персонального пользователя таким образом, чтобы делать подтверждения на вывод информации.

C. сегрегировать особые записи файлов мастера.

D. собрать транзакцию и записи файлов в отдельной папке.
8. Перед докладом результатов старшему менеджменту по аудиту аудитору ИС следует:

A. подтвердить находки аудита.

B. подготовить исполнительное резюме и послать его в менеджмент по аудиту.

C. определить рекомендации и представить находки в комитет по аудиту.

D. получить аудиторское заключение.

9. В то время как, развивая риск ориентированную программу аудита, который из следующих подойдет больше всего аудитору ИС?

A. Бизнес-процессы.

B. Критические ИТ приложения.

C. Операционные контроли.

D. Бизнес-стратегии.

10. В первую очередь использование общего аудита программного обеспечения – это:

A. аудиторский контроль программного обеспечения.

B. проверка неавторизованного доступа к данным.

C. извлечение необходимых данных для аудита.

D. сокращение необходимости в транзакционном подтверждении.

Тема 2. Управление планированием и организацией ИС. Оценка стратегии ИС и бизнес-цели. Корпоративное управление ИС. Политики и процедуры ИС. Стратегия ИС. Организационная структура ИС. Структурное управление аудитом ИТ. Оценка организационной структуры ИС. Оценка политики ИС, стандарты и процедуры. Оценка третьей части выбора услуг и менеджмента. Оценка управления проектами. Оценка управления изменениями. Оценка управления проблемами. Оценка управления качеством. Оценка управления производительностью.

Литература

[1.1], [1.10], [1.11], [2.39], [2.12]



Контрольные вопросы

1. Которая из следующих задач может быть выполнена одним и тем же человеком в хорошо контролируемом информационно-процессорном компьютерном центре?

A. Администрирование безопасности и управление изменениями.

B. Компьютерные вычисления и развитие систем.

C. Развитие систем и управление изменениями.

D. Развитие систем и содержание систем.

2. Который из самых критических контролей находится над администрированием баз данных?

A. Подтверждение функционирования доступа к Базам Данных.

B. Подразделение обязанностей.

C. Проверка доступа к логам и их деятельности.

D. Проверка использования инструментов баз данных.

3. Который из следующих ответов мог бы быть включен в стратегический план ИС?

A. Спецификации по запланированной покупке аппаратного обеспечения.

B. Анализ будущих целей бизнеса.

C. Целевые данные для развития проектов.

D. Ежегодное бюджетирование целей для департамента ИС.

4. Самая большая ответственность офицера безопасности данных в организации – это:

A. давать рекомендации и проводить мониторинг политики информационной безопасности.

B. продвижение безопасности в совокупности с организацией.

C. процедуры установления политики информационной безопасности.

D. администрирование физического и логического контролей доступа.

5. Который из следующих пунктов лучше описывает процесс стратегического планирования ИТ департамента?

A. ИТ департамент будет иметь либо коротко-масштабные либо широко-масштабные планы зависящие от организационных более масштабных планов и целей.

B. Стратегический план ИТ департамента должен быть временно и проектно ориентированным и помочь определить приоритеты, отвечающие нуждам бизнеса.

C. Планирование долгосрочного диапазона для ИТ департамента должно распознать организационные цели, технологические преимущества и регулярные требования.

D. Планирование короткого диапазона для ИТ департамента не нуждается в интеграции в коротко-масштабные планы организации с тех пор, как технологические преимущества будут скорее лидерами в планах ИТ департамента, чем в организационных.

6. Когда полное подразделение обязанностей не может быть достигнуто в системе он-лайн, которой из следующих процедур следовало бы отделиться от других?

A. Проектирование

B. Авторизация

C. Записывание

D. Коррекция
Тема 3. Техническая инфраструктура и практики управления. Оценка систем программного обеспечения. Развитие инфраструктуры. Контроль приложений. Аудиторский контроль приложений. Развитие систем аудита. Оценка приобретения, инсталляции и эксплуатации ИС. Сетевая инфраструктура ИС. Оценка сетевой инфраструктуры. Оценка практик управления ИС. Оценка производительности систем. Ресурсы.

Литература

[1.1], [1.10], [2.4], [2,5], [2.12]



Контрольные вопросы

1. Первичная выгода от нормализации баз данных - это:

A. минимизация сокращения информации в таблицах, требуемой удовлетворить нужды пользователей.

B. способность удовлетворить больше запросов.

C. максимизация целостности баз данных обеспечивая информацией более, чем одну таблицу.

D. минимизация времени ответа через быструю обработку информации.

2. Которая из сетевых топологий дает большое сокращение в случае провала одного узла?

A. сетчатая

B. звезда

C. кольцо

D. шина

3. Исполнитель договора против соглашений уровня сервиса должен быть оценен:



A. покупателем.

B. участником договора.

C. третьей стороной.

D. исполнительным менеджментом.

4. Который из следующих пунктов обеспечивает лучший метод определения уровня исполнения договора?

A. удовлетворение пользователя

B. достижение цели

C. квалификация

D. планирование роста и мощности
5. Когда аудитор ИС должен проверить наличие безопасности базы данных клиент-сервера:

A. системные утилиты.

B. генераторы программных приложений.

C. документация систем безопасности.

D. доступ к хранимым процедурам.

6. Который из следующих мог бы позволить компании расширить ее корпоративную сеть через Интернет к бизнес-партнерам?

A. виртуальная частная сеть

B. клиент-сервер

C. телефонная линия

D. сетевой сервис-провайдер


7. Аудитор ИС, проверяя аппаратное обеспечение процедурой мониторинга должен оценивать:

A. отчеты наличия систем.

B. отчеты прибыли и убытков.

C. отчеты о времени ответов.

D. отчеты утилизации баз данных.

8. Которая из следующих передач информации обеспечивает устойчивость к проникновению осветления?

A. Витая пара

B. Оптический кабель

C. Коаксиальный кабель

D. Радио системы

9. Который из следующих заголовков относится к пакетной передаче данных по сети?

A. Пакеты с сообщением передаются по одному и тому же маршруту.

B. Пароли не могут быть переданы с пакетом.

C. Длина пакетов переменна и каждый пакет содержит одно и то же количество информации

D. Стоимость затрат по передаче основана на пакетах, но дистанция или маршрут изменяется.

10. Аудитор ИС когда проверяет сеть, используя интернет коммуникации, будет в первую очередь тестировать:

A. частоту замены пароля.

B. архитектуру клиент-серверного приложения.

C. архитектуру сети.

D. межсетевой экран защиты и прокси-серверы.



Тема 4. Защита информационных активов. Риски информационной безопасности и обзор целей. Идентификация, аутентификация и авторизация. Аппаратное и программное обеспечение ИС. Архитектура ИС. Инфраструктура аудита ИС. Оценка эффективности администрирования. Логическая оценка контроля доступа. Архитектура информационной безопасности. Оценка сетевой инфраструктуры безопасности. Оценка контролей среды программирования. Оценка физического контроля доступа и процедур.

Литература

[1.2], [1.12], [1.13], [2.1], [2.2], [2.3]



Контрольные вопросы

1. Который из следующих лучше обеспечивает контроль доступа к обработке данных на локальном севере?

A. Регистрирующий доступ к информации пользователя

B. Отдельный пароль для конфиденциальных сообщений

C. Программное обеспечение ограничивает доступ правилами авторизации персоналаf

D. Доступ в систему ограничен рабочими часами

2. Который из следующих мог бы быть адресован цифровой подписи со значением безопасности электронного сообщения?

A. Неавторизованное чтение

B. Кража

C. Неавторизованное копирование

D. Внесение изменений

3. Самый эффективный антивирус контролирует:

A. сканирование почтовых приложений на почтовом сервере.

B. восстановление систем с чистых копий.

C. блокирование мягких дисков.

D. онлайновый антивирус сканирует с современными определителями вируса.

4. Который из следующих предложений лучше определяет, что полное шифрование и аутентификация протоколов по защите информации существует пока передается?

A. Цифровая подпись с RSA была выполнена.

B. Работа будучи сделанной в туннельном режиме с представленными сервисами AH и ESP.

C. Цифровые сертификаты с RSA применены.

D. Работа выполненная в транспортном режиме с сервисами AH и ESP.

5. Который из следующих мог бы быть наиболее подходящим удостовериться в конфиденциальности транзакций, инициируемых через Интернет?

A. Цифровая подпись

B. Стандарт Шифрования Данных (DES)

C. Виртуальные частные сети(VPN)

D. Общий ключ шифрования

6. Который из следующих является операционной системой контроля доступа?

A. Протоколирование деятельности пользователя

B. Протоколирование коммуникации доступа к данным

C. Различая авторизацию пользователя на уровне поля

D. Обмен файлами данных

7. Если злоумышленники наметили несанкционированное проникновение в систему, то на кого рассчитывать аудитору ИС, в случае проверки журнала регистрации при попытке входа в систему?

A. Сетевой администратор

B. Системный администратор

C. Администратор данных

D. Администратор баз данных

8. Аудитор только что ознакомился с организацией, которая имеет мэйнфрейм и клиент-серверное оборудование, где находятся все данные. Какая из уязвимостей считается наиболее серьёзной?

A. Офицер по безопасности также выполняет роль и администратора баз данных

B. Контроль паролей не администрируется в клиент-серверной архитектуре.
C. Не существует плана непрерывности бизнеса для системы мейнфреймов автоматических приложений.
D. Большинство ЛВС не делают резервные копии с дисков сервера.

9. Организация предлагает установить средство SSO, предоставляющее доступ к любым системам. В организации должны знать, что:

A. максимально неавторизированный доступ мог бы быть возможен, если пароль известен.

B. права доступа пользователя могли бы быть урезаны дополнительными параметрами безопасности.

C. загруженность работой администратора по безопасности увеличилась.

D. Права доступа пользователя могут быть расширены.

10. Сайт электронной коммерции B-to-C как часть программ информационной безопасности требует защиты и предотвращения хакерской деятельности и оповещения системным администратором, когда подозрительные действия случаются. Которые из предложенных инфраструктурных компонентов могут использоваться для этих целей?

A. Системы обнаружения вторжений

B. Межсетевые экраны

C. Маршрутизаторы

D. Ассиметричное шифрование
Тема 5. Восстановление после катастроф и непрерывность бизнеса. Бизнес кейс для непрерывного планирования. Процесс планирования адекватного восстановления и непрерывности. Важность менеджмента информационной безопасности. Логический доступ. Сетевая инфраструктура безопасности. Менеджмент аудита информационной безопасности. Аудит сетевой инфраструктуры безопасности. Физический доступ и контроль. Оценка планов по восстановлению, документированию и эксплуатации. Оценка методов тестирования, результатов ведения отчетов, и их обработка.

Литература

[1.1], [1.2], [2.1], [2.2], [2.3]



Контрольные вопросы

1. Которое из замечаний в плане непрерывности бизнеса самое важное?

A. поставщики оборудования.

B. агенты страховых компаний.

C. договорные сервисы для персонала.

D. приоритезированный контактный лист.

2. Аудитор ИС выявляет, что план непрерывности бизнеса организации обеспечивает альтернативный сайт обработки, который будет вмещать 50 процентов первоначальной способности обработки. Основанный на этом, который из предложенных действий аудитор ИС предпримет?

A. Ничего не делать, так как в общем, менее чем 25 % всей обработки для организации критично и мощности резервного копирования, поэтому это адекватно.

B. Определит приложения, которые могут быть обработаны на альтернативном сайте и распознает процедуры по инструктажу резервного копирования.

C. Удостоверится, что критические приложения определены и что альтернативный сайт мог бы обработать все подобные приложения.

D. Рекомендует, что массив средств обработки информации для альтернативного сайта с мощностью обработки по крайней мере составляет 75 процентов.

3. За которую из следующих компонент плана непрерывности бизнеса ответственен департамент ИС организации в первую очередь?

A. развивать план непрерывности бизнеса

B. выбирать и подтверждать стратегию плана непрерывности бизнеса

C. декларировать катастрофы, уязвимости

D. восстанавливать информационные системы и данные после катастроф

4. Которое из следующих замечаний должно быть включено в план непрерывности бизнеса?

A. требуемый персонал должен поддерживать критические функции бизнеса в кратковременных, средних и продолжительных отношениях

B. Потенциальный инцидент, что произошел как катастрофа, - землетрясение

C. Катастрофические события оказывающие влияние на информационные системы обработки и функций конечного пользователя

D. Анализ рисков, который предполагает неправильную работу системы, удаление случайных файлов или другие неудачи
5. В аудите план непрерывности бизнеса, который из следующих предложений самый логичный?

A. Не существует страховки для дополнения активов в течение года.

B. BCP инструкция не совершенствуется регулярно.

C. Проверка резервного копирования данных не выполняется регулярно.

D. Регистрация доступа к системе не была выполнена.

6. Классификация информационных систем является существенной в плане непрерывности бизнеса. Которая из следующих типов систем не может быть перемещена методами инструкций?

A. Критические системы

B. Необходимыми системами

C. Чувствительными системами

D. Некритичными системами

7. Аудитор ИС должен быть вовлечен в:

A. рассмотрение проверок плана по восстановлению системы после катастроф.

B. разработка плана по восстановлению системы после катастроф.

C. утверждение плана по восстановлению системы после катастроф.

D. пересмотр требований по восстановлению системы после катастроф.

8. Временной лаг по способности к восстановлению информации после катастроф основывается на:

A. критичность процессов оказывает влияние.

B. качество обработанных данных.

C. природа катастроф.

D. приложения основывающиеся на мейнфреймах.

9. Во время аудиторской проверки крупного банка, вы обнаруживаете, что не было выполнено упражнений по оценке рисков различных бизнес-приложений с целью вернуть их относительную важность и восстановить временные требования. Риск, которым руководствуется банк заключается в том, что:

A. план по непрерывности бизнеса может быть не отнесен к соответствующему риску, так что разрушение каждого из приложений позиционируется по отношению к организации.

B. план по непрерывности бизнеса может не включать все соответствующие приложения и поэтому может отсутствовать завершенность в отношении его покрытия.

C. влияние катастроф на бизнес может быть неправильно воспринято менеджментом.

D. план непрерывности бизнеса может не иметь эффективности в собственности у владельцев бизнеса таких приложений.

10. Который из следующих необходимо иметь в первую очередь в развитии плана непрерывности бизнеса?

A. классификацию систем, основанную на рисках.

B. проверка всех активов.

C. полная документация всех нарушений.

D. наличие аппаратного и программного обеспечений.



Тема 6. Развитие систем бизнес-приложений, приобретение, ввод в эксплуатацию и обеспечение функционирования. Оценочный подход. Непрерывность бизнеса. Планирование развития систем бизнес-приложений. Аудит непрерывности бизнеса. Функциональные требования. Анализ функционирования ИС. Системные спецификации. Построение системы. Развитие системы. Приобретение. Внедрение. Эксплуатация.

Литература

[1.1], [1.3], [1.5], [1.6], [2.1], [2.2], [2.22], [2.36]



Контрольные вопросы

1. Планы по тестированию приложений развиты, в которых из перечисленных следующих фаз жизненного цикла развития систем (SDLC) они присутствуют?

A. Создание

B. Проверка (тестирование)

C. Требование

D. Развитие

2. Который из следующих тестов подтверждает, что новая система может управлять своей целевой инфраструктурой?

A. Открытое тестирование

B. Регрессионное тестирование

C. Действительное тестирование

D. Тестирование черным ящиком

3. Уверенность в качестве программного обеспечения (SQA) – это процесс менеджмента, который дополняет:

A. правильность в разработке стандартов.

B. выполнение проверок (тестов) системы.

C. идентификация системных требований.

D. спецификация детализированной разработки.

4. Первоначальная цель, предпринимая параллельный запуск новой системы, - это:

A. доказать, что система обеспечивает необходимую бизнес-функциональность.

B. утвердить операцию новой системы в противовес предшествующей.

C. устранить любые ошибки в программе и файловом интерфейсе.

D. доказать, что система может обрабатывать загружаемую информацию.

5. Процедуры контроля изменениями чтобы вовремя предотвратить масштаб распространения развития приложений следовало бы определить в течение:

A. архитектуру.

B. выполнимость (осуществимость).

C. обеспечение выполнимости.

D. определение требований.

6. Которое из следующих предложений могло бы лучше подтвердить, что система развития проектов отвечает бизнес-требованиям?

A. Обеспечение замены журналов регистрации программ

B. Разработка плана проекта, определяющего развитие ИС

С. Удаление изменений приложений в определенное время года

D. Вовлечение пользователя в системную спецификацию и принятие

7. Которая из следующих измеряется размером информационных систем, основанных на количестве и сложности ввода, вывода системы и файлов?

A. Функциональная точка (FP)

B. Оценка обзора технических программ (PERT)

C. Быстрое построение приложений (RAD)

D. Метод критического пути (CPM)

8. Когда определяется фаза требований аудита программного обеспечения, аудитор ИС должен:

A. оценить выполнимость проекта вовремя.

B. оценить качество процессов, предложенных вендором.

C. удостовериться, что требуется самый лучший пакет программного обеспечения.

D. обзор полноты спецификаций.

9. Цель загрузки программ - это:

A. генерирование случайных данных может быть использовано для проверки программ перед запуском их.

B. защита вовремя фазы программирования, действительные изменения от перезаписи изменений.

C. определение развития программ и обеспечение затрат, включенных в организуемое обучение.

D. удостовериться, что ошибочные операции и недостатки кодирования программ защищены и скорректированы.

10. Обеспечение программного обеспечения в первую очередь относится к следующим атрибутам программного обеспечения?

A. Необходимы ресурсы способствуют особым изменениям.

B. Необходимые достижения используются программными приложениями.

C. Необходимое взаимодействие между функционированием ПО и ресурсами.

D. Выполнение нужд пользователя.

Тема 7. Оценка бизнес-процессов и риск-менеджмент. Корпоративное управление. Управление ИТ. Управление жизненным циклом ИС. Предоставление сервиса ИТ. Оценка эффективности информационных систем в поддержке бизнес-процессов. Оценка построения и внедрения контроля рисков. Оценка управления рисками и управления процессами. Ресурсы.

Литература

[1.1], [1.2], [1.5], [1.7], [1.8], [1.9], [2.3], [2.4], [2.25], [2.28]



Контрольные вопросы

1. Управление ИТ подтверждает, что организация выстраивает свою ИТ стратегию в соответствии с:

A. целями предприятия.

B. целями ИТ.

C. целями аудита.

D. целями контроля.

2. Которая из следующих проверок используется для удостоверения, что группа данных полностью и аккуратно передается между двумя системами?

A. Цифровая проверка

B. Полный контроль

C. Проверка суммы

D. Проверка счета

3. В течение которого из следующих шагов в реинжиниринге бизнес-процессов следовало бы квалифицировать команду инструктированием на минимальном уровне достижений?

A. Наблюдение

B. Планирование

C. Анализ

D. Адаптация

4. Которая из следующих процедур должна быть выполнена, чтобы помочь удостовериться в компетенции возврата транзакций через электронный обмен данными (EDI)?

A. Сегментные итоги, построенные на наборе следа транзакций

B. Набор ряда сообщений получен, что периодически подтверждается с транзакционным инициатором

C. Электронный аудит по финансам и операциям алгоритмически выполняется

D. Совершая соответствующие транзакции, полученные из набора сообщений EDI

5. Утилиты в состоянии усовершенствовать критические области в случае несовместимости данных. Эта утилита может быть выполнена по запросу ОС как одна из опций приложения. Лучшая проверка на уменьшение риска неавторизованная манипуляция с данными, - это:

A. удалить утилиту программного обеспечения и инсталлировать ее как и когда потребуется.

B. обеспечить доступ к утилите по требованию ее использования.

C. обеспечить доступ к утилите к пользовательскому управлению.

D. определить доступ таким образом, чтобы утилита могла быть выполнена только в опции меню.


6. Когда сопровождая реинжиниринг бизнес-процессов, аудитор ИС находит, что ключ предупреждающего контроля был удален. В этом случае аудитор ИС должен:

A. информировать управление находкой и подтверждением либо менеджмент имеет возможность принять потенциальный материальный риск не имея того предварительного контроля.

B. определить если контроль обнаружения переместился на контроль предотвращения в течение процесса и если так, то нет отчета на удаление.
C. рекомендовать, что эти и все контрольные процедуры, которые существовали до этого процесса над ними был проведен реинжиниринг чтобы быть включенным в новый процесс.
D. разработать к непрерывному аудиту с тем, чтобы отследить эффекты удаления превентивного контроля.
7. Который из последующих является выходом целевой проверки?

A. Обеспечение регистров необходимым количеством

B. Завершение количества обработки

C. Соответствующий расчет по отказам и исключениям

D. Авторизация усовершенствований файлов

8. В системе, которая записывает все данные для компании, получатели зарегистрированы ежедневной базе. Который из следующих мог быть уверен, что балансо получатели неизменны среди рассылок?

A. Контроль диапазона

B. Проверка записей

C. Контроль последовательности

D. От управления-к-управлению общий контроль

9. Которое из следующих заявлений самое важное для аудитора ИС в проекте реинжиниринга бизнес-процессов?

A. Отсутствие среднего менеджмента, который часто является результатом проекта реинжиниринга бизнес-процессов.

B. То, что контролирует обычно дает низкий приоритет в проекте БПР.

C. Разумное негативное влияние, которое защита информации могла бы иметь на РБП.

D. Риск неудач связан с огромным размером выполняемых задач обычно решаемых в проекте БПР

10. Чтобы отвечать предопределенным критериям, какие средства и методы могли бы лучше определять непрерывные транзакции аудита?

A. Файл обзора систем контроля аудита и модули внедрения аудита (SCARF/EAM)

B. Непрерывное и скачкообразное моделирование (CIS)

C. Интегрированные средства проверки (ITF)

D. Аудиторские уловки



Тема 8. Внутренний контроль. Мониторинг. Защита внутренних активов. Внутренний аудит. Информация и коммуникация. Контрольные процедуры. Оценка рисков. Среда контроля.

Литература

[1.1], [1.2], [1.3], [1.8], [1.9], [1.10], [1.11], [1.13], [2.1], [2.2], [2.5], [2.8], [2.11], [2.23]



Контрольные вопросы

1. В маленькой организации, где разделение обязанностей не практикуется, служащий выполняет функцию оператора на компьютере и прикладного программиста. Который из следующих контролей порекомендует аудитор ИС?

A. Автоматизированная загрузка изменений в развивающиеся библиотеки.

B. Дополнительный обслуживающий персонал обеспечивает разделение обязанностей

C. Процедуры, которые различаются тем, что оправдывают программные изменения, выполняются.

D. Контроль доступа выполняется с целью предотвращения внесения изменений оператором.

2. Которое из следующих самых подходящих действий предназначено для администратора по безопасности?

A. Подтверждение политики безопасности.

B. Тестирование прикладного программного обеспечения.

C. Подтверждение целостности данных.

D. Инструкция по правам доступа.

3. Аудитор ИС проводит тестирование контролей, относящихся к терминалу служащего. Который из следующих самый важный аспект в проведении аудита?

A. Относящийся к компании персонал нацелен на результат.

B. Пользователь идентификационных данных и служебных паролей был удален.

C. Детали служащего были удалены из активированных рабочих папок.

D. Приобретенная собственность компанией была возвращена служащему.

4. Когда проводится проверка по соглашению уровня сервиса для аутсорсингового компьютерного центра аудитором ИС следует в первую очередь определить, что:

A. предлагаемая стоимость услуг разумна.

B. механизмы безопасности определены в соглашении.

C. услуги в соглашении основываются на анализе нужд бизнеса.

D. доступ к компьютерному центру разрешается по аудиторскому соглашению.

Авторы программы: Н.Н.Гусева



Приложение А
Распределение часов по курсам, семестрам и темам

п/п


Наименование разделов

и тем

Аудиторные часы



Формы промежуточного контроля

Самостоятельная работа

Всего часов

Лекции

Практические занятия

Всего

1

2

3

4

5

6

7

8




1 курс магистратуры






















1 семестр



















1

Введение.

2




2




7


9

2

Тема 1. Аудит ИС

2

2

4




10

14

3

Тема 2. Управление планированием и организацией ИС

2

4

6





10

16

4

Тема 3. Техническая инфраструктура и практики управления

2

2

4





10

14

5

Тема 4. Защита информационных активов

2

2

4




10

14

6

Тема 5. Восстановление после катастроф и непрерывность бизнеса

2

4

6





10

16

7

Тема 6. Развитие систем бизнес-приложений, приобретение, ввод в эксплуатацию и обеспечение функционирования

2

2

4





10

14

8

Тема 7. Оценка бизнес-процессов и риск-менеджмент

2

2

4




10

14

9

Тема 8. Внутренний контроль

2

2

4




10

14

10

Заключение

2




2




3

5







20

20

40




90

130

Каталог: data
data -> Аудиосистема премиум класса с док-разъемом Marantz Consolette ms7000
data -> Меню настроек
data -> Меню настроек
data -> Проектирование приложения мобильной печати для ос android
data -> Дипломный проект по предмету "ремонт и техническое обслуживание автомобилей" на тему "
data -> Добровольский о. Б
data -> «Сравнительный анализ условий ведения малого бизнеса в США и Японии»
data -> Консультация для родителей «Адаптация детей в доу»
data -> Для восстановления видеофайла n нужно


Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница