IT procesu primāras un kompensējošas kontroles

Abstract

Maģistrā darbā izstrādāta un pamatota tāda metodika, kas ļauj atrast tādu kontroles kopu, kas ierobežo uz informācijas sistēmas attiecošos riskus līdz pieņemamam līmenim un prasa minimālas izmaksas. Metodika pamatojas uz saistīto kontroļu savstarpējo ietekmi, un caur to – arī saistīto procesu, atbilstošo risku un draudu ietekmi, kā arī uzlabota parastā prakse, samazinot daļu no riskiem. Aprakstīta pamatideja un piedāvāta uzdevumu risināšanas shēma. Augšminētā shēma izstrādāta gan kopējam gadījumam, gan speciālam, izmantojot vienu no sarežģītākajiem IT procesiem – „Pārliecināšanās par sistēmas drošību”. Šīm procesam ir apkopoti un izanalizēti draudi, apkopotas un klasificētas kontroles, kas attiecas uz šiem draudiem. Darbā ir definēti un aprakstīti saistītie ierobežojumi, kas ļaus izmantot jaunas iespējas kontroļu ieviešanā. Tādejādi, darbā ir izstrādāta hipotētiska produkta darbības shēma un aprakstīti atbilstošie posmi, ko var attīstīt tālāk, izveidojot vadlīnijas vai programmproduktu, kas ļautu organizācijai uzlabot ar informācijas sistēmu saistīto risku pārvaldību un samazināt atbilstošas izmaksas. Darbs izklāstīts 74 lappusēs, 8 tabulās, 11 attēlā, kā arī 1 pielikumā.

This thesis develops and researches the methodology for finding sufficient control measures, which would limit information system related risks till the acceptable level at minimum cost. The methodology is based on the interrelation of the controls, and its influence on the related processes, respective risks and possible threats. In addition the methodology helps to improve the generally accepted practice, thus decreasing part of the risks. The thesis describes the basic idea of the methodology and offers the approach to be applied for problem solving. The abovementioned approach is applied both for general situations, and the particular case-study, by using one of the most complex information technology processes – “Gaining assurance on the system security”. For this process the potential risks are gathered and analysed, and the risk related controls are gathered and classified. The thesis defines and describes the related limitations of the methodology, which would enable to use new possibilities in the implementations of the controls. Thus, the thesis describes the operation of the hypothetical product and the respective stages of operation, which could be further developed by creating of guidelines or program application, which would allow the organisation to improve information system related risk management and decrease the respective costs. The thesis includes 74 pages, 8 tables, 11 graphs, and 1 attachment.