ACADEMIA DE STUDII ECONOMICE FACULTATEA DE CONTABILITATE SI INFORMATICA DE GESTIUNE

AUDITUL SISTEMELOR INFORMATICE LA SIRIUS SA

- 2007 -

Cuprins :
Cap. 1 Descrierea sistemului informatic Cap. 2 Analiza riscurilor informatice Cap. 3 Strategia de securitate la nivelul organizatiei Cap. 4 Auditul unei aplicatii din sistem Cap. 5 Raportul de audit

Cap. 1 Descrierea sistemului informatic

SIRIUS S.A. este o societate pe actiuni constituita conform legii 31/1990 republicata cu capital integral privat romanesc. Este inregistrata la Registrul Comertului nr. J40 / 21109 / 1994, CUI 6502278 cu sediul social in str.Felacului nr. 10 sector 1 Bucuresti. Pricipala activitate este productia de echipamente de telecomunicatii, cod CAEN 3220. Actionariatul firmei este compus din persoane fizice ( 47 ) si o persoana juridica SC ORION Electronic System SRL. Activitatea principala este cea de proiectare, dezvoltare, productie, montaj (instalare) si service pentru echipamente de telecomunicatii, in principal centrale telefonice de institutie si rurale si echipamente de transmisiuni pe fir, sisteme de telecomunicatii la cererea beneficiarilor, alte echipamente electronice, instalatii de telecomunicatii. Sediul central al societatii este in Bucuresti, aici isi desfasoara activitatile urmatoarele compartimente: Management, Marketing, Contabilitate, Aprovizionare, Desfacere, ServiceReparatii. Societatea mai are un punct de lucru in orasul Voluntari unde isi desfasoara activitatile comparimentele Cercetare Dezvoltare si Productie. Sistemul informatic al firmei este format la sediul din Bucuresti dintr-o retea LAN ( Local Area Network) de tip duplex fiind formata din mai multe miniretele de tip star si contine 4 servere , pe 2 dintre acestea sunt instalate componentele software ale aplicatiilor de contabilitate si 27 de posturi de lucru fixe, 6 switchiuri precum si dispozitive cu functii multiple xerox-uri si imprimante. Reteaua, foloseste pentru accesul la internet doua conexiuni: una prin modem RDSLINK, si alta prin fibra optica tot RDS. Serverele sunt interconectate intre ele prin intermediul unui switch de 24 de porturi. Este o retea complexa, existand atat conexiune directa (pe cablu) cat si wireless (fara fir), dar exista si telefonie VOIP. Laptopurile se conecteaza la acces pointurile wireless, existand si cazuri in care se pot conecta fizic la reteaua locala. Cele 27 calculatoare sunt repartizate pe compartimentele de lucru. Din punct de vedere fizic calculatoarele sunt asezate in birouri in functie de cum se afla fiecare utilizator. Fiecare utilizator are parola de intrare pe statie, parola pe care nu o stie numai el si trebuie 3

schimbata periodic. Intretinerea retelei de calculatoare este asigurata de un administrator IT , angajat al societatii. Acesta asigura buna functionare a calculatoarelor, a retelei, a imprimantelor din punct de vedere electronic si soft. Se utilizeaza ca sistem de operare Windows XP. Datorita faptului ca este un sistem recent acesta are incorporat firewall-ul. Firewall-ul poate mpiedica persoanele straine s intre pe computerul utilizatorului prin Internet. Un firewall poate tine la distan traficul Internet cu intentii rele, de exemplu hackerii, viermii si anumite tipuri de virusi, nainte ca acestia sa puna probleme sistemului. Utilizarea unui firewall este important n special daca calculatorul este conectat n permanenta la Internet.

Cap. 2 Analiza riscurilor informatice

Pentru evaluarea riscurilor la care este expus sistemul informatic se vor elabora urmatoarele chestionare : chestionar pentru evaluarea riscului de securitate fizica chestionar pentru evaluarea riscului de comunicatie chestionar pentru evaluarea riscului privind intergitatea datelor chestionar privind riscul de acces chestionar privind riscul de protectie antivirus chestionar privind riscul de personal chestionar privind riscul de management al situatiilor neprevazute

Fiecare risc se va evalua cu risc mare, mediu sau scazut. Se va intocmi un raport final privind managementul riscurilor la societatea TOPEX SA.

1.Chestionar pentru evaluarea riscului de securitate fizica Factor de importanta [ Wi] 4

Nr. Intrebare intrebarii 1 Mediul in care se desfasoara activitatea de prelucrare automata a datelor este protejat impotriva incendiilor Raportul privind aparitia incidentelor sunt furnizate managementului Exista sistem de protectie impotriva caderilor de tensiune Sistemul si dotarea tehnica sunt securizate impotriva furtului Este controlat accesul fizic in departamentul IT Serverele se afla in incapere separata Echipamentele de comutatie sunt protejate in mod corespunzator Sunt securizate calculatoarele dupa terminarea programului de lucru Sunt monitorizate echipamentele de curatenie si mentenanta Exista un jurnal pentru identificarea persoanelor care au avut acces la sistemul informational in afara orelor de program

Raspuns DA / NU DA

Ri x Wi

NU

DA

DA

5 6 7

DA DA DA

3 4 4

0 0 0

DA

NU

10

NU

Nivel risc = 4 x Ri X Wi / Wi = 4 x 9 / 34 = 36 / 34 = 1,0588

2. Chestionar pentru evaluarea riscurilor de comunicare Nr. intrebari Intrebare i 1 Se face o identificare a calculatoarelor care lucreaza in retea Se verifica daca doar utilizatorii cu drepturi sunt logati Este disponibila o diagrama a retelei de calculatoare Infrastructura retelei este evaluata la intervale regulate pentru a se evalua eventualele vulnerabilitati Informatiile care sunt communicate prin reteaua publica (internet) sunt transmise intr-o forma criptata Exista un jurnal in care sunt inscrise toate incidentele legate de comunicatia datelor Conturile de utilizator temporare sunt dezactivate in timp util Accesul utilizatorilor de la distanta este protejat de aplicatii tip FIREWALL Se realizeaza o monitorizare continua a tuturor activitatilor efectuate in cadrul retelei Utilizatorii au fost instruiti privind modul de comunicatie a datelor atat in reteaua locala cat si in reteaua internet Factor de importanta [ Wi] 2

Raspuns DA / NU DA

Ri x Wi

2 3

NU DA

3 1

3 0

DA

NU

NU

DA

DA

NU

10

NU

Nivel risc = 4 x Ri X Wi / Wi = 4 x 15 / 32 = 60 / 32 = 1,875

3. Chestionar pentru evaluarea riscurilor privind integritatea datelor Nr. intrebari Intrebare i 1 Informatiile sunt inregistrate in ordine cronologica Lipsa sau duplicarea anumitor informatii este detectata si investIgata Informatiile care reprezinta intrari pentru sistem sunt aprobate de catre un responsabil Exista proceduri formale scrise de operare a unui sistem Exista proceduri pentru realizarea copiilor de siguranta Exista proceduri pentru controlul erorilor Exista controale prin care sa se determine utilizarea neadecvata a sistemului Sunt prevazute proceduri de repornire a sistemului in caz de oprire accidentala Distributia situatiilor de iesire se face sub semnatura Informatiile sunt clasificate in functie de importanta si gradul de secretizare Factor de importanta [ Wi] 4

Raspuns DA / NU DA

Ri x Wi 0

DA

DA

4 5

NU DA

2 4

2 0

NU

DA

DA

NU

10

NU

Nivel risc = 4 x Ri X Wi / Wi = 4 x 9 / 32 = 436 / 32 = 1,125

4. Chestionar privind evaluarea riscului de acces Nr. intrebari i 1 Raspuns DA / NU DA Factor de importanta [ Wi] 2

Intrebare Atribuirea si schimbarea conturilor utilizatorilor fac obiectul unei aprobari scrise? Accesul la date si soft respecta principiul :"trebuie sa stie?" Toate incercarile de accesare neautorizata a sistemului sunt inregistrate, raportate si investigate? Sistemul este configurat astfel incat sa i se refuze unui utilizator accesul la sistem dupa 3 (5) incercari esuate? Exista o politica scrisa care sa prevada situatiile in care au acces la resursele informationale si consultantii acesteia (terte parti) Statiile de lucru sunt dotate cu soft care sa blocheze accesul la retea atunci cand utilizatorul nu se afla la statia sa? Exista un management adecvat al parolelor de acces? Drepturile de acces la resursele informationale sunt revizuite si actualizate periodic? Este instalat un firewall care sa permita detectarea accesului neautorizat din reteaua internet? S-a realizat un training adecvat utilizatorilor privind accesul (alegerea unei parole) la resursele informationale?

Ri x Wi

DA

DA

DA

NU

NU

DA

DA

NU

10

DA

Nivel risc = 4 x Ri X Wi / Wi = 4 x 10 / 32 = 40 / 32 = 1,25

5. Chestionar privind protectia impotriva virusilor Nr. intrebari i 1 2 Factor de importanta [ Wi] 4 4

Intrebare Toate calculatoarele din retea sau de sine statatoare au instalat un software antivirus cu licenta? Acest software se actualizeaza automat? Software-ul este configurat astfel incat sa permita scanarea periodica a hard discurilor si sa interzica utilizatorilor dezactivarea acestuia? Server-ul de email are instalat un antivirus de email? Lucrul cu elementele de memorie externa, este controlat? Programele freeware si shareware, fisiere downloadate, fisiere atasate la email, sunt verificate inainte de a fi activate? Conducerea a fost atentionata cu privire la potentialele pericole pe care le implica virusii? Utilizatorii cunosc procedurile de anuntare a aparitiei unui virus? Exista restrictii de marime a fisierelor, permise a fi downlodate, incarcate in sistem? Pe toate serverele este instalata aceeasi versiune de antivirus?

Raspuns DA / NU DA DA

Ri x Wi 0 0

DA

DA

DA

DA

DA

NU

DA

10

NU

Nivel risc = 4 x Ri X Wi / Wi = 4 x 3 / 33 = 12 / 33 = 0,364

6. Chestionar privind evaluarea riscurilor de personal 10

Nr. intrebari i 1

Intrebare Angajarea personalului se face pe baza unor teste profesionale? Se asigura personalului training-uri periodice, sau documentatie necesare pentru o documentare continua? Se face o evaluare periodica a personalului In momentul angajarii se face un instructaj de protectia muncii si PSI? S-a semnat cu fiecare angajat o clauza de confidentialitate? Exista o separare a functiilor incompatibile la nivelul sistemului informational? In situatia pierderii personalului cheie, exista o procedura care sa asigure continuitatea activitatii prelucrarii informatiilor in sistem?

Factor de Raspuns importanta DA / NU [ Wi] DA 4

Ri x Wi 4

DA

NU

DA

DA

DA

DA

Nivel risc = 4 x Ri X Wi / Wi = 4 x 6 / 24 = 24 / 24 = 1

7. Chestionar privind evaluarea riscului de integritate 11

Nr. intrebari i 1

Intrebare Informatiile sunt inregistrate in ordine cronologica? Analiza controalelor asupra accesului la formularele de intrare sau la ecranele de introducere a datelor certifica existenta semnaturii de autorizare? Informatiile care reprezinta intrari pentru sistem sunt aprobate de un responsabil ? Lipsa sau duplicarea anumitor informatii este detectata si/sau investigate? Exista proceduri formale de utilizare a softului? Sunt prevazute proceduri de repornire a sistemului in caz de oprire accidentala? Exista proceduri pentru controlul erorilor? Exista proceduri pentru realizare copiilor de siguranta? Aceste copii de siguranta la datele din sistem sunt actualizate la sfarsitul fiecarei zile? Distributia informatiilor rezultate din sistem se face sub semnatura? In cazul imprimarii rapoartelor pe timpul noptii acestea sunt protejate in mod corespunzator? Se face o verificare cu privire la distrugerea sau clasarea rapoartelor obtinute din sistem?

Factor de Raspuns importanta DA / NU [ Wi] DA 2

Ri x Wi 0

DA

3 4 5 6 7 8 9

NU DA NU NU NU DA NU

2 4 3 2 2 4 2

2 0 3 2 2 0 2

10

DA

11

DA

12

NU

Nivel risc = 4 x Ri X Wi / Wi = 4 x 13 /33 = 52 / 33 = 1,576

8. Chestionar privind evaluarea riscului de management al situatiilor neprevazute

12

Nr. intrebari i 1

Intrebare Exista un plan de recuperare in caz de dezastre la nivelul societatii? Acest plan de dezastre este actualizat si testat anual? Exista un contract de asigurare al organizatiei pentru evenimente neprevazute? Exista o locatie alternativa de punere in functiune a sistemului? Exista un jurnal in care se consemneaza orice cadere, eveniment de dezastru al sistemului? Angajatii sunt instruiti privind modul de actiune in caz de dezastru? In proiectarea planului de recuperare in caz de dezastre s-a tinut cont de pierderea personalului cheie? Se realizeaza copii de siguranta pentru softul din sistem? Aceste copii de siguranta sunt pastrate intr-o alta locatie decat locul unde isi desfasoara activitatea organizatia? Managementul a fost informat asupra necesitatii de realizare a back-up-urilor, planului de recuperare in caz de dezastre?

Factor de Raspuns importanta DA / NU [ Wi] DA 4

Ri x Wi 0

NU

DA

DA

NU

NU

NU

DA

DA

10

DA

Nivel risc = 4 x Ri X Wi / Wi = 4 x 10 /33 = 40 / 33 = 1,212

13

Nivelul global al riscului la nivelul firmei TOPEX S.A. este 9,846 :

Nr. Crt. 1 2 3 4 5 6 7 8

Tipul riscului Chestionar pentru evaluarea riscului de securitate fizica Chestionar pentru evaluarea riscurilor de comunicare Chestionar pentru evaluarea riscurilor privind integritatea datelor Chestionar privind evaluarea riscului de acces Chestionar privind protectia impotriva virusilor Chestionar privind evaluarea riscurilor de personal Chestionar privind evaluarea riscului de integritate Chestionar privind evaluarea riscului de management al situatiilor neprevazute

Nivelul de risc 1,0588 1,8750 1,1250 1,2500 0,3640 1,0000 1,5760 1,2120

Evaluare nivel risc Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut

14

Cap. 3 Strategia de securitate la nivelul organizatiei

Este important ca organizatiile sa constientizeze riscurile asociate cu utilizarea tehnologiei si gestionarea informatiilor si sa abordeze pozitiv acest subiect printr-o constientizare n rndul angajatilor a importantei securitatii informatiilor, ntelegerea tipologiei amenintarilor, riscurilor si vulnerabilitatilor specifice mediilor informatizate si aplicarea practicilor de control Datorita faptului ca informatia cat si accesul la informatie in timp util pentru luarea deciziilor optime ce sa maximizeze rata profitabilitatii reprezinta o caracteristica a activitatii economice actuale, comunicarea prin intermediul internetului este esentila ; deci trebuie sa-i acordam atentie cuvenita, sa-i cunoastem avantajele si vulnerabilitatile specifice pentru a putea construi o strategie de securitate optima la nivelul societatei. In deplina concordanta cu masurile ce se impun pentru securizarea informatica in interiorul societatii. O gestiune corespunzatoare a documentelor n format electronic face necesara implementarea unor masuri specifice. Masurile ar trebui sa asigure protectia informatiilor mpotriva pierderii, distrugerii sau divulgarii neautorizate. Cel mai sensibil aspect este acela de a asigura securitatea informatiei gestionata de sistemele informatice n noul context tehnologic ; astfel este necesara o permanenta analiza si corelare a planurilor de perspectiva privind dezvoltarea din punct de vedere economic cu suportul furnizat de sistemul informational ce este unul dintre pilonii de baza in atingerea acestui obiectiv. Strategia de securitate IT la nivelul societatei presupune implementareea unui set de masuri specifice pentru protectia mediului IT ( calculatoare, retele , sisteme informationale si baze de date ) impotriva atacurilor intentionate (spionaj, sabotaj industrial-informational, etc.) sau a oricarui tip de distrugere accidentala respectand legislatia nationala in vigoare si reglementarile internationale . Trebuie avut in vedere faptul ca la nivel national legislatia incepe sa acopere din ce in ce mai mult necesarul de reglemantari in acest domeniu. La nivel internatioanl unica societate recunoscuta ce grupeaza si certifica specialisti in domeniul auditului sistemelor informationale este Asociatia pentru Auditul si Controlul Sistemelor Informationale (abrevierea conform denumirii din engleza fiinf ISACA) ce elaboreaza standardele necesare reglementarii globale a acestei activitati.

15

Obiectivul principal al unui program pentru protectia informatiilor l reprezinta asigurarea ncrederii partenerilor de afaceri, avantajul competitiv, conformitatea cu cerintele legale si maximizarea investitiilor Indiferent de forma pe care o mbraca, mijloacele prin care este memorata, transmisa sau distribuita, informatia trebuie protejata. ISO/IEC 17799 trateaza securitatea informatiilor prin prisma a trei elemente principale:

Confidentialitatea informatiile sunt accesibile doar persoanelor autorizate Integritatea asigurarea acuratetei si completitudinii metodelor prin care se Disponibilitatea utilizatorii autorizati au acces la informatii si la activele asociate

realizeaza prelucrarea informatiilor

n momente oportune. In mod practic, la nivelul unei organizatii, setul de politici specifice pentru securitatea informaiei poate cuprinde:

1.

Politica de monitorizare a securitii informaiei : are ca obiectiv asigurarea unei

administrari unitare n cadrul organizatiei a accesului la informatie , (printr-o comunicare continua intre manager si administratorul de retea definindu-se responsabilitati la nivel de societate, department, cat si la nivelul fiecarui utilizator care este responsabil cu asigurarea securitatii datelor pe care le manipuleaza) ;la nivelul retelei un rol important il au sistemele tip firewall existente cu interfata pentru controlul traficului catre internet cat si pentru controlul traficului catre reteau interna, blocand astfel accesul la la site-uri particulare din internet, interzicand accesul anumitor utilizatori la anumite servere si anumite servicii, monitorizand si inregistrand toate comunicatiile ; se verifica periodic daca starea echipamentelor, de la serverele de retea pana la terminalul fiecarui utilizator, corespunde din punct de vedere al uzurii fizice si morale, cu parametrii ce se impune a fi atinsi pentru ca firma sa obtina rezultatetele asteptate ; 2. Politica de analiz i evaluare a riscului de securitate a informaiei : pentru ca o

baza de date (exemplu : de la compartimentul contabilitate) este folosita de mai multi utilizatori este stabilit cine are dreptul de a accesa serverul destinat gestionarii activitatii contabile si cine nu : serverul trebuie sa asigure accesul nelimitat la resurse al mangerului

16

contabil cat si al mangerului general si sa-l refuze altor utilizatori prin restrictii special construite de administratorul de retea ; 3. Politica de management a riscului de securitate a informaiei : programul are

jurnale interne ce monitorizeaza accesul la informatie ; tot aici se includ si masurile de securitate fizica a sistemului informatic : serverele sunt in incinte securizate separate de restul terminalelor (acces permis personalului abilitat cu intretinarea si depanarea pe baza de chei de acces) ; accesul in sediul societatii este permis numai personalului angajat (exista portar permanent la intrare), persoanelor ce nu sunt angajatii societatii le este permis accesul in sediu numai insotiti de un angajat, care ii preia de la poarta, si ii insoteste pana la compartimentul unde au solicitat accesul ; 4. Politica de acces a terelor pri : este permis accesul la resursele de pe pagina de

web a societatii in mod liber, insa pentru documentarea specifica anumitor produse accesul se realizeaza prin log-are cu nume de utilizator si parola ; in vederea realizarii unor activitati cu caracter nepermanent; 5 Politica de pregtire/perfecionare a personalului n domeniul securitii

informaiei : intrucat factorul uman este esential in desfasurarea unei activitati corespunzatoare in acest domeniu, personalul este selectat cu atentie deosebita inca din faza de angajare prin testarea abilitatilor de lucru-operare calculator la un nivel minim cerut de societate se prevad clauze de confidentialitate se definesc conflictele de interese specifice, activitatea este monitorizata pe tot parcursul desfasurarii contractului; atunci cand se instaleaza noi programe/baze de date/aplicatii informatice conforme fisei postului se face o pregatire prealabila a personalului pentru o utilizare corespunzaoare urmand ca abilitatile sa se formeze in timp;personalul informeaza intotdeauna administratorul de sistem (deci ii raporteaza acestuia) orice tip de functionare defectuoasa pentru ca acesta sa o remedieze in timp util si sa reduca la minim timpul de nefunctionare al unui terminal; accesul in sediul societatii este permis numai personalului angajat (exista portar permanent la intrare), persoanelor ce nu sunt angajatii societatii le este permis accesul in sediu numai insotiti de un angajat, care ii preia de la poarta, si ii insoteste pana la compartimentul unde au solicitat accesul ;

6.

Politica de control al accesului : respecta principiul accesului prin user

name(nume de utilizator) si parola specifica, informatii pe care le cunoaste numai utilizatorul 17

postului de lucru(calculatorului) pentru fiecare post de lucru; accesul general prin conturi de utilizator special definiyte de administratorul de retea; 7. Politica de management al conturilor utilizatorilor: respecta principiul trebuie sa

stie sau alfel spus definirea exacta a restrictiilor de acces ca loc si timp de acces autorizat este in concordanta cu atributiile definite in fisa postului, de exemplu cel ce introduce facturile de cumparari are drept de adaugare de noi facturi, modificare si stergere inregistrari inainte de validarea finala ; 8. Politica de parole : parolele trebuie sa fie si sunt alcatuite din minim opt caractere :

litere, cifre si semne grafice ce trebuie astfel alese incat sa nu reprezinte un nume familiar celui ce a creat-o[pentru a nu fi usor ghicita de persoanele ce incearca un acces neautorizat] si totusi nu foarte greu de memorat pentru ca este absolut interzis a fi scrisa si lasata undeva la indemana oricui. Parola are obligatia sa o modifice la un interval fix de 45 zile si sa nu o repete pentru ca va fi respinsa de sistem daca a mai fost utilizata anterior; 9. Politica de securizare a serverelor: administratorul de retea, in conformitate cu

indicatiile date de managerul general, stabileste cine are acces fizic la servere acestea se afla in birouri securizate, unde exista extinctoare pentru situatii de incendiu cat si informatic prin definirea codurilor de acces pentru grupurile de utilizatori, pentru fiecare utilizator individual cat si pentu accesul temporar 10. Politica de securitate pentru echipamentele mobile : pentru echipamentele mobile

rolul de securitate a conectarii si comunicarii il realizeaza componenta software a firewall-ului instalat 11. Politica de management al schimbrii resurselor : atunci cand echipamentele nu

mai permit up-date uri noile echipamente se achizitioneaza pe baza unei analize prealbile calitate/cost si se alege un optim ; planul de dezvoltare a afacerii este baza in managementul schimbarii resurselor informatice ce trebuie sa asigure suportul logistic se re-evalueaza periodic structura retelei pentru a verifica daca sustine in parametrii proiectati in dezvoltarea planului de afaceri si se decide ,cand este cazul, schimbarea resurselor imbatranite sau achizitionarea de noi resurse ; 12. Politica de back-up : copiile de siguranta : se efectueaza in sistemul dual-copy , cu o

periodicitate lunara, ale informatiilor vitale, din punct de vedere tehnic si economic si se 18

depoziteaza in o locatie diferita de cea unde se afla sistemul informatic, reprezentand un real folos in cazuri de urgenta; 13. Politica de manipulare i stocare a datelor : exista birouri securizate unde se

pastreaza documentele primare ce reprezinta suportul fizic al viitoarelor date ; accesul la ele este permis numai angajatilor cu atributii in aceste domenii; in vederea stocarii in sistemele informatice accesul la acestea este permis prin logare cu nume de utilizator si parola; controlul accesului logic; informatia stocata prin introducerea de fiecare angajat in baze de date specifice activitatii este usor accesibila la inceperea unei noi sesiuni prezinta persistenta sau poate fi trimisa spre printare sub forma de rapoarte finale ; sensibilizarea angajatilor la problemele de securitate IT ca politica permanenta a firmei ; tot ca o rutina a fiecarui angajat,pentru a preveni pierderea datelor din varii cauze independente de acesta caderi accidentale de tensiune, avarii fizice minore, parasirea postului de lucru fara activarea optiunii logoff, etc, se incearca formarea deprinderii de salvare a datelor introduse la intervele cat mai mici de timp; 14. Politica de utilizare a serviciului de e-mail :serviciul este instalat pe terminalele

utilizatorilor, permite e-mail-ul clasic ,in folosul activitatii curente, sistemul informatic fiind sever configurat de administratorul de retea-in concordanta cu politica conducerii nu permite trecerea mesajelor neautorizate, nici a mesajelor ce ar putea parea autorizate dar ale caror documente anexate ar putea prezenta risc in momentul cand ajung in casuta de email a utilzatorului ; in acest fel se creaza o protectie suplimentara (nu se realizeaza alterarea activitatii calculatorului datorita supraincarcarii memoriei ) pe langa programele antivirus ce functioneaza live (simultan cu descarcrea postei electronice) ; 15. Politica de criptografie : tinand cont ce activitatea de proiectare, cercetare

dezvoltare ce reprezinta una dintre bunurile de mare valoare ale firmei inteligenta este nepretuita pentru ca o scanteie de geniu poate echivala cu ore si ore de munca , eu ca un potential manager mi-as asigura toate caile existente posibil in a o proteja, inclusiv apeland la chei de criptare in manevrarea datelor din acest domeniu sensibil, unde spionajul industrial se dezvolta mai rapid si mai virulent decat piata programelor tip virusi ; 16. Politica de licene software : programele instalate sunt cumparate sub licenta

producatorului initial de pe piata specializata, asigurandu-se in acest fel respectarea legislatiei in vigoare , cat si protectia impotriva crearii cu buna stiinta de vulnerabilitati in sistem usor de exploatat de potentialii atacatori pentru furtul si distrugerea de informatii ; 19

17.

Politica de dezvoltare software : fiind o firma specializata in proiectare si cercetare-

dezvoltare de sisteme informatice putem utiliza si creatii proprii sau achizitionam de pe piata specializa, nu numai ce este mai nou in domeniu ci si ce ne este cel mai util avand posibilitatea verificarii eficientei a ceea ce am achizitionat ; o alta latura o reprezinta angajarea de personal specializat, continua lui perfectionare (politici de personal ) ; 18. Politica de protecie mpotriva viruilor : sunt instalate programe antivirus F-PROT,

un antivirus pentru DOS. Scannerul de virusi poate fi utilizabil pe toate sistemele de operare la zi si poate detecta si dezinfecta toti virusii cunoscuti de boot, toti virusii de programe si de fisiere cat si virusii de macro, troienii si alte programe suparatoare si destructive ; printre facilitatile incluse in F-Prot Antivirus pentru DOS se afla si un scanner heuristic care se ocupa de virusii noi si de fisierele suspecte. F-Prot Antivirus va scana fisierele arhivate la fel de bine ca si documentele Word si Excel. 19. Politica de detectare a intruilor : la nivelul sistemului informatic se genereaza

automat jurnalele de acces pe baza IP ului de utilizator individual , jurnalele de evenimente , permitand administratorului sa detecteze orice acces ce s-a produs in intervalul programului regulamentar de lucru zilnic (8 ore de luni pana vineri) si sa determine daca este conform nivelului de autorizare atribuit.Ceea ce este foarte important este ca se pot verifica si accesarile din timpul liber al personalului cat si incercarile de acces dupa ce conturile au fost dezactivate ca urmare a incetarii activitatii in firma. De asemenea monitorizeaza si incercarile de acces ce depasesc nivelul de autorizare creat de administratorul de retea .Pot constituii probe in situatii de eventuale litigii daca pagubele generate in urma unui acces rauvoit reusit creeaza asemenea evenimente. In strategia de securitate la nivelul societatii il reprezinta existenta unui plan bine definit de continuitate a afacerii dupa dezastre. Continuitatea sistemelor informationale in caz de dezastre reprezinta o combinatie intre planificarea refacerii in caz de dezastre si continuitatea operatiunilor activitatii firmei. Implica eforturi financiare, nu neglijabile, la nivelul marilor societati. In cazul SIRIUS S.A. ceea ce ar putea reprezenta o alternativa sunt back-up-urile realizate periodic, rezultand ca numai un mic volum de informatie trebuie refacut,cel distrus intre efectuarea ultimului back-up si momentul dezastrului, cu ajutorul logisticii existente la locatie neafectata .Se poate evalua apoi impactul dezastrului si caile de reluare a activitatii, cat si timpul necesar, in conditiile initiale.

20

Cap. 4 Auditul unei aplicatii din sistem

Pentru organizarea contabilitatii si a evidentei stocurilor societatea a achizitionat un program specializat de la firma SIVECO ROMANIA SA, firma ocupandu-se si de distribuirea si implementarea programului. Aceasta a pus la dispozitia utilizatorilor un manual complex de utilizare a programului si ofera si in prezent asistenta pentru softul achizitionat. Instruirea noilor angajati cu privire la functionarea programului si utilizarea functiilor sale se realizeaza de catre angajatii existenti deja familiarizati cu programul. Utilizand baza de date ORACLE , comunicare intre componentele functionale si serverul de baze de date este realizata cu SQL*Net. Cu SQL*Netbaza de date si aplicatiile pot sa fie localizate pe calculatoare diferite si comunica una cu cealalta la nivel de aplicatie. La momentul implementarii nu s-a facut o departajare a drepturilor de utilizare modificare a inregistarilor. Controlul acestei aplicatii abordeaza : controlul datelor de intrare controlul asupra procesarii si fisierelor de date controlul datelor de iesire , fiecare utilizator al programului avand atat drepturi de adaugare cat si drepturi de stergere si

Controlul datelor de intrare presupune: controlul accesului la aplicatiile informatice din sistem

21

Operatorul ce a introdus datele in sistem

Constatari : daca utilizatorul care incearca accesarea programului daca nu este autorizat pentru aceasta sau a tastat gresit parola , sistemul a returnat un mesaj de eroare si nu i s-a permis accesul. Cu ajutorul numelui de user folosit se poate verifica si persoana ce a introdus datele in sistem sau a operat modificari. controlul asupra acuratetei datelor de intrare , pentru aceasta se vor face o serie de teste ce urmaresc sa detecteze date incomplete, incorecte si nerezonabile. Se vor introduce urmatoarele date eronate: a) cod fiscal format din caractere numerice si alfabetice b) validarea unor inregistrari incomplete

Constatari: - la introducerea unui partener nou in baza de date se observa ca sistemul permite introducerea unui cod fiscal format atat din date numerice cat si alfabetice 22

- nu permite validarea unor inregistrari incomplete , sistemul returnand un mesaj de atentionare c) inregistrarea unei facturi avand drept data de emitere o data anterioara perioadei curente

Constatari: - campul datei facturii permite introducerea datei conditionata de validitatea perioadei in care se lucreaza, respectiv luna si anul calendaristic pentru care se introduce factura. Astfel, nu este posibila introducerea unei facturi aferenta altei perioade in luna si anul curent. Daca aceasta conditie nu este indeplinita sistemul trimite un mesaj de averizare si nu permite continuarea operatiilor pana cand nu se introduce o data valida. 23

d) inregistrarea unei facturi avand data de inregistrare anterioara datei de emitere a documentului

Constatari: sistemul nu valideaza aceasta inregistrare pana cand nu se face corectia adecvata Controlul prelucrrii datelor ne asigur c tranzaciile nu au fost pierdute, adugate, duplicate sau modificate i c erorile de procesare au fost identificate i corectate n timp util. Se vor introduce urmatoarele date eronate: a) pentru testarea duplicitatii datelor se incearca inregistrarea a doua facturi cu acelasi numar

24

Constatari: sistemul va emite un mesaj de atentionare spunandu-ne ca mai exista in baza de date o factura cu acelasi numar. In cazul in care factura cu acest este primita de la furnizori diferiti sistemul permite validarea inregistrarii in caz contrar nu va permite acesta inregistrare . b) Campurile Total si TVA total sunt calculate automat pe baza datelor introduse anterior in campurile Cantitate si Pret.

25

Constatari: Rubrica TVA permite ajustarea sumei de catre utilizator daca cea calculata automat de program nu corespunde cu cea inscrisa pe factura sau daca cota de TVA nu este corespunzatoare. c) facturile de achizitie a materialelor si materiilor prime sunt generate automat pe baza de NIR si se incearca o modificare sau chiar stergere a unei pozitii de pe factura

Buton pentru generarea automata a facturii

26

Constatari: daca se incearca generarea a doua facturi de aprovizionare cu materiale avand la baza un NIR sistemul va emite un mesaj de atentionare si nu va valida aceasta operatie si nu va permite stergerea niciunei pozitii din factura . d) se testeaza daca sistemul permite stergerea de facturi introduse

27

Constatari: indiferent ca este vorba de o factura primita de la un furnizor sau ca este o factura emisa de societate intai sistemul intreaba daca aceasta factura se doreste a fi strearsa si daca primeste un raspuns afirmativ continua procedura de stergere a documentului , dar daca aceasta inregistrare este una validata si contata ne avertizaeza ca nu se poate efectua operatia dorita. e) vizualizarea si printarea facturilor emise, cautarea facturilor dupa mai multe criterii: data emiterii facturii, data inregistrarii facturii, numarul facturii, denumire client, valoarea facturii

Controlul datelor de iesire :se urmareste corectitudinea si acuratetea datelor de iesire, respectarea termenelor prevazute pentru obtinerea iesirilor. Iesirile sunt dirijate catre imprimante la cererea utilizatorilor. Se pot obtine diferite situatii : jurnalul de vanzari pe o anumita perioada si prin compararea acestuia cu fisa contului 4427 - TVA colectata se pot depista, in cazul in care apar diferente , operatiuni omise la inregistrare sau inregistrate eronat.

28

fise detaliate ale clientilor pe anumite perioade din care sa rezulte situatia

facturilor emise si precum si a facturilor ramase neincasate.

29

 tinandu-se cont de faptul ca in momentul validarii unei operatiuni trebuie sa se aleaga dintr-o lista, schema de contare utilizata si daca aceasta lista nu este actualizata cu noile operatiuni aparute sistemul permite inregistrarea documentului , dar nu va efectua si contarea documentului. Pentru a nu aparea situatii in care aceste documente sa ramana necontate sistemul ofera posibilitatea listarii acestor documente oferind astfel posibilitate corectarii unor astfel de erori.

30

31

Cap. 5 Raportul de audit

1. Scopul si obiectivele urmarite Obiectivul general al misiunii de audit a constat n evaluarea performantei sistemului informatic al S.C. TOPEX SA. Tinnd cont de complexitatea problematicii abordate, sustinuta n cadrul sistemului informatic prin numeroase aplicatii informatice, a fost urmarita cu prioritate aplicatia contabila a unitatii. Prezentul audit a fost efectuat in scopul: - verificarii mediului de functionare a procedurilor de intrare, prelucrare si iesire prevazute de programul informatic. - verificarii cuprinderii in procedurile de prelucrare a reglementarilor in viguare si a posilbilitatii de actualizare a acestor proceduri in functie de modificarile survenite in legislatie. - verificarea operatiilor economice si financiare inregistrate in contabilitate astfel incat acestea sa fie efectuate in concordanta stricta cu prevederile actelor normative care le reglementeaza. 2 . Perioada de acoperire Perioada auditata a fost 01.07.2007 31.12.2007. 3. Probe In scopul realizarii misiunii sale de audit auditorul a folosit probe fizice, documente, reprezentari si analize. Auditorul a verificat prin sondaj concordanta dintre documentele existente fizic la societate si inregistrarile aferente acestora in cadrul sistemului informatic. In verificarile sale auditorul a folosit rezultatul unor interogari ale bazei de date, prelucrari efectuate de programul de contabilitate, inregistrari ale tranzactiilor, rezultate obtinute in urma unor comparatii si calcule efectuate de auditor. Auditorul a verificat de asemenea politici, proceduri si regulamente interne elaborate de managementul societatii in cauza, gradul de instruire a personalului, documentatia aferenta programelor, echipamentele tehnice utilizate si configuratiile acestora, existenta licentelor de folosire pentru toate soft-urile utlizate de societate. Conducerea societatii a pus la dispozitia societatii toate probele solicitate de auditor, acesta considerand ca probele utlizate au fost suficiente pentru elaborarea unei concluzii. 32

4. Natura si intinderea lucrarilor efectuate Auditarea sistemului informatic s-a facut atat din punct de vedere contabil cat si din punct de vedere al echipamentelor folosite, configuratiilor acestora, riscurilor care ameninta buna desfasurare a activitatii firmei. In efectuarea auditului, auditorul a aplicat normele si standardele de audit in viguare Concluzii: In urma controalelor facute auditorul a constat: procedurile folosite corespund reglementarilor in vigoare exista posibilitati de actualizare a procedurilor daca apar modificari in legislatie eventualele erori care pot aparea in functionarea programului informatic sunt fiecare data integistrata in programul de contabilitate se regaseste in continutul programul informatic asigura listele operatiunilor efectuate in contabilitate pe baza justificative numerotate in ordine cronologica, interzicandu-se inserari,

remediate de catre o firma specializata. unui document la care au acces atat beneficiarii cat si organele de control. de documente anterior inchisa. programul asigura respectarea continutului de informatii prevazut pentru toate exista un foarte mare risc de acces deoarece nu exista conturi si niveluri de acces sistemul informatic este protejat corespunzator impotriva virusilor si a atacurilor din personalul societatii este instruit corespunzator cu privire la utlizarea programului tipurile de formulare. al utilizatorilor la informatiile si functiile programului informatic exteriorul retelei de contabilitate. Recomandri: Pentru imbunatatirea performantelor si reducerea la minim a riscurilor se impune luarea urmatoarelor masuri: sa se realizeze o departajare pe functii si posturi a personalului 33 programul nu permite inserari, modificari, sau eliminari de date pentru o perioada

intercalari, precum si orice eliminari sau adaugari ulterioare. programul asigura reluarea automata in calcul a soldurilor conturilor obtinute

sa se efectueze salvari ale datelor din sistem periodic, mai des decat perioada

actuala care este de o luna, iar suporturile cu date sa fie pastrate in mai multe locatii din afara firmei. sa se restrictioneze accesul la Internet al utilizatorilor, folosirea de dischete de catre acestia.

34

Bibliografie : AUDITUL SI CONTROLUL SISTEMELOR INFORMATIONALE Pavel Nastase (coordinator ) Victoria Stanciu Floarea Nastase Mirela Gheorghe Dana Boldeanu Ali Eden Gheorghe Pipescu Delia Babeanu Alexandru Gavrila

TOPEX S.A. site-ul : www.topex.ro Materiale informative despre : Standardul ISO / IEC 17799 si implementarea in institutiile publice Ministerul Comunicatilor si Tehnologiei Informatiilor

Note CURS profesor Mirela Gheorghe Note Seminar profesor Mirela Gheorghe Date extrase din documentele ce apartin firmei auditate. Manual utilizare program SIVECO

35