Documente Academic
Documente Profesional
Documente Cultură
- 2007 -
Cuprins :
Cap. 1 Descrierea sistemului informatic Cap. 2 Analiza riscurilor informatice Cap. 3 Strategia de securitate la nivelul organizatiei Cap. 4 Auditul unei aplicatii din sistem Cap. 5 Raportul de audit
schimbata periodic. Intretinerea retelei de calculatoare este asigurata de un administrator IT , angajat al societatii. Acesta asigura buna functionare a calculatoarelor, a retelei, a imprimantelor din punct de vedere electronic si soft. Se utilizeaza ca sistem de operare Windows XP. Datorita faptului ca este un sistem recent acesta are incorporat firewall-ul. Firewall-ul poate mpiedica persoanele straine s intre pe computerul utilizatorului prin Internet. Un firewall poate tine la distan traficul Internet cu intentii rele, de exemplu hackerii, viermii si anumite tipuri de virusi, nainte ca acestia sa puna probleme sistemului. Utilizarea unui firewall este important n special daca calculatorul este conectat n permanenta la Internet.
Fiecare risc se va evalua cu risc mare, mediu sau scazut. Se va intocmi un raport final privind managementul riscurilor la societatea TOPEX SA.
Nr. Intrebare intrebarii 1 Mediul in care se desfasoara activitatea de prelucrare automata a datelor este protejat impotriva incendiilor Raportul privind aparitia incidentelor sunt furnizate managementului Exista sistem de protectie impotriva caderilor de tensiune Sistemul si dotarea tehnica sunt securizate impotriva furtului Este controlat accesul fizic in departamentul IT Serverele se afla in incapere separata Echipamentele de comutatie sunt protejate in mod corespunzator Sunt securizate calculatoarele dupa terminarea programului de lucru Sunt monitorizate echipamentele de curatenie si mentenanta Exista un jurnal pentru identificarea persoanelor care au avut acces la sistemul informational in afara orelor de program
Raspuns DA / NU DA
Ri x Wi
NU
DA
DA
5 6 7
DA DA DA
3 4 4
0 0 0
DA
NU
10
NU
2. Chestionar pentru evaluarea riscurilor de comunicare Nr. intrebari Intrebare i 1 Se face o identificare a calculatoarelor care lucreaza in retea Se verifica daca doar utilizatorii cu drepturi sunt logati Este disponibila o diagrama a retelei de calculatoare Infrastructura retelei este evaluata la intervale regulate pentru a se evalua eventualele vulnerabilitati Informatiile care sunt communicate prin reteaua publica (internet) sunt transmise intr-o forma criptata Exista un jurnal in care sunt inscrise toate incidentele legate de comunicatia datelor Conturile de utilizator temporare sunt dezactivate in timp util Accesul utilizatorilor de la distanta este protejat de aplicatii tip FIREWALL Se realizeaza o monitorizare continua a tuturor activitatilor efectuate in cadrul retelei Utilizatorii au fost instruiti privind modul de comunicatie a datelor atat in reteaua locala cat si in reteaua internet Factor de importanta [ Wi] 2
Raspuns DA / NU DA
Ri x Wi
2 3
NU DA
3 1
3 0
DA
NU
NU
DA
DA
NU
10
NU
3. Chestionar pentru evaluarea riscurilor privind integritatea datelor Nr. intrebari Intrebare i 1 Informatiile sunt inregistrate in ordine cronologica Lipsa sau duplicarea anumitor informatii este detectata si investIgata Informatiile care reprezinta intrari pentru sistem sunt aprobate de catre un responsabil Exista proceduri formale scrise de operare a unui sistem Exista proceduri pentru realizarea copiilor de siguranta Exista proceduri pentru controlul erorilor Exista controale prin care sa se determine utilizarea neadecvata a sistemului Sunt prevazute proceduri de repornire a sistemului in caz de oprire accidentala Distributia situatiilor de iesire se face sub semnatura Informatiile sunt clasificate in functie de importanta si gradul de secretizare Factor de importanta [ Wi] 4
Raspuns DA / NU DA
Ri x Wi 0
DA
DA
4 5
NU DA
2 4
2 0
NU
DA
DA
NU
10
NU
4. Chestionar privind evaluarea riscului de acces Nr. intrebari i 1 Raspuns DA / NU DA Factor de importanta [ Wi] 2
Intrebare Atribuirea si schimbarea conturilor utilizatorilor fac obiectul unei aprobari scrise? Accesul la date si soft respecta principiul :"trebuie sa stie?" Toate incercarile de accesare neautorizata a sistemului sunt inregistrate, raportate si investigate? Sistemul este configurat astfel incat sa i se refuze unui utilizator accesul la sistem dupa 3 (5) incercari esuate? Exista o politica scrisa care sa prevada situatiile in care au acces la resursele informationale si consultantii acesteia (terte parti) Statiile de lucru sunt dotate cu soft care sa blocheze accesul la retea atunci cand utilizatorul nu se afla la statia sa? Exista un management adecvat al parolelor de acces? Drepturile de acces la resursele informationale sunt revizuite si actualizate periodic? Este instalat un firewall care sa permita detectarea accesului neautorizat din reteaua internet? S-a realizat un training adecvat utilizatorilor privind accesul (alegerea unei parole) la resursele informationale?
Ri x Wi
DA
DA
DA
NU
NU
DA
DA
NU
10
DA
5. Chestionar privind protectia impotriva virusilor Nr. intrebari i 1 2 Factor de importanta [ Wi] 4 4
Intrebare Toate calculatoarele din retea sau de sine statatoare au instalat un software antivirus cu licenta? Acest software se actualizeaza automat? Software-ul este configurat astfel incat sa permita scanarea periodica a hard discurilor si sa interzica utilizatorilor dezactivarea acestuia? Server-ul de email are instalat un antivirus de email? Lucrul cu elementele de memorie externa, este controlat? Programele freeware si shareware, fisiere downloadate, fisiere atasate la email, sunt verificate inainte de a fi activate? Conducerea a fost atentionata cu privire la potentialele pericole pe care le implica virusii? Utilizatorii cunosc procedurile de anuntare a aparitiei unui virus? Exista restrictii de marime a fisierelor, permise a fi downlodate, incarcate in sistem? Pe toate serverele este instalata aceeasi versiune de antivirus?
Raspuns DA / NU DA DA
Ri x Wi 0 0
DA
DA
DA
DA
DA
NU
DA
10
NU
Nr. intrebari i 1
Intrebare Angajarea personalului se face pe baza unor teste profesionale? Se asigura personalului training-uri periodice, sau documentatie necesare pentru o documentare continua? Se face o evaluare periodica a personalului In momentul angajarii se face un instructaj de protectia muncii si PSI? S-a semnat cu fiecare angajat o clauza de confidentialitate? Exista o separare a functiilor incompatibile la nivelul sistemului informational? In situatia pierderii personalului cheie, exista o procedura care sa asigure continuitatea activitatii prelucrarii informatiilor in sistem?
Ri x Wi 4
DA
NU
DA
DA
DA
DA
Nivel risc = 4 x Ri X Wi / Wi = 4 x 6 / 24 = 24 / 24 = 1
Nr. intrebari i 1
Intrebare Informatiile sunt inregistrate in ordine cronologica? Analiza controalelor asupra accesului la formularele de intrare sau la ecranele de introducere a datelor certifica existenta semnaturii de autorizare? Informatiile care reprezinta intrari pentru sistem sunt aprobate de un responsabil ? Lipsa sau duplicarea anumitor informatii este detectata si/sau investigate? Exista proceduri formale de utilizare a softului? Sunt prevazute proceduri de repornire a sistemului in caz de oprire accidentala? Exista proceduri pentru controlul erorilor? Exista proceduri pentru realizare copiilor de siguranta? Aceste copii de siguranta la datele din sistem sunt actualizate la sfarsitul fiecarei zile? Distributia informatiilor rezultate din sistem se face sub semnatura? In cazul imprimarii rapoartelor pe timpul noptii acestea sunt protejate in mod corespunzator? Se face o verificare cu privire la distrugerea sau clasarea rapoartelor obtinute din sistem?
Ri x Wi 0
DA
3 4 5 6 7 8 9
NU DA NU NU NU DA NU
2 4 3 2 2 4 2
2 0 3 2 2 0 2
10
DA
11
DA
12
NU
12
Nr. intrebari i 1
Intrebare Exista un plan de recuperare in caz de dezastre la nivelul societatii? Acest plan de dezastre este actualizat si testat anual? Exista un contract de asigurare al organizatiei pentru evenimente neprevazute? Exista o locatie alternativa de punere in functiune a sistemului? Exista un jurnal in care se consemneaza orice cadere, eveniment de dezastru al sistemului? Angajatii sunt instruiti privind modul de actiune in caz de dezastru? In proiectarea planului de recuperare in caz de dezastre s-a tinut cont de pierderea personalului cheie? Se realizeaza copii de siguranta pentru softul din sistem? Aceste copii de siguranta sunt pastrate intr-o alta locatie decat locul unde isi desfasoara activitatea organizatia? Managementul a fost informat asupra necesitatii de realizare a back-up-urilor, planului de recuperare in caz de dezastre?
Ri x Wi 0
NU
DA
DA
NU
NU
NU
DA
DA
10
DA
13
Nr. Crt. 1 2 3 4 5 6 7 8
Tipul riscului Chestionar pentru evaluarea riscului de securitate fizica Chestionar pentru evaluarea riscurilor de comunicare Chestionar pentru evaluarea riscurilor privind integritatea datelor Chestionar privind evaluarea riscului de acces Chestionar privind protectia impotriva virusilor Chestionar privind evaluarea riscurilor de personal Chestionar privind evaluarea riscului de integritate Chestionar privind evaluarea riscului de management al situatiilor neprevazute
Nivelul de risc 1,0588 1,8750 1,1250 1,2500 0,3640 1,0000 1,5760 1,2120
Evaluare nivel risc Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut
14
15
Obiectivul principal al unui program pentru protectia informatiilor l reprezinta asigurarea ncrederii partenerilor de afaceri, avantajul competitiv, conformitatea cu cerintele legale si maximizarea investitiilor Indiferent de forma pe care o mbraca, mijloacele prin care este memorata, transmisa sau distribuita, informatia trebuie protejata. ISO/IEC 17799 trateaza securitatea informatiilor prin prisma a trei elemente principale:
Confidentialitatea informatiile sunt accesibile doar persoanelor autorizate Integritatea asigurarea acuratetei si completitudinii metodelor prin care se Disponibilitatea utilizatorii autorizati au acces la informatii si la activele asociate
n momente oportune. In mod practic, la nivelul unei organizatii, setul de politici specifice pentru securitatea informaiei poate cuprinde:
1.
administrari unitare n cadrul organizatiei a accesului la informatie , (printr-o comunicare continua intre manager si administratorul de retea definindu-se responsabilitati la nivel de societate, department, cat si la nivelul fiecarui utilizator care este responsabil cu asigurarea securitatii datelor pe care le manipuleaza) ;la nivelul retelei un rol important il au sistemele tip firewall existente cu interfata pentru controlul traficului catre internet cat si pentru controlul traficului catre reteau interna, blocand astfel accesul la la site-uri particulare din internet, interzicand accesul anumitor utilizatori la anumite servere si anumite servicii, monitorizand si inregistrand toate comunicatiile ; se verifica periodic daca starea echipamentelor, de la serverele de retea pana la terminalul fiecarui utilizator, corespunde din punct de vedere al uzurii fizice si morale, cu parametrii ce se impune a fi atinsi pentru ca firma sa obtina rezultatetele asteptate ; 2. Politica de analiz i evaluare a riscului de securitate a informaiei : pentru ca o
baza de date (exemplu : de la compartimentul contabilitate) este folosita de mai multi utilizatori este stabilit cine are dreptul de a accesa serverul destinat gestionarii activitatii contabile si cine nu : serverul trebuie sa asigure accesul nelimitat la resurse al mangerului
16
contabil cat si al mangerului general si sa-l refuze altor utilizatori prin restrictii special construite de administratorul de retea ; 3. Politica de management a riscului de securitate a informaiei : programul are
jurnale interne ce monitorizeaza accesul la informatie ; tot aici se includ si masurile de securitate fizica a sistemului informatic : serverele sunt in incinte securizate separate de restul terminalelor (acces permis personalului abilitat cu intretinarea si depanarea pe baza de chei de acces) ; accesul in sediul societatii este permis numai personalului angajat (exista portar permanent la intrare), persoanelor ce nu sunt angajatii societatii le este permis accesul in sediu numai insotiti de un angajat, care ii preia de la poarta, si ii insoteste pana la compartimentul unde au solicitat accesul ; 4. Politica de acces a terelor pri : este permis accesul la resursele de pe pagina de
web a societatii in mod liber, insa pentru documentarea specifica anumitor produse accesul se realizeaza prin log-are cu nume de utilizator si parola ; in vederea realizarii unor activitati cu caracter nepermanent; 5 Politica de pregtire/perfecionare a personalului n domeniul securitii
informaiei : intrucat factorul uman este esential in desfasurarea unei activitati corespunzatoare in acest domeniu, personalul este selectat cu atentie deosebita inca din faza de angajare prin testarea abilitatilor de lucru-operare calculator la un nivel minim cerut de societate se prevad clauze de confidentialitate se definesc conflictele de interese specifice, activitatea este monitorizata pe tot parcursul desfasurarii contractului; atunci cand se instaleaza noi programe/baze de date/aplicatii informatice conforme fisei postului se face o pregatire prealabila a personalului pentru o utilizare corespunzaoare urmand ca abilitatile sa se formeze in timp;personalul informeaza intotdeauna administratorul de sistem (deci ii raporteaza acestuia) orice tip de functionare defectuoasa pentru ca acesta sa o remedieze in timp util si sa reduca la minim timpul de nefunctionare al unui terminal; accesul in sediul societatii este permis numai personalului angajat (exista portar permanent la intrare), persoanelor ce nu sunt angajatii societatii le este permis accesul in sediu numai insotiti de un angajat, care ii preia de la poarta, si ii insoteste pana la compartimentul unde au solicitat accesul ;
6.
postului de lucru(calculatorului) pentru fiecare post de lucru; accesul general prin conturi de utilizator special definiyte de administratorul de retea; 7. Politica de management al conturilor utilizatorilor: respecta principiul trebuie sa
stie sau alfel spus definirea exacta a restrictiilor de acces ca loc si timp de acces autorizat este in concordanta cu atributiile definite in fisa postului, de exemplu cel ce introduce facturile de cumparari are drept de adaugare de noi facturi, modificare si stergere inregistrari inainte de validarea finala ; 8. Politica de parole : parolele trebuie sa fie si sunt alcatuite din minim opt caractere :
litere, cifre si semne grafice ce trebuie astfel alese incat sa nu reprezinte un nume familiar celui ce a creat-o[pentru a nu fi usor ghicita de persoanele ce incearca un acces neautorizat] si totusi nu foarte greu de memorat pentru ca este absolut interzis a fi scrisa si lasata undeva la indemana oricui. Parola are obligatia sa o modifice la un interval fix de 45 zile si sa nu o repete pentru ca va fi respinsa de sistem daca a mai fost utilizata anterior; 9. Politica de securizare a serverelor: administratorul de retea, in conformitate cu
indicatiile date de managerul general, stabileste cine are acces fizic la servere acestea se afla in birouri securizate, unde exista extinctoare pentru situatii de incendiu cat si informatic prin definirea codurilor de acces pentru grupurile de utilizatori, pentru fiecare utilizator individual cat si pentu accesul temporar 10. Politica de securitate pentru echipamentele mobile : pentru echipamentele mobile
rolul de securitate a conectarii si comunicarii il realizeaza componenta software a firewall-ului instalat 11. Politica de management al schimbrii resurselor : atunci cand echipamentele nu
mai permit up-date uri noile echipamente se achizitioneaza pe baza unei analize prealbile calitate/cost si se alege un optim ; planul de dezvoltare a afacerii este baza in managementul schimbarii resurselor informatice ce trebuie sa asigure suportul logistic se re-evalueaza periodic structura retelei pentru a verifica daca sustine in parametrii proiectati in dezvoltarea planului de afaceri si se decide ,cand este cazul, schimbarea resurselor imbatranite sau achizitionarea de noi resurse ; 12. Politica de back-up : copiile de siguranta : se efectueaza in sistemul dual-copy , cu o
periodicitate lunara, ale informatiilor vitale, din punct de vedere tehnic si economic si se 18
depoziteaza in o locatie diferita de cea unde se afla sistemul informatic, reprezentand un real folos in cazuri de urgenta; 13. Politica de manipulare i stocare a datelor : exista birouri securizate unde se
pastreaza documentele primare ce reprezinta suportul fizic al viitoarelor date ; accesul la ele este permis numai angajatilor cu atributii in aceste domenii; in vederea stocarii in sistemele informatice accesul la acestea este permis prin logare cu nume de utilizator si parola; controlul accesului logic; informatia stocata prin introducerea de fiecare angajat in baze de date specifice activitatii este usor accesibila la inceperea unei noi sesiuni prezinta persistenta sau poate fi trimisa spre printare sub forma de rapoarte finale ; sensibilizarea angajatilor la problemele de securitate IT ca politica permanenta a firmei ; tot ca o rutina a fiecarui angajat,pentru a preveni pierderea datelor din varii cauze independente de acesta caderi accidentale de tensiune, avarii fizice minore, parasirea postului de lucru fara activarea optiunii logoff, etc, se incearca formarea deprinderii de salvare a datelor introduse la intervele cat mai mici de timp; 14. Politica de utilizare a serviciului de e-mail :serviciul este instalat pe terminalele
utilizatorilor, permite e-mail-ul clasic ,in folosul activitatii curente, sistemul informatic fiind sever configurat de administratorul de retea-in concordanta cu politica conducerii nu permite trecerea mesajelor neautorizate, nici a mesajelor ce ar putea parea autorizate dar ale caror documente anexate ar putea prezenta risc in momentul cand ajung in casuta de email a utilzatorului ; in acest fel se creaza o protectie suplimentara (nu se realizeaza alterarea activitatii calculatorului datorita supraincarcarii memoriei ) pe langa programele antivirus ce functioneaza live (simultan cu descarcrea postei electronice) ; 15. Politica de criptografie : tinand cont ce activitatea de proiectare, cercetare
dezvoltare ce reprezinta una dintre bunurile de mare valoare ale firmei inteligenta este nepretuita pentru ca o scanteie de geniu poate echivala cu ore si ore de munca , eu ca un potential manager mi-as asigura toate caile existente posibil in a o proteja, inclusiv apeland la chei de criptare in manevrarea datelor din acest domeniu sensibil, unde spionajul industrial se dezvolta mai rapid si mai virulent decat piata programelor tip virusi ; 16. Politica de licene software : programele instalate sunt cumparate sub licenta
producatorului initial de pe piata specializata, asigurandu-se in acest fel respectarea legislatiei in vigoare , cat si protectia impotriva crearii cu buna stiinta de vulnerabilitati in sistem usor de exploatat de potentialii atacatori pentru furtul si distrugerea de informatii ; 19
17.
dezvoltare de sisteme informatice putem utiliza si creatii proprii sau achizitionam de pe piata specializa, nu numai ce este mai nou in domeniu ci si ce ne este cel mai util avand posibilitatea verificarii eficientei a ceea ce am achizitionat ; o alta latura o reprezinta angajarea de personal specializat, continua lui perfectionare (politici de personal ) ; 18. Politica de protecie mpotriva viruilor : sunt instalate programe antivirus F-PROT,
un antivirus pentru DOS. Scannerul de virusi poate fi utilizabil pe toate sistemele de operare la zi si poate detecta si dezinfecta toti virusii cunoscuti de boot, toti virusii de programe si de fisiere cat si virusii de macro, troienii si alte programe suparatoare si destructive ; printre facilitatile incluse in F-Prot Antivirus pentru DOS se afla si un scanner heuristic care se ocupa de virusii noi si de fisierele suspecte. F-Prot Antivirus va scana fisierele arhivate la fel de bine ca si documentele Word si Excel. 19. Politica de detectare a intruilor : la nivelul sistemului informatic se genereaza
automat jurnalele de acces pe baza IP ului de utilizator individual , jurnalele de evenimente , permitand administratorului sa detecteze orice acces ce s-a produs in intervalul programului regulamentar de lucru zilnic (8 ore de luni pana vineri) si sa determine daca este conform nivelului de autorizare atribuit.Ceea ce este foarte important este ca se pot verifica si accesarile din timpul liber al personalului cat si incercarile de acces dupa ce conturile au fost dezactivate ca urmare a incetarii activitatii in firma. De asemenea monitorizeaza si incercarile de acces ce depasesc nivelul de autorizare creat de administratorul de retea .Pot constituii probe in situatii de eventuale litigii daca pagubele generate in urma unui acces rauvoit reusit creeaza asemenea evenimente. In strategia de securitate la nivelul societatii il reprezinta existenta unui plan bine definit de continuitate a afacerii dupa dezastre. Continuitatea sistemelor informationale in caz de dezastre reprezinta o combinatie intre planificarea refacerii in caz de dezastre si continuitatea operatiunilor activitatii firmei. Implica eforturi financiare, nu neglijabile, la nivelul marilor societati. In cazul SIRIUS S.A. ceea ce ar putea reprezenta o alternativa sunt back-up-urile realizate periodic, rezultand ca numai un mic volum de informatie trebuie refacut,cel distrus intre efectuarea ultimului back-up si momentul dezastrului, cu ajutorul logisticii existente la locatie neafectata .Se poate evalua apoi impactul dezastrului si caile de reluare a activitatii, cat si timpul necesar, in conditiile initiale.
20
Pentru organizarea contabilitatii si a evidentei stocurilor societatea a achizitionat un program specializat de la firma SIVECO ROMANIA SA, firma ocupandu-se si de distribuirea si implementarea programului. Aceasta a pus la dispozitia utilizatorilor un manual complex de utilizare a programului si ofera si in prezent asistenta pentru softul achizitionat. Instruirea noilor angajati cu privire la functionarea programului si utilizarea functiilor sale se realizeaza de catre angajatii existenti deja familiarizati cu programul. Utilizand baza de date ORACLE , comunicare intre componentele functionale si serverul de baze de date este realizata cu SQL*Net. Cu SQL*Netbaza de date si aplicatiile pot sa fie localizate pe calculatoare diferite si comunica una cu cealalta la nivel de aplicatie. La momentul implementarii nu s-a facut o departajare a drepturilor de utilizare modificare a inregistarilor. Controlul acestei aplicatii abordeaza : controlul datelor de intrare controlul asupra procesarii si fisierelor de date controlul datelor de iesire , fiecare utilizator al programului avand atat drepturi de adaugare cat si drepturi de stergere si
Controlul datelor de intrare presupune: controlul accesului la aplicatiile informatice din sistem
21
Constatari : daca utilizatorul care incearca accesarea programului daca nu este autorizat pentru aceasta sau a tastat gresit parola , sistemul a returnat un mesaj de eroare si nu i s-a permis accesul. Cu ajutorul numelui de user folosit se poate verifica si persoana ce a introdus datele in sistem sau a operat modificari. controlul asupra acuratetei datelor de intrare , pentru aceasta se vor face o serie de teste ce urmaresc sa detecteze date incomplete, incorecte si nerezonabile. Se vor introduce urmatoarele date eronate: a) cod fiscal format din caractere numerice si alfabetice b) validarea unor inregistrari incomplete
Constatari: - la introducerea unui partener nou in baza de date se observa ca sistemul permite introducerea unui cod fiscal format atat din date numerice cat si alfabetice 22
- nu permite validarea unor inregistrari incomplete , sistemul returnand un mesaj de atentionare c) inregistrarea unei facturi avand drept data de emitere o data anterioara perioadei curente
Constatari: - campul datei facturii permite introducerea datei conditionata de validitatea perioadei in care se lucreaza, respectiv luna si anul calendaristic pentru care se introduce factura. Astfel, nu este posibila introducerea unei facturi aferenta altei perioade in luna si anul curent. Daca aceasta conditie nu este indeplinita sistemul trimite un mesaj de averizare si nu permite continuarea operatiilor pana cand nu se introduce o data valida. 23
d) inregistrarea unei facturi avand data de inregistrare anterioara datei de emitere a documentului
Constatari: sistemul nu valideaza aceasta inregistrare pana cand nu se face corectia adecvata Controlul prelucrrii datelor ne asigur c tranzaciile nu au fost pierdute, adugate, duplicate sau modificate i c erorile de procesare au fost identificate i corectate n timp util. Se vor introduce urmatoarele date eronate: a) pentru testarea duplicitatii datelor se incearca inregistrarea a doua facturi cu acelasi numar
24
Constatari: sistemul va emite un mesaj de atentionare spunandu-ne ca mai exista in baza de date o factura cu acelasi numar. In cazul in care factura cu acest este primita de la furnizori diferiti sistemul permite validarea inregistrarii in caz contrar nu va permite acesta inregistrare . b) Campurile Total si TVA total sunt calculate automat pe baza datelor introduse anterior in campurile Cantitate si Pret.
25
Constatari: Rubrica TVA permite ajustarea sumei de catre utilizator daca cea calculata automat de program nu corespunde cu cea inscrisa pe factura sau daca cota de TVA nu este corespunzatoare. c) facturile de achizitie a materialelor si materiilor prime sunt generate automat pe baza de NIR si se incearca o modificare sau chiar stergere a unei pozitii de pe factura
26
Constatari: daca se incearca generarea a doua facturi de aprovizionare cu materiale avand la baza un NIR sistemul va emite un mesaj de atentionare si nu va valida aceasta operatie si nu va permite stergerea niciunei pozitii din factura . d) se testeaza daca sistemul permite stergerea de facturi introduse
27
Constatari: indiferent ca este vorba de o factura primita de la un furnizor sau ca este o factura emisa de societate intai sistemul intreaba daca aceasta factura se doreste a fi strearsa si daca primeste un raspuns afirmativ continua procedura de stergere a documentului , dar daca aceasta inregistrare este una validata si contata ne avertizaeza ca nu se poate efectua operatia dorita. e) vizualizarea si printarea facturilor emise, cautarea facturilor dupa mai multe criterii: data emiterii facturii, data inregistrarii facturii, numarul facturii, denumire client, valoarea facturii
Controlul datelor de iesire :se urmareste corectitudinea si acuratetea datelor de iesire, respectarea termenelor prevazute pentru obtinerea iesirilor. Iesirile sunt dirijate catre imprimante la cererea utilizatorilor. Se pot obtine diferite situatii : jurnalul de vanzari pe o anumita perioada si prin compararea acestuia cu fisa contului 4427 - TVA colectata se pot depista, in cazul in care apar diferente , operatiuni omise la inregistrare sau inregistrate eronat.
28
fise detaliate ale clientilor pe anumite perioade din care sa rezulte situatia
29
tinandu-se cont de faptul ca in momentul validarii unei operatiuni trebuie sa se aleaga dintr-o lista, schema de contare utilizata si daca aceasta lista nu este actualizata cu noile operatiuni aparute sistemul permite inregistrarea documentului , dar nu va efectua si contarea documentului. Pentru a nu aparea situatii in care aceste documente sa ramana necontate sistemul ofera posibilitatea listarii acestor documente oferind astfel posibilitate corectarii unor astfel de erori.
30
31
4. Natura si intinderea lucrarilor efectuate Auditarea sistemului informatic s-a facut atat din punct de vedere contabil cat si din punct de vedere al echipamentelor folosite, configuratiilor acestora, riscurilor care ameninta buna desfasurare a activitatii firmei. In efectuarea auditului, auditorul a aplicat normele si standardele de audit in viguare Concluzii: In urma controalelor facute auditorul a constat: procedurile folosite corespund reglementarilor in vigoare exista posibilitati de actualizare a procedurilor daca apar modificari in legislatie eventualele erori care pot aparea in functionarea programului informatic sunt fiecare data integistrata in programul de contabilitate se regaseste in continutul programul informatic asigura listele operatiunilor efectuate in contabilitate pe baza justificative numerotate in ordine cronologica, interzicandu-se inserari,
remediate de catre o firma specializata. unui document la care au acces atat beneficiarii cat si organele de control. de documente anterior inchisa. programul asigura respectarea continutului de informatii prevazut pentru toate exista un foarte mare risc de acces deoarece nu exista conturi si niveluri de acces sistemul informatic este protejat corespunzator impotriva virusilor si a atacurilor din personalul societatii este instruit corespunzator cu privire la utlizarea programului tipurile de formulare. al utilizatorilor la informatiile si functiile programului informatic exteriorul retelei de contabilitate. Recomandri: Pentru imbunatatirea performantelor si reducerea la minim a riscurilor se impune luarea urmatoarelor masuri: sa se realizeze o departajare pe functii si posturi a personalului 33 programul nu permite inserari, modificari, sau eliminari de date pentru o perioada
intercalari, precum si orice eliminari sau adaugari ulterioare. programul asigura reluarea automata in calcul a soldurilor conturilor obtinute
sa se efectueze salvari ale datelor din sistem periodic, mai des decat perioada
actuala care este de o luna, iar suporturile cu date sa fie pastrate in mai multe locatii din afara firmei. sa se restrictioneze accesul la Internet al utilizatorilor, folosirea de dischete de catre acestia.
34
Bibliografie : AUDITUL SI CONTROLUL SISTEMELOR INFORMATIONALE Pavel Nastase (coordinator ) Victoria Stanciu Floarea Nastase Mirela Gheorghe Dana Boldeanu Ali Eden Gheorghe Pipescu Delia Babeanu Alexandru Gavrila
TOPEX S.A. site-ul : www.topex.ro Materiale informative despre : Standardul ISO / IEC 17799 si implementarea in institutiile publice Ministerul Comunicatilor si Tehnologiei Informatiilor
Note CURS profesor Mirela Gheorghe Note Seminar profesor Mirela Gheorghe Date extrase din documentele ce apartin firmei auditate. Manual utilizare program SIVECO
35