Seria de standard 27000

ISO 27000 elemente fundamentale i vocabular (la sfritul anului 2008 apare definitivat) care
explic terminologia pentru toat seria de standarde 27000 (marketing);
explic principii de baz n definiii ce variaz de la ar la ar;
aceste principii vor avea impact asupra altor standarde cum ar fi COBIT(procese IT) i ITIL (Furnizarea de
servicii IT -Service Delivery) i elimin orice confuzie.
ISO 27001 cerinele unui SMSI Procesul de Certificare (se bazeaz pe ISO 27002)
certificarea
SMSI-publicat n
Noiembrie
2005 i
operaional
de la 30
Ianuarie
2006
(www.iso27001certificates.com);
clasificarea / mbuntirea cerinelor procesului PDCA care cuprinde: scopul SMSI, evaluarea riscurilor,
selectarea controalelor, declaraia de aplicabilitate, revizuirea riscurilor, audit intern al SMSI, rezultate reale i
msurtori, plan pentru tratarea riscurilor i controale.
ISO 27002 Cod de practic n gestionarea sistemelor informaionale
are 11 seciuni cu privire la protecia bunurilor informaionale (a fost publicat n aprilie 2007);
133 controale detaliate (bazate pe procesul de evaluare a riscurilor i mediul de afacere);
acoper externalizarea serviciilor de aprovizionare i livrare, probleme curente i probleme de management,
securitate la angajare i n timpul derulrii unui contract al unui angajat, ghid pentru managementul riscurilor i
gestionarea incidentelor, comunicaii mobile, de la distan sau distribuite.
ISO 27003 Ghid de implementare SMSI (apare n 2009)
Implementarea ghidului pentru a sprijini noile cerine ale standardului
Anexa B a standardului BS7799 Partea a doua are urmtoarele etape: privire de ansamblu, responsabilitile
managementului, conformitate cu guvernana i reguli, resurse umane i securitatea personalului, gestionarea
bunurilor, disponibilitatea/continuitatea proceselor de afacere, gestionarea incidentelor informaionale, controlul
accesului, studii de caz privind managementul riscurilor.
Implementarea unui PDCA presupune identificarea bunurilor, identificarea ameninrilor, evaluarea i tratarea
riscurilor, analiza i mbuntirea controalelor.
ISO 27004 Metrice i msurabilitate a SMSI (la sfritul anului 2008). Obiectivele acestui standard sunt:
evaluarea real a controalelor i obiectivelor SI;
evaluarea real a unui SMSI (susinere);
furnizeaz indicatori pentru asisten managerial;
mbuntirea facilitilor SI;
furnizeaz intrrile pentru auditul SI;
comunicare real la nivelul managementului sistemelor informaionale;
intrarea n procesul de management al riscurilor;
ieirea pentru comparaii interne i repere (ex. msurarea performanei controalelor i proceselor).

ISO 27005 Managementul riscurilor SMSI (la sfritul anului 2008)

Un nou standard de managementul riscurilor pentru securitatea informaiei;
Analiza riscurilor, evaluarea riscurilor din securitatea informaional (identificarea bunurilor, ameninri i
vulnerabiliti);
Tratarea riscurilor securitii informaionale:
Anexa a scop;
Anexa b identificarea i valorificarea bunurilor
Anexa c vulnerabiliti comune.
ISO 27006 Ghid pentru acreditare SMSI (cuprinsul certificrilor)
Necesar pentru sporirea rigurozitii i evidenelor a cuprinsului certificrii pe care organizaia o cere pentru
certificare (necesar de afacere, comunicaii i practic);
Operaional din Ianuarie 2007;
Cerine generale (ghid de imparialitate);
Structura organizaional aplicnd ISO/IEC 17021;
Cerine de resurse: competen managerial; subcontacte etc.;
Cerine informaionale ghidarea rezultatelor certificrii;
Cerinele procesului ghidarea auditului SMSI;
3 anexe (analiza complexitii SMSI; exemple de domenii ale competenei auditorului, calcularea timpului de
audit).
ISO 27007 Ghid pentru auditarea SMSI (din 2009)
Ghid pentru audit i acreditarea certificrii cuprinsului auditat SMSI

Cerine specifice pe anumite sectoare ale economiei (ISO27011 ISO27030)-Telecoms (global) ISO 27011;
Sntate (UK)ISO 27799; Automotive(Germany;Korea;Sweden); Loterie la nivel internaional.
Ghid operaional (ISO27031 ISO27059) pentru care nc nu exist o dat a publicrii.
n aceast serie, sunt cuprinse:
ISO 27031 : Continuitatea Afacerii utiliznd IT&C
ISO 27032 : Ghid pentru securitatea cibernetic
ISO 27033 : Securitatea reelelor de calculatoare
ISO 27034 : Ghid pentru aplicarea securitii.

Continuarea afacerii i recuperarea n caz de dezastru:

Continuarea activitii Planificarea refacerii dup dezastre Auditul planului de refacere i continuare a afacerii
Continuarea activitii. Planificarea refacerii dup dezastre
Activitatea oricrei organizaii este expus unei multitudini de riscuri care pot produce afectri ale
activitii,pierderi materiale,financiare,umane sau pot afecta imaginea acesteia.
n aceste condiii este essential ca managementul s stabileasc drept obiectiv strategic crearea unei culture
organizaionale menite s permit identificarea i managementul riscurilor care se pot produce
Planificarea continurii activitii(Business ContinuityPlaningBCP)reprezint procesul proiectat pentru reducerea
riscurilor activitii organizaiei aprute ca urmare a ntreruperii neateptate a funciilor/operaiilor critice, manuale
sau automate, necesare pentru supravieuirea organizaiei. Sunt cuprinse resursele materiale i umane necesare
n vederea asigurrii unui nivel minim pentru operaiile critice.
BCP este un proces complex desfurat n mai multe etape. Prima dintre acestea, i extrem de important prin
ieirile pe care le ofer, este reprezentat de evaluarea riscurilor.
Aceast etap are rolul de a identifica cele mai importante procese care susin activitatea organizaiei. BCP se
va construi plecndu-se de la aceste procese critice asigurnd continuarea operaiilor n cazul producerii
evenimentelor distructive.
BCP intr n sfera de responsabilitate a senior-managementului nsrcinat cu asigurarea proteciei activelor i a
viabilitii organizaiei.
Senior-managementul este rspunztor de managementul riscurilor la nivelul organizaiei i de aceeaa probarea
i monitorizarea modului de implementare a BCPreprezint una dintre responsabilitile sale.
Implicarea top-managementului n elaborarea planului este esenial prin natura soluiilor adoptate,prin
resursele disponibilizate n acest sens i nu n ultimul rnd prin mutaiile produse chiar n cultura organizaional.
BCP trebuie s priveasc toate funciile i activele organizaiei. Fiecare entitate organizaional trebuie s
asigure un nivel minim de funcionalitate imediat ce se produce ntreruperea activitii din cauza unui eveniment
distructiv.
BCP include proceduri de refacere n urma dezastrelor (disasterecoveryproceduresDRP) i planul de
continuitate al operaiilor. Dac DRP este planul destinat relurii activitilor operaionale la nivelul entitilor
organizaionale, n cazul sistemelor informaionale DRP cuprinde procedurile necesare refacerii proceselor IT.
BCP cuprinde:
DRP (DisasterReocoveryPlan), necesar n refacerea facilitilor devenite neoperabile, incluznd relocarea
operaiilor ntr-o nou locaie;
planul operaiunilor (OperationsPlan), necesar entitilor organizaionale n efortul de refacere;
planul de restaurare (RestorationPlan), necesar relurii operaiilor ntr-o locaie refcut sau una nou.

Continuitatea sistemelor informaionale.Planificarea refacerii n urma dezastrelor

(ISBusinessContinuity/DisasterRecoveryPlanning )reprezint o component important a BCP i strategiei de
refacere n caz de dezastru.
Procesarea prin mijloace IT este de importan strategic deoarece aproape toate procesele afacerii utilizeaz
resursele IT.
Procesul BCP se desfoar n urmtoarele faze ale ciclului de via:
crearea unei politici privind continuitatea activitii i refacerea dup dezastru;
analiza impactului asupra activitii (Business Impact AnalysisBIA);
clasificarea operaiilor i analiza critic;
elaborarea BCP i a procedurilor de refacere (DRP);
instruirea cu privire la BCP i contientizarea importanei lui;
testarea i implementarea planului;
monitorizarea.
Clasificarea incidentelor poate include urmtoarele categorii:
neglijabil: incident care nu produce distrugeri semnificative sau distrugerile sunt neperceptibile(cderi ale
sistemului de operare urmate de recuperarea complet a informaiilor ,cderi ale sursei de energie suplinite de
UPS-uri);
minor: sunt evenimente care dei nu sunt neglijabile nu produc un impact material sau financiar negativ;
major: incidente care produc impact material negative asupra proceselor afacerii i pot afecta alte
sisteme,departamente sau chiar parteneri de afaceri (clienii);
criz: este un incident major care poate avea un impact material serios asupra continuitii afacerii i poate
afecta negative alte sisteme i teri. Severitatea incidentului este direct proportional cu intervalul scurs ntre
nceputul incidentului i momentul refacerii n urma impactului produs.
Analiza impactului asupra activitii (Business Impact Analysis)
BIA reprezint un pas important n elaborarea BCP. Aceast etap are ca scop identificarea evenimentelor care
pot s apar afectnd continuitatea operaional a organizaiei, genernd un impact negativ asupra situaiei
financiare, resurselor umane i reputaiei organizaiei.
Desfurarea acestei faze presupune o bun cunoatere a organizaiei, a proceselor-cheie i a resurselor IT
necesare susinerii acestor procese. De aceea este necesar identificarea aplicaiilor i datelor critice, reelelor,
sistemelor software, facilitilor, proces realizat cu aprobarea managementului.
n desfurarea BIA se pot utiliza mai multe abordri:
utilizarea de chestionare: presupune utilizarea de chestionare detaliate destinate utilizatorilor IT cheie i
utilizatorilor finali;
derularea de interviurila nivelul grupurilor de utilizatori cheie;
discuii cu utilizatori finali i responsabili IT,cu scopul estimrii impactului posibil ca urmare a producerii unor
ntreruperi de amploare diferit.
Realizarea BIA presupune soluionarea a trei probleme majore:
identificarea proceselor critice pentru organizaie;
identificarea resurselor informaionale critice specifice proceselor critice identificate n primul pas;
determinarea timpului critic de refacere a resurselor informaionale n care procesele afacerii trebuie reluate
nainte de a se nregistra pierderi semnificative sau inacceptabile. Spre exemplu, instituiile financiare sau de
brokeraj vor determina timpi critici de refacere mult sub cei determinai de ntreprinderile cu profil de producie,
acest lucru fiind determinat de natura serviciilor prestate.
Clasificarea operaiilor i analiza critic
Sistemele evaluate vor putea fi plasate n una dintre urmtoarele categorii:
critice: aceste funcii nu pot fi executate dect dac sunt nlocuite cu capabiliti identice. Nu vor putea fi
nlocuite de metode manuale, tolerana la ntrerupere este foarte sczut i n consecin costul ntreruperii este
foarte ridicat;
vitale: aceste funcii pot fi realizate manual, dar pentru o scurt perioad de timp. nregistreaz toleran mai
mare la ntrerupere dect sistemele critice i de aceea ntr-o oarecare msur costul ntreruperii este mai mic.
Timpul de refacere este limitat la cinci zile sau mai puin;
sensibile: sunt funcii ce pot fi realizate manual, la un cost tolerabil pe o perioad mai mare de timp;
nesensibile: funcii ce pot fi ntrerupte pe o perioad mare de timp, la un cost sczut (poate chiar s nu implice
costuri) i necesit puin (sau chiar deloc) timp pentru refacere.
Alternative de refacere

Orice platform IT pe care se execut o aplicaie susinnd o funcie critic a afacerii are nevoie de o strategie
de refacere. Alternativa adecvat din punct de vedere al costului de refacere i a costului impactului va trebui
aleas n funcie de nivelul relativ de risc stabilit prin BIA. Aceste strategii de risc includ:
hot site-uri;
warmsite-uri;
coldsite-uri;
faciliti de procesare duplicat a datelor;
site-uri mobile;
convenii de reciprocitate stabilite cu alte organizaii
Tehnologii de refacere

n cazul optrii pentru soluia site-urilor oferite de teri, contractele ce urmeaz a se ncheia trebuie s prezinte
prevederi care s clarifice urmtoarele aspecte:
configuraii: configuraiile hardware i software oferite sunt adecvate nevoilor? Pot cunoate modificri n timp?
dezastre: definirea dezastrului este suficient de extins pentru a acoperi nevoile anticipate?
disponibilitatea: n ct timp dup producerea dezastrului facilitile pot fi puse la dispoziie?
numrul abonailor la site: se limiteaz prin convenie numrul abonailor la site?
numrul abonailor pe zon: se limiteaz prin convenie numrul abonailor n cldire sau zon?
preferine: cine are prioritate n cazul unor dezastre regionale? Utilizarea facilitilor este exclusiv sau se va
partaja spaiul cu alte organizaii afectate de dezastru?
asigurare: exist o acoperire adecvat a asigurrii pentru angajaii companiei la site-ul de back-up? Asigurarea
existent va acoperi aceste cheltuieli?
perioada de folosire: ct timp este facilitatea disponibil? Aceast perioad este suficient? Ce suport tehnic va
oferi site-ul? Este adecvat?
comunicaii: sunt comunicaiile adecvate? Sunt conexiunile de comunicaii de la site-ul de back-up suficiente
pentru a permite comunicaie nelimitat cu site-urile alternative la nevoie?
garanii: ce garanii va da furnizorul cu privire la disponibilitatea site-ului i adecvarea facilitilor?
audit: exist o clauz care s permit auditul site-ului pentru o evaluare a securitii logice, fizice i a mediului?
testare: ce drepturi de testare sunt permise prin contract? Verificarea la firma de asigurare ce diminuri ale
despgubirilor pot interveni ca urmare a disponibilitii site-ului?
credibilitatea: poate furnizorul dovedi credibilitatea oferit de site? Ideal, furnizorul trebuie s dispun de UPS,
numr limitat de abonai, management tehnic solid, garanii pentru compatibilitatea componentelor hardware i
software.
BUSINESS CONTINUTY i DISASTER RECOVERY
Acest grup de funcii trebuie s asigure coordonarea urmtoarelor activiti:
stabilirea datelor critice i vitale ce urmeaz a fi stocate offsite;
instalarea i testarea sistemelor software i aplicaiilor n site-ul de recoveryindiferent de natura acestuia hot
site, coldsiteetc;
operarea din site-ul de recovery;
reroutareatraficului n reeaua de comunicaii;
restabilirea reelei;
transportul utilizatorilor n locaia facilitii de refacere;
reconstruirea bazei de date;
aprovizionarea cu consumabile;
asigurarea i achitarea cheltuielilor cu relocarea angajailor n locaia de recovery;
coordonarea utilizrii sistemelor i planificarea muncii angajailor
Desfurarea acestor activiti impune stabilirea unor echipe de lucru specializate, cu atribuii bine stabilite, i
anume:
echipa de stocare offsite(offsitestorageteam) echip responsabil cu obinerea, pregtirea i transportul datelor
n locaia centrului de recovery. Tot aceast echip este responsabil i cu stabilirea i urmrirea programului de
stocare offsitea informaiilor create prin operarea n centrul de recovery;
echipa software (softwareteam) echip responsabil cu refacerea pachetelor software, ncrcarea i testarea
sistemelor de operare, rezolvarea problemelor la nivelul sofware-uluide baz;
echipa soft de aplicaii (applicationsteam) responsabil cu refacerea aplicaiilor pe sistemele de back-upcerute
n site-ul de recovery. Pe msura avansrii procesului de recovery, echipa are responsabilitatea monitorizrii
performanei aplicaiilor i integritii bazei de date;
echipa de securitate (securityteam) are rolul de a monitoriza permanent securitatea sistemului i a legturilor de
comunicaii, soluionarea incidentelor de securitate care afecteaz refacerea sistemului, asigur instalarea
corespunztoare i funcionarea software-ului de securitate. Rspunde totodat de securitatea activelor n
perioada urmtoare producerii dezastrului;
echipa de operare de urgen (emergencyoperationsteam)este format din operatori de shift-arei supervizorii
acestora care vor lucra n site-ul de recoveryi vor conduce operarea de-a lungul ntregii perioade a proiectelor
de refacere. n sarcina acestei echipe poate fi i coordonarea instalrii hardware-ului, dac nu a fost stabilit drept
centru de refacere un hot site sau o facilitate gata echipat;
echipa de refacere reea (networkrecoveryteam) este responsabil cu rerutarea pe arii extinse a comunicaiilor
de voce i date, restabilirea controlului reelei gazd i accesul la sistemul din centrul de recoveryoferind
susinerea pentru realizarea comunicaiilor de date i monitoriznd integritatea comunicaiilor;
echipa de comunicaii(communicationsteam)aceast echip va colabora cu furnizorii de gateway n reroutarea
serviciului local i a accesului gateway;
echipa de transport (transportation team) asigur transportul angajailor la centrul de recovery, contacteaz
angajaii pentru a le comunica noile locaii de lucru, planific i aranjeaz cazarea angajailor;
echipa de echipamente utilizator (userhardware team) stabilete locaia i coordoneaz livrarea i instalarea
echipamentelor utilizatorilor (terminale, imprimante, copiatoare etc). Ofer sprijin echipei de comunicaii i
particip la efortul de salvare a echipamentelor i facilitilor.

echipa de pregtire date i nregistrri (data preparationandrecordsteam) asigur actualizarea bazelor de date
utilizate de aplicaiile din site-ul de recovery. Supravegheaz personalul de introducere date i asist activitatea
de salvare a nregistrrilor n obinerea documentelor primare i a altor surse de introducere a datelor;
echipa de suport administrativ (administrative supportteam) asigur suportul funcionarilor pentru celelalte
echipe i asigur centrul de mesaje din site-ul de recovery. Poate asigura funciile de contabilitate i salarii i
facilitile necesare managementului;
echipa de aprovizionare (suppliesteam) ajut echipa de echipamente utilizator s contacteze furnizorii i
coordoneaz logistica necesar aprovizionrii cu cele necesare;
echipa de recuperare (savageteam) conduce relocarea proiectelor, realizeaz o evaluare mai detaliat, fa de
cea iniial, a pagubelor nregistrate de faciliti i echipament, furnizeaz echipei de management de criz a
informaiilor necesare planificrii privind reconstrucia sau relocarea, ofer informaiile privind completarea
cererilor de despgubiri i coordoneaz efortul de salvare a nregistrrilor (refacerea documentelor i a
nregistrrilor pe medii de stocare electronic);
echipa de relocare (relocationteam) asigur coordonarea procesului de mutare din site-ul hot n noua locaie sau
n locaia iniial dup refacerea acesteia. Aceasta presupune relocarea sistemelor de procesare a operaiilor, a
traficului de comunicaii i operaii utilizator. Monitorizeaz tranziia ctre un nivel normal al serviciilor;
echipa de coordonare (coordinationteam) rspunde de coordonarea efortului de refacere n diferitele locaii;
echipa juridic (leagalaffairsteam) asigur soluionarea problemelor cauzate de incidentele produse sau de non
disponibilitatea serviciilor;
echipa de test pentru refacere (recoverytest team) rspunde de testarea diferitelor planuri i analizarea
rezultatelor testelor;
echipa de instruire (training team) asigur instruirea cu privire la planul de continuare a activitii i a planului de
refacere;
Componentele BCP
n funcie de cerinele i dimensiunea organizaiei, BCP poate fi format din unul sau mai multe planuri:
planul de refacere ( Business RecoveryPlan-BRP);
planul de continuitate a operaiilor ( Continuityof OperationsPlanCOOP);
planul pentru continuitatea suportului/Planul evenimentelor IT neprevzute (Continuityof supportplan/IT
Contingencyplan);
planul pentru comunicaii n condiii de criz (CrisisCommunicationPlan);
planul de rspuns la incidente (Incident ResponsePlan);
planul de refacere dup dezastre (DisasterRecoveryPlan-DRP);
planul de protecie persoane i bunuri (OccupantEmergencyPlanOEPP).
Testarea planului
Conform CISA testele trebuie s ndeplineasc urmtoarele cerine:
verificarea completitudinii i preciziei planului;
evaluarea personalului cu atribuii n cadrul planului;
evaluarea nivelului de instruire a membrilor echipelor;
evaluarea coordonrii ntre membrii echipei BCP i furnizorii externi;
msurarea capacitii centrului de back-updea realiza procesarea;
evaluarea capacitii de regsire a nregistrrilor vitale;
evaluarea strii i calitii echipamentului i furnizorilor relocate n site-ul de refacere;
msurarea performanei de ansamblu a activitilor de procesare i operaionale legate de meninerea activitii
organizaiei.

Testarea BCP urmeaz trei faze, i anume:

pretestul, etap n care se procedeaz de la instalarea mobilierului pn la echipamente destinate comunicaiilor
telefonice. Aceast etap testeaz capabilitatea de a pregti locaia de recoveryn condiiile n care evenimentul
distructiv se produce fr a exista o avertizare prealabil i deci nici posibilitatea de a iniia aciuni pregtitoare;
testul, etapconstnd n testarea efectiv a planului urmrindu-se verificarea obiectivelor specifice BCP. Vor fi
efectuate procedurile de deplasare a personalului i echipamentelor n noua locaie, operaionalizarea
comunicaiilor telefonice, introducere date, procesare, contactarea i mobilizarea furnizorilor. Persoanele abilitate
vor proceda la evaluarea modului n care s-a reuit realizarea sarcinilor stabilite prin BCP;
posttestulare ca scop testarea capacitii de delocalizarea echipamentului, personalului i proceselor de
prelucrare din centrul de recoveryn locaia operaional iniial. Se procedeaz la deconectarea i transportul
echipamentelor, tergerea datelor de pe sistemele furnizorului de faciliti de procesare, dealocarea personalului.
n afara etapelor sus-menionate se poate opta pentru derularea unor teste suplimentare reprezentate de:
testul de pregtire(preparednesstest) are drept scop s evalueze anumite aspecte ale planului i s ofere
sugestii de mbuntire a acestuia;
testul operaional completpresupune simularea producerii unui dezastru, i nu doar o ntrerupere a serviciilor. n
acest caz, dup verificarea atent a planului n forma sa scris, se trece la ntreruperea total a activitii.
Actualizarea planurilor

Sistemele informatice se caracterizeaz printr-o dezvoltare i adaptare continu la noile cerine de business fiind
afectate att componentele hardware i de comunicaie, ct i componentele software. Dinamica lor impune
revizuirea periodic a BCP. Acest lucru este determinat de:
modificrile intervenite n strategia organizaiei;
noile componente hardware i software achiziionate sau realizate care pot expune sistemul la noi ameninri;
noi sisteme devenite critice ca urmare a modificrilor la nivelul strategiei i proceselor afacerii.
De aceea, ori de cte ori modificri semnificative se produc n sistemul informatic, actualizarea BCP i testarea
componentelor n cauz vor trebui realizate. Recomandrile de bun practic impun revizuirea i testarea anual
a BCP, avndu-se n vedere modificrile inevitabile ce se produc, fie chiar numai ca urmare a
nlocuirii/achiziionrii de echipamente, migrrii personalului, actualizrilor software.
Auditul planului de refacere i continuare a afacerii
Datorit importanei sale pentru organizaie, BCP este supus evalurii de ctre auditorul sistemului informatic.
Regulile de bun practic recomand ca obiectivele acestei misiuni s fie reprezentate de :
nelegerea i evaluarea strategiei de continuare a activitii i a conexiunilor acesteia cu obiectivele de
business;
evaluarea adecvrii i acurateei BCP;
evaluarea eficienei BCP n baza testelor anterioare realizate de personalul IT i utilizatori finali;
inspectarea locaiilor destinate stocrii back-up-urilorn scopul evalurii adecvrii acestora din punct de vedere
al controalelor de securitate i ale mediului. Verificarea coninutului i periodicitii copiilor de siguran;
evaluarea capacitii sistemului informatic i al personalului de a rspunde n condiii de urgen. n acest scop
se procedeaz la evaluarea procedurilor elaborate, verificarea documentelor privind instruirile derulate n cadrul
organizaiei i a rezultatelor testelor efectuate;
evaluarea activitii de revizurei actualizare a BCP;
verificarea msurii n care procedurile i planul de refacere sunt scrise clar, sunt uor de neles. Acest lucru
poate fi determinat prin evaluarea acestor proceduri, desfurarea de interviuri cu personalul implicat n aplicarea
planului pentru a se vedea msura n care i cunoate rolul i stpnete procedurile pe care trebuie s le
execute.
Pentru a proceda la revizuirea BCP, auditorii trebuie s dispun de o copie actualizat a planului. n baza
informaiilor dobndite, auditorul trebuie s verifice urmtoarele aspecte:
realizarea actualizrii copiilor planului;
evaluarea eficienei procedurilor;
evaluarea modului n care s-a procedat la identificarea, prioritizareai susinerea aplicaiilor critice;
verificarea msurii n care pentru toate aplicaiile s-a determinat nivelul de toleran n cazul producerii unui
eveniment distructiv;
verificarea instalrii n site-ul de refacere (de tip hot site) a versiunii corecte de software i a compatibilitii
diferitelor componente software.
verificarea adecvrii i completitudinii listelor cuprinznd persoanele cu atribuii n BCP, a furnizorilor,
contactelor din hotsite. Verificarea prin sondaj a valabilitii telefoanelor i adreselor persoanelor nscrise n lista
contactelor i a msurii n care acestea dispun de copii actualizate ale planului.
evaluarea procedurilor de documentare a testelor.
evaluarea procedurilor de actualizare a planului.
Auditorul va proceda la evaluarea rezultatelor testelor pentru a vedea dac s-a procedat la luarea msurilor
necesare corectrii erorilor/problemelor identificate. Auditorul trebuie s verifice n egal msur adecvarea
testelor efectuate i a msurilor dispuse n urma lor.
Auditorul va proceda la verificarea locaiilor rezervate pstrrii copiilor de siguran pentru a vedea modul n
care acestea rspund cerinelor privitoare la asigurarea mediului adecvat de pstrare, proteciei fa de accesul
neautorizat, adecvrii i completitudinii copiilor, precum i a modului lor de gestiune.
Se va proceda la un inventar al copiilor (att pentru fiierele de date, ct i cele ale software-ului) pentru a se
vedea completitudinea i actualitatea acestora, corecta etichetare a volumelor i organizarea librriei.
Se va proceda totodat la inspectarea i evaluarea facilitii de procesare alternativ pentru a vedea mijloacele
de protecie existente (detectoare de fum i respectiv ap, mijloace de msurare a umiditii i temperaturii),
existena surselor de asigurare a furnizrii nentrerupte a energiei electrice (echipamente UPS), controlul
accesului.
Se va proceda la inspectarea echipamentului existent i a adecvrii acestuia n raport cu nevoile de procesare.
Auditorul va intervieva personalul-cheie pentru reuita BCP, pentru a vedea msura n care acesta cunoate i
nelege responsabilitile care i-au fost atribuite, este instruit periodic, cunoate ultima versiune a planului.
n egal msur, auditorul va proceda la evaluarea clauzelor contractelor ncheiate cu furnizorii de faciliti de
procesare alternativ, precum i a polielor de asigurare pentru ca acestea s conin clauze clare i
acoperitoare pentru riscurile poteniale.
AUDITUL si CONTROLUL SISTEMELOR INFORMATIONALE
AUDIT
Proces prin care personae competente,independente colecteaz si evalueaz probe pentru a-si forma o opinie
asupra gradului de corespondent ntre cele observate si anumite criteria prestabilite.

CONTROL
Analiz permanent sau periodic a unei activitti, a unei situatii etc. pentru a urmri mersul ei si pentru a lua
msuri de mbunttire.
Verificare, analiz permanent sau periodic a unei activitti pentru a urmri mersul ei si pentru a lua msuri de
mbunttire.
Termenul vine de la latinescul auditum = ascultare.
Ca demers de ascultare, apoi de anchet si, n final, de sugerare de solutii, auditul permite aportul unui
rationament motivat si independent.
Ca examinare n vederea determinrii propriettilor unei reprezentri, auditul s-a aplicat mai nti reprezentrilor
financiare.
Auditul nu trebuie s asigure echilibrul, ci doar s verifice dac sunt ntrunite conditiile necesare pentru a-l pstra,
s instrumenteze stpnirea dezordinii, adaptarea la schimbri, s evalueze gradul de securitate si riscurile.
Termenul de audit este la mod. Moda poate trece, dar necesitatea unor evaluri competente si independente n
diverse domenii se manifest tot mai pregnant.
Exist audit financiar, audit al investitiilor, audit al marketingului, audit al calittii, audit al sistemelor
informationale, informatice, birotice,exist si audit social.[...]
Auditul este procesul prin care persoane competente, independente colecteaz si evalueaz probe pentru a-si
forma o opinie asupra gradului de corespondent ntre cele observate si anumite criterii prestabilite Wanda
Wallace, Auditing. PC World Romania 6/95 p. 48.
Sistemul informational reprezint un anasamblu tehnico-organizatoric de concepere i obinere a informaiilor n
vederea fundamentrii deciziilor necesare conducerii unui anumit domeniu de activitate.
Sistemul informatics este un ansamblu tehnico-organizatoric de obinere automata a informaiilor n vederea
fundamentrii deciziilor
AUDITUL IT
STANDARDELE DE AUDIT AL SISTEMELOR INFORMATIONALE
AICPA(American Institute of Certified Public Accountants)a dezvoltat conceptual de Audit al sistemelor de
procesare automata a datelor (EDPaudit).
S-a creat o asociatie :Asociatia Auditorilor EDP (Electronic Data Processing-EDP audit), care a elaborate primele
ghiduri, procedure si standard in domeniu (Electronic Data Processing Auditors Association-EDPAA).
In1994 EDPAA devine Asociatia pentru Auditul si Controlul Sistemelor Informationale (ISACAInformation
System Audit and Control Association).
Auditul sistemelor informaionale reprezint o activitatea complex de evaluare a unui sistem informatic n scopul
emiterii unei opinii calificate asupra gradului de conformitate a sistemului cu standardele n domeniu i, totodat,
asupra capacitii sistemului informatic de a atinge obiectivele strategice ale unei organizaii, utiliznd eficient
resursele informaionale i asigurnd integritatea datelor prelucrate i stocate.

AUDITUL IT
AUDITUL SISTEMELOR INFORMATIONALE DEFINITII
Auditul sistemelor informationale presupune evaluarea tuturor aspectelor legate de sistemele de prelucrare
automata a datelor,incluzand si prelucrarile manuale ce au legatura cu acesta.
Procesul prin care se colecteaza si evalueaza probe cu scopul de a determina daca sistemul informational si
resursele implicate sunt protejate corespunzator, mentine integritatea datelor,ofera informatii relevante si
contribuie la atingerea obiectivelor organizatorice.
(WEBERRON)
Auditorii sistemelor informaionale urmresc:
identificarea i evaluarea riscurilor din sistem;
verificarea separrii funciilor incompatibile n cadrul sistemului informatic;
verificarea securitii fizice i logice a sistemului informaional;
verificarea i evaluarea infrastructurii reelelor de calculatoare;
controlul aplicaiilor informatice existente n sistem;
testarea integritii datelor;
verificarea existenei i securitii copiilor de siguran a datelor, informaiilor, aplicaiilor informatice;
verificarea i evaluarea planurilor de recuperare n caz de dezastre.
Activitatea de audit al sistemelor informaionale a devenit o necesitate stringent.
Efectele unei astfel de misiuni se pot concretiza n:
creterea securitii mijloacelor sistemului informaional,
asigurarea integritii datelor,
creterea eficienei exploatrii sistemului informaional,
creterea calitii controlului intern.
Desfurarea procesului de audit
Orice proces generic de audit, indiferent de obiectivul su, se va desfura i va urmri procedurile generale de
audit:
obinerea unei nelegeri a ariei de auditat,

evaluarea riscurilor i realizarea planului de audit;

detalierea planului de audit,
verificarea preliminar a ariei de audit;
realizarea testelor de conformitate (compliance test) (adesea referite ca teste de control);
realizarea testelor de fond (substantive test);
raportarea (comunicarea rezultatelor);
urmrirea recomandrilor (follow-up).
Programul de audit
Programul de audit are la baz planul de audit, stability n etapa de planificare, i el va servi,pe deoparte,ca un
set de instruciuni adresata sistenilor implicate n cadrul misiunii,iar pe de alt parte, ca un mijloc de control i
eviden a desfurrii activitii.
Programul de audit identific scopul,obiectivele i procedurile de audit care se vor desfura pentru a se obine
probe suficiente i relevante,necesare pentru a susine concluziile i opinia auditorului
Tehnicile i metodele folosite de auditorul SI n evaluarea i testarea controalelor sistemului informaional sunt:
utilizarea software-ului generalizat de audit pentru analiza fiierelor de date (inclusiv fiierele de tip jurnal ale
sistemului);
utilizarea software-ului specializat pentru a determina modul de configurare a sistemului de operare (sau pentru
a detecta deficiene n stabilirea unor parametri);
tehnica organigramelor pentru documentarea fluxului de activiti din cadrul organizaiei, ct i a fluxurilor din
cadrul aplicaiilor informatice;
utilizarea rapoartelor de audit din misiuni anterioare;
verificarea documentaiei sistemului;
observarea.
Eantionarea
auditorul nu examineaz totalitatea informaiilor la care are acces
aplic o metod tradiional de selectare a datelor numit eantionare.
auditorul poate aplica eantionarea asupra:
1.testelor de control, pentru a se verifica rata de apariie a ntreruperii funcionrii unui control. Tehnica de
eantionare este cunoscut sub numele de eantionarea atributelor (attribute sampling).
2.testelor de fond, cnd auditorul urmrete verificarea unei anumite valori din situaiile financiare. Tehnica de
eantionare este cunoscut sub numele de eantionarea variabilelor (variable sampling),
Utilizarea eantioanelor n aplicarea testelor de audit implic, de regul, urmtoarele etape:
determinarea obiectivelor testului ce va fi aplicat;
definirea populaiei din care se va extrage eantionul;
determinarea metodei de eantionare;
calcularea mrimii eantionului;
selectarea eantionului;
evaluarea rezultatelor.
Probele de audit
Probele pentru audit reprezint ansamblul documentelor,fiierelor i observaiilor obinute n cursul misiunii de
audit i utilizate pentru elaborarea concluziilor i formularea opiniei auditorului
Probele pe care auditorul SI le culege ntr-o misiune sunt variate, iar tehnicile folosite n procesul de culegere a
probelor sunt:
verificarea structurilor organizatorice ale sistemului informatic.
verificarea politicilor interne i procedurilor de lucru;
verificarea standardelor ce vizeaz domeniul IT;
verificarea documentaiei sistemului informatic. n mod practic, auditorii SI vor analiza:
Documentaia de dezvoltare a sistemului informatic (ex: studii de fezabilitate);
Specificaiile de proiectare i cerinele funcionale;
Documentele operaionale;
Fiierele de tip jurnal i fiiere de tip istoric a modificrii programelor surs;
Manualele utilizatorilor;
Manualele de operare;
Documentele relative la securitate (planuri de securitate, evaluarea riscurilor);
Rapoartele de asigurare a calitii;
intervievarea personalului din departamentul IT;
observarea performanei sistemului i a utilizatorilor si.
Testele de audit
Auditorul SI desfoar dou categorii de teste:
teste de conformitate (teste de control),pentru a verifica conformitatea controlului intern cu politicile, normele
interne stabilite de managementul organizaiei;
teste de fond pentru a verifica integritatea tranzaciilor individuale, a datelor i a altor informaii din sistem.
Detectarea fraudei
frauda poate fi definite ca un act de rea-credin svrit de o persoan, de obicei pentru a realiza un profit
material de pe urma afectrii drepturilor altuia,adic o aciune comis cu intenia de a nela.
Responsabilitatea pentru prevenirea i detectarea fraudelor aparin conducerii, auditorul SI putnd juca un rol
pozitiv n prevenirea acestora, dar nu ela reresponsabilitatea de a detecta i demonstra frauda.

Tehnici de audit asistate de calculator (Computer Assisted Audit Techniques CAATs)

Instrumentele i tehnicile modern pot asista auditorul n orice etap a misiunii sale,fiind utilizate pentru:
testarea msurilor de securitate dintr-un sistem;
analiza i controlul aplicaiilor informatice existente n sistem;
identificarea riscurilor unei organizaii i evaluarea acestora;
evaluarea controlului intern;
verificarea integritii fiierelor;
analiza informaiilor clientului auditat prin interogri complexe ale bazelor de date, extrageri, stratificri, totalizri.
Software generalizat de audit (Generalized Audit Software: GAS) este reprezentat de pachete de programe ce au
capacitatea de a citi i extrage direct datele din platforme diferite.
Funcionaliti:
selectarea eantioanelor;
manipularea, sortarea datelor conform cerinelor exprimate de auditor; astfel de operaii pot scoate n eviden,
spre exemplu, plile duble, printr-o sortare a datelor dup numrul facturii i suma pltit;
testarea calculelor matematice;
totalizri, stratificri;
compararea datelor din fiiere diferite;
listarea rapoartelor sau scrisorilor ntr-un format specificat de auditor;
detectarea tranzaciilor lips sau duplicate.
Raportul de audit
Raportul de audit reprezint instrumental prin care se comunic obiectivele auditrii, normele/standardele
aplicate, constatrile i concluziile misiunii.
Etapa de raportare are ca scop punerea n eviden a slbiciunilor controalelor analizate de auditorul SI i
aducerea lor la cunotin, prin intermediul raportului de audit, care va conine sinteza principalelor constatri i
recomandri.
Guvernana IT: Guvernan corporativ i guvernan IT, Reguli de bun practic pentru guvernana IT
Guvernana securitii IT, Strategia SI.
Guvernan corporativ i guvernan IT
setul de responsabiliti i practice de conducere a unei entiti n vederea realizrii obiectivelor strategice ale
acesteia, prin gestionarea corespunztoare a riscurilor i a resurselor material i umane ale societii, constituie
conceptual de baz al managementului tuturor activitilor sociale.
conducerea activitilor societii n condiii de transparen total asupra riscurilor associate activitii acesteia,
n condiiile proteciei totale a tuturor drepturilor asociailor
Principiile guvernanei corporative se refer n principal la:
crearea condiiilor de baz pentru o guvernan corporativ funcional;
drepturile acionarilor i funciile-cheie ale dreptului de proprietate;
tratamentul echitabil al acionarilor;
rolul acionarilor n guvernana corporativ;
raportare i transparen;
responsabilitile consiliului de administraie.
Reguli de bun practic n guvernana corporativ (extras din ghidul international)
ethical approach-culture, society; organisationalparadigm
balanced objectives-congruence of goals of all interested parties
each party plays his part-roles of key players: owners/directors/staff
decision-making processin place -reflecting the first three principles and giving due weight to all stakeholders
equal concernfor all stakeholders -albeit some have greater weight than others
accountability and transparency-to all stakeholders
Ethics: a clearly ethical basis to the business Align Business Goals: appropriate goals, arrived at through the
creation of a suitable stakeholder decision making model Strategic management: an effective strategy process
which incorporates stakeholder value Organisation: an organisationsuitably structured to effect good corporate
governance Reporting: reporting systems structured to provide transparency and accountability .
CISA definete guvernana corporativ ca fiind
comportamentul etic al organizaiei asigurat de directori sau alte personae cu responsabiliti pe linia conducerii
n crearea i prezentarea bogiei/ averii organizaiei pentru toate persoanele deintoare de interese legate de
organizaie.
Guvernare corporativ este un set de reguli conform crora firmele sunt conduse si controlate, este rezultatul
unor norme,traditii si modele comportamentale dezvoltate de fiecare sistem legislativ.[PredaReport,Italia,1999]
Guvernare corporativ poate fi definite ca ansamblul relatiilor unei companii cu actionarii si, sau mai pe larg, cu
societatea pe ansamblu. [FinancialTimes,1997]
Organisationfor Economic Co-operation and Development
distribuia drepturilor i responsabilitilor ntre diferiii participant n cadrul organizaiei, cum ar fi consiliul de
administraie, managerii, acionarii, deintorii de interese, care stabilesc reguli i procedure n vederea lurii
deciziilor privind activitatea organizaiei.
Guvernana IT

tehnologia informaional este considerat o parte integrant a afacerii i este privit ca un factor de susinere i
dezvoltare a acesteia.
tehnologia informaional crete valoarea afacerii
activitatea de conducere i coordonare a activitii IT dintr-o organizaie devine o parte component a
guvernanei corporative.
Un concept care include sisteme informaionale, tehnologie i comunicaii, problem viznd businessul, aspect
legale, toate acestea privind deintorii de interese, directorii, managementul superior, proprietarii proceselor,
furnizorii IT,utilizatorii finali i auditorii.
asigur alinierea funciei IT la obiectivele organizaiei
In trecut guvernanta IT a fost o component-suport pentru strategia organizaiei
o parte integrant a strategiei, apreciindu-se c alinierea strategic dintre IT i obiectivele organizaiei reprezint
un factor critic de succes
Guvernana IT privete dou aspecte:
IT creeaz valoare pentru organizaie, ca urmare a susinerii strategiei prin funcia IT;
riscurile IT sunt cunoscute i monitorizate, urmrindu-se limitarea lor.
Principalele obiective ale guvernanei IT sunt:
alinierea activitii IT la cerinele de continuitate i dezvoltare a afacerii;
IT trebuie s genereze posibilitatea ca afacerea s i maximizeze profiturile;
utilizarea cu responsabilitate a resurselor IT;
managementul eficient al riscurilor legate de IT.
Guvernana IT

Pentru asigura implementarea unei guvernane IT eficiente este necesar ntocmirea unor planuri care s vizeze
urmtoarele elemente:
o list a activitilor pentru asignarea responsabilitilor legate de guvernana IT i problemelor ce trebuie s fie
incluse n agenda guvernanei IT;
rezultatele msurilor luate legate de problemele de guvernan IT cum ar fi alinierea obiectivelor de business i
respective IT, raportul cost-eficien realizat de IT,capabiliti i competene generate, riscuri
specifice,oportuniti valorificate;
Cerinele de bun practic privesc modul n care activitile trebuie realizate de persoanele numite de
management. n aceste cerine se regsesc:
crearea n cadrul organizaiei a unei structure credibile, eficiente i transparente cu activiti i obiective definite
pentru care sunt stabilite responsabiliti clare;
crearea unui comitet de audit care s stabileasc riscurile semnificative i care s evalueze modul n care
acestea sunt identificate, evaluate i administrate, i s-i exprime opinia privind eficiena sistemului de control
intern n administrarea riscurilor;
alinierea strategiilor i obiectivelor organizaiei i funciei IT;
sporirea cunotinelor privind clienii ,produsele, piaa i procesele
Factorii critici de succes. Acetia reprezint condiii, competene i atitudini critice pentru succesul organizaiei
.Aceti factori sunt reprezentai de:
contientizarea faptuluic IT este parte integrant a organizaiei, i nu doar o component rspunztoare de
problem tehnice;
nelegerea importanei componentei IT i asumarea responsabilitilor de ctre management privitoare la
acesta ,solicitnd i sprijinul unor specialiti n domeniu;
crearea unei culture organizaionale care s ncurajeze cooperarea interdepartamental i lucrul n echip, s
promoveze permanenta mbuntirea proceselor i s asigure o corect abordare i soluionarea erorilor i
eecurilor

Vectorii de performan au rolul de a evidenia modul n care guvernana IT este asigurat. De cele mai multe ori
,ei sunt legai de factorii critici de success i se refer la urmtoarele aspecte:
extinderea i frecvena riscurilor,precum i modul de raportare ctre management;
mbuntirea raportului cost-beneficii pentru proceseleIT;
ntreruperea funcionrii sistemelor;
timpul de rspuns al sistemelor.
Rolul auditului n guvernana IT
Auditul joac un rol deosebit de important n implementarea guvernanei IT n cadrul organizaiei. Auditul poate
oferi senior managementului recomandrile necesare pentru mbuntirea calitii i eficienei guvernanei IT.
Auditorul IT trebuie s prezinte:
scopu lauditului, incluznd o definiie clar a ariilor funcionale i problemele de acoperit;
linia de raportare folosit, atunci cnd problemele de guvernan sunt identificate la cel mai nalt nivel al
organizaiei;
dreptul auditorului privind accesul la informaie.
n conformitate cu rolul auditorului IT ,este bine s precizm necesitatea de a se audita urmtoarele problemel
egate de guvernana IT:
alinierea funciei IT la misiunea,viziunea,valorile,obiectivele i strategiile organizaiei;
atingerea de ctre funcia IT a obiectivelor de eficien i eficacitate cerute de natura activitii organizaiei;
cerinelelegale,demediu,decalitateainformaiei,financiareidesecuritate;
mediul de control n cadrul organizaiei;
riscurile inerente n cadrul mediului IT.
Guvernana securitii IT
integritatea informaiei, continuitatea serviciilor i protecia activelor.
The IT Governance Institute defines security governanceas the set of responsibilities and practices exercised
by the board and executive management with the goal of providing strategic direction, ensuring that objectives
are achieved, ascertaining that risks are managed appropriately and verifying that the enterprises resources are
nd
used responsibly. (IT Governance Institute, Board Briefingon IT Governance ,2 Edition).
Strategia sistemelor informaionale
n realizarea planurilor strategice, acoperind de la trei la cinci ani, organizaia trebuie s se asigure c aceste
soluii IT se aliniaz i respect elurile i obiectivele de ansamblu ale organizaiei.
Este important ca procesul de planificare strategic s aib n vedere nu doar achiziionarea de noi sisteme i
tehnologii, ci i considerarea beneficiilor asigurate de aceste investiii IT
Auditorul SI va trebui s acorde toat atenia planificrii strategice IT ,lund n considerare practicile de control
ale managementuloprit
ui
Obiectivele de guvernan IT cer ca planurile de strategie IT s fie sincronizate cu celelalte strategii de afaceri
Politicile i procedurile reflect modalitatea de dirijare a managementului n crearea de controale asupra
sistemelor informaionale i resurselea cestora.
Managementul riscului Structura organizatoric a SI Auditul guvernanei IT
Managementul riscului
Definitie:
Risk Management is the name given to a logical and systematic method of identifying, analysing, treating and
monitoring the risks involved in any activity or process.
Risk Management is a methodology that helps managers make best use of their available resources
Clasifinfo(document word)
Legislatie
Metodede evaluare/eliminarea riscurilor:
Mehari(https://www.clusif.asso.fr/en/clusif/present/)
Marion, Palisade (http://www.palisade.com/risk/;
jUrbwCFSoOwwodancAaw)

Establish the context

Identify the risks
Analyse the risks
Evaluate the risks
Treat the risks
Communication & consultation
Monitoring and review
Communication & consultation

http://www.palisade.com/risk/?ad=G_@R-8&gclid=CP3cu-

Model de strategie al unui risc

Securizarea modelului riscurilor

Managementul riscurilor presupune identificarea, analiza, evaluarea, tratarea, monitorizarea i comunicarea
impactului riscului asupra proceselor IT.
n funcie de tipul riscului i semnificaia acestuia pentru business, managementul i consiliul de administraie pot
decide asupra uneia dintre urmtoarele posibiliti:
evitarea riscului (opiunea de a nu implementa anumite activiti sau procese care pot induce riscuri mai mari);
limitarea riscului, prin implementarea controalelor pentru a proteja infrastructura IT;
transferul riscului, prin outsourcing, caz n care are loc partajarea riscului cu partenerii sau transferarea riscului
ctre o firm de asigurare;
acceptarea, ceea ce nseamn recunoaterea existenei riscului i monitorizarea acestuia.
eliminarea, atunci cnd este posibil, prin ndeprtarea sursei riscului

Realizarea unui program de management al riscului

Riscurile pot fi reduse prin implementarea sau mbuntirea controalelor de securitate i a procedurilor.
Realizarea unui program de management al riscului presupune:
stabilirea scopului programului.
stabilirea responsabilitilor pentru planul de management al riscurilor.
Procesul de management al riscului
Punctul de plecare este reprezentat de identificarea i clasificarea resurselor informaionale sau activelor
prezentnd vulnerabiliti.
n categoria activelor associate cu informaii i IT cuprindem:
informaii i date;
hardware;
software;
servicii;
documente;
personal.
Amenintari
Ameninrile se definesc drept circumstane sau evenimente cu potenialul de a determina afectri ale resurselor
informaionale, cum ar fi distrugerea, divulgarea, modificarea datelor i/sau refuzul serviciilor. Principalele
categorii de ameninri sunt reprezentate de:
erori;
distrugeri intenionate/atacuri;
fraude;
furt;
eecul echipamentelor/software-ului.
Ameninrile apar ca urmare a vulnerabilitilor asociate utilizrii resurselor informaionale.
Vulnerabilitile sunt reprezentate de caracteristicile resurselor informaionale care pot fi exploatate de oamen in
are pentru a o afecta.Exemple de vulnerabiliti identificate sunt reprezentate de:
netiina utilizatorilor;
bree n funcionalitatea securitii;
parole alese neinspirat;
tehnologie netestat;
transmisii neprotejate n linia de comunicaie.
Rezultatul oricreia dintre aceste ameninri se numete impact i poate s se manifeste ntr-o pierdere de un fel
sau altul.
Riscul residual reprezint nivelul estimate al riscului dup aplicarea controlului.
Riscul residual este utilizat de management pentru identificarea ariilor n care sunt necesare mai multe controale
pentru reducerea n continuare a riscului.
Acceptarea riscurilor reziduale se face prin luarea n considere a urmtoarelor elemente:
politica organizaiei;
identificarea i msurarea riscurilor;
incertitudinea presupus de evaluarea riscurilor;
costul i eficiena implementrii.
Este important s nelegem c managementul riscului IT trebuie s opereze la mai multe niveluri, i anume:
nivelul operaional la acest nivel ne confruntm cu riscuri care pot compromite eficiena sistemului IT i a
infrastructurii- suport,posibilitatea de a ocoli sistemul de controale,pierderea sau indisponibilizarea unor resursecheie (sisteme,date,comunicaii,personal,locaii) i eecul de a fi n conformitate cu legi i regulamente;
nivelul proiectuluimanagementul riscului trebuie s aib n vedere necesitatea nelegerii i administrrii
complexitii proiectului, n caz contrar existnd riscul s nu se poat realize toate obiectivele proiectului;
nivelul strategiceste evaluat msura n care funcia IT este aliniat la strategia de business, cum se plaseaz
n raport de competitorii sau ameninrile determinate de modificrile tehnologice.
Metode de analiz a riscurilor
Metodele calitative folosesc cuvinte sau categorii descriptive pentru a exprima impactul sau probabilitatea. Se
bazeaz pe instrumente de lucru de tipul listelor de control i clasificarea subiectiv a riscurilor pe o scar de
tipul :mare,mediu,sczut.
n analizele semicantitative,ratingurile descriptive sunt associate cu scalele numerice.
Analizele cantitative folosesc valori numerice pentru a descrie probabilitatea i impactul riscurilor, folosind date
din mai multe tipuri de surse cum ar fi nregistrrile istorice, nregistrri i practice folosite n diferite ramuri de
activitate, teorii statistice,teste i experimente.
Structura organizatoric a SI i responsabiliti
Auditorul SI trebuie sstabileasc printer obiectivele misiunii de audit i evaluarea structurii organizatorice a
departamentului IT, precum i atribuiile i responsabilitile nscrise n fia posturilor.
Auditorul va trebui s analizeze urmtoarele funciuni:

managerii dezvoltrii de sisteme, responsabili cu programatorii i analitii care implementeaz sisteme noi dar
care i ntrein sistemele existente;
helpdeskreprezint o entitate n cadrul organizaiei, creat cu scopul de a rspunde ntrebrilor tehnice i
problemelor utilizatorilor finali.
Helpdesk-ulasigur urmtoarele activiti:
achiziia de software/hardware pentru utilizatorii finali;
asistarea utilizatorilor finali atunci cnd acetia se confrunt cu probleme hardware i/sau software;
pregtirea utilizatorilor finali n utilizarea hardware-ului, software-ului i a bazelor de date;
a rspunde ntrebrilor utilizatorilor finali;
monitorizarea dezvoltrilor tehnice, comunicarea acestor dezvoltri i instruirea utilizatorilor finali n raport cu
acestea;
identificarea sursei problemelor aprute n sistemele operaionale i stabilirea msurilor corective;
iniierea schimbrilor pentru mbuntirea eficienei.
Utilizatorii finali(end useri) sunt persoane autorizate s acceseze sistemele operaionale.
Managerul relaiei cu utilizatorii finali (end-usersupportmanager) este persoana responsabil cu legtura dintre
Departamentul IT i utilizatorii finali.
Managerul datelor este responsabil pentru arhitectura datelor i managementul datelor vzute ca un activ al
organizaiei.
Managerul cu asigurarea calitii este persoanaresponsabil cu stabilirea cerinelor de calitate i asigurarea
calitii activitilor n toate ariile IT.
Managerul de operaiuni (operationalmanager) este responsabil cu personalul care realizeaz operaiuni
computerizate (operatori calculator, bibliotecari, personal pentru controlul datelor).
Bibliotecarul (librarian) rspunde de gestionarea copiilor de siguran pentru aplicaii i fiiere de date.
Echipa de introducere date (data entry) este format din personalul responsabil cu introducerea datelor n
sistem.
Managerul suportului tehnic (technical support manger) este responsabil cu activitatea programatorilor de
aplicaii antrenai n ntreinerea sistemului software.
Segregarea atribuiunilor n cadrul SI
Structura organizatoric i denumirile posturilor pot diferi foarte mult de la o organizaie la alta, n funcie de
dimensiunea i natura activitii

Controalele segregrii atribuiilor

Cerinele de bun practic recomand utilizarea unor anumite mecanisme de control pentru implementarea
segregrii atribuiunilor. n cele ce urmeaz vom prezenta pe scurt aceste mecanisme de control:
autorizarea tranzaciilor este responsabilitatea departamentului utilizatorilor.
custodia activelor n cadrul organizaiei trebuie determinat i asignat adecvat.
accesul la date: controlul asupra accesului la date este dat de o combinere a unor elemente de securitate fizic,
a sistemului i aplicaiei.
Structura i implementarea guvernanei corporative
n procesul auditrii funciei IT se recomand afi urmrii o serie de indicatori care pot ateniona asupra unor
probleme poteniale:
atitudini nefavorabile utilizatorilor finali;
depiri ale bugetelor;
depirea termenelor de finalizare a proiectelor;
micri importante de personal;

personal fr pregtirea i experiena necesare;

timp de rspuns neadecvat al sistemului;
numrul important de proiecte abandonate sau suspendate;
achiziii neautorizate de software i/sau hardware;
frecvente upgrade-urihardware i/sau software;
numeroase rapoarte ale excepiilor sau rapoarte ale excepiilor nesoluionate;
motivaie redus a personalului;
bazarea pe una sau dou persoane-cheie;
lipsa unui training adecvat.
Auditul guvernanei IT
Auditorul SI trebuie s procedeze la revizuirea urmtoarelor documente:
strategii, planuri i bugete TI. Acestea ofer informaii privind planificarea i controlul exercitat de management
asupra mediului SI i msura alinierii la strategia de business;
documentaia politicii de securitate deoarece aceasta ofer standardul pentru conformitate. Politica stabilete
poziia organizaiei cu privire la riscurile de securitate, stabilind msurile preventive necesare pentru protejarea
activelor, inclusive a datelor i programelor;
organigrame ale structurii organizatorice i diagrame funcionale, acestea avnd rolul de a furniza informaii
necesare auditorului SI pentru nelegerea subordonrilor i liniilor de raportare n cadrul departamentelor i
organizaiei n ansamblul ei. n egal msur, aceste documente pot oferi informaiile gate de segregarea
atribuiilor fiele posturilor conin informaii extrem de importante cu privire la responsabilitile i atribuiile
diferitelor poziii din cadrul organizaiei. Din analiza acestor documente se obin informaii privind segregarea
atribuiilor putndu-se identifica posibile conflicte de interese. n baza fielor posturilor se analizeaz nivelurile de
raportare, conformitatea cu informaia nscris n organigram i nevoile derulrii activitii;
rapoartele comitetului de coordonare (steeringcommittee) ofer informaii privind proiectele aflate n derulare.
Coninutul acestor rapoarte este analizat de managementul superior, iar informaia este diseminat ctre
departamentele implicate;
procedurile de modificare a sistemelor de dezvoltare i programare ofer informaii privind cadrul realizrii
acestor schimbri;
proceduri de operare ofer informaii privind responsabilitile personalului cu atribuii de operare;
manualele departamentului de personal sunt importante prin informaia oferit privind regulile i reglementrile
interne legate de conduita angajailor;
procedurile de asigurare a calitii ofer cadrul i standardele ce trebuie urmate de departamentul SI.

Securitatea sistemelor informaionale: Managementul securitii SI, Controlul accesului logic, Securitatea
reelelor locale i a aplicaiilor client-server.
Managementul securitii SI
Managementul securitii informaiei se definete ca fiind ansamblul proceselor de stabilire i meninere a unui
cadru de lucru i a unei structure de administrare care ofer garania c strategiile de securitate a informaiei sunt
aliniate i susinute prin obiectivele afacerii, sunt n concordan cu legile i reglementrile aplicabile pentru
administrarea ct mai adecvat a riscurilor.
n conformitate cu seriade standarde 27000, sunt identificate 36 de obiective de controlimportantei 127 de
elemente de control, grupate n zece categorii:
politica de securitate;
planificarea continurii afacerii;
controlul accesului la sistem;
dezvoltarea i ntreinerea sistemului;
securitatea fizic i a mediului;
conformitatea;
securitatea personalului;
securitatea organizaiei;
managementul calculatoarelor i al reelei;
clasificarea i controlul resurselor informatice.
COBIT structureaz procesele IT n patru domenii:
planificare i organizare;
achiziionare i implementare;
funcionare i suport;
monitorizare i evaluare.
Cele patru domenii enumerate includ 220 de controale, clasificate n 34 de obiective de nivel nalt.
Obiectivele fundamentale de securitate, care se regsesc printre cerinele unui mediu de afacere, sunt:
confidenialitateaprevenirea accesului neautorizat la informaii; garantarea procedurilor i metodelor ca
informaia, care se afl n tranzit sau stocat, s fie accesibil numai entitilor autorizate s acceseze
respectivele resurse;

integritateainformaia este protejat de pierderi sau modificarea neautorizat; garantarea procedurilor i

metodelor ca informaia, care se afl n tranzit sau stocat, s nu poat fi modificat;
disponibilitateagarantarea c entitile autorizate au acces la resursele informaionale atunci cnd au nevoie de
ele; de exemplu, prevenirea atacurilor de tip DoS (Denial of Service);
conformitatea cu legile, reglementrile i standardele aplicabile.
Implementarea unui sistem de management al securitii informaiei ofer o serie de avantaje:
ctigarea ncrederii partenerilor de afaceri (furnizori, clieni);
continuitatea afacerii;
mbuntirea sistemelor de prevenire i rspuns n caz de incidente;
minimizarea riscurilor pentru furtul, coruperea sau pierderea informaiei;
accesarea n siguran a informaiei (de ctre angajai i clieni);
justificarea i optimizarea costurilor necesare implementrii controalelor de securitate;
demonstrarea implicrii i angajamentul managementului pentru securitatea informaiei;
demonstrarea conformitii propriilor practici de securitate cu standarde recunoscute;
conformitatea cu cerinele legale, cu regulile i regulamentele locale;
asigurarea faptului c riscurile i controalele sunt permanent revizuite.
Controalele de securitate sunt de trei tipuri:
controlul fizic asigur protecia mediului IT i se realizeaz prin personal de securitate, camere video, lacte,
sisteme de alarm, surse de alimentare nentreruptibile;
controlul tehnic se refer la controlul accesului i include: autorizarea accesului la activele companiei, criptarea;
controlul administrativ se refer la politica de securitate i procedurile de implementare, ca parte a planului de
securitate. De exemplu, un control administrativ poate include: politica, ghidurile de securitate, procedurile de
securitate, instruirea n domeniul securitii.
Pentru identificarea configuraiei sistemului de securitate propriu este necesar s se proiecteze i s se
implementeze un plan de securitate, care va fi parte a planului strategic de dezvoltare a afacerii organizaiei.
Politica de securitateeste componenta central a planului de securitate, fiind necesar o documentare i
informare serioase nainte ca propriile controale s fie aplicate mediului IT. O politic de securitate conine
precizarea scopurilor i a inteniilor.
O politic de securitate trebuie s specifice n mod clar urmtoarele aspecte:
obiectivele organizaiei privind securitatea: asigurarea proteciei datelor mpotriva scurgerilor de informaii ctre
entiti externe, protejarea datelor fa de calamitile naturale, asigurarea integritii datelor sau asigurarea
continuitii afacerii;
personalul rspunztor pentru asigurarea securitii care poate fi: un grup restrns de lucru, un grup de
conducere sau fiecare angajat;
implicarea organizaiei n ansamblu la asigurarea securitii: cine va asigura instruirea n domeniul securitii,
cum va fi integrat partea de securitate n structura organizaiei.
Pentru atingerea obiectivelor de securitate i realizarea unui nivel nalt de protecie, planul de securitate va fi
dezvoltat i implementat pe niveluri. n acest fel modelul conceptual al unui sistem de securitate va include
urmtoarele niveluri:
securitatea aplicaiei se refer n primul rnd la securitatea produselor software care pot fi utilizate pentru
dezvoltarea aplicaiilor de afaceri, ca de exemplu servere web, SSL (Secure Sockets Layer) etc.;
securitatea sistemului este implementat la nivelul comenzilor de sistem i controleaz toate funciile software
ale sistemului. Utilizatorii sunt identificai i autentificai la nivel de sistem printr-un singur mecanism de
securitate, pentru toate operaiile pe care le vor executa pe sistem;
securitatea reelei face parte din proiectarea acesteia i include controalele prin firewall-uri, VPN (Virtual Private
Network) i gateways;
securitatea fizic se ocup de protecia sistemelor, dispozitivelor i mediilor pentru backup i include controalele
de acces, sursele de tensiune nentreruptibile, liniile de comunicaie redundante;
securitatea organizaiei este responsabil pentru toate aspectele planului de securitate a organizaiei, incluznd
politicile de securitate, instruirea n domeniul securitii, sistemele de afaceri ale organizaiei i planificarea pentru
recuperare n caz de dezastru.
Roluri i responsabiliti privind securitatea SI
Planul de securitate al unei organizaiei cuprinde urmtoarele roluri i responsabiliti:
comitetul de coordonare a securitiistabilete i aprob practicile de securitate.
managementul de execuie are responsabilitatea pentru protecia general a activelor informaionale i
rspunde de implementarea planului de securitate;
grupul consultant pentru securitateare responsabilitatea revizuirii planului de securitate al organizaiei;
ofierul ef de securitate (Chief Security OfficerCSO) are un rol-cheie n securitatea sistemului informatic al
organizaiei.
ofierul ef pentru confidenialitate (Chief Privacy OfficerCPO) aplic politicile prin care compania asigur
drepturile de confidenialitate pentru informaiile angajailor i clienilor;
proprietarii de procese/active informaionale i date garanteaz aplicarea msurilor de securitate n concordan
cu politica organizaiei.

cu stodele se ocup de protecia activelor informaionale sau datelor organizaiei. Aceast responsabilitate este
alocat pentru controlul accesului logic. Persoana care ndeplinete acest rol se mai numete administrator cu
securitatea sistemului;
specialistul/ consultantul n securitate i aduce contribuia la proiectarea, implementarea, managementul i
revizuirea politicilor, standardelor i procedurilor de securitate ale organizaiei.
administratorul cu securitatea sistemului este responsabil cu implementarea i ntreinerea controalelor de
securitate cerute prin politica de securitate.
utilizator: orice persoan care are dreptul s utilizeze resursele sistemului. Drepturile alocate unui utilizator vor fi
n concordan cu responsabilitatea pe care o ndeplinete;
partenerii externise refer la furnizori i partenerii de afaceri care se ocup cu activele informaionale;
dezvoltatorii ITau responsabilitatea s implementeze securitatea informaiei n aplicaiile lor;
auditorul de securitate poate fi un membru intern al organizaiei sau un membru al unei firme de audit. Un
auditor de securitate inspecteaz n mod regulat procedurile de securitate ale organizaiei i controleaz, pentru
a fi sigur c sunt ndeplinite, cerinele din politica, procesele, procedurile i ghidurile de securitate.
Controlul accesului logic
Controalele accesului logic sunt utilizate pentru a gestiona i proteja informaiile. Descoperirea vulnerabilitii
unui control al accesului logic, care poate fi accidental sau intenionat, include o parte de natur tehnic i una
de natur organizaional.
Strategia de implementare a programelor antivirus
Cea mai important problem n implementarea unui program antivirus este stabilirea cilor de intrare a
viruilor. Odat ce au fost depistate i catalogate ca fiind vulnerabiliti maxime, cile de intrare a viruilor sunt
comparate cu modulele de scanare ale programului antivirus ce urmeaz a fi implementat. Fiecare utilizator va
putea avea acces la un program antivirus.
De asemenea, este recomandat s se implementeze un singur program antivirus, deoarece, la un moment dat,
codurile de cutare ar putea fi catalogate ca fiind virus de ctre cellalt program antivirus.
Se recomand ca la instalarea programului antivirus s se creeze un orar de scanare a sistemului. Antivirusul va
trebui s porneasc automat i va raporta administratorului de sistem dac au fost identificate amprente de virui
i dac au putut fi ndeprtate cu succes din sistem.
Actualizarea programelor antivirus este obligatorie, fiind necesar actualizarea bazei de date cu amprente de
virui noi, ori de cte ori este nevoie.
Securitatea reelelor locale i a aplicaiilor client-server
Primul element i cel mai important n securizarea reelelor LAN l reprezint filtrarea traficului la nivelul unei
reele ce se poate face cu programe de tip firewall sau cu servere Proxy. Acestea permit sau nu, n funcie de
configuraie, accesul unui proces n internet.
Un firewalleste un sistem sau un grup de sisteme care gestioneaz controlul accesului ntre dou reele.
Comunicarea n reea include, de regul, instalarea i utilizarea echipamentelor de reea (PC-uri, imprimante,
rutere, repertoare etc.). Pentru aceasta, se impune stabilirea unor principii privind controalele securitii, cum
sunt:
funciile de control ale unei reele trebuie s fie executate de operatori/tehnicieni calificai;
funciile de control ale unei reele trebuie separate, iar sarcinile se execut prin rotaie;
software-ul care realizeaz controlul reelei trebuie s aib acces restricionat la funcii de tergere sau
modificare i s ntocmeasc un jurnal al tuturor activitilor;
auditul funciilor de control trebuie s fie verificat n permanen pentru a detecta operaii neautorizate;
standardele i protocoalele trebuie s fie documentate i puse la dispoziia operatorilor;
accesul la reea trebuie monitorizat n permanen de ctre inginerii de sistem pentru a detecta accesul
neautorizat;
trebuie ntocmite analize ale reelei pentru a se verifica, din timp n timp, dac s-a modificat eficiena reelei i
timpul de rspuns al unor procese;
trebuie utilizat un sistem de criptare a datelor n reea pentru a proteja mesajele n timpul transmiterii.
Din cele prezentate mai sus, desprindem o concluzie esenial, i anume c la configurarea unui firewall va
trebui s avem n vedere urmtoarele reguli:
politica global de securitate va fi aleas de organizaie;
niveluri de control vor stabili cine este autorizat i cine are interdicie;
din punct de vedere financiar, trebuie ales un firewall care s ndeplineasc o bun parte din cerinele politicii de
securitate (un cost mic al firewall-ului poate duce la o configurare i administrare anevoioas).
Controlul accesuluila sistemul informatic presupune stabilirea urmtoarelor reguli:
staiile de lucru trebuie s fie accesate, n mod unic, de utilizatoriiacestora (filtrarea utilizatorilor);
una dintre sursele de risc al vulnerabilitii unei staii de lucru este instalarea suplimentar de aplicaii
neautorizate;
utilizatorii nu-i vor ine parolele scrise pe hrtii lsate pe birou la ndemna oricui.
staiile de lucru trebuie s fie sigilate fizic pentru a evita accesul la hard disci/sau componente eseniale;
serverul trebuie protejat, n mod particular, prin interzicerea accesului persoanelor n ncperea unde se afl
acesta;
accesul liber la BIOS-ul calculatorului poate duce la schimbri de configurare i deci la nefuncionarea staiei de
lucru;

strategiile sistemelor de operare permit limitarea posibilitii utilizatorilor sau staiilor de lucru.
Securitarea aplicaiilor client -server
O aplicaie client-server presupune existena mai multor puncte de acces. Procedurile de securitate pentru
mediul unui astfel de server nu sunt de regul bine nelese sau protejate. Sistemele client-server utilizeaz
tehnici distribuite, ceea ce conduce la creterea riscului de acces neautorizat la datele i procesele acestuia.
Astfel, securizarea unui sistem client-server presupune identificarea tuturor punctelor de acces. Tehnicile de
control pentru un sistem client-server sunt:
securizarea accesului la date sau aplicaii poate fi asigurat prin dezactivarea unitilor floppy;
instrumentele de monitorizare a reelei sunt utilizate pentru a urmri activitatea de la un utilizator cunoscut la un
altul necunoscut;
utilizarea tehnicilor de criptare a datelor;
sistemele de autentificare furnizeaz faciliti logice care difereniaz utilizatorii;
utilizarea unor programe de control al accesului la nivel de aplicaie i organizarea utilizatorilor finali reprezint
controale de gestionare care restricioneaz accesul, limitnd utilizatorii la acele funcii necesare pentru
ndeplinirea strict a ndatoririlor.
Riscurile ce apar la nivelul arhitecturii client-server sunt:
controalele de acces sunt mai puin performante pentru mediul client-server;
schimbarea controlului i a gestionrii procedurilor se poate face automat sau manual, ceea ce duce la un prim
motiv de vulnerabilitate a sistemului;
pierderea disponibilitii reelei poate avea un impact puternic asupra afacerii;
utilizarea unor modemuri sincronizate i nesicronizate pentru conectarea reelei la alte reele poate fi
neautorizat;
conexiunea la reele publice prin reeaua de telefonie poate fi o vulnerabilitate;
schimbrile de sisteme sau date neautorizate;
accesul la date confideniale;
codurile i datele ce nu se gsesc pe aceeai main, ntr-o incint securizat.
Securizarea serverului
Securizarea serverului presupune controlarea cererilor care i-au fost adresate i securizarea sistemului
informatic cu care colaboreaz pentru a napoia serviciul solicitat de clieni. Plecnd de la stricta configurare a
sistemului, protejarea acestuia de exterior se face de obicei printr-un firewall. Configurarea unui firewallse face
dup criteriile de securitate determinate pentru filtrarea traficului parcurs i astfel se aplic o politic de control al
accesului la sistem. Protejarea datelor const, deci, n limitarea accesului la acestea, precum i punerea lor la
dispoziia clienilor autorizai.
Standarde i ghiduri pentru auditul sistemelor informaionale
Cod de etic profesional
Principiile etice profesionale fundamentale stipulate n acest cod solicit membrilor ISACA i auditorilor
urmtoarele:
s susin implementarea standardelor, procedurilor de auditare a sistemelor informaionale;
s serveasc interesul clienilor si cu loialitate, seriozitate i s nu participe cu bun tiin la activiti ilegale;
s pstreze confidenialitatea informaiilor obinute n timpul misiunilor efectuate, exceptnd situaiile n care
dezvluirea acestora este solicitat de o autoritate legal;
s aib o atitudine independent care-i va permite s acioneze n mod corect i fr prejudeci;
s dea dovad de profesionalism i s nu accepte nicio misiune dac nu are cunotinele, aptitudinile sau
resursele necesare de a realiza lucrrile unei astfel de aciuni. Ei trebuie s-i asume responsabilitatea opiniei i
a recomandrilor pe care le exprim n raportul de audit;
s informeze prile implicate despre rezultatele auditului, dezvluind toate aspectele semnificative pe care le-au
sesizat;
s susin informarea acionarilor, pentru a crete nelegerea lor n ceea ce privete securitatea i controlul
sistemelor informaionale.
Standardele internaionale de auditpentru sistemele informaionale sunt:
S1.Contractul de audit(Audit Charter). scopul, responsabilitatea i autoritatea funciei de audit
S2. Independena(Independence). independena profesional, independena organizaional
S3. Etica i standardele profesionale(Professional Ethics and Standards)
S4. Competena profesional(Professional Competence)
S5. Planificarea (Planning)
S6. Performana activitii de audit(Performance of Audit Work)
S7. Raportarea(Reporting):
S8. Urmrirea recomandrilor raportului de audit (Follow-up Activities)
S9. Frauda i eroarea (Irregularities and Illegal Acts)
S10. Guvernana IT (IT Governance)
S11. Utilizarea evalurii riscului n planificarea auditului (Use of Risk Assesment in Audit Planning).
S12. Pragul de semnificaie n audit (Audit Materiality)
S13. Utilizarea informaiilor obinute de la ali experi (Using the Work of Other Experts)
S14. Probele de audit(Audit Evidence)

Pe plan naional, se simte nevoia unui cadru normativ i legal pentru domeniul auditului sistemelor
informaionale. n ultimii ani, au aprut din ce n ce mai multe reglementri legislative privind protecia i
securitatea informaiilor, cum ar fi:
Legea nr. 365/2002privind comerul electronic;
Legea nr. 455/2001privind semntura electronic;
Legea nr. 506/2004privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul
comunicaiilor electronice;
Legea nr. 102/2005privind nfiinarea, organizarea i funcionarea Autoritii Naionale de Supravegherea
Prelucrrii Datelor cu Caracter Personal;
Legea nr. 64/2004 pentru ratificarea Conveniei Consiliului Europei privind criminalitatea informatic.
Standardele adoptate n Romnia, standarde care vizeaz aspecte legate de asigurarea securitii
informaionale:
ISO/IEC 27001:2005Tehnologia informaiei Tehnici de securitate Sisteme de management al informaiilor
Cerineeste un standard care stabilete cerinele pentru un sistem de management al securitii informaiei. n
fapt, el ajut la identificarea, managementul i minimizarea ameninrilor care afecteaz de obicei informaia;
ISO/IEC 17799Tehnologia Informaiei -Cod de bun practic pentru managementul securitii
informaieireprezint un ghid pentru implementarea unui set de politici, practici i proceduri n vederea
consolidrii securitii informaiei gestionate de o organizaie (inlocuit de seria de standarde 27000).
Managementul ciclului de via al sistemului informaional: Managementul proiectelor de SI, Dezvoltarea SI,
Infrastructura i ntreinerea SI, Controalele SI i auditul acestora.
Ciclul de via al sistemului informaional
Un system informaional (Information System-IS) este un ansamblu de procese, procedure i echipamente
folosite pentru culegerea, transmiterea, stocarea i procesarea datelor n vederea obinerii informaiilor necesare
n procesul decisional al organizaiei.
Ciclul de dezvoltare al sistemelor informaionale reprezint paii de urmat pentru realizarea unui system
informaional.
n cadrul ciclului de via se disting dou etape: dezvoltarea SI i exploatarea.
Orice proiect al SI de tehnologia informaiei (TI) ,care presupune dezvoltarea unui SI sau o infrastructur nou,
ncepe cu un studio al sistemului informaional existent, cunoscut adesea ca studio de fezabilitate.
Se elaboreaz studiul de caz al afacerii care trebuie s fie sufficient de detaliat pentru a descrie justificrile de
demarare i de continuare a proiectului.
Beneficii
validarea beneficiilor previzionate n afacere;
planificarea beneficiilor care trebuie realizate;
msurarea beneficiilor n raport cu obiectivele stabilite;
stabilirea responsabilitilor-cheie pentru realizarea beneficiilor.
Ciclul de via al sistemului informaional
vizeaz managementul schimbrilor i al configuraiei, unde sunt cuprinse aspectele legate de dezvoltarea
paralel, dezvoltarea pe site-uri diferite, gestionarea versiunilor intermediare ale produsului, raportarea i
remedierea erorilor
asigurarea mediului de dezvoltare
Managementul proiectelor privind dezvoltarea i ntreinerea sistemelor informaionale
Un proiect este o succesiune de etape i activiti care, planificate ntr-o perioad limitat de timp i cu resursele
aferente, conduc la realizarea unui obiectiv ce deriv dintr-o strategie stabilit anterior.
Programele pot fi considerate sisteme complexe prin care resursele financiare, umane i materiale, stabilite prin
politici i consolidate prin strategii, se materializeaz prin intermediul proiectelor n efecte benefice
Portofoliul de proiecte este definit ca ansamblul proiectelor existente i n curs de realizare ntr-o organizaie la
un moment dat.
Obiectivele managementului portofoliului de proiecte sunt:
optimizarea rezultatelor la nivelul portofoliului de proiecte (nu proiectelor individuale);
prioritizarea i programarea proiectelor;
coordonarea resurselor (interne i externe);
cunoaterea transferului ntre proiectele din portofoliu
Obiectivele proiectului trebuie s fie realizate:
la timp (n durata prevzut);
n bugetul prevzut;
cu nivelul de performan i specificaiile cerute;
cu utilizarea eficient i eficace a resurselor;
cu acordul clientului.
Obiectivele principale trebuie s fie associate ntodeauna cu succesul afacerii.

Obiectivele adiionale sunt obiectivele care nu au n mod direct legtur cu rezultatele proiectului, dar pot
contribui la succesula cestuia.
Nonobiectivele adaug claritate scopului i fac mai vizibile limitele proiectului, contureaz mai bine prile care
vor fi livrate i vor susine toate prile pentru a ctiga o bun nelegere asupra a ceea ce trebuie fcut i a
nltura orice ambiguiti
Responsabiliti privind managementul proiectelor SI

Planificarea, realizarea i controlul proiectelor SI

n aceast etap, managerul de proiect trebuie s determine:
sarcinile care trebuie ndeplinite pentru realizarea aplicaiilor SI;
ordinea de executare a sarcinilor;
durata sau timpul alocat pentru fiecare sarcin n parte;
prioritatea fiecrei sarcini;
resursele TI disponibile i necesare pentru a executa aceste sarcini;
bugetul sau costul pentru fiecare dintre aceste sarcini;
sursa fondurilor.
Planificarea este orientat n principal spre dezvoltarea obiectivelor care sunt realiste i cuantificabile.
Estimarea dimensiunii SI poate fi utilizat pentru a direciona alocarea resurselor, estimarea timpului i a
costului cerut pentru dezvoltarea sa, ct i pentru o comparare a efortului total necesar i al resurselor disponibile
PERT este o tehnic de management al proiectelor reprezentate sub forma unei reele, utilizat adesea n
dezvoltarea sistemelor bazate pe evenimente i activiti.
Fiecare activitate este caracterizat de trei timpi:
a=cel mai optimist timp de finalizare; acest timp presupune c totul va merge conform planului, cu minimum de
dificulti;
b=cel mai pessimist timp de finalizare; acest timp presupune c nimic nu merge conform planului i exist un
numr maxim de dificulti care poti nterveni;
m=cel mai probabil timp de finalizare; acesta este timpul care dup opiniile managerilor operative este
considerate fi realizabil.

Timpul optim calculat (tc) va fi: tc=(a+4m+b)/6.

Metode de dezvoltare a SI
Metoda SDLC (Systems Development Life Cycle)
Dezvoltarea unui SI nou este generat de una dintre urmtoarele situaii:
o oportunitate nou relativ la un proces de afacere nou sau existent;
o cerin informaional nou relativ la un proces de afacere existent;
o oportunitate nou care permite organizaiei s obin avantaje tehnologice;
introducerea unei tehnologii noi, mai performante dect cele existente.
Majoritatea SI actuale pot fi mprite n dou categorii:
centrate pe cerinele organizaiei(Management Information SystemMIS, Entreprise Resources PlaningERP,
Customers Relationship Management CRM) pentru dezvoltarea crora se folosete metoda SDLC;
centrate pe cerinele punctuale ale utilizatorilor finali, pentru care se folosesc metode alternative de dezvoltare.
Faze SDLC
Faza 1 -fezabilitate
Faza 2 cerinele

Faza 3a proiectarea
Faza 3b selecia
Faza 4a dezvoltarea
Faza 4b configurarea
Faza 5 implementarea
Faza 6 postimplementarea
Riscurile asociate dezvoltrii SI
Riscuri legate de programarea n timp au drept consecin nerespectarea termenelor prevzute.
Riscurile legate de resurse (insuficiena fondurilor sau lipsa oricrora dintre elementele necesare pentru
realizarea proiectului) pot conduce la eecul ntregului proiect.
Ateptrile clientului pot constitui un factor de risc, care se manifest mai ales n privina unor faciliti i
avantaje care vor fi induse de sistem, o uurare a muncii i o cretere a beneficiilor.
Schimbrile n procedurile de lucru ale clientuluipot constitui un factor de risc important, dac personalul implicat
nu le accept.
Managementul riscurilor privind proiectele de dezvoltare a SI presupune urmtoarele aciuni:
identificarea tuturor surselor posibile de risc;
ncadrarea ntr-o clas de risc (ridicat, mediu, redus);
elaborarea unui plan de minimizare a riscurilor, avnd n vedere gradul i posibilitile de producere a acestora;
urmrirea i controlul permanent al fiecruia dintre riscurile identificate;
readaptarea permanent a planului de control al riscurilor n funcie de evoluia situaiei reale.
Metode de dezvoltare alternativ a SI
Principalele abordri de dezvoltare a SI, diferite de abordarea treadiional SDLC, sunt:
dezvoltarea incremental sau progresivsistemul este construit n etape, pe module care, pe msur ce sunt
realizate, sunt livrate.
dezvoltarea iterativ implic construirea sistemului prin iteraii i incrementri succesive, cu posibiliti de
revenire dup fiecare faz de incrementare, pentru a facilita orice ajustare necesar n planul proiectului sau n
produsele de dezvoltare software.
Abordarea de dezvoltare iterativ are un numr de variante:
dezvoltarea evolutiv,care presupune realizarea unui prototip care s fie folosit pentru a verifica cerinele i a
explora rezultatele proiectului.
dezvoltarea n spiral presupune realizarea unei serii de prototipuri, utilizate pentru a dezvolta o soluie, avnd ca
punct de plecare un proiect detaliat, construit i testat.
dezvoltarea activ presupune divizarea sistemului n iteraii relativ scurte, realizabile ntr-un timp limitat
Dezvoltarea rapid a aplicaiei (Rapid Application DevelopmentRAD) este o metodologie care permite
organizaiilor s dezvolte n mod strategic sisteme rapide.
Metodologia RAD are patru etape majore:
n etapa de definire a conceptului se specific funciile afacerii i sursa datelor de intrare, determinnd n acelai
timp i scopul sistemului;
n etapa de proiectare funcional se organizeaz ateliere de lucru pentru a modela datele sistemului i
procesele, pentru a construe un prototip de lucru al componentelor critice ale sistemului;
etapa dezvoltrii completeaz construcia bazei de date fizice i a aplicaiei-sistem, construiete sistemul de
conversie, dezvolt elementele ajuttoare pentru utilizator ii desfurarea planului de lucru;
etapa de distribuire include testarea final de ctre utilizator, pregtirea conversiei de date i implementarea SI.
Modelul de maturitate a capacitilor software-ului (Software-ulCapabilityMaturityModel-CMM) ,dezvoltat de
Institutul de Inginerie Software a lUniversiti iCarnegi Melon,este un set de reguli care sprijin organizaiile n
mbuntirea proceselor ciclului de via a l software-uluilor.
Modelul permite organizaiilor s previn ntrzieri excessive n planificarea proiectului sau depirea costurilor,
prin furnizarea unei infrastructure potrivite i a unui support necesar, ajutnd proiectele s evite aceste probleme.
Cele cinci niveluri de maturitate care pot fi atinse de software-ul organizaiilor sunt:
iniialcaracterizat ca un niv eladhoc ,n care succesul depinde doar de efortul individual;
repetabilitateabuna organizare a proceselor de management prin care sunt stabilite planificarea i urmrirea
costului, programarea i funcionalitatea, care ofer o privire de ansamblu asupra proiectului software.
definirealeciile nvate din fazele anterioare furnizeaz determinarea pentru dezvoltarea unui process
software standard n cadrul organizaiei.
conducereaodat ce un process este bine definit i aplicat, organizaia a atins punctual din care ea poate
dezvolta i aplica msura controlului conducerii privind procesele dezvoltrii software-ului.
optimizarea cnd o organizaie a dobndit abilitatea de a controla cantitativ i cu success proiectele software,
se afl ntr-o poziie optim de a utilize strategii de mbuntire continu a procesului n scopul aplicrii soluiilor
novatoare i a tehnologiilor performante( state-of-the-art) propriilor procese software.
Controalele aplicaiilor

Controalele aplicaiilor sunt specific fiecrei aplicaii i au rolul de a asigura completitudinea i acurateea
nregistrrilor i prelucrrilor.
Controalele sunt manual sau automate i se aplic intrrilor, prelucrrilor i ieirilor aplicaiilor
Controalele aplicaiilor trebuie s asigure faptul c:
sunt introduce n aplicaii doar date valide, complete i corecte, asigurndu-se integritatea i credibilitatea
acestora;
procesarea datelor se desfoar corect, iar datele din sistem sunt corecte, relevante, protejate mpotriva
accesului neautorizat i disponibile la nevoie;
ieirile prelucrrilor sunt corecte, rspunznd specificaiilor;
se asigur actualizarea datelor.
Controlul intrrilor
Este folosit pentru a se asigura faptul c toate datele sunt introduce corect, complete, valide, autorizate,
aferente perioadei de gestiune curente, nregistrate correct n conturi (n cazul aplicaiilor contabile) .
Tehnicile de control al intrrilor sunt:

jurnalul tranzaciilor(transaction log) conine lista detaliat a tuturor actualizrilor. Jurnalul poate fi realizat
manual sau automat. n practic se procedeaz la reconcilierea ntre numrul de documente introduse i numtul
tranzaciilor nscrise n jurnal;
reconcilierea datelor permite verificarea faptului c toate datele primite au fost nregistrate corect i procesate;
documentaia se refer la evidena scris realizat de utilizator cu privire la datele introduse (numr de
documente) i rezultatele procedurilor de control.
procedurile de corectare a erorilor includ:
nregistrarea erorilor;
efectuarea coreciilor la timp;
aprobarea coreciilor;
suspendarea fiierului;
crearea fiierului de erori;
validarea coreciilor.

anticiparea: utilizatorul sau controlul de grup anticipeaz primirea datelor;

jurnalul transmiterilor (transmital log). Documentele de transmitere sau primire a datelor;
anularea documentelor-surs:marcarea documentelor care au fost introduse pentru a se evita introducerea
duplicat.
Proceduri de prelucrare i control
A. Controlul formatului
B. Controlul domeniului de definiie a atributelor
C. Controlul acurateei aritmetice
D.Controlul existenei datelor(existence check)
E. Testul cifrei de control(check digit)
F. Testul tranzaciilor duplicate(duplicate check)
Controalele prelucrrii datelor
Controalele de procesare asigur completitudinea i acurateea datelor i posibilitatea efecturii doar de
modificri autorizate. Tehnicile de asigurare a acurateei i completitudinii datelor sunt:
recalculri manuale
Editare
verificri de-a lungul stadiilor de prelucrare (run-to-run totals)
controale programate (programmed controls)
rezonabilitatea valorilor calculate (reasonableness verification of calculated amounts)
valori limit pentru cmpuri calculate (limit ckecks on calculated amounts)
reconcilierea totalurilor fiierului (reconciliation of file totals)
lista nregistrrilor eronate (exception report)
Controalele ieirilor
Controlul datelor de ieire trebuie s ofere sigurana c datele oferite urilizatorilor sunt corecte, n formatul cerut
i distribuite numai persoanelor autorizate i n condiii de siguran. Controlul datelor de ieire urmrete:
completitudinea i acurateea ieirilor;
respectarea termenelor prevzute pentru obinerea ieirilor;
msura n care ieirile, la cererea utilizatorilor, pot fi dirijate ctre imprimant, monitor sau un anumit fiier;
Dezvoltarea infrastructurii TI
Infrastructura TI la nivelul unei organizaii este reprezentat de ansamblul serviciilor, echipamentelor hardware
i software folosite pentru stocarea, procesarea, transmiterea i afiarea informaiilor din cadrul sistemului
informatic .
Infrastructura TI la nivelul unei organizaii trebuie s asigure realizarea urmtoarelor caracteristici:

flexibilitateaastfel nct aceasta s permit adaptarea la noile tehnologii care apar;

scalabilitateaplatforma TI trebuie s permit extinderea cu uurin a infrastructurii proporional cu creterea
afacerii;
robusteeaparametru ce ofer garania stabilitii, disponibilitii i securitii sistemului informatic;
uurina operrii-productivitatea i costurile instruirii personalului depind foarte mult de acest aspect;
administrarea;
timpul necesar implementrii;
aplicaiile disponibile;
compatibilitatea cu aplicaiile, sistemele curente.
Procesul de dezvoltare/achiziionare a infrastructurii TI se realizeaz n trei etape:
analiza arhitecturii fizice;
planificarea implementrii noii arhitecturi;
ntreinerea noului sistem.
La nivelul primei etape, de analiz a arhitecturii fizice,se va verifica dac decizia de dezvoltare este n
conformitate cu obiectivele i planurile organizaiei i, de asemenea, dac au fost determinate costurile i
beneficiile care vor rezulta din acest proces. n acest sens, se va urmri:
analiza infrastructurii existente;
proiectarea unei noi arhitecturi, innd cont de arhitectura existent, ct i de constrngerile particulare ale
organizaiei, cum ar fi:
reducerea costurilor;
creterea funcionalitilor;
breele de securitate si confidenialitate.
descrierea cerinelor funcionale ale noii arhitecturi;
dezvoltarea unui prototip bazat pe aceste cerine funcionale.
Rezultatul acestei etape l constituie prototipul,care, n urma testrii, va genera cea de-a doua etap planificarea
implementrii infrastructurii .
La baza desfurrii etapei a treia stau procedure clare de implementare a noului sistem, ele fiind associate
urmtoarelor faze:
procesul de achiziionare a componentelor (hardware/software) necesare implementrii;
timpul de livrare;
planul de instalare;
testarea instalrii.