Auditul sistemelor informatice

CUPRINS
CAPITOLUL 1: CADRUL INSTITUTIONAL AL AUDITULUI I. AUDIT FINANCIAR IFAC (INT RNATIONAL F D RATION OF ACCOUNTANTS! " F D RATIA INT RNATIONALA A CONTA#ILILOR II. AUDITUL SIST $ LOR INFOR$ATIONAL ISACA (Information s%stems audit and control association! CAPITOLUL 2: RISCURI ASOCIAT SIST $ LOR INFOR$ATIC RISCURIL ASOCIAT SIST $ULUI INFOR$ATIONAL $OD LUL CANTITATI& D &ALUAR A RISCURILOR RISCURI SI ACCID NT D CLANSAT $ TOD D $INI$I'AR A RISCULUI CAPITOLUL 3: CONTROLUL ( N RAL AL SIST $ LOR INFOR$ATIONAL CONTROLUL CICLULUI D &IATA O#I CTI& L AUDITULUI CONTROLUL S CURITATII SIST $ LOR INFOR$ATIC O#I CTI& D CONTROL D TALIAT S CURITAT A SIST $ LOR INFOR$ATIONAL S PARAR A FUNCTIILOR INCO$PATI#IL AUTORI'AR A UTILI'ATORILOR CONTROLUL ACC SULUI TAP L ATACULUI LA O R T A LI$IT L UNUI FIR )ALL CO$PON NT L FIR )ALL AR*IT CTURI FIR )ALL CONTROLUL S CURITATII FI'IC COPII D SI(URANTA SI & NI$ NT N PR &A'UT CONTROLUL NI& LULUI OP RATIONAL CAPITOLUL 4: CONTROLUL APLICATIILOR CONTROLUL INTRARILOR+ PR LUCRARILOR SI I SIRILOR CONTROLUL S CURITATII APLICATI I COL CTAR A SI &ALUAR A PRO# LOR BIBLIOGRAFIE

Capitolul 1 CADRUL I NSTI TUTI ONAL AL AUDI TULUI I . AUDIT FINANCIAR IFAC (International Federation of Accountants) Federatia Internationala a Contabililor - Standarde de audit financiar - Cadrul privind conduita etica si profesionala

- Declaratii de practica de audit - !! "#DII CIS - "icrocalculatoare - !!$ "#DII CIS - Siste% de "icrocalculatoare on line - !!& "#DII CIS - Siste% de ba'e de date - !!( #valuarea riscurilor si controlul intern) caracteristici si considerente CIS - !!* Te+nici de audit asistate de calculator I I . AUDITU, SIST#"#,-R INF-R"ATI-NA,# ISACA (INF-R"ATI-N S.ST#"S AUDIT AND C-NTR-, ASS-CIATI-N) - Standarde de audit al siste%elor infor%ationale - Codul etic al auditorilor de siste%e infor%ationale - C-/IT (Control -b0ectives for Infor%ation and Related Tec+nolo12) - ISA 3! Auditul intern - %ediu cu siste%e infor%atice - IA4S !!& "ediul CIS Siste% de ba'e de date - IA4S !!$ Riscuri asociate auditului intern in CIS5
&

LOCUL AUDI TULUI PRI VI ND PAD I N ANSAMBLUL ACTI VI TATI LOR DE AUDI T DI N CADRUL ORGANI ZATI EI
Audit managerial Audit financiar Auditul jurnalelor contabile Auditul aplicatiilor contabile Audit PAD Audit general al SI Auditul
DSOLFD L*L

Auditul contabil Audit intern

3

COBI T repre'inta cadrul 1eneral de aplicabilitate a practicilor privind securitatea si controlul te+nolo1iei infor%ationale5 6 enuntarea obiectivelor de atins prin i%ple%entarea unor %asuri de control specifice unui do%eniu particular de activitate a te+nolo1iilor infor%ationale Resurse folosite in IT 7 - Date (repre'entari si proiecte) - Aplicatii (su%a procedurilor %anuale si auto%ati'ate) - Te+nolo1ia propriu-'isa (+ard) soft de ba'a) retele de co%unicatii) - Resurse u%ane - Facilitati (resurse de sustinere a siste%ului infor%ational) Criterii de evaluare a infor%atiei 7

- eficacitate - confidentialitate - inte1ritate - disponibilitate - realitate - oportunitate AUDITU, repre'inta o activitate de concepere a unui siste% care previne) detectea'a si corectea'a eveni%ente ilicite in viata unei or1ani'atii5
8

Capitolul 2 RI SCURI LE ASOCI ATE SI STEMELOR I NFORMATI CE

"ana1e%entul riscurilor procesul prin care se identifica si se cuantifica eveni%entele ce pot 1enera pierderi unei or1ani'atii5 Riscurile asociate auditului financiar Riscul de audit a) Riscul inerent 1eneral - riscul de %ana1e%ent - riscul contabil - riscul de afaceri b) Riscul de control - o eroare sau un 1rup de erori cu i%pact se%nificativ nu a fost prevenita) detectata sau corectata la ti%p de siste%ul contabil sau auditul intern c) Riscul de nedectare - procedurile funda%entale de audit nu detectea'a o eroare se%nificativa sau %ai %ulte erori insu%ate cu efect cu%ulat se%nificativ d) Riscul de esantionare Auditorul financiar trebuie sa ia in considerare %odul in care un %ediu CIS afectea'a auditul5 Riscul inerent si riscul de control intr-un %ediu CIS poate avea particularitati 7 - Riscuri 1enerate de deficiente ale %ediului CIS - Cresterea potentialului de aparitie a erorilor si a activitatilor frauduloase specifice - - eroare individuala in %ediul CIS poate afecta intre1ul ansa%blu infor%ational al intreprinderii Sursa STANDARD# D# AUDIT FINANCIAR
9

RI SCURI LE ASOCI ATE SI STEMULUI I NFORMATI ONAL

a) Riscurile de %ediu - +ard:are si retele de co%unicatii - siste% de operare - softuri de aplicatie - infor%atiile procesate de siste% b) Riscuri asociate %ediului 7 - pericole naturale si de'astre - alterarea sau furtul aplicatiilor) datelor - erori u%ane sau te+nice - inco%petenta %ana1eriala - pierderi financiare previ'ibile Riscurile trebuie 7 - evaluate din punct de vedere al 1ravitatii efectelor lor - evaluate din punct de vedere al probabilitatii procedurilor - esti%ate financiar pentru fiecare aparitie a feno%enului si pe total 4articularitati ale siste%elor infor%atice in evaluarea riscului 7 A5 Structura or1ani'ationala - Concentrarea functiilor si a cunostintelor - Concentrarea pro1ra%elor si a datelor /5 Natura procesarii - Absenta docu%entelor de intrare

- ,ipsa unei dove'i vi'ibile a tran'actiei - ,ipsa unor iesiri vi'ibile - Usurinta de a accesa datele si softurile C5 Aspecte procedurale - consecventa e;ecutiei - proceduri de control pro1ra%ate - o tran'actie are efect in fisiere %ultiple - vulnerabilitatea %ediilor de stocare Riscuri asociate unui siste% infor%atic 7 a) pierderea) deturnarea) %odificarea infor%atiilor b) accesul neautori'at la infor%atii c) intreruperea procesarii
<

MODEL CALI TATI V DE EVALUARE A RI SCURI LOR

- ACC#S FI=IC - C-"4,#>ITAT# -R?ANI=ATI-NA,A - ACC#S R#T#A - FUNCTII,-R SIST#"U,UI - 4#RS-NA, - 4#RS-NA, D# S4#CIA,ITAT# - "ANA?#RI - D-CU"#NTATI# - CIC,U D# @IATA

RISCU, AS-CIAT ACC#SU,UI FI=IC

NI VEL RI SC DESCRI ERE "AR# Resursele infor%ationale sunt accesibile tuturor an1a0atilor "#DIU Resursele infor%ationale sunt in birouri or1ani'ate cu acces li%itat de personal SCA=UT Resursele infor%ationale sunt in 'ona cu acces strict controlat

RISCU, AS-CIAT R#T#,#I D# C-"UNICATI I

NI VEL RI SC DESCRI ERE "AR# Siste% conectat la reteaua publica "#DIU Siste% conectat la retea privata5 Co%unicarea cu e;teriorul cu linii dedicate SCA=UT Nici o cone;iune cu %ediul Sursa 7 http://www.itandit.org/memberana/form/newitanditor/F21 .na.htm

RI SCURI SI ACCI DENTE DECLANSATE

5 #roare de operare - Acest risc 1enerea'a <!-(! A din accidente Ca'uri 6 *(! declansarea alertei nucleare in SUA **$ suspendarea activitatii centralei nucleare in 4enns2lvania5 !IS" #$%&'!A(I%I)A)' "*+P%',I)A)' FI&A&"IA!
(

$5 Functionarea defectuoasa a +ard:are-ului Ca'uri 6 **3 functionarea defectuoasa a %icroprocesorului 4#NTIU"5 4ierderea a 3<8 %ilioane USD5 **3 ( au1ust) NASDAB nu a functionat &3 %inute din cau'a defectarii liniilor de co%unicatie5 **& $3 de ca'uri de afectare a 'borurilor aviatiei civile prin interferarea cu %i0loacele electronice de la bord ale pasa1erilor5 &5 Functionarea defectuoasa a soft:are-ului Ca'uri 6 proble%a anului $!!! *** transferuri 1resite de su%e /ANC -F ND

8 %ilioane USD5 35 Date eronate nedectate de siste% Ca'uri 6 Controlul auto%at i%posibil pentru situatia 7 @arsta varia'a intre ( si <! ani Data reala !E!$E38 Data eronata !E!$E83 **& indicele Do:n Fons a ca'ut cu $ puncte din interpretarea 1resita a unei co%en'i de van'are 7 %ilioane USD %ilioane actiuni5 85 Riscuri asociate co%ponentelor nonelectronice Ca'uri 6 ** operatorul ATGT nu a preci'at prioritatea co%unicatiilor pentru liniile aeriene !$ %inute nu au functionat radarele aeroporturilor din ND5 95 Riscuri asociate perfor%antelor inadecvate ale siste%ului Ca'uri 6 *(< bursa din ND a calculat costul actiunilor in $ ore (nu in ti%p real) deoarece volu%ul van'arilor a fost de 8!! de operatii de & ori %ai %ult decat nor%al5 <5 Riscuri asociate responsabilitatilor le1ale Ca'uri 6 Ro%ania5 (<A din softuri sunt pirat5

NI@#, D# @U,N#RA/I,ITAT#
RI Numa utili!ato i auto i!ati SCUL ACCESI BI LI TATI I MARE MEDI U SCAZUT "a0oritatea utili'atori autori'ati "AR# "AR# "#DIU 8! A utili'atori autori'ati "AR# "#DIU SCA=UT Nu%ar li%itat de utili'atori autori'ati "#DIU SCA=UT SCA=UT Ri"#ul #ompl$%itatii o &a'i!atio'al$ "AR# -- #rorile din siste% afectea'a intrea1a or1ani'atie "#DIU #rorile din siste% afectea'a anu%ite co%parti%ente SCA=UT #rorile din siste% afectea'a un co%parti%ent Ri"#ul (u'#tiilo "i"t$mului "AR# Functii %ultiple ce se intersectea'a "#DIU Functii %ultiple independente SCA=UT Siste%ul reali'ea'a o sin1ura functie
*

Ri"#ul a"o#iat p$ "o'alului "AR# 4ersonalul nu a fost verificat inainte de an1a0are si nici in pre'ent "#DIU 4ersonalul este verificat i%ediat dupa an1a0are SCA=UT 4ersonalul este verificat inainte de an1a0are Ri"#ul a"o#iat p$ "o'alului )$ "p$#ialitat$ "AR# - sin1ura persoana se ocupa de tot siste%ul "#DIU #;ista $-& persoane ce asi1ura functionarea si intretinerea siste%ului SCA=UT #;ista %ai %ult de & persoane i%plicate in functionarea siste%ului Ri"#ul a"o#iat ma'a&$ ilo "AR# Nici o preocupare a %ana1erilor "#DIU "ana1eri preocupati nu%ai de securitatea siste%elor SCA=UT "ana1eri i%plicati activ si constant in asi1urarea securitatii ca ur%are a eveni%entelor produse in trecut Ri"#ul a"o#iat #i#lului )$ *iata "AR# Siste% i%ple%entat de cel %ult un an si durata de viata este de cel putin $! ani "#DIU Siste% cu durata de viata %ai %are de 3 ani SCA=UT Siste% cu durata de viata intre -3 ani Ri"#ul a"o#iat )o#um$'tati$i

"AR# Nu e;ista docu%entatie "#DIU Docu%entatia e;ista) dar nu reflecta realitatea din siste% SCA=UT Docu%entatia este actuali'ata si este disponibila E%i"ta "o(tu i "p$#iali!at$ i' $*alua $a i"#u ilo + RI S, Si%ularea riscurilor BUDD- S-STEM Anali'a securitatii si %ana1e%entul riscurilor RI S, PAC Siste% e;pert pe ba'a de c+estionar5 Surse 7 www.pali-ade.com www.budd.-.-tem.net/html/product.-html http://computer-.-oftware/director..com
!

MODELUL CANTI TATI V DE EVALUARE A RI SCURI LOR

A5 FACT-RII D# RISC - A"#NINTARI (A) eveni%ente e;terioare siste%ului - @U,N#RA/I,ITATI (@) puncte slabe ale siste%ului - I"4ACT (I ) consecinte RI SC . A % V % I Clasificare calitativa - RISC"AR# & - RISC"#DIU $ - RISC R#DUS - RISC IN#>IST#NT ! ia RI SCUL GENERAL . *alo i i't $ / "i 20 /5 FACT-RII D# RISC SI #,#"#NT# C-,AT#RA,# - pierderea anticipata anuali'ata 4AA - rata aparitiei RA - factorul de vulnerabilitate F@ - pierderea potentiala 44 - riscul unei sin1ure pierderi RS4 PAA . RA % PP % FV Cal#ulat p$'t u (i$#a $ p$ $#1$ a#ti* 2 am$'i'ta $ Tipuri de pierderi 7 Fraude reali'ate prin inter%ediul siste%ului Divul1area neautori'ata de infor%atii Furturi de ec+ipa%ente Distru1erea fi'ica a ec+ipa%entelor

METODE DE MI NIMI ZARE A RI SCULUI

I"4#RATI@# 7 - Creea'a din start un siste% infor%atic corect - 4re1ateste utili'atorii pentru procedurile de securitate - -data siste%ul pornit) %entine securitatea sa fi'ica - Securitatea fi'ica asi1urata) previne accesul neautori'at - Avand controlul accesului) se asi1ura ca reluarile de proceduri sa fie corecte - C+iar daca e;ista proceduri de control) cauta cai de a-l perfectiona - C+iar daca siste%ul pare si1ur) auditea'a-l si identifica noi proble%e de securitate - C+iar daca este foarte vi1ilent) pre1ateste-te de de'astre CAI 7 5 De'voltarea si %odificarea siste%ului de control - -rice %odificare de soft trebuie verificata - Asi1urarea docu%entatiei la 'i

- Asi1urarea cu softuri speciali'ate antivirus la 'i $5 4re1atirea personalului pentru reducerea riscului - periodicitate - selectie &5 "entinerea securitatii fi'ice - acces fi'ic restrans 35 Controlul accesului la date) +ard:are si retele - controlul operatiunilor va%ale - definirea e;acta a accesului privile1iat - eli%inarea intru'iunilor - parole - carduri ID - c+ei +ard:are - control retinei) a%prentei di1itale pal%are etc5 1. "ontrolul -oftului Soft de 0erificat (iblioteca Soft 2.

"odificare si testarea softului

Soft -i documentatie .

Controlul softului %odificat si docu%entatiei

I-toric -i-tem Soft -i documentatie 1. Inlocuire
$

- criptare si decriptare date5 Controlul accesului pe ba'a 7 - a ce stii - a ce ai - a ce esti - locului in care te afli5 85 Controlul tran'actiilor - se1re1area indatoririlor - validarea datelor - corectarea erorilor - /acHup
&

Capitolul 3 CONTROLUL GENERAL AL SI STEMELOR I NFORMATI ONALE

A5 C-NTR-, ,A NI@#,U, "ANA?#"#NTU,UI 7

- evaluarea anuala a siste%ului infor%ational - directiile de de'voltare - strate1iile de de'voltare /5 C-NTR-,U, CIC,U,UI D# @IATA - Controlul initierii proiectului siste%ului infor%ational - Controlul anali'ei si proiectarii initiale a siste%ului infor%ational - Controlul ac+i'itiei (de'voltarii) siste%ului infor%ational - Controlul testarii siste%ului infor%ational - Controlul i%ple%entarii si conversiei siste%ului infor%ational - Controlul intretinerii siste%ului infor%ational C5 C-NTR-,U, S#CURITATII SIST#"U,UI - Responsabilitatea %ana1e%entului - Separarea functiilor inco%patibile - Controlul accesului - Controlul securitatii fi'ice - Controlul prevenirii efectelor de'astrelor D5 C-NTR-A,#,# NI@#,U,UI -4#RATI-NA, - Controlul %odului de operare - Controlul retelei de calculatoare - Controlul pre1atirii si introducerii datelor in siste% - Controlul procesarii datelor - Controlul 1estiunii %ediilor de stocare - Controlul 1estiunii aplicatiilor si a docu%entatiilor - Controlul asistentei te+nice #5 #@A,UAR#A 4#RF-R"ANT#,-R SIST#"U,UI
3

CONTROLUL CI CLULUI DE VI ATA

I 5 Controlul initierii proiectului

- Reali'area siste%ului (ac+i'itia) in corelatie cu de'voltarea societatii - Deter%inarea costurilor) econo%icitatii sau alte avanta0e Auditorul %e%bru al ec+ipei de proiectare A5 - STRUCTURAR#A C-R#S4UN=AT-AR# A #CII4#I D# ,UCRU /5 - R#@I=UIR#A ANA,I=#I SIST#"U,UI INF-R"ATI-NA, #>IST#NT C5 - R#@I=UIR#A C-STURI,-R N-U,UI SIST#" D5 - R#@I=UIR#A D-CU"#NTATI#I 4R-I#CTARII C-NC#4TUA,#

I I5 Controlul anali'ei si proiectarii initiale

Scop 1eneral - Siste%ul de'voltat (ac+i'itionat) corespunde cerintelor utili'atorului A5 - R#@I=UIR#A 4R-I#CTU,UI INITIA, /5 - ASI?URAR#A D-CU"#NTATI#I C5 - R#@I=UIR#A S4#CIFICATII,-R FISI#R#,-R SI INTRARI,# AS-CIAT# D5 - R#@I=UIR#A S4#CIFICATII,-R #CII4A"#NT#,-R #5 - R#@I=UIR#A C-STURI,-R SI STANDARD#,-R D# 4R-C#SAR# -r1ani'area proiectului Anali2a -i-temului informational e3i-tent Studii de fe'abilitate !aportul

-tudiului initial Auditor A Auditor ( Auditor " Auditor D *rgani2are proiect Proiectarea ie-irilor Proiectarea proce-arii Proiectarea fi-ierelor Proiectarea intrarilor &ece-ar echipamente '-timare co-turi A("D
8

OBI ECTI VELE AUDI TULUI

Date de intrare - tipul - ori1inea - volu%ul si cresterea anticipata - dependenta te%porala Fisiere - tipul - principale - tran'actii - ba'e de date - %odul de control si de ar+ivare - %ari%ea si cresterea anticipata - frecventa actuali'arii - relatiile cu fisierele din alte siste%e Iesiri - tipul si continutul rapoartelor - volu%ul si cresterile anticipate - frecventa de raportare - suportul de pre'entare Altele - necesar de +ard - cerintele de securitate - cerintele le1ale (soft) - auditibilitatea (proceduri)

I II5 Controlul ac+i'itiei (de'voltarii) siste%ului

a5 De'voltarea inte1rala din interiorul or1ani'atiei (in-+ouse) b5 #c+ipa%ente ac+i'itionate de or1ani'atieJ soft de aplicatie ac+i'itionat de la furni'or (outside) c5 Aplicatie inte1rala la c+eie (outsourcin1) a5 #ste necesara proiectarea de detaliu cu interventia specifica a auditorului b5 Soft-ul se poate co%anda in %od specific c5 Criteriile foarte e;acte de selectie ale furni'orului

I@5 Controlul testarii siste%ului

- testare paralela - testare pilot -biectivele auditului 7 - asi1urarea ca siste%ul functionea'a corect

- in ca'ul intreruperilor) se e%it %esa0e de docu%entare - nu e;ista prelucrari neefectuate

9

@5 Controlul i%ple%entarii siste%ului

-biectivele auditului 7 - controlul atribuirii responsabilitatilor la i%ple%entare - controlul standardelor de eficacitate a i%ple%entarii - controlul planului de i%ple%entare - controlul %odului de i%plicare a utili'atorilor la i%ple%entare

@I5 Controlul intretinerii siste%ului

-biectivele auditului 7 - identificarea factorilor care 1enerea'a necesitatea %odificarii siste%ului - controlul autori'arii e;ecutiei %odificarii - controlul %ecanis%elor ce previn %odificari neautori'ate Factorii care i%pun %odificari ale siste%ului 7 - Aparitia de functii noi - Necesitatea %odificarii raportarii - "odificari in cadrul le1islativ - Aparitia de proble%e nepreva'ute in proiectare

CONTROLUL SECURI TATI I SI STEMELOR I NFORMATI CE

4rocesele de asi1urare a securitatii siste%elor infor%atice indeplinesc functia de a prote0a siste%ele i%potriva folosirii) publicarii sau %odificarii neautori'ate) distru1erii sau pierderii infor%atiilor stocate5 Securitatea siste%elor infor%atice este asi1urata prin controale lo1ice de acces) care asi1ura accesul la siste%e) pro1ra%e si date nu%ai utili'atorilor autori'ati5 #le%ente de control lo1ic care asi1ura securitatea siste%elor infor%atice 7 cerintele de confidentialitate a datelorJ controlul autori'arii) autentificarii si accesuluiJ identificarea utili'atorului si profilele de autori'areJ stabilirea infor%atiilor necesare pentru fiecare profil de utili'atorJ controlul c+eilor de criptareJ 1estionarea incidentelor) raportarea si %asurile ulterioareJ protectia i%potriva atacurilor virusilor si prevenirea acestoraJ fire:allsJ ad%inistrarea centrali'ata a securitatii siste%elorJ trainin1-ul utili'atorilorJ %etode de %onitori'are a respectarii procedurilor IT) teste de intru'iune si rapotari5
<

O4i$#ti*$ )$ #o't ol )$taliat$

Asi1urarea securitatii siste%elor infor%atice 1. Co't olul ma"u ilo )$ "$#u itat$ Securitatea siste%elor infor%atice trebuie or1ani'ata astfel incat sa fie in concordanta cu obiectivele de afaceri ale or1ani'atiei7 includerea infor%atiilor le1ate de evaluarea riscurilor la nivel or1ani'ational in proiectarea securitatii infor%aticeJ i%ple%entarea si actuali'area planului de securitate IT pentru a reflecta %odificarile intervenite in structura or1ani'atieiJ

 evaluarea i%pactului %odificarilor planurilor de securitate IT) si %onitori'area i%ple%entarii procedurilor de securitateJ alinierea procedurilor de securitate IT la procedurile 1enerale ale or1ani'atiei5 2. I )$'ti(i#a $a5 aut$'ti(i#a $a "i a##$"ul Accesul lo1ic la resursele infor%atice trebuie restrictionat prin i%ple%entarea unor %ecanis%e adecvate de identificare) autentificare si acces) prin crearea unei le1aturi intre utili'atori si resurse) ba'ata pe drepturi de acces5 3. S$#u itat$a a##$"ului o'6 li'$ la )at$ Intr-un %ediu IT on-line trebuie i%ple%entate proceduri in concordanta cu politica de securitate) care presupune controlul securitatii accesului ba'at pe necesitatile individuale de accesare) adau1are) %odificare sau ster1ere a infor%atiilor5 7. Ma'a&$m$'tul #o'tu ilo utili!ato Conducerea or1ani'atiei trebuie sa stabileasca proceduri care sa per%ita actiuni rapide privind crearea) atribuirea) suspendarea si anularea conturilor utili'ator5 - procedura for%ala in raport cu 1estionarea conturilor utili'ator trebuie inclusa in planul de securitate5 8. V$ i(i#a $a #o'tu ilo utili!ato )$ #at $ #o')u#$ $ Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confir%e periodic drepturile de acces5 9. V$ i(i#a $a #o'tu ilo utili!ato )$ #at $ utili!ato i Utili'atorii trebuie sa efectue'e periodic controale asupra propriilor lor conturi) in vederea detectarii activitatilor neobisnuite5 0. Sup a*$&1$ $a "$#u itatii "i"t$mului Ad%inistratorii siste%ului infor%atic trebuie sa se asi1ure ca toate activitatile le1ate de securitatea siste%ului sunt inre1istrate intr-un 0urnal) si orice indiciu referitor la o potentiala violare a securitatii trebuie raportata i%ediat persoanelor responsabile5
(

:. Cla"i(i#a $a )at$lo Conducerea trebuie sa se asi1ure ca toate datele sunt clasificate din punct de vedere al 1radului de confidentialitate) printr-o deci'ie for%ala a detinatorului datelor5 C+iar si datele care nu necesita protectie trebuie clasificate in aceasta cate1orie printr-o deci'ie for%ala5 Datele trebuie sa poata fi reclasificate in conditiile %odificarii ulterioare a 1radului de confidentialitate5 ;. C$'t ali!a $a i)$'ti(i#a ii utili!ato ilo "i ) $ptu ilo )$ a##$" Identificarea si controlul asupra drepturilor de acces trebuie efectuate centrali'ate pentru a asi1ura consistenta si eficienta controlului 1lobal al accesului5 1/. Rapoa t$ p i*i') *iola $a "$#u itatii "i"t$mului Ad%inistratorii de siste% trebuie sa se asi1ure ca activitatile care pot afecta securitatea siste%ului sunt inre1istrate) raportate si anali'ate cu re1ularitate) iar incidentele care presupun acces neautori'at la date sunt re'olvate operativ5 Accesul lo1ic la infor%atii trebuie acordat pe ba'a necesitatilor stricte ale utili'atorului (acesta trebuie sa aiba acces nu%ai la infor%atiile care ii sunt necesare)5 11. G$"tio'a $a i'#i)$'t$lo Conducerea trebuie sa i%ple%ente'e proceduri de 1estionare a incidentelor le1ate de securitatea siste%ului) astfel incat raspunsul la aceste incidente sa fie eficient) rapid si adecvat5 12. I '# $)$ $a i' t$ t$ pa ti -r1ani'atia trebuie sa asi1ure i%ple%entarea unor proceduri de control si autentificare a tertilor cu care intra in contact prin %edii electronice de co%unicare5

13. Auto i!a $a t a'!a#tiilo 4olitica or1ani'atiei trebuie sa asi1ure i%ple%entarea unor controale care sa verifice autenticitatea tran'actiilor precu% si identitatea utili'atorului care initia'a tran'actia5 17. P $*$'i $a $(u!ului )$ a##$pta $ a t a'!a#ti$i Siste%ul trebuie sa per%ita ca tran'actiile efectuate sa nu poata fi ne1ate ulterior de nici un participant5 Aceasta presupune i%ple%entarea unui siste% de confir%are a efectuarii tran'actiei5 18. I '(o matiil$ "$'"i4il$ t $4ui$ t a'"mi"$ 'umai p$ u' #a'al )$ #omu'i#atii #o'"i)$ at "i&u )$ pa ti5 #a $ "a 'u p$ mita i't$ #$pta $a )at$lo
*

19. P ot$#tia (u'#tiilo )$ "$#u itat$ Toate functiile or1ani'atiei le1ate de asi1urarea securitatii trebuie prote0ate in %od special) in vederea %entinerii inte1ritatii acestora5 -r1ani'atiile trebuie sa pastre'e secrete procedurile de securitate5 10. Ma'a&$m$'tul #1$ilo )$ # ipta $ Conducerea trebuie sa defineasca si sa i%ple%ente'e proceduri si protocoale pentru 1enerarea) %odificarea) anularea) distru1erea) certificarea) utili'area c+eilor de criptare pentru a asi1ura protectia i%potriva accesului neautori'at5 1:. P $*$'i $a5 )$t$#ta $a "i #o $#ta $a p o& am$lo )i"t u#ti*$ In vederea prote0arii siste%ului i%potriva aplicatiilor distructive (virusi)) trebuie i%ple%entata o procedura adecvata care sa includa %asuri de prevenire) detectare) actiune) corectare si raportare a incidentelor de acest fel5 1;. A 1it$#tu i Fi $<all "i #o'$#ta $a la $t$l$ pu4li#$ In ca'ul in care siste%ul or1ani'atiei este conectat la Internet sau alte retele publice) pro1ra%e de protectie adecvate (fire:alls) trebuie i%ple%entate pentru a prote0a accesul neautori'at la resursele interne ale siste%ului5 2/. P ot$#tia *alo ilo $l$#t o'i#$ Conducerea trebuie sa asi1ure protectia si inte1ritatea cardurilor si a altor dispo'itive folosite pentru autentificare sau inre1istrare de date considerate sensibile (financiare)5

SECURI TATEA SI STEMELOR I NFORMATI ONALE R#S4-NSA/I,ITATI

-r1ani'atia trebuie sa aiba o politica se securitate infor%ationala5 Responsabilitatile personalului Atributiile responsabilului cu securitatea Clarificarea datelor si nivelurile de securitate Controlul (auditul) intern al securitatii 4olitica de securitate se refera la tot personalul an1a0at 7 - standarde interne si principii privind securitatea S5I5 - la nivel 1robal - pe 1rupe (functii) sectii) de lucru - codul etic al an1a0atilor si pre1atirea acestora5
$!

S#4ARAR#A FUNCTII,-R INC-"4ATI/I,#

- ,i%itea'a erorile si fraudele - Creste probabilitatea detectarii fraudelor Separarea functiilor se reali'ea'a in do%eniile 7 - initierea si autori'area tran'actiilor - inre1istrarea tran'actiilor -custodia activelor 4ersoane diferite pentru operatiile 7

- pro1ra%are operare - procesare date pre1atire - 1estionar %e%orie e;terna operator - eliberare) %ultiplicare) distru1ere infor%atii autori'are - pro1ra%are ad%inistrare ba'a de date - responsabil securitate orice alte activitati - controlul drepturilor de acces alte functii (activitati)

AUT-RI=AR#A UTI,I=AT-RI,-R
5 Identificare 7 calculatorul recunoaste un potential utili'ator al siste%ului $5 Autentificare 7 functia de stabilire a validitatii identitatii pretinse &5 Autori'are 7 utili'atorului recunoscut i se per%ite accesul la resursele siste%ului

CONTROLUL ACCESULUI
Riscurile accesului neautori'at 7 - Di%inuarea confidentialitatii - Furtul infor%atiilor - Divul1area neautori'ata de infor%atii - Di%inuarea inte1ritatii infor%atiilor - Intreruperea functionarii siste%ului Controlul accesului in %ediile publice utili'and FIR#DA,, I%pune o politica de control a accesului intre doua retele5 - Intre1 traficul de date trece prin el - #ste per%isa nu%ai trecerea autori'ata prin politica locala de securitate - Siste%ul insusi este i%un la penetrare
$

- "onitori'area co%unicatiilor TC4EI4 - 4oate inre1istra toate co%unicatiile - 4oate fi folosit la criptare5

ETAPELE ATACULUI LA O RETEA

I5 Colectare de infor%atii - 4rotocol SN"4 - e;a%inea'a tabela de rutare pentru un router neprote0at - 4ro1ra%e TRAC# R-UT# - ofera adresele retelelor si routelor inter%ediare spre o tinta - Serverele DNS - pot fi intero1ate pentru a obtine infor%atii referitoare la tipul calculatoarelor) nu%ele si adresele I4 ascoiate - 4rotocol FIN?#R - infor%atii despre utili'atorii unui calculator 1a'da lo1in) nr5 telefon) data ulti%ei conectari - 4ro1ra%ul 4IN? - deter%ina daca un calculator e disponibil II5 Testarea securitatii siste%elor - 4ro1ra% de scanare a securitatii siste%elor - ISS (INT#RN#T S#CURIT. SCANN#R) - SATAN (S#CURIT. AD"INISTRAT-R T--, F-R AUDITIN? N#TD-RC) - 4ro1ra%e proprii pentru conectare la porturile specifice ale serviciilor vulnerabile5 III5 Accesarea siste%elor prote0ate - obtinerea accesului (privile1iat) - instalea'a SNIF##R pro1ra% de %onitori'are a pac+etelor din retea pentru a obtine nu%e de conturi si parole5 Avanta0ele folosirii FIR#DA,, - Concentrarea securitatii la server sau nod de retea - I%punerea unei politici de acces la retea - Asi1ura protectia serviciilor vulnerabile NFS) "IS) FIN?#R - "onitori'ea'a si furni'ea'a statistici cu privire la folosirea retelei

Limit$l$ u'ui FI RE=ALL

- Restrictionea'a) bloc+ea'a accesul la unele servicii T#,#N#T) FT4 - 4rotectie sca'uta pentru atacuri din interior - 4rotectie sca'uta fata de virusi - Di%inuea'a vite'a de co%unicare cu e;teriorul - Fiabilitate redusa datorita centrali'arii5
$$

Compo'$'t$ FI RE=ALL
A5 R-UT#R cu filtrare de pac+ete Re1ulile de filtrare sunt i%puse de ad%inistratorul siste%ului5 Criterii de or1ani'are a filtrului 7 - Adresa I4 a sursei - Adresa I4 a destinatiei - 4ortul sursa TC4EUD4 - 4ortul destinatie TC4EUD4 /5 S#R@#R#,# 4R->. 6 se interpun intre client si serverul R#A, si per%ite transferul de date confor% politicii de securitate5 "onitori'ea'a toate co%unicatiile5 Reali'ea'a controlul la nivelul aplicatiei 7 - autentificarea utili'atorilor interni si e;terni - filtrarea individuala a operatiilor protocolului - %onitori'are C5 4oarta la nivel de circuit este un pro;2 local5 Functionea'a ca un filtru de pac+et5

AR>I TECTURI FI RE=ALL

I5 FIR#DA,, TI4 FI,TRU D# 4ACI#T# 4rincipii 6 tot ce nu este per%is e;plicit este inter'is5 II5 FIR#DA,, TI4 CA,CU,AT-R ?A=DA 4R-T#FAT #ste for%at din 6 router de filtrare 6 statie bastion (pro;2) III5 FIR#DA,, TI4 SU/R#T#A 4R-T#FATA - doua routere de filtrare - statie bastion (pro;2) -F#RT# D# FIR#DA,, 7 N#TDA,, http://www.bull.com 4I> FIR#DA,, www.ci-co.com #A?,# www.raptor.com SUNSCR##" www.incog.com
$&

CONTROLUL SECURI TATI I FI ZI CE

Au)ito ul *$ i(i#a ma"u a i' #a $ a##$"ul (i!i# la )at$ "i $"u "$l$ 1a )<a $ "u't $"t i#tio'at$ #o $"pu'!ato + - Cu% este restrictionat accesul fi'ic la facilitatile IT din fir%aK - Cu% este restrictionat accesul la spatiile unde se afla ec+ipa%entele pe care se reali'ea'a prelucrarileK - Cu% sunt prote0ate stocarile offline de dateK - Cat de si1ura) din punct de vedere infor%ational) este scoaterea din u' a calculatoarelor si %ediilor de stocare a datelorK #;istenta unor pro1ra%e 1en #as2 Recover2 sau ,ost G found care per%it recuperarea datelor sterse de pe %ediile de stocare5 Co%anda UNF-R"AT din D-S5

 dificultatea asi1urarii controlului accesului fi'ic la fiecare co%ponenta +ard:are e;tinderea lucrului in retea si a utili'arii siste%elor distribuite s-a caracteri'at prin concentrarea atentiei pe controlul accesului lo1ic) dar controlul accesului fi'ic ra%ane in continuare i%portant) el repre'entand o co%ponenta a siste%ului de securitate5

COPI I DE SI GURANTA SI EVENIMENTE NEPREVAZUTE

Au)ito ul t $4ui$ "a *$ i(i#$ )a#a la 'i*$lul o &a'i!ati$i $%i"ta + - 4roceduri prin care sa se asi1ure functionarea siste%ului in ca'ul caderii ali%entarii cu ener1ie electrica sau a cailor de co%unicatii5 #;ista sectoare LsensibileM bancar) bursier) securitatea statului) ener1etic etc5 care i%pun asi1urarea functionarii continue a siste%elor infor%atice ceea ce i%plica e;istenta unor surse alternative de ener1ie siEsau co%unicatii5 - 4lanuri bine testate si docu%entate) actuali'ate periodic prin care sa se asi1ure operationalitatea siste%ului infor%atic in conditiile producerii unor eveni%ente nepreva'ute5 - 4roceduri si controlul aplicarii acestora) privind reali'area copiilor de si1uranta si refacerea starii siste%ului in ca'ul LcaderiiM acestuia ca ur%are a unor cau'e +ard sau soft5 - #;istenta unui contract de asi1urare a or1ani'atiei pentru eveni%ente nepreva'ute5 - Nivelul de instruire a personalului cu privire la procedurile aplicabile in ca'ul reali'arii periodice a copiilor de si1uranta sau e;ecutarii procedurilor de cri'a in ca'ul producerii de'astrelor5 D$!a"t $ + - actiuni cu scop distructiv produse intentionat sau nu) inclusiv @IRUSI - de'astre naturale Conceptul de /USIN#SS C-NTINUIT. "ANA?#"#NT (/C") 7 anticiparea incidentelor care pot afecta functiile critice si procesele or1ani'atiei asi1urand ca or1ani'atia va raspunde oricarui incident confor% planurilor elaborate pana la revenirea activitatii la o desfasurare nor%ala5 functia IT este una fin functiile critice ale or1ani'atiei5 plan de actiune care cuprinde proceduri si persoanele responsabile cu punerea in practica a actiunilor de li%itare a distru1erilor si refacerea siste%ului 7
$3

Stabilirea ec+ipei responsabile cu reali'area unui plan de refacere a siste%ului for%ata din personalul din co%parti%entul de specialitate) auditorul siste%ului infor%atic) utili'atori5 #laborarea procedurilor de verificare a principalelor co%ponente ale siste%ului (date) soft) +ard) docu%entatii) in ca'ul producerii eveni%entelor distructive si stabilirea responsabilitatilor5 Stabilirea locatiilor in care vor fi pastrate copiile de si1uranta) docu%entatiile si co%ponente +ard:are5 Stabilirea prioritatilor privind procedurile ce trebuie efectuate5 Stabilirea locatiei in care se vor e;ecuta procedurile5 Testarea planului pe ele%ente co%ponente5 Docu%entarea planului Nu toate incidentele (eveni%entele distructive) pot fi anticipate prin /C" 4lanificarea continuitatii activitatii in cadrul or1ani'atiei i%plica aspectele functiei IT 7 Ce a facut %ana1e%entul privitor la riscul de LcadereM a siste%ului si fata de scenariul de de'astre5 Cu% sunt testate si actuali'ate planurile de continuitate a activitatii 7

- Revederea planurilor e;istente - Sunt clar preci'ate responsabilitatileK - Care este nivelul de instruire a personalului i%plicatK N-TA 7 LRisculM anului $!!! a repre'entat un eveni%ent pentru care /C" a trebuit sa prevada un plan de actiune5 R$(a#$ $a i' #a!ul $"$#ului op$ atio'al Auditorul verifica 7 - daca sunt stabilite proceduri adecvate in ca'ul producerii unor esecuri operationale - daca aceste proceduri sunt verificate si aprobate de staff-ul IT - daca aceste esecuri operationale sunt identificate) re'olvate la ti%p) co%se%nate si raportate - in ce %asura ec+ipa%entele sunt adecvat plasate si prote0ate pentru a se preveni riscul distru1erii accidentale (foc) fu%) praf) vibratii) radiatii electro%a1netice etc5) - in ce %asura ec+ipa%entele sunt corect intretinute - ce controale e;ista pentru prevenirea esecurilor operationale produse din 7 cau'e +ard:are neaplicarea corecta a procedurilor de operare erori soft:are - care sunt procedurile de R#START si R#FAC#R# (Recover2) pentru refacerea starii siste%ului in ur%a unui esec operational - in ca' de incidente sunt evaluate actiunile operatorilor pentru a se vedea daca prin actiunile lor nu au afectat calitatea prelucrarilor sau structurile de date5 BAC,UP Actuali'arile folosind bacHup-urile datelor (fisierelor)) aplicatiilor si soft:are-ul de siste% trebuie sa fie posibile in ca' de ur1enta 7 - Sunt procedurile de bacHup (pentru date si soft) cele potriviteK - Sunt bacHup-urile corect 0urnali'ate si stocate in locatii si1ureK
$8

- #;ista si1uranta ca bacHup-urile si procedurile R#C-@#R. vor lucra la nevoieK - Datele din fisierele copii sunt acoperitoare pentru refacerea fisierelor operationaleK Frecventa reali'arii copiilor este direct proportionala cu volu%ul tran'actiilor si i%portanta datelor pentru or1ani'atie Confor% procedurilor bacHup copiile pot fi 7 - partiale - totale Cea %ai populara te+nica de bacHup este ?FS (bunic-tata-fiu) 7 - se fac copii 'ilnice - copia 'ilnica se va rescrie in sapta%ana ur%atoare - la sfarsitul sapta%anii se reali'ea'a Lcopia sapta%aniiM (corespunde ulti%ei copii 'ilnice) - copia sapta%anii se reface in luna ur%atoare - la sfarsitul fiecarei luni se reali'ea'a Lcopia luniiM5 Aceasta se reface in tri%estrul sau anul ur%ator SOFT=ARE BAC,UP - Copii ale siste%ului de operare si ale aplicatiilor (se reali'ea'a in %asura in care licenta per%ite acest lucru) - Copiile trebuie pastrate in loc si1ur (c+iar alte locatii decat sediul fir%ei)5

 >ARD=ARE BAC,UP - Ac+i'itionarea unui al doilea siste% care poate fi 7 Un siste% STAND/. I-T 7 poate prelua i%ediat functia siste%ului operational Un siste% STAND/. C-,D 7 stocat separat si la nevoie conectat pentru a putea fi folosit - Inc+eierea unui contract cu o fir%a al carei siste% de procesare a datelor are aceleasi facilitati si poate sa suporte prelucrarile fir%ei al carui siste% nu %ai este operational - Apelarea la o fir%a care ofera servicii in acest do%eniu - Contractele de service cu furni'orul +ard:are sa prevada furni'area) pe ti%p li%itat) a ec+ipa%entelor care vor inlocui pe cele avariate5 SIST#"# DU4,ICAT# 7 - specifice do%eniilor cu risc %are 7 banci) burse) etc5 - au locatii 1eo1rafice separate pentru %ini%ali'area riscului de %ediu - actuali'area si%ultana) prin tran'actiile curente atat a siste%ului operational cat si pe cel duplicat5
$9

CONTROLUL NI VELULUI OPERATI ONAL

Distribuirea prelucrarii i%pune controlul la nivel operational Activitati auditate 7 5 -perarea efectiva la postul de lucru - restrictionarea accesului - utili'area eficienta a ti%pului de lucru - intretinerea si repararea ec+ipa%entului - cunoasterea si respectarea procedurilor de catre utili'atori $5 Reteaua de calculatoare - "odul de %onitori'are a traficului pe retea - 4olitica antivirus server sau post de lucru - Controlul politicilor de acces si restrictionare - 4rotectia cone;iunii la retele publice Auditorul ur%areste 7 Controlul reteleiEaccesului dial-up7 Accesul de la distanta la SI (prin cone;iunile la retea sau dial-up) trebuie sa fie restrictionate corespun'ator7 - Cu% sunt autentificate conectarile de la distanta la calculatoarele or1ani'atieiK - Daca reteaua este %are) in ce %asura este or1ani'ata pe do%enii separateK - Daca reteaua este parta0ata (%ai ales daca se e;tinde dincolo de or1ani'atie) ce controale e;ista pentru a se verifica faptul ca utili'atorii accesea'a doar portiunile de retea pentru care sunt autori'atiK - Cu% sunt prote0ate trans%isiile in reteaK - Daca este corespun'ator nu%arul de utili'atori dial-upK - Cu% sunt autentificati utili'atorii dial-upK - In ce %asura disponibilitatea facilitatilor dial-up este restrictionata la %o%entele de ti%p ('iEsapta%ana)K - Ce controale se folosesc pentru dia1nosticul porturilorK Controlul cone;iunilor e;terne la retea (Internet) #DI) #FT) - Cone;iunile e;terne trebuie folosite doar pentru scopuri valide ale afacerii si controalele trebuie sa previna ca aceste cone;iuni sa sub%ine'e securitatea siste%ului - In ce %asura aceste cone;iuni e;terne sunt i%puse de nevoi ale or1ani'atieiK - Cat de si1ura este posta electronica a or1ani'atieiK

- Cat de bine este prote0at 1ate:a2-ul dintre Internat si %ediul fir%eiK -Ce controale e;ista pentru a preveni accesarea unor site-uri inadecvateK - Ce controale e;ista pentru a preveni navi1area neproductiva pe Internet a personalului si in afara sarcinilor de serviciuK - Cat de bine sunt prote0ate cone;iunile e;terne ale retelei pentru folosirea #DI si #FTK Solutia +ard:are si soft:are a retelei trebuie sa asi1ure nevoile de disponibilitate) perfor%anta si fle;ibilitate5 - Ce docu%entatie de retea este disponibilaK
$<

- Cu% sunt aprobate %odificarile din retea) controlate si testateK - Ce procese au loc pentru planificarea capacitatii si %onitori'area nivelului de perfor%antaK &5 4re1atirea datelor si introducerea in siste% - 4re1atirea docu%entelor pri%are Datele sunt clasificate) 1rupate) verificate) sortate si trans%ise pentru procesare5 - Controlul introducerii datelor Acuratetea datelor depinde de 7 - calitatea controalelor - factorul u%an - tipul ec+ipa%entelor folosite pentru introducerea datelor in s2ste%5 35 4rocesarea datelor - Acces autori'at pentru declansarea procedurilor - Respectarea ter%enelor si ti%pilor de procesare - 4rote0area fisierelor - 4astrarea re'ultatelor procesarii Auditorul va verifica cu% %ana1e%entul controlea'a %asura in care rolul si responsabilitatile personalului i%plicat in procesarea datelor sunt cunoscute si respectate) focali'and pe procedurile de 7 - bacHup si refacerea siste%ului - prelucarea pe loturi (batc+) siEsau on-line5 Asi1urarea la ti%p a datelor necesare prelucrarilor) %ai ales in ca'ul in care acestea sunt asi1urate de alte siste%e infor%atice (interne sau e;terne or1ani'atiei) - intretinerea soft:are-ului5 Auditorul va ur%ari %asura in care a asi1urat docu%entatia necesara personalului i%plicat in procesarea datelor5 85 ?estionarea %ediilor de stocare 4astrarea) utili'area si intretinerea 7 - disc+etelor - CD-urilor - IDD-urilor - casetelor cu banda (data cartdri1e) - casetelor 'ip Furnalul de evidenta a %ediilor de stocare cuprinde 7 - identificatorul (etic+eta) %ediului de stocare - locali'area curenta
$(

- persoana responsabila (1estionarul) - data ac+i'itiei

- utili'atorul - fisiereleEpro1ra%eleEaplicatiile continute - persoanele autori'ate sa accese'e %ediul - data ulti%a cand a fost folositK De cineK Data restituiriiK - data la care continutul poate fi sters Cu% sunt prote0ate stocarile offline de dateK 95 ?estionarea aplicatiilor si a docu%entatiei - %odul de pastrare - %odul de acces - actuali'area docu%entatiei - copii de si1uranta5 <5 Asistenta te+nica - %odul de ac+i'itionare a +ard:are-ului - instruire utili'atori - identificarea erorilor de procesare si %odul de re'olvare - controlul soft-urilor - raportarea incidentelor5 "ana1e%entul trebuie sa stabileasca nivelurile de service necesitate de utili'atori si sa stabileasca politicile privind asi1urarea acestora 7 - In ce %asura corespund contractele de service e;istente nevoilor realeK - In ce %asura service-ul asi1urat raspunde cerintelor de securitateK (5 "onitori'area perfor%antelor "onitori'area perfor%antei operationale si aprobarea procedurilor docu%entate5 "ana1e%entul trebuie sa %onitori'e'e perfor%anta privitoare la nivelele de service si a procedurilor de operare5 - Ce infor%atii pri%este %ana1erul pentru a-i per%ite sa %onitori'e'e starea %ediului +ard si ter%inarea la ti%p a prelucrarilor batc+K - Cat de des se pri%esc aceste infor%atiiK - In ce %asura au e;istat proble%e cu perfor%anta co%ponentelor +ard:are siEsau e;ecutarea la ti%p a prelucrarilor batc+K - Ce %onitori'are se desfasoara pentru verificarea operarii eficiente a calculatoruluiK - In ce %asura au e;istat proble%e cu neaprobarea unor proceduri definite pentru operarea calculatoruluiK
$*

Capitolul 7 CONTROLUL APLI CATI I LOR CONTROLUL GENERAL 2 CONTROLUL APLI CATI I LOR
- Controlul 1eneral asi1ura inte1ritatea siste%ului va'ut ca un intre1) inclusiv e;ecutia aplicatiilor si controlul fisierelor e;ploatate5 - Controlul aplicatiilor asi1ura acuratetea) inte1ritatea si co%pletitudinea tran'actiilor5

CONTROLUL APLI CATI I LOR

- -biectivele controlului ra%an aceleasi - Controalele derulate pot fi %anuale sau auto%ate5 5 TI4URI D# C-NTR-A,# - Controlul datelor de intrare - Controlul prelucrarilor - Controlul inte1ritatii fisierelor - Controlul securitatii aplicatiei - Controlul iesirilor - Controlul fisierelor principale ("AST#R FI,#S) $5 UTI,I=AT-RII A4,ICATI#I - proprietarul

- ad%inistratorul - utili'atori curenti 4R-4RI#TARU, - utili'ator principal - are responsabilitatea aplicatiei - nu este i%plicat in e;ecutarea aplicatiei - delea1a sarcini AD"INISTRAT-RU, SARCINI7 - sa si1ure functionarea controlului lo1ic asa cu% s-a preva'ut - sa asi1ure actuali'area controlului lo1ic - sa verifice e;istenta bacHup-ului aplicatiei - sa re'olve cerintele utili'atorilor - sa asi1ure identificarea) %onitori'area si raportarea proble%elor - pastrarea si distributia docu%entatiei - asi1ura le1atura intre departe%entul IT) utili'atorii siste%ului si fir%a soft:are furni'oare5
&!

UTI,I=AT-RII CUR#NTI - Aplicatia repre'inta un instru%ent de lucru pentru reali'area sarcinilor lor - Sunt instruiti cu% sa foloseasca aplicatia pentru a-si reali'a sarcinile de serviciu5 &5 C,ASIFICAR#A A4,ICATII,-R - Siste%e cu intrari de tip batc+ (loturi) - Siste%e cu intrari de tip batc+ si consultare online - Siste%e cu procesare pe loturi si consultare online 35 AUDIT-R C-NTR-,U, A4,ICATI#I - Auditorul trebuie sa dopte o abordare eficienta si eficace a auditului - Auditorul trebuie sa cunoasca si sa intelea1a siste%ul si controalele interne - Daca controalele acopera obiectivele auditului si par a fi robuste auditorul poate selecta testele considerate ca necesare5 85 4,ANU, D# AUDIT Contine 7 - obiectivele fi;ate - probele pe care auditorul se asteapta sa le obtina in ur%a auditului - a%ploarea (intinderea) testelor pro1ra%ate - ce se va considera ca esec al controlului - cate astfel de esecuri pot fi tolerate 95 4R-/#,# - 4robele pot fi sub for%a 7 ,istelor de control al accesului ,i%itelor autori'arilor auto%ate ale utili'atorilor Furnalelor de securitate Cererile de %odificari si %odul de solutionare a acestora etc5 - Se obtin prin co%binarea 7 -bservarii C+estionarii #;a%inarii #santionare (folosind te+nici asistate de calculator) <5 CAT D# D#4ART# SA S#"#AR?A CU T#ST#,#K - Rationa%entul auditorului

- Rationa%entul ia in considerare7 Frecventa controlului ?radul de incredere pre'entat de controalele aplicatiei Natura probelor pe care auditorul ur%areste sa le obtina Continuitatea controlului I%portanta controlului si a tran'actiilor5
&

CONTROLUL I NTRARI LOR5 PRELUCRARI LOR SI I ESI RI LOR ,A C# F-,-S#SC C-NTR-A,#,# A4,ICATI#IK - Asi1ura co%pletitudinea) acuratetea si validitatea inre1istrarilor - Controalele vi'ea'a 7 intrarile) prelucrarile) iesirile5 R#S4-NSA/I,ITATI - Cine are responsabilitatea acestor controaleK - Sunt cele %ai adecvate controale K - Ce rol are auditorul ITK INT#,#?#R#A SI D-CU"#NTAR#A 4RI@IND A4,ICATII,# FINANCIAR# - Auditorul trebuie sa produca dove'i ca a inteles %odul de functionare a SI si controalele acestuia - Aceasta a obtinut cunoasterea si prin docu%entare asupra 7 Flu;ului tran'actiilor prin siste% Controalele aplicate intrarilor) prelucrarilor) iesirilor5 - Auditorul trebuie sa identifice si sa cunoasca orice docu%entatie a aplicatiei e;istenta la client5

CONTROLUL I NTRARI LOR

#ste folosit pentru a asi1ura ca toate tran'actiile sunt 7 - introduse corect - co%plete - valide - autori'ate - aferente perioadei de 1estiune curente - inre1istrate corect in conturi (in ca'ul aplicatiilor contabile)5 AUT-RI=AR#A - Autori'area controalelor reduce riscul erorilor) fraudei si tran'actiilor ile1ale - Autori'area poate fi controlata prin identificarea utili'atorului) care a introdus datele in siste%) pe ba'a privile1iilor asociate ID-urilor utili'atorilor - Se introduc doar date autori'ateK Cine si cu% autorirea'a datele de intrareK @alidarea intrarilor - se poate reali'a %anual sau auto%at - controalele de validare trebuie sa asi1ure indeplinirea criteriilor de validare a datelor stabilite - reduce riscul introducerii de date incorecte , "a;i%a L1arba1e in 1arba1e outM atentionea'a asupra i%portantei acuratetei datelor de intrare5 #ste %ai eficient sa aloci resurse pentru
&$

asi1urarea acuratetei si co%pletitudinii datelor de intrare decat sa fii nevoit sa le corecte'i in ti%pul sau) %ai 1rav) dupa inc+eierea procesului de prelucrare si c+air a depunerii situatiilor financiare5 Controlul datelor de intrare trebuie adaptat la %odalitatile diferite de introducere a datelor in siste% 7 - de la tastatura (unde riscul erorilor este %ai %are)

- scanarea docu%entelor - utili'area perifericelor sen'oriale - citirea barelor de cod - AT"-uri si ter%inale 4-S - #DI (#,#CTR-NIC DATA INT#RCIAN?#) - 1enerarea auto%ata a tran'actiilor (e;5 7 plati planificate) calcularea lunara a doban'ilor) Nu toate intrarile pre'inta un suport %aterial (docu%ente pe suport +artie)) %ulte fiind in for%at electronic5 In ca'ul preluarii auto%ate sau 1enerarii auto%ate e;ista riscuri %ai %ici de eroare fata de preluarea datelor prin tastare5 Tipuri de controale aplicate asupra datelor de intrare C-NTR-,U, F-R"ATU,UI - Se verifica 7 Natura datelor ,un1i%ea datelor trunc+ieri Nu%arul de 'eci%ale ad%is Acceptarea valorilor ne1ative sau doar a celor po'itive For%atul datei calendaristice Aplicarea se%nului %onetar C-NTR-,U, D-"#NIU,UI D# D#FINITI# A ATRI/UT#,-R a) incadrarea intr-o %ulti%e de valori prestabilita (e;57 abrevierile 0udetelor) tipuri de unitati de %asura) tipuri de docu%ente) b) incadrarea intr-un interval de valori prestabilit (e;57 salariul an1a0atilor ia valori in intervalul N$58!!5!!!) &!5!!!5!!!O) c) validari ale reali'arilor unor atribute diferite nu%it si testul dependentei lo1ice dintre ca%puri5 #;57 validarile privind corespondenta conturilor contul > se poate debita doar prin creditarea conturilor A)/)C5 d) testul Lre'onabilitatiiM datelor 7 - aceste teste verifica daca datele sunt re'onabile in raport cu un standard sau date introduse anterior5 Datele standard pot fi stocate intr-un fisier sau pot repre'enta constante definite la nivelul aplicatiei (e;57 un standard poate fi repre'entat de nu%arul de ore lucratoare intr-o luna) stabilit in functie de 'ilele lucratoare si sarbatorile le1ale) nivelurile de dobanda practicate de banca etc5)
&&

C-NTR-,U, ACURAT#T#I ARIT"#TIC# 4e ba'a unor date de intrare introduse de operator pot fi verificate ele%entele calculate din docu%entul pri%ar #;5 7 pe ba'a cantitatii si pretului unitar al unui articol inscris intr-o factura siste%ul 1enerea'a auto%at pe ecran valoarea produsului) T@A-ului) valoarea cu T@A si apoi totalul facturii operatorul putand confrunta aceste su%e calculate cu cele inscrise in factura5 C-NTR-,U, #>IST#NT#I DAT#,-R - Testul se refera in principal la validarea datelor de intrare repre'entand coduri5 #ste suficient sa introduci codul unul client si pe ecran sa se afise'e nu%ele acestuia sau un %esa0 de eroare atentionand asupra introducerii unui cod incorect5 T#STU, CIFR#I D# C-NTR-, - se aplica asupra datelor de intrare repre'entand ele%ente codificate - ur%areste re0ectarea codurilor eronate introduse

- cau'a erorii la nivelul ele%entelor codificate poate fi 7 Trunc+ierea Adau1area unui caracter supli%entar Transcrierea incorecta a codului in docu%entul pri%ar Transpo'itia caracterelor la introducerea codului5 - presupune deter%inarea cifrei de control aferente codului introdus prin aplicarea al1orit%ului prestabilit5 In %asura in care cifra de control deter%inata auto%at nu corespunde celei incluse in codul introdus siste%ul va trebui sa atentione'e printr-un %esa0 corespun'ator asupra erorii aparute5 T#STU, TRAN=ACTII,-R DU4,ICAT# - siste%ul ad%ite introducerea repetata a acelorasi dateK #;5 7 introducerea repetata a unui aceluiasi docu%ent (factura) bon de consu% etc5)5 S-,UTI-NAR#A TRAN=ACTII,-R R#F#CTAT# - cu% se solutionea'a tran'actiile neacceptate de siste% (care nu au trecut testul de validare)K - cine raspunde de verificarea acestor date de intrare si de reintroducere lorK - sunt 1enerate liste continand intrarile re0ectateK - daca aceste tran'actii sunt conse%nate in docu%entele pri%are depistarea erorii este %ai usoara si corectarea se poate