Documente Academic
Documente Profesional
Documente Cultură
CUPRINS
CAPITOLUL 1: CADRUL INSTITUTIONAL AL AUDITULUI I. AUDIT FINANCIAR IFAC (INT RNATIONAL F D RATION OF ACCOUNTANTS! " F D RATIA INT RNATIONALA A CONTA#ILILOR II. AUDITUL SIST $ LOR INFOR$ATIONAL ISACA (Information s%stems audit and control association! CAPITOLUL 2: RISCURI ASOCIAT SIST $ LOR INFOR$ATIC RISCURIL ASOCIAT SIST $ULUI INFOR$ATIONAL $OD LUL CANTITATI& D &ALUAR A RISCURILOR RISCURI SI ACCID NT D CLANSAT $ TOD D $INI$I'AR A RISCULUI CAPITOLUL 3: CONTROLUL ( N RAL AL SIST $ LOR INFOR$ATIONAL CONTROLUL CICLULUI D &IATA O#I CTI& L AUDITULUI CONTROLUL S CURITATII SIST $ LOR INFOR$ATIC O#I CTI& D CONTROL D TALIAT S CURITAT A SIST $ LOR INFOR$ATIONAL S PARAR A FUNCTIILOR INCO$PATI#IL AUTORI'AR A UTILI'ATORILOR CONTROLUL ACC SULUI TAP L ATACULUI LA O R T A LI$IT L UNUI FIR )ALL CO$PON NT L FIR )ALL AR*IT CTURI FIR )ALL CONTROLUL S CURITATII FI'IC COPII D SI(URANTA SI & NI$ NT N PR &A'UT CONTROLUL NI& LULUI OP RATIONAL CAPITOLUL 4: CONTROLUL APLICATIILOR CONTROLUL INTRARILOR+ PR LUCRARILOR SI I SIRILOR CONTROLUL S CURITATII APLICATI I COL CTAR A SI &ALUAR A PRO# LOR BIBLIOGRAFIE
Capitolul 1 CADRUL I NSTI TUTI ONAL AL AUDI TULUI I . AUDIT FINANCIAR IFAC (International Federation of Accountants) Federatia Internationala a Contabililor - Standarde de audit financiar - Cadrul privind conduita etica si profesionala
- Declaratii de practica de audit - !! "#DII CIS - "icrocalculatoare - !!$ "#DII CIS - Siste% de "icrocalculatoare on line - !!& "#DII CIS - Siste% de ba'e de date - !!( #valuarea riscurilor si controlul intern) caracteristici si considerente CIS - !!* Te+nici de audit asistate de calculator I I . AUDITU, SIST#"#,-R INF-R"ATI-NA,# ISACA (INF-R"ATI-N S.ST#"S AUDIT AND C-NTR-, ASS-CIATI-N) - Standarde de audit al siste%elor infor%ationale - Codul etic al auditorilor de siste%e infor%ationale - C-/IT (Control -b0ectives for Infor%ation and Related Tec+nolo12) - ISA 3! Auditul intern - %ediu cu siste%e infor%atice - IA4S !!& "ediul CIS Siste% de ba'e de date - IA4S !!$ Riscuri asociate auditului intern in CIS5
&
LOCUL AUDI TULUI PRI VI ND PAD I N ANSAMBLUL ACTI VI TATI LOR DE AUDI T DI N CADRUL ORGANI ZATI EI
Audit managerial Audit financiar Auditul jurnalelor contabile Auditul aplicatiilor contabile Audit PAD Audit general al SI Auditul
DSOLFD L*L
COBI T repre'inta cadrul 1eneral de aplicabilitate a practicilor privind securitatea si controlul te+nolo1iei infor%ationale5 6 enuntarea obiectivelor de atins prin i%ple%entarea unor %asuri de control specifice unui do%eniu particular de activitate a te+nolo1iilor infor%ationale Resurse folosite in IT 7 - Date (repre'entari si proiecte) - Aplicatii (su%a procedurilor %anuale si auto%ati'ate) - Te+nolo1ia propriu-'isa (+ard) soft de ba'a) retele de co%unicatii) - Resurse u%ane - Facilitati (resurse de sustinere a siste%ului infor%ational) Criterii de evaluare a infor%atiei 7
- eficacitate - confidentialitate - inte1ritate - disponibilitate - realitate - oportunitate AUDITU, repre'inta o activitate de concepere a unui siste% care previne) detectea'a si corectea'a eveni%ente ilicite in viata unei or1ani'atii5
8
- ,ipsa unei dove'i vi'ibile a tran'actiei - ,ipsa unor iesiri vi'ibile - Usurinta de a accesa datele si softurile C5 Aspecte procedurale - consecventa e;ecutiei - proceduri de control pro1ra%ate - o tran'actie are efect in fisiere %ultiple - vulnerabilitatea %ediilor de stocare Riscuri asociate unui siste% infor%atic 7 a) pierderea) deturnarea) %odificarea infor%atiilor b) accesul neautori'at la infor%atii c) intreruperea procesarii
<
$5 Functionarea defectuoasa a +ard:are-ului Ca'uri 6 **3 functionarea defectuoasa a %icroprocesorului 4#NTIU"5 4ierderea a 3<8 %ilioane USD5 **3 ( au1ust) NASDAB nu a functionat &3 %inute din cau'a defectarii liniilor de co%unicatie5 **& $3 de ca'uri de afectare a 'borurilor aviatiei civile prin interferarea cu %i0loacele electronice de la bord ale pasa1erilor5 &5 Functionarea defectuoasa a soft:are-ului Ca'uri 6 proble%a anului $!!! *** transferuri 1resite de su%e /ANC -F ND
8 %ilioane USD5 35 Date eronate nedectate de siste% Ca'uri 6 Controlul auto%at i%posibil pentru situatia 7 @arsta varia'a intre ( si <! ani Data reala !E!$E38 Data eronata !E!$E83 **& indicele Do:n Fons a ca'ut cu $ puncte din interpretarea 1resita a unei co%en'i de van'are 7 %ilioane USD %ilioane actiuni5 85 Riscuri asociate co%ponentelor nonelectronice Ca'uri 6 ** operatorul ATGT nu a preci'at prioritatea co%unicatiilor pentru liniile aeriene !$ %inute nu au functionat radarele aeroporturilor din ND5 95 Riscuri asociate perfor%antelor inadecvate ale siste%ului Ca'uri 6 *(< bursa din ND a calculat costul actiunilor in $ ore (nu in ti%p real) deoarece volu%ul van'arilor a fost de 8!! de operatii de & ori %ai %ult decat nor%al5 <5 Riscuri asociate responsabilitatilor le1ale Ca'uri 6 Ro%ania5 (<A din softuri sunt pirat5
NI@#, D# @U,N#RA/I,ITAT#
RI Numa utili!ato i auto i!ati SCUL ACCESI BI LI TATI I MARE MEDI U SCAZUT "a0oritatea utili'atori autori'ati "AR# "AR# "#DIU 8! A utili'atori autori'ati "AR# "#DIU SCA=UT Nu%ar li%itat de utili'atori autori'ati "#DIU SCA=UT SCA=UT Ri"#ul #ompl$%itatii o &a'i!atio'al$ "AR# -- #rorile din siste% afectea'a intrea1a or1ani'atie "#DIU #rorile din siste% afectea'a anu%ite co%parti%ente SCA=UT #rorile din siste% afectea'a un co%parti%ent Ri"#ul (u'#tiilo "i"t$mului "AR# Functii %ultiple ce se intersectea'a "#DIU Functii %ultiple independente SCA=UT Siste%ul reali'ea'a o sin1ura functie
*
Ri"#ul a"o#iat p$ "o'alului "AR# 4ersonalul nu a fost verificat inainte de an1a0are si nici in pre'ent "#DIU 4ersonalul este verificat i%ediat dupa an1a0are SCA=UT 4ersonalul este verificat inainte de an1a0are Ri"#ul a"o#iat p$ "o'alului )$ "p$#ialitat$ "AR# - sin1ura persoana se ocupa de tot siste%ul "#DIU #;ista $-& persoane ce asi1ura functionarea si intretinerea siste%ului SCA=UT #;ista %ai %ult de & persoane i%plicate in functionarea siste%ului Ri"#ul a"o#iat ma'a&$ ilo "AR# Nici o preocupare a %ana1erilor "#DIU "ana1eri preocupati nu%ai de securitatea siste%elor SCA=UT "ana1eri i%plicati activ si constant in asi1urarea securitatii ca ur%are a eveni%entelor produse in trecut Ri"#ul a"o#iat #i#lului )$ *iata "AR# Siste% i%ple%entat de cel %ult un an si durata de viata este de cel putin $! ani "#DIU Siste% cu durata de viata %ai %are de 3 ani SCA=UT Siste% cu durata de viata intre -3 ani Ri"#ul a"o#iat )o#um$'tati$i
"AR# Nu e;ista docu%entatie "#DIU Docu%entatia e;ista) dar nu reflecta realitatea din siste% SCA=UT Docu%entatia este actuali'ata si este disponibila E%i"ta "o(tu i "p$#iali!at$ i' $*alua $a i"#u ilo + RI S, Si%ularea riscurilor BUDD- S-STEM Anali'a securitatii si %ana1e%entul riscurilor RI S, PAC Siste% e;pert pe ba'a de c+estionar5 Surse 7 www.pali-ade.com www.budd.-.-tem.net/html/product.-html http://computer-.-oftware/director..com
!
- Asi1urarea cu softuri speciali'ate antivirus la 'i $5 4re1atirea personalului pentru reducerea riscului - periodicitate - selectie &5 "entinerea securitatii fi'ice - acces fi'ic restrans 35 Controlul accesului la date) +ard:are si retele - controlul operatiunilor va%ale - definirea e;acta a accesului privile1iat - eli%inarea intru'iunilor - parole - carduri ID - c+ei +ard:are - control retinei) a%prentei di1itale pal%are etc5 1. "ontrolul -oftului Soft de 0erificat (iblioteca Soft 2.
- criptare si decriptare date5 Controlul accesului pe ba'a 7 - a ce stii - a ce ai - a ce esti - locului in care te afli5 85 Controlul tran'actiilor - se1re1area indatoririlor - validarea datelor - corectarea erorilor - /acHup
&
- evaluarea anuala a siste%ului infor%ational - directiile de de'voltare - strate1iile de de'voltare /5 C-NTR-,U, CIC,U,UI D# @IATA - Controlul initierii proiectului siste%ului infor%ational - Controlul anali'ei si proiectarii initiale a siste%ului infor%ational - Controlul ac+i'itiei (de'voltarii) siste%ului infor%ational - Controlul testarii siste%ului infor%ational - Controlul i%ple%entarii si conversiei siste%ului infor%ational - Controlul intretinerii siste%ului infor%ational C5 C-NTR-,U, S#CURITATII SIST#"U,UI - Responsabilitatea %ana1e%entului - Separarea functiilor inco%patibile - Controlul accesului - Controlul securitatii fi'ice - Controlul prevenirii efectelor de'astrelor D5 C-NTR-A,#,# NI@#,U,UI -4#RATI-NA, - Controlul %odului de operare - Controlul retelei de calculatoare - Controlul pre1atirii si introducerii datelor in siste% - Controlul procesarii datelor - Controlul 1estiunii %ediilor de stocare - Controlul 1estiunii aplicatiilor si a docu%entatiilor - Controlul asistentei te+nice #5 #@A,UAR#A 4#RF-R"ANT#,-R SIST#"U,UI
3
-tudiului initial Auditor A Auditor ( Auditor " Auditor D *rgani2are proiect Proiectarea ie-irilor Proiectarea proce-arii Proiectarea fi-ierelor Proiectarea intrarilor &ece-ar echipamente '-timare co-turi A("D
8
evaluarea i%pactului %odificarilor planurilor de securitate IT) si %onitori'area i%ple%entarii procedurilor de securitateJ alinierea procedurilor de securitate IT la procedurile 1enerale ale or1ani'atiei5 2. I )$'ti(i#a $a5 aut$'ti(i#a $a "i a##$"ul Accesul lo1ic la resursele infor%atice trebuie restrictionat prin i%ple%entarea unor %ecanis%e adecvate de identificare) autentificare si acces) prin crearea unei le1aturi intre utili'atori si resurse) ba'ata pe drepturi de acces5 3. S$#u itat$a a##$"ului o'6 li'$ la )at$ Intr-un %ediu IT on-line trebuie i%ple%entate proceduri in concordanta cu politica de securitate) care presupune controlul securitatii accesului ba'at pe necesitatile individuale de accesare) adau1are) %odificare sau ster1ere a infor%atiilor5 7. Ma'a&$m$'tul #o'tu ilo utili!ato Conducerea or1ani'atiei trebuie sa stabileasca proceduri care sa per%ita actiuni rapide privind crearea) atribuirea) suspendarea si anularea conturilor utili'ator5 - procedura for%ala in raport cu 1estionarea conturilor utili'ator trebuie inclusa in planul de securitate5 8. V$ i(i#a $a #o'tu ilo utili!ato )$ #at $ #o')u#$ $ Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confir%e periodic drepturile de acces5 9. V$ i(i#a $a #o'tu ilo utili!ato )$ #at $ utili!ato i Utili'atorii trebuie sa efectue'e periodic controale asupra propriilor lor conturi) in vederea detectarii activitatilor neobisnuite5 0. Sup a*$&1$ $a "$#u itatii "i"t$mului Ad%inistratorii siste%ului infor%atic trebuie sa se asi1ure ca toate activitatile le1ate de securitatea siste%ului sunt inre1istrate intr-un 0urnal) si orice indiciu referitor la o potentiala violare a securitatii trebuie raportata i%ediat persoanelor responsabile5
(
:. Cla"i(i#a $a )at$lo Conducerea trebuie sa se asi1ure ca toate datele sunt clasificate din punct de vedere al 1radului de confidentialitate) printr-o deci'ie for%ala a detinatorului datelor5 C+iar si datele care nu necesita protectie trebuie clasificate in aceasta cate1orie printr-o deci'ie for%ala5 Datele trebuie sa poata fi reclasificate in conditiile %odificarii ulterioare a 1radului de confidentialitate5 ;. C$'t ali!a $a i)$'ti(i#a ii utili!ato ilo "i ) $ptu ilo )$ a##$" Identificarea si controlul asupra drepturilor de acces trebuie efectuate centrali'ate pentru a asi1ura consistenta si eficienta controlului 1lobal al accesului5 1/. Rapoa t$ p i*i') *iola $a "$#u itatii "i"t$mului Ad%inistratorii de siste% trebuie sa se asi1ure ca activitatile care pot afecta securitatea siste%ului sunt inre1istrate) raportate si anali'ate cu re1ularitate) iar incidentele care presupun acces neautori'at la date sunt re'olvate operativ5 Accesul lo1ic la infor%atii trebuie acordat pe ba'a necesitatilor stricte ale utili'atorului (acesta trebuie sa aiba acces nu%ai la infor%atiile care ii sunt necesare)5 11. G$"tio'a $a i'#i)$'t$lo Conducerea trebuie sa i%ple%ente'e proceduri de 1estionare a incidentelor le1ate de securitatea siste%ului) astfel incat raspunsul la aceste incidente sa fie eficient) rapid si adecvat5 12. I '# $)$ $a i' t$ t$ pa ti -r1ani'atia trebuie sa asi1ure i%ple%entarea unor proceduri de control si autentificare a tertilor cu care intra in contact prin %edii electronice de co%unicare5
13. Auto i!a $a t a'!a#tiilo 4olitica or1ani'atiei trebuie sa asi1ure i%ple%entarea unor controale care sa verifice autenticitatea tran'actiilor precu% si identitatea utili'atorului care initia'a tran'actia5 17. P $*$'i $a $(u!ului )$ a##$pta $ a t a'!a#ti$i Siste%ul trebuie sa per%ita ca tran'actiile efectuate sa nu poata fi ne1ate ulterior de nici un participant5 Aceasta presupune i%ple%entarea unui siste% de confir%are a efectuarii tran'actiei5 18. I '(o matiil$ "$'"i4il$ t $4ui$ t a'"mi"$ 'umai p$ u' #a'al )$ #omu'i#atii #o'"i)$ at "i&u )$ pa ti5 #a $ "a 'u p$ mita i't$ #$pta $a )at$lo
*
19. P ot$#tia (u'#tiilo )$ "$#u itat$ Toate functiile or1ani'atiei le1ate de asi1urarea securitatii trebuie prote0ate in %od special) in vederea %entinerii inte1ritatii acestora5 -r1ani'atiile trebuie sa pastre'e secrete procedurile de securitate5 10. Ma'a&$m$'tul #1$ilo )$ # ipta $ Conducerea trebuie sa defineasca si sa i%ple%ente'e proceduri si protocoale pentru 1enerarea) %odificarea) anularea) distru1erea) certificarea) utili'area c+eilor de criptare pentru a asi1ura protectia i%potriva accesului neautori'at5 1:. P $*$'i $a5 )$t$#ta $a "i #o $#ta $a p o& am$lo )i"t u#ti*$ In vederea prote0arii siste%ului i%potriva aplicatiilor distructive (virusi)) trebuie i%ple%entata o procedura adecvata care sa includa %asuri de prevenire) detectare) actiune) corectare si raportare a incidentelor de acest fel5 1;. A 1it$#tu i Fi $<all "i #o'$#ta $a la $t$l$ pu4li#$ In ca'ul in care siste%ul or1ani'atiei este conectat la Internet sau alte retele publice) pro1ra%e de protectie adecvate (fire:alls) trebuie i%ple%entate pentru a prote0a accesul neautori'at la resursele interne ale siste%ului5 2/. P ot$#tia *alo ilo $l$#t o'i#$ Conducerea trebuie sa asi1ure protectia si inte1ritatea cardurilor si a altor dispo'itive folosite pentru autentificare sau inre1istrare de date considerate sensibile (financiare)5
- pro1ra%are operare - procesare date pre1atire - 1estionar %e%orie e;terna operator - eliberare) %ultiplicare) distru1ere infor%atii autori'are - pro1ra%are ad%inistrare ba'a de date - responsabil securitate orice alte activitati - controlul drepturilor de acces alte functii (activitati)
AUT-RI=AR#A UTI,I=AT-RI,-R
5 Identificare 7 calculatorul recunoaste un potential utili'ator al siste%ului $5 Autentificare 7 functia de stabilire a validitatii identitatii pretinse &5 Autori'are 7 utili'atorului recunoscut i se per%ite accesul la resursele siste%ului
CONTROLUL ACCESULUI
Riscurile accesului neautori'at 7 - Di%inuarea confidentialitatii - Furtul infor%atiilor - Divul1area neautori'ata de infor%atii - Di%inuarea inte1ritatii infor%atiilor - Intreruperea functionarii siste%ului Controlul accesului in %ediile publice utili'and FIR#DA,, I%pune o politica de control a accesului intre doua retele5 - Intre1 traficul de date trece prin el - #ste per%isa nu%ai trecerea autori'ata prin politica locala de securitate - Siste%ul insusi este i%un la penetrare
$
- "onitori'area co%unicatiilor TC4EI4 - 4oate inre1istra toate co%unicatiile - 4oate fi folosit la criptare5
Compo'$'t$ FI RE=ALL
A5 R-UT#R cu filtrare de pac+ete Re1ulile de filtrare sunt i%puse de ad%inistratorul siste%ului5 Criterii de or1ani'are a filtrului 7 - Adresa I4 a sursei - Adresa I4 a destinatiei - 4ortul sursa TC4EUD4 - 4ortul destinatie TC4EUD4 /5 S#R@#R#,# 4R->. 6 se interpun intre client si serverul R#A, si per%ite transferul de date confor% politicii de securitate5 "onitori'ea'a toate co%unicatiile5 Reali'ea'a controlul la nivelul aplicatiei 7 - autentificarea utili'atorilor interni si e;terni - filtrarea individuala a operatiilor protocolului - %onitori'are C5 4oarta la nivel de circuit este un pro;2 local5 Functionea'a ca un filtru de pac+et5
dificultatea asi1urarii controlului accesului fi'ic la fiecare co%ponenta +ard:are e;tinderea lucrului in retea si a utili'arii siste%elor distribuite s-a caracteri'at prin concentrarea atentiei pe controlul accesului lo1ic) dar controlul accesului fi'ic ra%ane in continuare i%portant) el repre'entand o co%ponenta a siste%ului de securitate5
Stabilirea ec+ipei responsabile cu reali'area unui plan de refacere a siste%ului for%ata din personalul din co%parti%entul de specialitate) auditorul siste%ului infor%atic) utili'atori5 #laborarea procedurilor de verificare a principalelor co%ponente ale siste%ului (date) soft) +ard) docu%entatii) in ca'ul producerii eveni%entelor distructive si stabilirea responsabilitatilor5 Stabilirea locatiilor in care vor fi pastrate copiile de si1uranta) docu%entatiile si co%ponente +ard:are5 Stabilirea prioritatilor privind procedurile ce trebuie efectuate5 Stabilirea locatiei in care se vor e;ecuta procedurile5 Testarea planului pe ele%ente co%ponente5 Docu%entarea planului Nu toate incidentele (eveni%entele distructive) pot fi anticipate prin /C" 4lanificarea continuitatii activitatii in cadrul or1ani'atiei i%plica aspectele functiei IT 7 Ce a facut %ana1e%entul privitor la riscul de LcadereM a siste%ului si fata de scenariul de de'astre5 Cu% sunt testate si actuali'ate planurile de continuitate a activitatii 7
- Revederea planurilor e;istente - Sunt clar preci'ate responsabilitatileK - Care este nivelul de instruire a personalului i%plicatK N-TA 7 LRisculM anului $!!! a repre'entat un eveni%ent pentru care /C" a trebuit sa prevada un plan de actiune5 R$(a#$ $a i' #a!ul $"$#ului op$ atio'al Auditorul verifica 7 - daca sunt stabilite proceduri adecvate in ca'ul producerii unor esecuri operationale - daca aceste proceduri sunt verificate si aprobate de staff-ul IT - daca aceste esecuri operationale sunt identificate) re'olvate la ti%p) co%se%nate si raportate - in ce %asura ec+ipa%entele sunt adecvat plasate si prote0ate pentru a se preveni riscul distru1erii accidentale (foc) fu%) praf) vibratii) radiatii electro%a1netice etc5) - in ce %asura ec+ipa%entele sunt corect intretinute - ce controale e;ista pentru prevenirea esecurilor operationale produse din 7 cau'e +ard:are neaplicarea corecta a procedurilor de operare erori soft:are - care sunt procedurile de R#START si R#FAC#R# (Recover2) pentru refacerea starii siste%ului in ur%a unui esec operational - in ca' de incidente sunt evaluate actiunile operatorilor pentru a se vedea daca prin actiunile lor nu au afectat calitatea prelucrarilor sau structurile de date5 BAC,UP Actuali'arile folosind bacHup-urile datelor (fisierelor)) aplicatiilor si soft:are-ul de siste% trebuie sa fie posibile in ca' de ur1enta 7 - Sunt procedurile de bacHup (pentru date si soft) cele potriviteK - Sunt bacHup-urile corect 0urnali'ate si stocate in locatii si1ureK
$8
- #;ista si1uranta ca bacHup-urile si procedurile R#C-@#R. vor lucra la nevoieK - Datele din fisierele copii sunt acoperitoare pentru refacerea fisierelor operationaleK Frecventa reali'arii copiilor este direct proportionala cu volu%ul tran'actiilor si i%portanta datelor pentru or1ani'atie Confor% procedurilor bacHup copiile pot fi 7 - partiale - totale Cea %ai populara te+nica de bacHup este ?FS (bunic-tata-fiu) 7 - se fac copii 'ilnice - copia 'ilnica se va rescrie in sapta%ana ur%atoare - la sfarsitul sapta%anii se reali'ea'a Lcopia sapta%aniiM (corespunde ulti%ei copii 'ilnice) - copia sapta%anii se reface in luna ur%atoare - la sfarsitul fiecarei luni se reali'ea'a Lcopia luniiM5 Aceasta se reface in tri%estrul sau anul ur%ator SOFT=ARE BAC,UP - Copii ale siste%ului de operare si ale aplicatiilor (se reali'ea'a in %asura in care licenta per%ite acest lucru) - Copiile trebuie pastrate in loc si1ur (c+iar alte locatii decat sediul fir%ei)5
>ARD=ARE BAC,UP - Ac+i'itionarea unui al doilea siste% care poate fi 7 Un siste% STAND/. I-T 7 poate prelua i%ediat functia siste%ului operational Un siste% STAND/. C-,D 7 stocat separat si la nevoie conectat pentru a putea fi folosit - Inc+eierea unui contract cu o fir%a al carei siste% de procesare a datelor are aceleasi facilitati si poate sa suporte prelucrarile fir%ei al carui siste% nu %ai este operational - Apelarea la o fir%a care ofera servicii in acest do%eniu - Contractele de service cu furni'orul +ard:are sa prevada furni'area) pe ti%p li%itat) a ec+ipa%entelor care vor inlocui pe cele avariate5 SIST#"# DU4,ICAT# 7 - specifice do%eniilor cu risc %are 7 banci) burse) etc5 - au locatii 1eo1rafice separate pentru %ini%ali'area riscului de %ediu - actuali'area si%ultana) prin tran'actiile curente atat a siste%ului operational cat si pe cel duplicat5
$9
- Cat de bine este prote0at 1ate:a2-ul dintre Internat si %ediul fir%eiK -Ce controale e;ista pentru a preveni accesarea unor site-uri inadecvateK - Ce controale e;ista pentru a preveni navi1area neproductiva pe Internet a personalului si in afara sarcinilor de serviciuK - Cat de bine sunt prote0ate cone;iunile e;terne ale retelei pentru folosirea #DI si #FTK Solutia +ard:are si soft:are a retelei trebuie sa asi1ure nevoile de disponibilitate) perfor%anta si fle;ibilitate5 - Ce docu%entatie de retea este disponibilaK
$<
- Cu% sunt aprobate %odificarile din retea) controlate si testateK - Ce procese au loc pentru planificarea capacitatii si %onitori'area nivelului de perfor%antaK &5 4re1atirea datelor si introducerea in siste% - 4re1atirea docu%entelor pri%are Datele sunt clasificate) 1rupate) verificate) sortate si trans%ise pentru procesare5 - Controlul introducerii datelor Acuratetea datelor depinde de 7 - calitatea controalelor - factorul u%an - tipul ec+ipa%entelor folosite pentru introducerea datelor in s2ste%5 35 4rocesarea datelor - Acces autori'at pentru declansarea procedurilor - Respectarea ter%enelor si ti%pilor de procesare - 4rote0area fisierelor - 4astrarea re'ultatelor procesarii Auditorul va verifica cu% %ana1e%entul controlea'a %asura in care rolul si responsabilitatile personalului i%plicat in procesarea datelor sunt cunoscute si respectate) focali'and pe procedurile de 7 - bacHup si refacerea siste%ului - prelucarea pe loturi (batc+) siEsau on-line5 Asi1urarea la ti%p a datelor necesare prelucrarilor) %ai ales in ca'ul in care acestea sunt asi1urate de alte siste%e infor%atice (interne sau e;terne or1ani'atiei) - intretinerea soft:are-ului5 Auditorul va ur%ari %asura in care a asi1urat docu%entatia necesara personalului i%plicat in procesarea datelor5 85 ?estionarea %ediilor de stocare 4astrarea) utili'area si intretinerea 7 - disc+etelor - CD-urilor - IDD-urilor - casetelor cu banda (data cartdri1e) - casetelor 'ip Furnalul de evidenta a %ediilor de stocare cuprinde 7 - identificatorul (etic+eta) %ediului de stocare - locali'area curenta
$(
- utili'atorul - fisiereleEpro1ra%eleEaplicatiile continute - persoanele autori'ate sa accese'e %ediul - data ulti%a cand a fost folositK De cineK Data restituiriiK - data la care continutul poate fi sters Cu% sunt prote0ate stocarile offline de dateK 95 ?estionarea aplicatiilor si a docu%entatiei - %odul de pastrare - %odul de acces - actuali'area docu%entatiei - copii de si1uranta5 <5 Asistenta te+nica - %odul de ac+i'itionare a +ard:are-ului - instruire utili'atori - identificarea erorilor de procesare si %odul de re'olvare - controlul soft-urilor - raportarea incidentelor5 "ana1e%entul trebuie sa stabileasca nivelurile de service necesitate de utili'atori si sa stabileasca politicile privind asi1urarea acestora 7 - In ce %asura corespund contractele de service e;istente nevoilor realeK - In ce %asura service-ul asi1urat raspunde cerintelor de securitateK (5 "onitori'area perfor%antelor "onitori'area perfor%antei operationale si aprobarea procedurilor docu%entate5 "ana1e%entul trebuie sa %onitori'e'e perfor%anta privitoare la nivelele de service si a procedurilor de operare5 - Ce infor%atii pri%este %ana1erul pentru a-i per%ite sa %onitori'e'e starea %ediului +ard si ter%inarea la ti%p a prelucrarilor batc+K - Cat de des se pri%esc aceste infor%atiiK - In ce %asura au e;istat proble%e cu perfor%anta co%ponentelor +ard:are siEsau e;ecutarea la ti%p a prelucrarilor batc+K - Ce %onitori'are se desfasoara pentru verificarea operarii eficiente a calculatoruluiK - In ce %asura au e;istat proble%e cu neaprobarea unor proceduri definite pentru operarea calculatoruluiK
$*
Capitolul 7 CONTROLUL APLI CATI I LOR CONTROLUL GENERAL 2 CONTROLUL APLI CATI I LOR
- Controlul 1eneral asi1ura inte1ritatea siste%ului va'ut ca un intre1) inclusiv e;ecutia aplicatiilor si controlul fisierelor e;ploatate5 - Controlul aplicatiilor asi1ura acuratetea) inte1ritatea si co%pletitudinea tran'actiilor5
- ad%inistratorul - utili'atori curenti 4R-4RI#TARU, - utili'ator principal - are responsabilitatea aplicatiei - nu este i%plicat in e;ecutarea aplicatiei - delea1a sarcini AD"INISTRAT-RU, SARCINI7 - sa si1ure functionarea controlului lo1ic asa cu% s-a preva'ut - sa asi1ure actuali'area controlului lo1ic - sa verifice e;istenta bacHup-ului aplicatiei - sa re'olve cerintele utili'atorilor - sa asi1ure identificarea) %onitori'area si raportarea proble%elor - pastrarea si distributia docu%entatiei - asi1ura le1atura intre departe%entul IT) utili'atorii siste%ului si fir%a soft:are furni'oare5
&!
UTI,I=AT-RII CUR#NTI - Aplicatia repre'inta un instru%ent de lucru pentru reali'area sarcinilor lor - Sunt instruiti cu% sa foloseasca aplicatia pentru a-si reali'a sarcinile de serviciu5 &5 C,ASIFICAR#A A4,ICATII,-R - Siste%e cu intrari de tip batc+ (loturi) - Siste%e cu intrari de tip batc+ si consultare online - Siste%e cu procesare pe loturi si consultare online 35 AUDIT-R C-NTR-,U, A4,ICATI#I - Auditorul trebuie sa dopte o abordare eficienta si eficace a auditului - Auditorul trebuie sa cunoasca si sa intelea1a siste%ul si controalele interne - Daca controalele acopera obiectivele auditului si par a fi robuste auditorul poate selecta testele considerate ca necesare5 85 4,ANU, D# AUDIT Contine 7 - obiectivele fi;ate - probele pe care auditorul se asteapta sa le obtina in ur%a auditului - a%ploarea (intinderea) testelor pro1ra%ate - ce se va considera ca esec al controlului - cate astfel de esecuri pot fi tolerate 95 4R-/#,# - 4robele pot fi sub for%a 7 ,istelor de control al accesului ,i%itelor autori'arilor auto%ate ale utili'atorilor Furnalelor de securitate Cererile de %odificari si %odul de solutionare a acestora etc5 - Se obtin prin co%binarea 7 -bservarii C+estionarii #;a%inarii #santionare (folosind te+nici asistate de calculator) <5 CAT D# D#4ART# SA S#"#AR?A CU T#ST#,#K - Rationa%entul auditorului
- Rationa%entul ia in considerare7 Frecventa controlului ?radul de incredere pre'entat de controalele aplicatiei Natura probelor pe care auditorul ur%areste sa le obtina Continuitatea controlului I%portanta controlului si a tran'actiilor5
&
CONTROLUL I NTRARI LOR5 PRELUCRARI LOR SI I ESI RI LOR ,A C# F-,-S#SC C-NTR-A,#,# A4,ICATI#IK - Asi1ura co%pletitudinea) acuratetea si validitatea inre1istrarilor - Controalele vi'ea'a 7 intrarile) prelucrarile) iesirile5 R#S4-NSA/I,ITATI - Cine are responsabilitatea acestor controaleK - Sunt cele %ai adecvate controale K - Ce rol are auditorul ITK INT#,#?#R#A SI D-CU"#NTAR#A 4RI@IND A4,ICATII,# FINANCIAR# - Auditorul trebuie sa produca dove'i ca a inteles %odul de functionare a SI si controalele acestuia - Aceasta a obtinut cunoasterea si prin docu%entare asupra 7 Flu;ului tran'actiilor prin siste% Controalele aplicate intrarilor) prelucrarilor) iesirilor5 - Auditorul trebuie sa identifice si sa cunoasca orice docu%entatie a aplicatiei e;istenta la client5
asi1urarea acuratetei si co%pletitudinii datelor de intrare decat sa fii nevoit sa le corecte'i in ti%pul sau) %ai 1rav) dupa inc+eierea procesului de prelucrare si c+air a depunerii situatiilor financiare5 Controlul datelor de intrare trebuie adaptat la %odalitatile diferite de introducere a datelor in siste% 7 - de la tastatura (unde riscul erorilor este %ai %are)
- scanarea docu%entelor - utili'area perifericelor sen'oriale - citirea barelor de cod - AT"-uri si ter%inale 4-S - #DI (#,#CTR-NIC DATA INT#RCIAN?#) - 1enerarea auto%ata a tran'actiilor (e;5 7 plati planificate) calcularea lunara a doban'ilor) Nu toate intrarile pre'inta un suport %aterial (docu%ente pe suport +artie)) %ulte fiind in for%at electronic5 In ca'ul preluarii auto%ate sau 1enerarii auto%ate e;ista riscuri %ai %ici de eroare fata de preluarea datelor prin tastare5 Tipuri de controale aplicate asupra datelor de intrare C-NTR-,U, F-R"ATU,UI - Se verifica 7 Natura datelor ,un1i%ea datelor trunc+ieri Nu%arul de 'eci%ale ad%is Acceptarea valorilor ne1ative sau doar a celor po'itive For%atul datei calendaristice Aplicarea se%nului %onetar C-NTR-,U, D-"#NIU,UI D# D#FINITI# A ATRI/UT#,-R a) incadrarea intr-o %ulti%e de valori prestabilita (e;57 abrevierile 0udetelor) tipuri de unitati de %asura) tipuri de docu%ente) b) incadrarea intr-un interval de valori prestabilit (e;57 salariul an1a0atilor ia valori in intervalul N$58!!5!!!) &!5!!!5!!!O) c) validari ale reali'arilor unor atribute diferite nu%it si testul dependentei lo1ice dintre ca%puri5 #;57 validarile privind corespondenta conturilor contul > se poate debita doar prin creditarea conturilor A)/)C5 d) testul Lre'onabilitatiiM datelor 7 - aceste teste verifica daca datele sunt re'onabile in raport cu un standard sau date introduse anterior5 Datele standard pot fi stocate intr-un fisier sau pot repre'enta constante definite la nivelul aplicatiei (e;57 un standard poate fi repre'entat de nu%arul de ore lucratoare intr-o luna) stabilit in functie de 'ilele lucratoare si sarbatorile le1ale) nivelurile de dobanda practicate de banca etc5)
&&
C-NTR-,U, ACURAT#T#I ARIT"#TIC# 4e ba'a unor date de intrare introduse de operator pot fi verificate ele%entele calculate din docu%entul pri%ar #;5 7 pe ba'a cantitatii si pretului unitar al unui articol inscris intr-o factura siste%ul 1enerea'a auto%at pe ecran valoarea produsului) T@A-ului) valoarea cu T@A si apoi totalul facturii operatorul putand confrunta aceste su%e calculate cu cele inscrise in factura5 C-NTR-,U, #>IST#NT#I DAT#,-R - Testul se refera in principal la validarea datelor de intrare repre'entand coduri5 #ste suficient sa introduci codul unul client si pe ecran sa se afise'e nu%ele acestuia sau un %esa0 de eroare atentionand asupra introducerii unui cod incorect5 T#STU, CIFR#I D# C-NTR-, - se aplica asupra datelor de intrare repre'entand ele%ente codificate - ur%areste re0ectarea codurilor eronate introduse
- cau'a erorii la nivelul ele%entelor codificate poate fi 7 Trunc+ierea Adau1area unui caracter supli%entar Transcrierea incorecta a codului in docu%entul pri%ar Transpo'itia caracterelor la introducerea codului5 - presupune deter%inarea cifrei de control aferente codului introdus prin aplicarea al1orit%ului prestabilit5 In %asura in care cifra de control deter%inata auto%at nu corespunde celei incluse in codul introdus siste%ul va trebui sa atentione'e printr-un %esa0 corespun'ator asupra erorii aparute5 T#STU, TRAN=ACTII,-R DU4,ICAT# - siste%ul ad%ite introducerea repetata a acelorasi dateK #;5 7 introducerea repetata a unui aceluiasi docu%ent (factura) bon de consu% etc5)5 S-,UTI-NAR#A TRAN=ACTII,-R R#F#CTAT# - cu% se solutionea'a tran'actiile neacceptate de siste% (care nu au trecut testul de validare)K - cine raspunde de verificarea acestor date de intrare si de reintroducere lorK - sunt 1enerate liste continand intrarile re0ectateK - daca aceste tran'actii sunt conse%nate in docu%entele pri%are depistarea erorii este %ai usoara si corectarea se poate