Auditorul de sisteme informatice rol i referine n regulamentele internaionale.

2011
Auditorul de sisteme informatice
Auditul este descris ca examinarea independent a nregistrrilor i a altor informaii n scopul formrii unei opinii referitoare la integritatea sistemului controalelor i mbuntirea controalelor recomandate pentru limitarea riscurilor.

Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, mentine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale intreprinderii i utilizeaz eficient resursele informationale. Auditorul informatic este reprezentat de un informatician specializat n domeniul financiar-contabil ce este certificat ca auditor informatic (Certified Information Systems Auditor CISA!de c"tre ISACA. ac!ues "enard spune c auditorul informatician nu este un auditor care a nvat informatic, ci reprezint neaprat un informatician format dup metodologia i instrumentele Auditului #ntern. Acest auditor informatician i folosete talentul i competenele n cinci direcii fundamentale$ auditul centrelor informatice, auditul biroticii, auditul reelelor informatice, auditul sistemelor n exploatare i al programelor informatice de aplicaie i auditul sistemelor n curs de dezvoltare. %esi exist o legtura metodologic destul de stans intre auditul financiar& contabil si auditul sistemelor informatice, cel din urma are la baz cunostinte din cel putin patru domenii, astfel$ auditul traditional, sisteme informationale pentru management, stiinta comportamentului si informatica. %e asemenea 'tandardul #(A)& #'A *01 face referire la aptitudinile si competentele unui auditor financiar in conditiile auditului intr&un mediu informatizat, precum si #'A +20 face referiri la posibilitatea utilizarii unui expert,in -e.nologia #nformatiei/ in cadrul misiunii de audit financiar, daca necesitatea practica o impune. 0biectivul 'tandardului de Audit *01 1Auditul n mediul sistemelor informaionale computerizate2 ,#'A *01 2Auditing in a )omputer #nformation '3stems 4nvironment2/ const n stabilirea normelor i recomandrilor privind procedurile ce trebuie urmate la exercitarea auditului ntr&un mediu de sisteme informaionale computerizate ,'#)/. )oform acestui standard auditorul trebuie s ia n considerare modul n care un mediu '#) influeneaz asupra auditului. 0biectivul general i sfera de aplicare a auditului nu se sc.imb ntr&un mediu '#). )u toate acestea, utilizarea unui computer modific modul de prelucrare, stocare i comunicare al informaiei financiare i poate influena sistemele contabil i de control intern utilizate de agentul economic. 5rin urmare, un mediu '#) poate influena$

 procedurile efectuate de auditor n scopul obinerii unei nelegeri suficiente a sistemelor contabil i de control intern6 considerarea riscului inerent i riscului legat de control, ceea ce influeneaz evaluarea riscului de ctre auditor6 elaborarea i efectuarea de auditor a procedurilor de testare a controlului intern i a procedurilor ce in de esen care snt potrivite atingerii unui anumit obiectiv al auditului. %e asemenea acest standard impune anumite aptitudini si competente pentru a
planifica, gestiona, supraveg.ea i controla lucrrile efectuate auditorul trebuie s posede cunotine suficiente n domeniul '#). Auditorul trebuie s ia n considerare dac pentru exercitarea auditului sunt necesare aptitudini specializate de lucru cu '#). Aceste aptitudini pot fi necesare pentru$

obinerea nelegerii suficiente a sistemelor contabil i de control intern afectate de mediul '#)6 determinarea influenei mediului '#) asupra evalurii generale a riscului i evalurii riscului la nivelul soldurilor conturilor i a grupurilor de tranzacii6 elaborarea i efectuarea procedurilor potrivite de testare a controlului intern i a celor ce in de esen. 7n cazul n care sunt necesare aptitudini specializate, auditorul urmeaz s se adreseze dup asisten unui specialist care posed astfel de aptitudini i care poate face parte din titularii organizaiei de audit sau poate fi anga8at din afar acesteia. %ac este planificat implicarea unui astfel de specialist, auditorul trebuie s obin dovezi de audit suficiente i adecvate asupra faptului, c lucrrile unui astfel de specialist corespund obiectivelor auditului n conformitate cu '9A +20 1:tilizarea lucrrilor expertului2. (cand o sinteza a cunostintelor pe care trebuie sa la aiba un auditor de sisteme informatice, pot fi enumerate urmatoarele$ & & & & cunostinte din domeniul auditului financiar6 cunostinte din domeniul managementului6 cunostinte din domeniul contabilitatii6 cunostinte din domeniul financiar6

& & & & & & & & & & &

cunostinte privind evaluarea riscurilor6 cunostinte privind controlul6 cunostinte privind ar.itectura fizica ,.ard<are/ a sistemelor informatice6 cunostinte privind sistemele de operare si aplicatiile informatice6 cunostinte privind telecominicatiile6 cunostinte privind securitatea sistemelor informatice6 cunostinte privind analiza si proiectarea sistemelor informatice6 cunostinte privind programarea si limba8ele de programare6 cunostinte privind sistemele de gestiune a bazelor de date6 cunostinte statistice cunostinte privind legislatia. Auditul sistemului informatic poate fi organizat ata la nivelul intreprinderii,

in cadrul functiei de audit intern, cat si sub forma auditului extern realizat de catre persoane din afara intreprinderii. #n cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operatii sunt verificrile, evaluarile si testrile mi8loacelor informationale, astfel$ & & & & & & & & #dentificarea si evaluarea riscurilor din sistem6 4valuarea si testarea controlului din sistem6 =erificarea si evaluarea fizic a mediului informational6 =erificarea si evaluarea administrrii sistemului informatic6 =erificarea si evaluarea aplicatiilor informatice6 =erificarea si evaluarea securittii retelelor de calculatoare6 =erificarea si evaluarea planurilor si procedurilor de recuperare in caz de dezastre si continuare a activitatii6 -estarea integrittii datelor

"ealizarea auditului sistemului informatic contribuie la$ & mbuntirea sistemului i controalelor procesului6 & prevenirea i detectarea erorilor i a fraudelor6

& reducerea riscurilor i mbuntirea securitii sistemului6 & planificarea pentru refacere n caz de accidente i dezastre6 & managementul informaiilor i dezvoltrii sistemului6 & evaluarea utilizrii eficiente a resurselor. Auditorul sistemelor informatice trebuie s aib capacitatea de a asista ec.ipa managerial n stabilirea mrimii sistemului informatic i a numrului de personal necesar, domeniile de afaceri n care se utilizeaz eficient sistemele de calcul, natura afacerilor, pierderi poteniale n cazul cderii sistemului informatic, extinderea controalelor manuale i gradul de complexitate te.nic. %e asemenea auditorul sistemelor informatice trebuie sa realizeze o pregatire profesionala continua prin participarea la cursuri de specialitate. #n ceea ce priveste aptitudinile auditorului de sisteme informatice, acesta trebuie$ & & & & & & & s fie un bun membru intr&o ec.ip de audit6 s fie un bun manager al activittilor de audit6 s aib un spirit de observatie bine dezvoltat6 s fie un bun colaborator6 s dispun de abilitti de comunicare6 s fie capabil s ia decizii obiective6 s fie un bun analist.

Sistemul informatic este o constructie complexa, care este realizata pe parcursul mai multor ani si are ca obiectiv crearea de interdependente ntre componente, acoperirea tuturor problemelor agentului economic, asa incat se suprapune o structura n plan informational structurii fizice agentului economic. 5entru a realiza un proces de auditare eficient este necesar s se parcurg urmtorii pai$ & definirea obiectului auditrii sistemului informatic6 & construirea planului de auditare6 & atribuirea sarcinilor fiecrui membru din ec.ipa de auditori6 & preluarea structurilor de tabele pentru nregistrarea rezultatelor auditrii6

>

& derularea, pas cu pas, a procesului de auditare folosind standarde, te.nici i metode stabilite6 & nregistrarea rezultatelor i evaluarea fiecrei etape parcurse6 & regruparea documentaiei provenite din diferite stadi ale procesului de auditare i construirea raportului final. 5rincipalele tipuri de audit informatic sunt$ & auditul sistemului operaional de calcul & auditul instalaiilor #& auditul sistemelor aflate n dezvoltare & auditul managementului #& auditul procesului #& auditul managementului sc.imbrilor & auditul controlului i securitii informaiilor & auditul conformitii cu legalitatea & auditul accidentelor dezastruoase?planificrii continuitii afacerii?refacerii dup dezastre & auditul strategiei #%ezvoltarea sistemelor informatice presupune existenta unor activitati premargatoare, activitati care au menirea de a impune o ec.ipa, o te.nologie unitara de analiza, design, dezvoltare, implementare, exploatare si mentenanta, aspecte care trebuie luate n considerare la efectuarea unui audit de sistem informatic. :n sistem informatic necesita$ stabilirea obiectivelor6 definirea unei strategii de dezvoltare, exploatare si mentenanta6 ac.izitionarea de ec.ipamente, instrumente necesare realizarii de prelucrari, de conexiuni si dezvoltarii fluxurilor cu exteriorul6 fonduri foarte mari n anumite cazuri. %ezvoltarea companiei prin ac.izitionarea de noi ec.ipamente, reorganizarea fluxului de productie, trecerea la realizarea de noi produse, introducerea elementelor de management total al calitatii vin sa influenteze calitativ si cantitativ structura si

functiunile sistemului informatic. -oate fluctuatiile se reflecta n sistemul de lucru, n calitatea componentelor sau stadiilor sistemului informatic. %urata mare de realizare a sistemelor informatice poate genera o serie de probleme care trebuie luate n considerare si solutionate astfel nc@t, n final, sa se obtina rezultatele scontate. 7n cazul n care o noua ec.ipa manageriala are o alta viziune asupra indicatorilor agregati pe care si fundamenteaza deciziile, se produc modificari n specificatii, care atrag modificari ale structurii sistemului informatic. Aparitia unor sc.imburi de informatii ntre companie si institutiile publice ale statului, modificarile unor algoritmi de calcul, necesitatea de a utiliza noi coeficienti, trebuie reflectate, n sistemul informatic aflat n constructie. 9oile te.nologii informatice care apar produc sc.imbri n abordarea instrumentelor de asistare, n utilizarea de opiuni, astfel nc@t sistemul informatic devine neomogen din punctul de vedere al te.nologiilor de dezvoltare. Aegislaia si dinamica proceselor din societatea informaional conduc la evoluii care trebuie reflectate n sistemul informatic. -oate aceste procese se deruleaz concomitent, produc@nd efecte con8ugate, n timp ce obiectivul stabilit iniial, acela de a realiza un sistem informatic pentru managementul companiei, rm@ne nemodificat.

A#$I%#& SIS%'('&)* I+,)*(A%I)+A&'

&ocul auditului pri-ind .ad in ansamblul acti-itatiilor de audit in cadrul organizatiei

Audit managerial Audit financiar Audit intern Audit 5A% Au A dit gen eral al '# u di tu l % ' 0 A ( % A C A Audit ul conta bil A u d it u l 8 u r n a a p l A u d i t u l

l e l o r c o n t a b il e

i c a t i i l o r c o n t a b i l e

)0E#-&ul reprezinta cadrul general de aplicabilitate a practicilor privind securitatea si controlul te.nologiei informationale. 4nuntarea obiectivelor de atins prin implementarea unor masuri de control specifice unui domeniu particular de activitate a te.nologiilor informationale "esurse folosite in #- $ & %ate ,reprezentari si proiecte/

& Aplicatii ,suma procedurilor manuale si automatizate/ & -e.nologia propriu&zisa ,.ard, soft de baza, retele de comunicatii/ & "esurse umane & (acilitati ,resurse de sustinere a sistemului informational/ )riterii de evaluare a informatiei $ & eficacitate & confidentialitate & integritate & disponibilitate & realitate & oportunitate A:%#-:A reprezinta o activitate de concepere a unui sistem care previne, detecteaza si corecteaza evenimente ilicite in viata unei organizatii.

10

*iscurile asociate auditului financiar *iscul de audit

a/ G "iscul inerent general & riscul de management & riscul contabil & riscul de afaceri b/ G "iscul de control & o eroare sau un grup de erori cu impact semnificativ nu a fost prevenita, detectata sau corectata la timp de sistemul contabil sau auditul intern c/ G "iscul de nedectare & procedurile fundamentale de audit nu detecteaz o eroare semnificativa sau mai multe erori nsumate cu efect cumulat semnificativ d/ G "iscul de eantionare Auditorul financiar trebuie sa ia in considerare modul in care un mediu )#' afecteaz auditul. "iscul inerent si riscul de control intr&un mediu )#' poate avea particulariti $ & & specifice & 0 eroare individuala in mediul )#' poate afecta ntregul ansamblu informaional al ntreprinderii "iscuri generate de deficiente ale mediului )#' )reterea potenialului de apariie a erorilor si a activitilor frauduloase

*ISC#*I&' AS)CIA%' SISI%'(#&#I I+,)*(A%I)+A&

a/ "iscurile de mediu & .ard<are si reele de comunicaii & sistem de operare & softuri de aplicaie b/ "iscuri asociate mediului $ & pericole naturale si dezastre & alterarea sau furtul aplicaiilor, datelor & erori umane sau te.nice & incompetenta manageriala & pierderi financiare previzibile "iscurile trebuie $ & evaluate din punct de vedere al gravitii efectelor lor

11

& evaluate din punct de vedere al probabilitii procedurilor & estimate financiar pentru fiecare apariie a fenomenului si pe total .articularitati ale sistemelor informatice in e-aluarea riscului / A. 'tructura organizationala$ & )oncentrarea functiilor si a cunostintelor & )oncentrarea programelor si a datelor E. 9atura procesarii$ & Absenta documentelor de intrare & Aipsa unei dovezi vizibile a tranzactiei & Aipsa unor iesiri vizibile & :surinta de a accesa datele si softurile ). Aspecte procedurale$ & consecventa executiei & proceduri de control programate & o tranzactie are efect in fisiere multiple & vulnerabilitatea mediilor de stocare "iscuri asociate unui sistem informatic $ a/ pierderea, deturnarea, modificarea informatiilor b/ accesul neautorizat la informatii c/ intreruperea procesarii ()$'& CA&I%A%I0 $' '0A&#A*' A *ISC#*I&)* (te1nica scorurilor! *ISC a.0#&+'*A2I&I%A%' & A))4' (#H#) & A))4' "4-4A b. C)(.&'3I%A%'

12

& )0I5A4J#-A-4 0"KA9#HA-#09AAA & (:9)-##A0" '#'-4I:A:# & 54"'09AA & 54"'09AA %4 '54)#AA#-A-4 & IA9AK4"# & %0):I49-A-#4 & )#)A: %4 =#A-A c. ,I+A+CIA* *ISC#& AS)CIA% ACC'S#&#I ,I4IC +I0'& *ISC IA"4 I4%#: ')AH:$'SC*I '*' "esursele informationale sunt accesibile tuturor anga8atilor "esursele informationale sunt in birouri organizate cu acces limitat de personal "esursele informationale sunt in zona cu acces strict controlat *ISC#& AS)CIA% *'%'&'I $' C)(#+ICA%II +I0'& *ISC IA"4 I4%#: ')AH:$'SC*I '*' 'istem conectat la reteaua publica 'istem conectat la retea privata. )omunicarea cu exteriorul cu linii dedicate 9ici o conexiune cu mediul

Controlul la ni-elul managementului presupune evaluarea anuala a sistemului informaional, a direciilor de dezvoltare, strategiilor de dezvoltare. Controlul ciclului de -iata presupune controlul iniierii proiectului sistemului informaional, controlul analizei si proiectrii iniiale a sistemului informaional, controlul ac.iziiei ,dezvoltrii/ sistemului informaional, controlul testrii sistemului informaional, controlul implementrii si conversiei sistemului informaional, controlul ntreinerii sistemului informaional, controlul securitii sistemului, responsabilitatea managementului, separarea funciilor incompatibile, controlul accesului, controlul securitii fizice, controlul prevenirii efectelor dezastrelor.

1;

Controalele ni-elului operaional presupun$ controlul modului de operare, controlul reelei de calculatoare, controlul pregtirii si introducerii datelor in sistem, controlul procesrii datelor, controlul gestiunii mediilor de stocare, controlul gestiunii aplicaiilor si a documentaiilor, controlul asistentei te.nice. )2I'C%I0'&' A#$I%#&#I %ate de intrare & tipul & originea & volumul si creterea anticipata & dependenta temporala (iiere & tipul & principale & tranzacii & baze de date & & & & #eiri & & & & Altele & & & & modul de control si de ar.ivare mrimea si creterea anticipata frecventa actualizrii relaiile cu fiierele din alte sisteme tipul si coninutul rapoartelor volumul si creterile anticipate frecventa de raportare suportul de prezentare necesar de .ard cerinele de securitate cerinele legale ,soft/ auditibilitatea ,proceduri/

Controlul ac1iziiei (dez-olt"rii! sistemului a. %ezvoltarea integrala din interiorul organizaiei ,in&.ouse/

1*

b. c.

4c.ipamente ac.iziionate de organizaie6 soft de aplicaie ac.iziionat de Aplicaie integrala la c.eie ,outsourcing/ a. b. c. 4ste necesara proiectarea de detaliu cu intervenia specifica a auditorului 'oft&ul se poate comanda in mod specific )riteriile foarte exacte de selecie ale furnizorului

la furnizor ,outside/

Controlul test"rii sistemului & & testare paralela testare pilot & & & asigurarea ca sistemul funcioneaz corect in cazul ntreruperilor, se emit mesa8e de documentare nu exista prelucrri neefectuate

0biectivele auditului $

Controlul implement"rii sistemului 0biectivele auditului $ & & & & controlul atribuirii responsabilitatilor la implementare controlul standardelor de eficacitate a implementrii controlul planului de implementare controlul modului de implicare a utilizatorilor la implementare

Controlul ntreinerii sistemului 0biectivele auditului $ & & & & & & & identificarea factorilor care genereaz necesitatea modificrii sistemului controlul autorizrii execuiei modificrii controlul mecanismelor ce previn modificri neautorizate Apariia de funcii noi 9ecesitatea modificrii raportrii Iodificri in cadrul legislativ Apariia de probleme neprevazute in proiectare

(actorii care impun modificri ale sistemului $

1>

C)+%*)&#& S'C#*I%A%II SI S%'('&)* I+,)*(A%IC' 5rocesele de asigurare a securitii sistemelor informatice ndeplinesc funcia de a prote8a sistemele mpotriva folosirii, publicrii sau modificrii neautorizate, distrugerii sau pierderii informaiilor stocate. 'ecuritatea sistemelor informatice este asigurata prin controale logice de acces, care asigura accesul la sisteme, programe si date numai utilizatorilor autorizai. 4lemente de control logic care asigura securitatea sistemelor informatice $ L L L L L L L L L L L cerinele de confidenialitate a datelor6 controlul autorizrii, autentificrii si accesului6 identificarea utilizatorului si profilele de autorizare6 stabilirea informaiilor necesare pentru fiecare profil de utilizator6 controlul c.eilor de criptare6 gestionarea incidentelor, raportarea si masurile ulterioare6 protecia mpotriva atacurilor viruilor si prevenirea acestora6 fire<alls6 administrarea centralizata a securitii sistemelor6 training&ul utilizatorilor6 metode de monitorizare a respectrii procedurilor #-, teste de intruziune si raportri. )biecti-e de control detaliate Asigurarea securitii sistemelor informatice 5. Controlul masurilor de securitate 'ecuritatea sistemelor informatice trebuie organizata astfel incat sa fie in concordanta cu obiectivele de afaceri ale organizatiei$ L L L L organizaiei. includerea informatiilor legate de evaluarea riscurilor la nivel implementarea si actualizarea planului de securitate #- pentru a reflecta evaluarea impactului modificarilor planurilor de securitate #-, si alinierea procedurilor de securitate #- la procedurile generale ale organizational in proiectarea securitatii informatice6 modificarile intervenite in structura organizatiei6 monitorizarea implementarii procedurilor de securitate6

1+

6.

Identificarea autentificarea si accesul

Accesul logic la resursele informatice trebuie restrictionat prin implementarea unor mecanisme adecvate de identificare, autentificare si acces, prin crearea unei legaturi intre utilizatori si resurse, bazata pe drepturi de acces. 7. Securitatea accesului on-line la date #ntr&un mediu #- on&line trebuie implementate proceduri in concordanta cu politica de securitate, care presupune controlul securitatii accesului bazat pe necesitatile individuale de accesare, adaugare, modificare sau stergere a informatiilor. 8. (anagementul conturilor utilizator )onducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator. 0 procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul de securitate. 9. 0erificarea conturilor utilizator de catre conducere )onducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confirme periodic drepturile de acces. :. 0erificarea conturilor utilizator de catre utilizatori :tilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi, in vederea detectarii activitatilor neobisnuite. ;. Supra-eg1erea securitatii sistemului Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile legate de securitatea sistemului sunt inregistrate intr&un 8urnal, si orice indiciu referitor la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile. <. Clasificarea datelor )onducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de vedere al gradului de confidentialitate, printr&o decizie formala a detinatorului datelor. ).iar si datele care nu necesita protectie trebuie clasificate in aceasta categorie printr&o decizie formala. %atele trebuie sa poata fi reclasificate in conditiile modificarii ulterioare a gradului de confidentialitate. =. Centralizarea identificarii utilizatorilor si drepturilor de acces #dentificarea si controlul asupra drepturilor de acces trebuie efectuate centralizate pentru a asigura consistenta si eficienta controlului global al accesului.

1B

5>.

*apoarte pri-ind -iolarea securitatii sistemului

Administratorii de sistem trebuie sa se asigure ca activitatile care pot afecta securitatea sistemului sunt inregistrate, raportate si analizate cu regularitate, iar incidentele care presupun acces neautorizat la date sunt rezolvate operativ. Accesul logic la informatii trebuie acordat pe baza necesitatilor stricte ale utilizatorului ,acesta trebuie sa aiba acces numai la informatiile care ii sunt necesare/. 55. ?estionarea incidentelor )onducerea trebuie sa implementeze proceduri de gestionare a incidentelor legate de securitatea sistemului, astfel incat raspunsul la aceste incidente sa fie eficient, rapid si adecvat. 56. Increderea in terte parti 0rganizatia trebuie sa asigure implementarea unor proceduri de control si autentificare a tertilor cu care intra in contact prin medii electronice de comunicare. 1;. Autorizarea tranzactiilor 5olitica organizatiei trebuie sa asigure implementarea unor controale care sa verifice autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza tranzactia. 1*. 5revenirea refuzului de acceptare a tranzactiei 'istemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate ulterior de nici un participant. Aceasta presupune implementarea unui sistem de confirmare a efectuarii tranzactiei. 59. 5:. Informatiile sensibile trebuie transmise numai pe un canal de .rotectia functiilor de securitate comunicatii considerat sigur de parti care sa nu permita interceptarea datelor -oate functiile organizatiei legate de asigurarea securitatii trebuie prote8ate in mod special, in vederea mentinerii integritatii acestora. 0rganizatiile trebuie sa pastreze secrete procedurile de securitate.

1D

5;.

(anagementul c1eilor de criptare

)onducerea trebuie sa defineasca si sa implementeze proceduri si protocoale pentru generarea, modificarea, anularea, distrugerea, certificarea, utilizarea c.eilor de criptare pentru a asigura protectia impotriva accesului neautorizat. 5<. .re-enirea detectarea si corectarea programelor distructi-e #n vederea prote8arii sistemului impotriva aplicatiilor distructive ,virui/, trebuie implementata o procedura adecvata care sa includa masuri de prevenire, detectare, actiune, corectare si raportare a incidentelor de acest fel. 5=. Ar1itecturi ,ire@all si conectarea la retele publice #n cazul in care sistemul organizatiei este conectat la #nternet sau alte retele publice, programe de protectie adecvate ,fire<alls/ trebuie implementate pentru a prote8a accesul neautorizat la resursele interne ale sistemului. 6>. .rotectia -alorilor electronice )onducerea trebuie sa asigure protectia si integritatea cardurilor si a altor dispozitive folosite pentru autentificare sau inregistrare de date considerate sensibile ,financiare/. S'C#*I %A%'A SIS%'( '&)* I+,)*(A%I)+A&' 0rganizatia trebuie sa aiba o politica se securitate informationala. L L L L & & "esponsabilitatile personalului Atributiile responsabilului cu securitatea )larificarea datelor si nivelurile de securitate )ontrolul ,auditul/ intern al securitatii standarde interne si principii privind securitatea '.#. & la nivel grobal codul etic al anga8atilor si pregatirea acestora.

5olitica de securitate se refera la tot personalul anga8at $ & pe grupe ,functii, sectii/ de lucru

S'.A*A*'A ,#+C%II&)* I+C)(.A%I2I&' & & & Aimiteaza erorile si fraudele )reste probabilitatea detectarii fraudelor 'epararea functiilor se realizeaza in domeniile $ & #nitierea si autorizarea tranzactiilor

1F

& & & & & & & & &

#nregistrarea tranzactiilor custodia activelor

5ersoane diferite pentru operatiile $ programare G operare procesare date G pregatire gestionar memorie externa G operator eliberare, multiplicare, distrugere informatii G autorizare programare G administrare baza de date responsabil securitate G orice alte activitati controlul drepturilor de acces G alte functii ,activitati/. A#%)*I4A*'A #%I&I4A%)*I&)* 1. sistemului 2. ;. Autentificare $ functia de stabilire a validitatii identitatii pretinse Autorizare $ sistemului C)+%*)&#& ACC'S#&#I "iscurile accesului neautorizat $ & & & & & %iminuarea confidentialitatii (urtul informatiilor %ivulgarea neautorizata de informatii %iminuarea integritatii informatiilor #ntreruperea functionarii sistemului utilizatorului recunoscut i se permite accesul la resursele #dentificare $ calculatorul recunoaste un potential utilizator al

)ontrolul accesului in mediile publice utilizand (#"4MAAA #mpune o politica de control a accesului intre doua retele. & & & & & & #ntreg traficul de date trece prin el 4ste permisa numai trecerea autorizata prin politica locala de securitate 'istemul insusi este imun la penetrare Ionitorizarea comunicatiilor -)5?#5 5oate inregistra toate comunicatiile 5oate fi folosit la criptare.

20

'%A.'&' A%AC#&#I &A ) *'%'A I. Colectare de informatii & & & & & & 5rotocol '9I5 neprote8at 5rograme -"A)4 "0:-4 & ofera adresele retelelor si routelor intermediare spre o tinta 'erverele %9' 5rotocol (#9K4" 5rogramul 5#9K & pot fi interogate pentru a obtine informatii & informatii despre utilizatorii unui calculator & determina daca un calculator e disponibil referitoare la tipul calculatoarelor, numele si adresele # 5 ascoiate gazda G login, nr. telefon, data ultimei conectari II. Testarea securitatii sistemelor 5rogram de scanare a securitatii sistemelor & '' ,# 9-4"94- '4):"# -N ')A994"/ &'A-A9 & ,'4):"#-N A%I#9#'-"A-0" -00A (0" A:%#-#9K 94-M0"O/ 5rograme proprii pentru conectare la porturile specifice ale serviciilor vulnerabile. III. Accesarea sistemelor protejate & obtinerea accesului ,privilegiat/. C)+%*)&#& S'C#*I%A%II ,I4IC' Auditorul verifica masura in care accesul fizic la date si resursele .ard<are sunt restrictionate corespunzator $ & )um este restrictionat accesul fizic la facilitatile #- din firmaP & )um este restrictionat accesul la spatiile unde se afla ec.ipamentele pe care se realizeaza prelucrarileP & )um sunt prote8ate stocarile offline de dateP & )at de sigura, din punct de vedere informational, este scoaterea din uz a & examineaza tabela de rutare pentru un router

21

calculatoarelor si mediilor de stocare a datelorP L 4xistenta unor programe gen 4as3 "ecover3 sau Aost Q found care permit recuperarea datelor sterse de pe mediile de stocare. )omanda :9(0"IA- din %0'. L dificultatea asigurarii controlului accesului fizic la fiecare componenta .ard<are L extinderea lucrului in retea si a utilizarii sistemelor distribuite s&a caracterizat prin concentrarea atentiei pe controlul accesului logic, dar controlul accesului fizic ramane in continuare important, el reprezentand o componenta a sistemului de securitate. C).II $' SI?#*A+%A SI '0'+I('+%' +'.*'0A4#%' Auditorul trebuie sa verifice daca la nivelul organizatiei exista $ & 5roceduri prin care sa se asigure functionarea sistemului in cazul caderii alimentarii cu energie electrica sau a cailor de comunicatii. L 4xista sectoare 1sensibile2 G bancar, bursier, securitatea statului, energetic etc. care impun asigurarea functionarii continue a sistemelor informatice ceea ce implica existenta unor surse alternative de energie si?sau comunicatii. & 5lanuri bine testate si documentate, actualizate periodic prin care sa se asigure operationalitatea sistemului informatic in conditiile producerii unor evenimente neprevazute. & 5roceduri si controlul aplicarii acestora, privind realizarea copiilor de siguranta si refacerea starii sistemului in cazul 1caderii2 acestuia ca urmare a unor cauze .ard sau soft. & 4xistenta unui contract de asigurare a organizatiei pentru evenimente neprevazute. & 9ivelul de instruire a personalului cu privire la procedurile aplicabile in cazul realizarii periodice a copiilor de siguranta sau executarii procedurilor de criza in cazul producerii dezastrelor. *efacerea in cazul esecului operational Auditorul verifica $ & daca sunt stabilite proceduri adecvate in cazul producerii unor esecuri operationale & daca aceste proceduri sunt verificate si aprobate de staff&ul #& daca aceste esecuri operationale sunt identificate, rezolvate la timp,

22

comsemnate si raportate & in ce masura ec.ipamentele sunt adecvat plasate si prote8ate pentru a se preveni riscul distrugerii accidentale ,foc, fum, praf, vibratii, radiatii electromagnetice etc./ & in ce masura ec.ipamentele sunt corect intretinute & ce controale exista pentru prevenirea esecurilor operationale produse din $ & cauze .ard<are & neaplicarea corecta a procedurilor de operare & erori soft<are & care sunt procedurile de "4'-A"- si "4(A)4"4 ,"ecover3/ pentru refacerea starii sistemului in urma unui esec operational & in caz de incidente sunt evaluate actiunile operatorilor pentru a se vedea daca prin actiunile lor nu au afectat calitatea prelucrarilor sau structurile de date.

C)+%*)&#& +I0'&#&#I ).'*A%I)+A& %istribuirea prelucrarii R impune controlul la nivel operational Activitati auditate $ 1. 0perarea efectiva la postul de lucru & restrictionarea accesului & utilizarea eficienta a timpului de lucru & intretinerea si repararea ec.ipamentului & cunoasterea si respectarea procedurilor de catre utilizatori 2. "eteaua de calculatoare & Iodul de monitorizare a traficului pe retea & 5olitica antivirus G server sau post de lucru & )ontrolul politicilor de acces si restrictionare & 5rotectia conexiunii la retele publice Auditorul urmareste $ L )ontrolul retelei?accesului dial&up$ L Accesul de la distanta la '# ,prin conexiunile la retea sau dial&up/ trebuie sa fie restrictionate corespunzator$ & )um sunt autentificate conectarile de la distanta la calculatoarele organizatiei & %aca reteaua este mare, in ce masura este organizata pe domenii separateP

2;

& %aca reteaua este parta8ata ,mai ales daca se extinde dincolo de organizatie/ ce controale exista pentru a se verifica faptul ca utilizatorii acceseaza doar portiunile de retea pentru care sunt autorizatiP & )um sunt prote8ate transmisiile in reteaP & %aca este corespunzator numarul de utilizatori dial&upP & )um sunt autentificati utilizatorii dial&upP & #n ce masura disponibilitatea facilitatilor dial&up este restrictionata la momentele de timp ,zi? saptamana/P & )e controale se folosesc pentru diagnosticul porturilorP L )ontrolul conexiunilor externe la retea ,#nternet, 4%#, 4(-/ & )onexiunile externe trebuie folosite doar pentru scopuri valide ale afacerii si controalele trebuie sa previna ca aceste conexiuni sa submineze securitatea sistemului & #n ce masura aceste conexiuni externe sunt impuse de nevoi ale organizatieiP & )at de sigura este posta electronica a organizatieiP & )at de bine este prote8at gate<a3&ul dintre #nternat si mediul firmeiP &)e controale exista pentru a preveni accesarea unor site&uri inadecvateP & )e controale exista pentru a preveni navigarea neproductiva pe #nternet a personalului si in afara sarcinilor de serviciuP & )at de bine sunt prote8ate conexiunile externe ale retelei pentru folosirea 4%# si 4(-P 'olutia .ard<are si soft<are a retelei trebuie sa asigure nevoile de disponibilitate, performanta si flexibilitate. & )e documentatie de retea este disponibilaP& )um sunt aprobate modificarile din retea, controlate si testateP & )e procese au loc pentru planificarea capacitatii si monitorizarea nivelului de performantaP ;. 5regatirea datelor si introducerea in sistem & 5regatirea documentelor primare L %atele sunt clasificate, grupate, verificate, sortate si transmise pentru procesare.

2*

& )ontrolul introducerii datelor L Acuratetea datelor depinde de $ & calitatea controalelor & factorul uman & tipul ec.ipamentelor folosite pentru introducerea datelor in s3stem. *. 5rocesarea datelor & Acces autorizat pentru declansarea procedurilor & "espectarea termenelor si timpilor de procesare & 5rote8area fisierelor & 5astrarea rezultatelor procesarii Auditorul va verifica cum managementul controleaza masura in care rolul si responsabilitatile personalului implicat in procesarea datelor sunt cunoscute si respectate, focalizand pe procedurile de $ & bacSup si refacerea sistemului & prelucarea pe loturi ,batc./ si? sau on&line. Asigurarea la timp a datelor necesare prelucrarilor, mai ales in cazul in care acestea sunt asigurate de alte sisteme informatice ,interne sau externe organizatiei/ & intretinerea soft<are&ului. Auditorul va urmari masura in care a asigurat documentatia necesara personalului implicat in procesarea datelor. >. Kestionarea mediilor de stocare 5astrarea, utilizarea si intretinerea $ & disc.etelor & )%&urilor & C%%&urilor & casetelor cu banda ,data cartdrige/ & casetelor zip urnalul de evidenta a mediilor de stocare cuprinde $ & identificatorul ,etic.eta/ mediului de stocare & localizarea curenta

2>

& persoana responsabila ,gestionarul/ & data ac.izitiei & utilizatorul & fisierele?programele? aplicatiile continute & persoanele autorizate sa acceseze mediul. +. Kestionarea aplicatiilor si a documentatiei & modul de pastrare & modul de acces & actualizarea documentatiei & copii de siguranta. B. Asistenta te.nica & modul de ac.izitionare a .ard<are&ului & instruire utilizatori & identificarea erorilor de procesare si modul de rezolvare & controlul soft&urilor & raportarea incidentelor. Ianagementul trebuie sa stabileasca nivelurile de service necesitate de utilizatori si sa stabileasca politicile privind asigurarea acestora $ & #n ce masura corespund contractele de service existente nevoilor realeP & #n ce masura service&ul asigurat raspunde cerintelor de securitateP D. Ionitorizarea performantelor L Ionitorizarea performantei operationale si aprobarea procedurilor documentate. Ianagementul trebuie sa monitorizeze performanta privitoare la nivelele de service si a procedurilor de operare. & )e informatii primeste managerul pentru a&i permite sa monitorizeze starea mediului .ard si terminarea la timp a prelucrarilor batc.P & )at de des se primesc aceste informatiiP & #n ce masura au existat probleme cu performanta componentelor .ard<are si?sau executarea la timp a prelucrarilor batc.P & )e monitorizare se desfasoara pentru verificarea operarii eficiente a calculatoruluiP & #n ce masura au existat probleme cu neaprobarea unor proceduri definite pentru

2+

operarea calculatoruluiP

2ibliografie/

2B

2rAnda Claudiu -Auditul sistemelor informaionale de gestiune *e-ista de Audit

,inanciar nr.7 din 6>>7. (untean Adrian -Auditul sistemelor informaionale contabile 'd. .olirom 6>>6. Camera Auditorilor ,inanciari din *omania-Audit financiar 6>>> 'ditura 'conomica 2ucuresti.6>>>.

2D