PROIECT – Sisteme de control intern

PARTEA I

Registrul riscurilor la nivelul compartimentului de Gestionare a Sistemului Informatic

Circumstante Data ultimei Risc rezidual la data ultimei

Risc inerent Instrumente Termenul
care Responsabili Actiunea de revizuiri si revizuiri Eventuale
Nr Descrierea de control de punere
Obiective favorizeaza cu gestionarea minimizare a riscului stadiul riscuri Obs.
crt riscurilor intern in opera
aparitia riscului Probabilitate Impact Expunere actiunii Probabilitate Impact Expunere secundare
riscului
1 Schimbarea in
momentul optim a
Coordonarea activitatii Echipamente echipamentelor vechi/
/componente uzate, mai ales in
de intretinere si Defectiuni de uzate, punctele cheie ale
extindere a retelei de natura hard-ware necorspunzatoa retelei (servere, Monitorizare
calculatoare a ce pot sa apara la Depanator pc-
-re sau cu vicii 2 2 4 routere), intretinerea a retelei de 10.01.2020 02.07.2020 2 1 2
componentele uri.
companiei. de fabricati, acestora conform calculatoare.
retelei de
calculatoare. utilizarea specificatiilor
defectuasa a producatorului,
echipamentelor utilizarea de
echipamente de
rezerva configurate.
Defectiuni de Exploatarea Depanator pc- 2 2 4 Actualizarea sistemelor Monitorizare 10.01.2020 02.07.2020 1 2 2
natura soft-ware necorespunzato uri. de operare si a a retelei de
ce pot sa apara la are a tehnicii de aplicatiilor de protectie calculatoare.
componentele
 calcul, a informatica utilizate,
retelei de
programelor back-up-ul datelor
calculatoare.
utilizate. sensibile.
Propuneri catre
Insuficiente departamentele in Stabilirea
fonduri alocate in cauza pentru unui plan care
Planul de Orientarea Managerul sa stabileasca
cuprinderea in planul
Reparatii pe veniturilor spre financiar. 1 2 2 distribuirea 10.01.2020 02.07.2020 1 2 2
de investitii si in cel de
pozitiile alte cheltuieli. fondurilor in
corespunzatoare reparatii a sumelor proportii
domeniului IT&C. necesare desfasurarii echilibrate.
activitatii.
2 Intretinerea Consultarea log-urilor
comunicatiei din LAN- routerelor in vederea
uri si prin tunele VPN luarii la cunostinta a
Lipsa
acestor tipuri de
realizate intre locatiile Atacuri de tip DoS implementarii
sau DDoS asupra atacuri respectiv
companiei. unui parafoc, Administratorul Supervizare/
echipamentelor ce 1 3 3 configurarea 12.03.2020 15.08.2020 1 2 2
si/sau carente de retea. Monitorizare.
conduc la blocarea intretinerea si
activitatii. de securitate
imbunatatirea
ale acestuia.
parafocurilor pe
routerele ce asigura
legatura intre LAN-uri.
Lipsa serviciului
de internet, Verificarea periodica a
Deconectarea deficiente de stabilitatii tunelelor
tunelelor VPN Administratorul Supervizare/
configurare ale 1 3 3 VPN, back-up-uri de 12.03.2020 15.08.2020 1 1 1
dintre locatii si de retea. Monitorizare.
tunelelor, configuratii ale
sediul central.
echipamente routerelor.
virusate.
Apariţia unor  Reţeaua este Administratorul 2 3 2 Stabilirea unor Limitarea 12.03.2020 15.08.2020 1 2 2
 traficului
încarcata cu astfel   incat
serverul sa
mai multe priorităţi de rutare a
accepte doar
zone de congestie. pachete decît de retea. traficului, folosirea
atât de multe
capacitatea ei protocolului TPC. solicitări cât
de transport. poate
gestiona.
Indisponibilitat
ea temporara a
Imposibilitatea Deschiderea unui tichet
serviciului de Verificarea
accesarii contului catre furnizorul
gazduire Administratorul contractului si
de administrator 1 2 2 serviciului de hosting 17.05.2020 30.06.2020 1 2 1
furnizat catre de site. punerea lui in
al domeniului sau a furnizorului de
terti sau lipsa aplicare.
gazduit. internet.
unei conexiuni
de internet.
Lipsa
Administrarea site-ului Neprimirea in comunicarii
timp util a intre Transmiterea in timp
3 de internet a
informatiilor departamentel util, prin Nota Interna
societatii. Administratorul Supervizare/
necesare e ce genereaza 1 2 2 catre compartimentul 17.05.2020 30.06.2020 1 1 1
de site. Monitorizare.
actualizarii informatii de GSI, a informatiilor
paginilor din natura a fi reactualizate.
cadrul site-ului. actualizate sau
afisate pe.
Introducerea de Actualizare site,
Instalarea
articole/inform instalare programe din
Alterarea codului Administratorul unor
atii care nu 1 2 2 surse sigure, folosirea 17.05.2020 30.06.2020 1 1 1
site-ului web. de site. programe
apartin unui certificat de
antivirus.
societatii. securitate SSL.
 Utilizarea de
distributii hard- Utilizarea de
Verificarea
ware si/sau soft- PC-uri vechi pe
Utilizarea de tehnica de periodica a
ware care se doreste
Tehnician IT. 2 1 2 calcul adecvata computerelor 3.08.2020 30.10.2020 1 1 2
necompatibile cu instalarea/rular
cerintelor software de de un
aplicatiile ce ea de programe
moment. specialist.
urmeaza a fi noi.
instalate.
Coruperea
Esuarea Verificarea periodica a
fisierelor de
procesului de efectuarii actualizarii
actualizare sau
actualizare a programelor si, in Supervizare/
lipsa Tehnician IT. 1 1 1 3.08.2020 30.10.2020 1 1 1
programelor ce eventualitaea lipsei Monitorizare.
actualizarilor
folosesc informatii acestora, informarea
curente. furnizata de
furnizorului.
Asistenta tehnica de producator.
specialitate la
implementarea si Existența unor Existența
functionarea condiții de contractelor de
4 Indisponibilitatea funcționare service și suport, cu Verificarea
programelor anormală a furnizori externi, contractelor si
sistemului. Tehnician IT. 2 2 2 3.08.2020 30.10.2020 2 1 2
informatice furnizate sistemului care acoperă punerea lor in
de terti. informatic,lipsa eventualele situații aplicare.
mentenanței anormale.
operaționale.

Distrugerea unor Citirea Programator IT. 2 2 3 Nefolosirea Instalarea 29.09.2020 30.11.2020 1 1 2

fişiere. suporturilor de suporturilor de unor
memorie memorie externe programe care
externa neautorizate. sa nu permita
purtatoare de citirea
suporturilor de
 virusi,
deschiderea
memorie
mesajelor
externe
infectate
neautorizate.
primite prin
email.
Deschiderea Instalarea
Încetinirea vitezei mesajelor unui program
Securitatea de lucru a care sa nu
infectate Limitarea site-urilor
calculatoarelor calculatorului Programator IT. 2 3 6 permita 29.09.2020 30.11.2020 1 1 1
mesajelor de accesibile.
5 impotriva virusilor si până la blocarea utillizatorilor
acestuia. tip spam sau deschiderea
hackerilor. phishing. altor site-uri.
Achizitia unui
Conectarea calculator pentru
Extragerea Supervizare/
calculatorului la Programator IT. 3 3 6 datele mai importante 29.09.2020 30.11.2020 1 1 1
datelor. Monitorizare
internet. care sa ramana
neconect la internet.
PARTEA a II-a
SECURITATEA SISTEMULUI INFORMATIC ȘI A INFORMAŢIILOR
Introducere: Descrierea activitatii de asigurare a securitatii sistemului informatic si a informatiilor in cadrul companiei.
Aceasta activitate presupune implementarea unor strategii de asigurare a securitatii documentelor si programelor precum si a
politici de securitate.
Riscuri Efecte
Imposibilitatea protejării integrale a reţelelor
IT, a alocării corespunzătoare a resurselor
Neimplementarea unui sistem adecvat de (spaţii de memorie, viteză de procesare,
parole sau a unui sistem de autorizare a stabilitate) în cadrul lor.
accesului pentru securitatea datelor. Lipsa unei viziuni de ansamblu asupra
vulnerabilităţilor care afectează
funcţionalitatea reţelelor.
Exploatarea cu dificultate a datelor, apariţia
erorilor în cadrul sistemelor de date
Stocarea datelor nu asigură o utilizare şi existente ca urmare a utilizării şi stocării
exploatare eficientă. incorecte a datelor, posibilitatea de
modificare în mod necontrolat a unui sistem
de date.
Posibilitatea utilizării datelor şi informaţiilor
din sistem în mod neadecvat de către
Neasigurarea securităţii sistemului persoane neautorizate.
informatic Vulnerabilitatea ridicată a sistemului în faţa
unor intrări nedorite sau unor atacuri
informaţionale.
Folosirea mai multor nume de utilizator Datorită numărului mare de parole ce
şi parole pentru accesul la sistemul IT. trebuiesc utilizate de salariaţi, deseori aceştia
notează parolele pe documente lăsate pe
birou. Astfel salariaţii cunosc parolele
Controale interne
Implementarea unui sistem de management
al vulnerabilităţilor, care să identifice
vulnerabilităţile şi greşelile de configurare şi
să dispună măsurile operative de
soluţionare.
Organizarea datelor în baze de date,
respectiv fişiere formate
din înregistrări, care să conţină câmpuri şi
operaţii de căutare, sortare sau recombinare.
Schimbarea sistematică a parolelor de acces
de către utilizatorii sistemului informatic.
Stabilirea unei persoane care să aibă în
responsabilitate atribuţii şi competenţe de
verificare a schimbării periodice a parolelor
de acces.
Realizarea unui proces de reenginering la
nivelul sistemului IT din cadrul
entităţii publice, astfel încât salariaţii să
poată accesa subsistemele IT de care au
 colegilor de serviciu, putându-se conecta la
subsistemele IT folosindu-le datele de
identificare şi prin urmare putând să
nevoie utilizând un singur nume de utilizator
vizualizeze şi/sau modifice date aflate în
şi o singură parolă.
acele subsisteme IT.
În situaţia apariţiei unor incidente nu se pot
stabili responsabilităţile adecvate.
Inventarierea tuturor staţiilor de lucru pentru
Entitatea publică este pasibilă de sancţiuni
a stabili situaţia reală privind
din partea Oficiului Român
utilizarea programelor fără licenţă.
pentru Drepturi de Autor, pentru utilizarea
Dezinstalarea tuturor programelor
unor programe fără licenţă.
Utilizarea unor programe software fără nelicenţiate.
Soft-urile nelicenţiate instalate de utilizatori
licenţă. Realizarea unei analize complexe în urma
pot conţine viruşi, troieni sau alte programe
căreia managementul entităţii
ce ar putea afecta în mod grav subsistemele
să decidă asupra oportunităţii schimbării
IT la care au acces aceşti utilizatori, sau chiar
programelor existente şi achiziţionarea unui
sistemul IT în ansamblul său.
număr adecvat de licenţe.

Obiectiv de audit pentru
operatiuni
Monitorizarea securităţii
reţelelor.
Asigurarea corectitudini
datelor în cadrul programelor
Mecanism-cheie al controlului
intern
Asigurarea că datele şi
informaţiile sunt protejate în
cadrul sistemului informatic,
limitând accesul în funcţie de
nivelele de autorizare sau pe
baza unui sistem adecvat de
parole.
Organizarea datelor în sistemele
informatice.
Teste ale mecanismului de Teste substantiale tipice ale
control operatiunilor
Identificarea elementelor de bază
din reţea si clasificarea lor.
Identificarea vulnerabilităţilor
reţelei, transformarea datelor de
Verificati politica de securitate a
securitate în informaţii,
retelei si procedurile asociate.
monitorizarea securităţii reţelelor
în timp.
Examinați procesul de remediere
a vulnerabilităţilor reţelelor.
Examinați dacă o dată sau Compararea documentelor de
informaţie este stocată într-un intrare cu cele de ieșire.

informatice.
Utilizatorii au parole de acces
individuale.
Proiectarea şi asigurarea
securităţii reţelei.
Corectitudinea implementarii
programele de calculator.
Sistemului de prevenire şi
detectare a accesărilor şi
modificărilor sau transmiterilor
neautorizate de baze de date.
Siguranţa accesului la reţea şi a
comunicării datelor în reţea.
Situaţia licenţelor pentru
programele de calculator.
singur fişier.
Verificați dacă accesul se
realizează uşor la o dată stocată
şi în funcţie de nivelul de
autorizare, dacă datele se pot
accesa în mod global în cazul
realizării de noi programe sau
de utilizare a acelor existente.
Examinați dacă o dată sau
informaţie este prezentată sau
transmisă în aceeaşi formă de la
un fişier la altul.
Verificați existenţa unui sistem
de parole care să fie modificate
periodic.
Verificați realizarea calendarului Confruntati calendarul privid
privind parolele de acces. parolelel de acces cu informatiile
Verificați desemnarea unei sistemului de parole.
persoane responsabile cu
verificarea periodică a sistemului
de parole de acces.
Verificaţi modul de alocare a
Verificați stndardele de retea,
numelui de utilizator şi parolei
proceduri și instrucțiuni de
aferente pentru accesul la reţea.
operare.
Monitorizarea conectării la reţea
Examinați jurnalele de operații.
conform listei de log-are.
Verificarea achiziţionării de Compararea programelor
licenţe pentru programele achizitionate cu facturile aferente
utilizate de către entitate. lor.
Identificarea eventualelor
limitări bugetare în privinţa
achiziţionării licenţelor şi
 a acţiunilor întreprinse de
departamentul IT în aceste
condiţii.
Analiza eventualelor
disfuncţionalităţi apărute în
procesul de achiziţionare a
licenţelor şi a modului de
soluţionare a lor.

Concluzii: Cultura de securitate in interiorul unei societati este un proces de durata ce poate fi dezvoltat prin impunerea unor masuri
si/sau mecanisme de securitate care sa minimizeze riscurile ce pot sa apara in procesul de business. Fiecare activitate este guvernata de
amenintari, vulnerabilitati si riscuri. In momentul in care un risc depaseste un anumit nivel acceptat avem de-a face cu un incident de
securitate care trebuie rezolvat.