Auditul sistemelor informatice la S.C. TRANSELECTRICA S.A.

Specializarea: AUDITUL ENTITĂȚILOR PUBLICE ȘI PRIVATE

PROIECT DE SEMINAR
MANAGEMENTUL RISCURILOR ÎN SISTEMUL INFORMATIC UTILIZÂND
METODA MEHARI

Masterand(ă):

Aldica ANDREEA ELENA

Târgoviște

2021
 CUPRINS

Capitolul 1. Sisteme informatice si auditarea acestora

Capitolul 2. Analiza riscurilor informatice
Capitolul 3. Raportul de audit
CONCLUZII
 CAPITOLUL 1. SISTEME INFORMATICE SI AUDITAREA ACESTORA

Auditul sistemelor informatice reprezintă activitatea de colectare şi evaluare a unor probe

pentru a determina dacă sistemul informatic este securizat, menţine integritatea datelor prelucrate şi
stocate, permite atingerea obiectivelor strategice ale întreprinderii şi utilizează eficient resursele
informaţionale. În cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaţii sunt
verificările, evaluările şi testările mijloacelor informaţionale, astfel:
- identificarea şi evaluarea riscurilor din sistem;
- evaluarea şi testarea controlului din sistem;
- verificarea şi evaluarea fizică a mediului informaţional;
- verificarea şi evaluarea administrării sistemului informatic;
- verificarea şi evaluarea aplicaţilor informatice;
- verificarea şi evaluarea securităţii reţelelor de calculatoare;
- verificarea şi evaluarea planurilor şi procedurilor de recuperare în caz de dezastre şi
continuare a activităţii;
- testarea integrităţii datelor.
Auditul informatic reprezintă o formă esenţială prin care se verifică dacă un SI îşi atinge
obiectivul pentru care a fost elaborată. Standardele europene definesc clar domeniul, activităţile,
etapele, conţinutul auditării şi formele de finalizare. Respectând cerinţele standardelor, rezultatul
procesului de auditare informatică este eliberat de riscurile contestării.
Auditul informatic reprezintă un domeniu cuprinzător în care sunt incluse toate activităţile de
auditare pentru : specificaţii, proiecte, software, baze de date, procesele specifice ciclului de viaţă ale
unui program, ale unei aplicaţii informatice, ale unui sistem informatic pentru management şi ale unui
portal de maximă complexitate, asociat unei organizaţii virtuale. În domeniul informatic există mai
multe direcţii de dezvoltare a auditului.
Auditarea software constă în activităţi prin care se evidenţiază gradul de concordanţă dintre
specificaţii şi programul elaborat. Auditul software dă măsura siguranţei pe care trebuie să o aibă
utilizatorul de programe atunci când obţine rezultate. Siguranţa se referă la corectitudinea şi
completitudinea rezultatelor finale atunci când datele de intrare sunt, de asemenea, corecte şi complete.
Auditul bazelor de date, este un domeniu de maximă complexitate având în vedere că, de
regulă, lucrul cu bazele de date presupune atât datele ca atare însoţite de relaţiile create între ele, cât şi
programele cu care datele se gestionează. De aceea se impune efectuarea unei reparări.
 Auditul datelor vizează definirea acelor elemente prin care se stabileşte măsura în care datele
stocate îndeplinesc cerinţele de calitate: corectitudine, completitudine, omogenitate,
comprehensibilitate, temporalitate, reproductibilitate. Pentru fiecare caracteristică există o metrică
elaborată, iar auditorul de date trebuie să evalueze nivelul atins de caracteristică, pentru setul de date
supus auditării. În final, auditorul de date certifică faptul că datele stocate în baze de date constituie
intrări valabile pentru a obţine rezultate corecte.
Auditul sistemelor informatice evaluează riscurile unui mediu informatic sau ale unei aplicaţii
informatice, ca de exemplu calculul salariilor sau facturarea. Aceste misiuni se realizează alegând,
împreună cu clientul, procesul de evaluare. Auditul informatic se poate referi la evaluarea riscurilor
informatice ale securităţii fizice, securitatea logică, managementul schimbărilor, planul de asistenţă etc.
În cazul general, auditul informatic se referă la un ansamblu de procese informatice pentru a răspunde
la o cerere precisă a clientului. De exemplu, aprecierea disponibilităţii informaţiilor şi a sistemului. În
acest caz se controlează care dintre procesele informatice răspund cel mai eficient la o asemenea
cerere. În cazul disponibilităţii, de exemplu, securitatea fizică şi planul de continuitate.
Auditul informatic poate, de asemenea, să evalueze aspecte strategice sau referitoare la calitatea
sistemelor informatice. De exemplu, să verifice dacă sistemul informatic al întreprinderii răspunde în
mod eficient la nevoile funcţiilor serviciului. Auditul mediului informatic se execută pentru a evalua
riscurile sistemelor informatice necesare funcţionării aplicaţiilor. De exemplu: securitatea fizică,
securitatea logică, securitatea reţelelor, plan de salvare. În urma auditării, se întocmeşte un raport în
care sunt prezentate punctele slabe, nivelul de risc al acestora şi măsurile corective propuse. Analistul
informatic are la dispoziţie numeroase tehnici şi metode pe care le adaptează contextului.
Într-un fel este auditat un program de calcul statistic sau de optimizare şi altfel este auditată o
aplicaţie care utilizează o bază de date. Pentru un sistem informatic complex există metode adecvate de
auditare, iar pentru aplicaţiile web accentul auditării este pus pe gradul de satisfacţie a grupului ţintă.
Aplicaţiile mobile au fundamente de auditare în care accentul este pus pe asigurarea continuităţii,
compatibilităţii, accesibilităţii rapide la resurse şi, mai ales, asupra nivelului atins de asigurarea
securităţii fluxurilor din întregul sistem. De aceea, în cadrul procesului de audit informatic, planificarea
şi definirea metodei de audit este esenţială.
Alegerea unei metode neadecvate conduce la utilizarea de instrumente neadecvate, iar
rezultatele auditului au caracter speculativ. Alegerea metodei presupune obţinerea unor informaţii
privind contextul în care se derulează procesele legate de produsul software, de aplicaţia informatică
sau de sistemul informatic, obiecte ale auditării. Auditul este, prin complexitatea sa, o activitate în care
sunt luate în analiză legăturile, implicaţiile pe care le generează produsul software, aplicaţia
informatică sau sistemul informatic între dezvoltator - compania de software şi utilizator. Raporturile
trebuie privite din punct de vedere tehnic, financiar şi juridic. Aspectul tehnic priveşte date de interior,
algoritmi, rezultate, resurse folosite. Aspectul financiar vizează costul estimat al produsului software,
aplicaţie, sistem informatic şi costul efectiv, modul în care s-au efectuat plăţile.
Caracterul juridic al abordării vizează obligaţiile contractuale şi legislaţia din domeniul
informatic. Toate aceste elemente conduc la stabilirea unor proceduri preliminare prin care sunt
definite direcţiile de analiză, gradul de semnificaţie pe care procesul de audit informatic îl oferă şi
riscurile ca unele concluzii să fie infirmate de practica derulării proceselor de utilizare curentă a
produsului software, a aplicaţiei informatice sau a sistemului informatic în integralitatea lui. Pentru a
realiza auditul informatic se defineşte planul de audit general şi programul de audit. Structura planului
şi definirea programului sunt standard, presupunând parcurgerea unor paşi obligatorii. Specificitatea
produsului software, a aplicaţiei informatice sau a sistemului informatic şi complexitatea acestora,
determină efectuarea unor detalieri care diferă de la un plan general la altul, respectiv de la un program
de audit informatic la altul. Sarcinile care se includ în plan, eşalonarea etapelor din program au
elemente de variabilitate legate strict de structura şi de diversitatea produselor informatice analizate.
Standardele de auditare includ suficiente elemente astfel încât planul general şi programul de
audit să fie riguroase, fără ambiguităţi şi, mai ales, operaţionale. Înainte de a se trece la auditul
informatic propriu-zis, datorită eforturilor ridicate de derulare şi, mai ales, datorită riscurilor ca
reproductibilitatea procesului de audit să fie afectată chiar de schimbările care au loc în produsele
informatice auditate, trebuie efectuate teste asupra mecanismelor de control şi a mecanismelor de
testare pe teste sursă, pe specificaţii, pe diagrame, pe documentaţii, pe structuri de rezultate. Pentru a
obţine o reducere a nivelului estimat pentru riscul erorilor de analiză/control a produsului informatic în
procesul de audit, printr-un proces iterativ se procedează la efectuarea de corecţii asupra modalităţilor
în care se includ procedee tehnice, metode, modele de analiză/control a produselor informatice.
Procesul iterativ se întrerupe atunci când estimarea probabilităţii ca rezultatele auditării informatice să
fie afectate de erori a atins un prag acceptabil.
Auditul propriu-zis include proceduri analitice, teste, prin care se evidenţiază diferenţele dintre
ceea ce s-a planificat a se realiza şi ceea ce s-a realizat. Procedurile analitice au la bază contractele
încheiate între părţi, minutele care detaliază obiective, sarcinile ce revin partenerilor, specificaţiile.
Auditorul tehnic trebuie să ierarhizeze informaţiile astfel încât să identifice punctele cheie care
definesc procesul de analiză, proiectare, dezvoltare, testare, implementare a produsului informatic, fie
că este vorba de un simplu program, fie că este vorba de o aplicaţie informatică desktop sau în reţea,
fie că este vorba de un sistem informatic care vizează întreaga activitate a unei organizaţii.
Toate procedurile analitice şi textele de detaliere aplicate modulelor, programelor şi sistemelor
de programe, au menirea de a evidenţia comportamentul, pas cu pas, a secvenţelor de program. În cazul
în care auditorul informatic are la bază pregătire de programator, ştie să aleagă din multitudinea de
proceduri şi texte cu caracter analitic, pe acelea care oferă informaţia reprezentativă privind produsul
software auditat, fie că este vorba de un modul, fie că este vorba de un sistem complex. Efortul de
 auditare este ridicat indiferent de complexitatea produsului auditat. Auditul se încheie cu raport care
are la bază o serie de verificări ale intercondiţionărilor dintre module, dintre programe, respectiv dintre
subsistemele sistemului informatic, pentru momentul t, considerat bază. Se verifică modul de
producere a evenimentelor care sunt concretizate prin succesiuni de prelucrări, corespunzătoare
momentului t + 1.
În acest fel, produsul informatic, proiectat pentru derularea unor seturi de prelucrări, este
analizat ţinând cont tocmai de succesiunea prelucrărilor. Auditul informatic are la bază înregistrări
privind structura software, structura bazei de date, înregistrări ale lungimilor, volumului, complexităţii
şi înregistrări complete asupra comportamentului în timpul execuţiei. În cazul în care există seturi de
date cu care au fost testate produse informatice din aceeaşi clasă cu produsul auditat acum, se
colectează serii de date privind comportamentul produsului pentru a fi comparat cu produsele deja
existente. Când nu există date, sunt generate şi testarea produsului se realizează simultan cu produse
din aceeaşi clasă, tocmai pentru a efectua analize şi pentru a compara produsele informatice.
Seriile de date se constituie în baze de redactare a raportului de auditare. De cele mai multe ori,
auditul informatic este cerut ca soluţie finală, imparţială, pentru a justifica ipotezele unei părţi
contractante, fie că este vorba de cumpărător de software, fie că este vorba de beneficiar, când aceştia
cred în dreptatea lor absolută. În general, auditul este descris ca Examinarea independentă a
înregistrărilor şi a altor informaţii în scopul formării unei opinii referitoare la integritatea sistemului
controalelor şi îmbunătăţirea controalelor recomandate pentru limitarea riscurilor.
Definiţia conţine termeni semnificativi ca:
- examinare;
- auditarea implică culegerea şi evaluarea informaţiilor factuale din surse variate; este
important ca rezultatele procesului de auditare (raportul primar de audit care conţine recomandări
pentru îmbunătăţirea controalelor) să fie urmărit până la sursele de informaţii valide;
- independent; auditorii nu sunt implicaţi direct în operaţii sau în managementul funcţiei care
se auditează; subordonarea lor trebuie să le asigure exprimarea liberă a opiniilor;
- înregistrări şi alte informaţii; termenii includ ceea ce adeseori sunt numite “inregistrări de
audit”; auditorii trebuie să se refere la informaţii privind procesul afacerii şi sistemele aflate în revizii
aşa cum sunt formele complete de intrări de date, rapoarte generate de sistem şi, bineînţeles, personalul
implicat în desfăşurarea sau conducerea proceselor afacerii auditate;
- opinie; auditorii furnizează atât fapte obiective cât şi opinii subiective pe o situaţie dată;
deşi subiective, opiniile lor sunt bazate pe interpretarea faptelor şi sunt deschise discuţiilor; se poate să
nu se fie de accord cu aceste opinii, dar trebuie purtată o discuţie completă şi sinceră; - integritate;
termenul integritate include completitudine, acurateţe şi credibilitate; un control al unui sistem care
este numai parţial efectiv poate fi mai bun decât nimic, sau poate da un sens fals de securitate;
auditorul va lua în considerare ambele căi;
- recomandare; auditorii generează recomandări, dar nu au autoritatea nici să implementeze
schimbările sugerate, nici să impună managementului să facă schimbări; îmbunătăţirile se obţin numai
printr-un proces de explicare, justificare şi persuasiune, explicând riscurile reprezentate de punctele
slabe constatate în SI în urma auditării, justificând nevoia de schimbare în cadrul procesului şi/sau
sistemului şi sugerând managementului necesitatea alocării unor resurse şi luarea de măsuri pentru
gestionarea riscurilor;
- îmbunătăţirea controalelor; îmbunătăţirea sistemului de control înseamnă, în general,
adăugarea controalelor care lipsesc; sunt foarte rare cazurile în care auditorii pot recomanda eliminarea
unor controale, în general, din cauză că ele sunt ineficiente, distrugătoare sau costisitoare;
- limite; ricurile şi erorile pot fi reduse, dar nu pot fi complet eliminate; o bună activitate
implică minimizarea riscurilor cu cheltuieli eficiente şi pregătirea pentru acţiune în cel mai rău caz
posibil care s-ar putea produce (planificare pentru acţiuni în caz de dezastre);
- risc; posibilitatea ca ceva să se desfăşoare într-o direcţie nefavorabilă; formal, riscul este
posibilitatea combinării ameninţărilor cauzate fie de cineva cu intenţii rele, fie din neglijenţă sau
incompetenţă, acţionând asupra vulnerabilităţilor sistemului; vulnerabilităţile sunt punctele slabe ale
sistemului care apar, în general, din cauza lipsei controalelor în sisteme de calcul şi în proceduri de
operare; manifestarea riscurilor poate genera, în anumite SI, rezultate catastrofale.
 CAPITOLUL 3. ANALIZA RISCURILOR INFORMATICE

Calcului coeficientului Mw pe baza chestionarului

Valoarea ce se calculeaza pe baza metodei mehari provine din suma masurilor active inmultite
cu indicii de importanta (cele care au primit un raspuns afirmativ in chestionar), suma impartita la
suma indicilor de importanta.
Mw = 4* Σ Ri * Wi / Σ Wi

In astfel de cazuri sugeram:

- notarea explicatiilor intr-o coloana "comentarii" atasata chestionarului si pastrarea acestora;

- datorita faptului ca sistemul de notare impune folosirea raspunsurilor "da" si "nu",
responsabilul cu securitatea va fi nevoit sa aleaga una din aceste doua variante; pentru o siguranta
totala este indicat sa se raspunda cu "nu" la toate intrebarile ce prezinta dubii (cum sunt cele de mai
sus);
- totusi, este rezonabil sa se raspunda cu "da" in cazul in care procesul de corectie si reactie
la lipsa masurilor este sub control.
Pentru ca aceste raspunsuri sa fie acceptate, insa, este necesara o intalnire fata in fata intre
auditor si persoana responsabila cu domeniul auditat, iar chestionarele trebuiesc completate in timpul
acestei sedinte. In chestionarul cu privire la Controlul Confidentialitatii Datelor am intalnit in cateva
randuri astfel de intrebari.
Astfel, in cazul criptarii transferului de date, metoda criptarii nu a fost inca aprobata de
Responsabilul cu Securitatea Informationala. Insa este planificata urmarirea recomandarilor
organizatiei DCSSI din Franta, in urma carora metoda va fi cu siguranta aprobata. Raspunsul evident in
acest caz a fost "Da, este planificat dar nu se aplica inca", caz in care, pentru o siguranta totala, s-a ales
folosirea raspunului "NU". Acelasi lucru se intampla si la intrebarea similara din domeniul criptarii
datelor stocate. Este planificat sa se aplice recomandarile organizatiei DCSSI, dar ele nu se aplica inca.
In urma intalnirii dintre auditor si responsabilul cu criptarea datelor stocate, s-a ales varianta
raspunsului "DA", deoarece nu s-au semnalat pana acum cazuri de neglijare sau intrerupere a criptarii,
iar in ce priveste echipa ce ar putea reactiona la astfe de situatii, aceasta va fi disponibila in curand.
1. Chestionar pentru evaluarea riscului de securitate fizica

Factor de
Nr. Raspuns
intrebarii Intrebare DA/NU importanta [ Ri x Wi
Wi]

Mediul in care se desfasoara activitatea de

1 prelucrare automata a datelor este protejat DA 4 0
impotriva incendiilor

2 Raportul privind aparitia incidentelor sunt NU 4 3

furnizate managementului

Exista sistem de protectie impotriva

3 DA 2 3
caderilor de tensiune

Sistemul si dotarea tehnica sunt

4 DA 3 0
securizate impotriva furtului

Este controlat accesul fizic in

5 DA 4 0
departamentul IT

6 Serverele se afla in incapere separata DA 3 3

Echipamentele de comutatie sunt

7 DA 4 0
protejate in mod corespunzator

Sunt securizate calculatoarele dupa

8 DA 3 0
terminarea programului de lucru
 Sunt monitorizate echipamentele de
9 NU 4 0
curatenie si mentenanta

Exista un jurnal pentru identificarea

10 persoanelor care au avut acces la sistemul NU 4 3
informational in afara orelor deprogram

35 12

Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 12 / 35 = 48 / 35 = 1,37

2. Chestionar pentru evaluarea riscurilor de comunicare

Nr. Factor de

Raspuns
intrebari Intrebare importanta [ Ri x Wi
DA/NU
i Wi]

Se face o identificare a calculatoarelorcare

1 DA 4 0
lucreaza in retea

Se verifica daca doar utilizatorii cu

2 NU 2 4
drepturi sunt logati

Este disponibila o diagrama a retelei de

3 DA 2 0
calculatoare

Infrastructura retelei este evaluata la

4 intervale regulate pentru a se evalua DA 4 3
 eventualele vulnerabilitati

Informatiile care sunt communicate prin

5 reteaua publica (internet) sunt transmiseintr- NU 3 4
o forma criptata

Exista un jurnal in care sunt inscrise toate

6 incidentele legate de comunicatiadatelor NU 3 3

Conturile de utilizator temporare sunt

7 DA 4 0
dezactivate in timp util

Accesul utilizatorilor de la distanta este

8 DA 4 0
protejat de aplicatii tip FIREWALL

Se realizeaza o monitorizare continua a

9 tuturor activitatilor efectuate in cadrul NU 2 3
retelei

Utilizatorii au fost instruiti privind modul de

10 comunicatie a datelor atat in reteaua locala NU 3 0
cat si in reteaua internet

31 17

Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 17 / 31 = 68 / 31= 2.19

 3. Chestionar pentru evaluarea riscurilor privind integritatea datelor

Nr. Factor de
Raspuns
intrebari Intrebare importanta [ Ri x Wi
DA/NU
i Wi]

Informatiile sunt inregistrate in ordine

1 DA 4 4
cronologica

Lipsa sau duplicarea anumitor informatii

2 DA 3 0
este detectata si investIgata

Informatiile care reprezinta intrari pentru

3 sistem sunt aprobate de catre un DA 4 0
responsabil

Exista proceduri formale scrise de

4 NU 3 2
operare a unui sistem

Exista proceduri pentru realizarea

5 DA 4 0
copiilor de siguranta

Exista proceduri pentru controlul

6
NU 3 2
erorilor

Exista controale prin care sa se

7 determine utilizarea neadecvata a DA 2 2
sistemului
 Sunt prevazute proceduri de repornire a
8 sistemului in caz de oprire accidentala DA 3 3

Distributia situatiilor de iesire se facesub NU 4 0

9
semnatura

Informatiile sunt clasificate in functie de

10 NU 3 4
importanta si gradul de secretizare

33 17

Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 19 / 33 = 76 / 33 = 2.30

4. Chestionar privind evaluarea riscului de acces

Nr. Factor de
Raspuns
intrebari Intrebare importanta [ Ri x Wi
DA/NU
i Wi]

Atribuirea si schimbarea conturilor

1 utilizatorilor fac obiectul unei aprobari DA 2 0
scrise?

Accesul la date si soft respecta

2 DA 4 0
principiul :"trebuie sa stie?"

Toate incercarile de accesare

3 neautorizata a sistemului sunt DA 3 3
inregistrate, raportate si investigate?

Sistemul este configurat astfel incat sa i se

4 refuze unui utilizator accesul la sistem dupa DA 2 0
3 (5) incercari esuate?

Exista o politica scrisa care sa prevada

situatiile in care au acces la resursele NU 2 3
5
informationale si consultantii acesteia (terte
parti)

Statiile de lucru sunt dotate cu soft care sa

6 blocheze accesul la retea atunci cand NU 3 3

utilizatorul nu se afla la statia sa?

Exista un management adecvat al

7 DA 3 0
parolelor de acces?

Drepturile de acces la resursele

8 informationale sunt revizuite si DA 4 2
actualizate periodic?

Este instalat un firewall care sa permita

9 detectarea accesului neautorizat din reteaua NU 4 3
internet?

S-a realizat un training adecvat utilizatorilor

10 privind accesul (alegerea unei parole) la DA 3 0
resursele informationale?

30 14

Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 14 / 30 = 56/ 30 = 1,86

5. Chestionar privind protectia impotriva virusilor

Nr. Factor de
intrebari Raspuns importanta [
i Intrebare DA/NU Wi] Ri x Wi

Toate calculatoarele din retea sau de sine

1 statatoare au instalat un software antivirus cu DA 4 0
licenta?

2 Acest software se actualizeaza automat? DA 3 0

Software-ul este configurat astfel incat sa

permita scanarea periodica a hard discurilor si
3 DA 3 1
sa interzica utilizatorilor dezactivarea
acestuia?

Server-ul de email are instalat un antivirus de

4 DA 3 0
email?

Lucrul cu elementele de memorie externa,este

5 DA 3 0
controlat?

Programele freeware si shareware, fisiere

6 downloadate, fisiere atasate la email, sunt DA 4 2
verificate inainte de a fi activate?

Conducerea a fost atentionata cu privire la

7 potentialele pericole pe care le implica DA 4 0

15
 virusii?

Utilizatorii cunosc procedurile de anuntare a

8 NU 4 2
aparitiei unui virus?

Exista restrictii de marime a fisierelor,

9 permise a fi downlodate, incarcate in DA 1 0
sistem?

Pe toate serverele este instalata aceeasi

10 NU 4 1
versiune de antivirus?

33 6

Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 6 / 33 = 24 / 33 = 0,72

6.Chestionar privind evaluarea riscurilor de personal

Nr. Factor de
intrebari importanta [
Raspuns
i Intrebare DA/NU Wi] Ri x Wi

Angajarea personalului se face pe bazaunor

1
DA 3 3
teste profesionale?

Se asigura personalului training-uri

2 periodice, sau documentatie necesare DA 4 0
pentru o documentare continua?

Se face o evaluare periodica a

3 NU 4 2
personalului

16
 In momentul angajarii se face un
4 DA 3 0
instructaj de protectia muncii si PSI?

S-a semnat cu fiecare angajat o clauza de

5
DA 3 2
confidentialitate?

Exista o separare a functiilor

6 incompatibile la nivelul sistemului DA 4 0
informational?

In situatia pierderii personalului cheie,

exista o procedura care sa asigure DA 4 0
7
continuitatea activitatii prelucrarii
informatiilor in sistem?

25 7

Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 7 / 25 = 24 / 25 = 0.96

7 Chestionar privind evaluarea riscului de integritate

Nr. Factor de
intrebari Raspuns importanta [
i Intrebare DA/NU Wi] Ri x Wi

Informatiile sunt inregistrate in ordine

1 DA 2 0
cronologica?

Analiza controalelor asupra accesului la

17
 formularele de intrare sau la ecranele de
2 DA 4 0
introducere a datelor certifica existenta
semnaturii de autorizare?

Informatiile care reprezinta intrari pentru

3 NU 2 2
sistem sunt aprobate de un responsabil ?

Lipsa sau duplicarea anumitor informatiieste

4 DA 3 0
detectata si/sau investigate?

Exista proceduri formale de utilizare a

5 NU 3 3
softului?

Sunt prevazute proceduri de repornire a

6 NU 4 2
sistemului in caz de oprire accidentala?

7 Exista proceduri pentru controlul erorilor? NU 2 2

Exista proceduri pentru realizare copiilor de

8 DA 4 0
siguranta?

Aceste copii de siguranta la datele din sistem

9 sunt actualizate la sfarsitul fiecareizile? NU 3 2

Distributia informatiilor rezultate din sistemse

10 DA 2 0
face sub semnatura?

In cazul imprimarii rapoartelor pe timpul

11 noptii acestea sunt protejate in mod DA 4 0
corespunzator?

18
 Se face o verificare cu privire la distrugereasau
12 clasarea rapoartelor obtinute din sistem? NU 4 4

37 14

Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 14 /37 = 56 / 37 = 1,51

MEHARI a fost dezvoltat în ideea securității unui sistem informatic de management

al securității. Reprezintă mai mult decât o metodologie. El este şi un set de unelte.În funcţie
de nevoile şi circumstanţele unei organizaţii, el se asigură că se poate concepe o soluţie
adecvată pentru managementul securităţii, indiferent de abordarea folosită.

Abordările diferite, şi utilizarea modulelor MEHARI, sunt ilustrate În diagrama de mai

jos:

19
 Utilizarea modulelor MEHARI pentru diferite abordări ale securităţii.

Chestionarele MEHARI pentru evaluarea serviciilor de securitate

Setul de metodologie MEHARI, pe lângă metoda în sine, include şi baze de

cunoştinţe. Una dintre aceste baze este o bază de audit pentru servicii de securitate. Ea este
sub formă de chestionare, cu un sistem de evaluare aplicat pentru răspunsuri. Structura
detaliată a chestionarelor şi sistemul de evaluare sunt descrise în Ghidul MEHARI de evaluare
pentru servicii de securitate.

20
 CAPITOLUL III. RAPORTUL DE AUDIT

1. Scopul si obiectivele urmarite

21
 Obiectivul general al auditului a constat in evaluarea stadiului de dezvoltare si
utilizare a sistemului informatic existent in cadrul societatii S.C.
TRANSELECTRICA S.A.. precum si a instrumentelor, tehnologiilor informatice si
infrastructurii aferente furnizarii unor servicii de calitate impreuna cu formularea unor
recomandari in scopul imbunatatirii serviciilor oferite.

Utilizandu-se metoda Mehari S.C. TRANSELECTRICA S.A. prezinte un nivel de

risc de 6.23 puncte.

Mw = 4 * Σ Ri * Wi / Σ Wi = Σ Mi / 8 = 1.37 + 2.19 + 2.30 + 1.86 + 0.72 + 0.96 + 1.51) / 7

= 4* 10.91/ 7 = 6.23 puncte

In cadrul misiunii de audit s-a tinut cont de complexitatea problematicii abordate,

sustinuta în cadrul sistemului informatic prin numeroase aplicatii informatice, a fost
urmarita cu prioritate aplicatia contabila a unitatii.

Misiunea de audit s-a propus a fi efectuata in scopul:

- verificarii mediului de functionare a procedurilor de intrare, prelucrare si iesire

prevazute de programul informatic.

- verificarii cuprinderii in procedurile de prelucrare a reglementarilor in viguare si a

posilbilitatii de actualizare a acestor proceduri in functie de modificarile survenite in
legislatie.

- verificarea operatiilor economice si financiare inregistrate in contabilitate astfel incat

acestea sa fie efectuate in concordanta stricta cu prevederile actelor normative care le
reglementeaza.

2 . Perioada de acoperire

Perioada auditata a fost 01.05.2020-31.05.2020

3. Probe

In scopul realizarii misiunii sale de audit auditorul a folosit probe fizice, documente,
reprezentari si analize. Auditorul a verificat prin sondaj concordanta dintre documentele
existente fizic la societate si inregistrarile aferente acestora in cadrul sistemului informatic.

22
In verificarile sale auditorul a folosit rezultatul unor interogari ale bazei de date, prelucrari
efectuate de programul de contabilitate, inregistrari ale tranzactiilor, rezultate obtinute in
urma unor comparatii si calcule efectuate de auditor.

Auditorul a verificat de asemenea politici, proceduri si regulamente interne elaborate

de managementul societatii in cauza, gradul de instruire a personalului, documentatia
aferenta programelor, echipamentele tehnice utilizate si configuratiile acestora, existenta
licentelor de folosire pentru toate soft-urile utlizate de societate.

Conducerea societatii a pus la dispozitia societatii toate probele solicitate de auditor, acesta
considerand ca probele utlizate au fost suficiente pentru elaborarea unei concluzii.

23