Documente Academic
Documente Profesional
Documente Cultură
Cuprins
1. Auditul sistemelor informatice, component a sistemului de audit ................... 3 1.1 Fundamente teoretice ale auditului sistemelor informatice................................. 3 1.2 Metodologia de audit a sistemelor informatice ................................................... 4 1.3 Perspective privind auditul sistemelor informatice ............................................. 6 2. Riscuri asociate sistemelor informatice ................................................................. 7 2.1 Definirea i clasificarea riscului din cadrul sistemelor informatice .................... 7 2.2 Evaluarea riscurilor din sistemele informatice .................................................... 8 3. Evaluarea de ctre auditor a sistemului informatic ............................................. 8 3.1 Evaluarea aplicaiilor informatice ..................................................................... 10 3.2 Evaluarea infrastructurii tehnice a sistemului informatic ................................. 11 3.3 Evaluarea securitii sistemului informatic ....................................................... 13 Bibliografie................................................................................................................. 15
Societatea informaional determin o cretere dramatic a dependenei tuturor domeniilor vieii economico-sociale de tehnnologiile informaionale. Sistemele informatice sunt construcii complexe care vizeaz mai multe probleme diferite ale unei companii. Avnd n vedere consumul de resurse umane i financiare la dezvoltarea unui sistem informatic, este necesar s se desfoare anumite activiti care s conduc la atingerea obiectivului propus, la timp, cu nivelul de calitate stabilit i n limita bugetului alocat. Una dintre aceste activiti, deosebit de important, att pentru realizatori, ct, mai ales, pentru utilizatori, este auditul sistemelor informatice (SI).
De regul, aceast activitate trebuie s fie executat de persoane pregtite i calificate n domeniul controlului, securitii i managementului sistemelor informaionale. O atestare profesional n acest domeniul l ofer certificatul CISA (Certified Information Systems Auditor) eliberat de ctre ISACA (Information Systems Audit and Control Association). n cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaii sunt verificrile, evalurile i testrile mijloacelor informaionale, astfel: -identificarea i evaluarea riscurilor din sistem; -verificarea separrii funciilor incompatibile n cadrul sistemului informatic; -verificarea secuitii fizice i logice a sistemului informaional; -verificarea i evaluarea administrrii infrastructurii reelelor de calculatoare; -controlul aplicaiilor informatice existente n sistem; -testarea integritii datelor; -verificarea existenei i securitii copiilor de siguran a datelor, informaiilor, aplicaiilor informatice; -verificarea i evaluarea planurilor de recuperare n caz de dezastre.
Metodologia de audit a sistemelor informatice reprezint un set de procedee destinat atingerii obiectivelor activitii de audit. Pentru auditul sistemului informaional, etapele generale ale unei unei misiuni de audit IT pot fi: a. Planificarea n cadrul acestei etape auditorul trebuie: s se informeze cu privire la obiectul de activitate al clientului i domeniul n care i desfoar activitatea; s se documenteze cu privire la structura sistemului informaional. Auditorul trebuie s analizeze structura organizatoric (organigrama), organigrama sistemului informatic i flowchart-urile din sistem; s determine complexitatea sistemului informatic; s se documenteze cu privire la aplicaiile informatice utilizate; s se documenteze cu privire la infrastructura reelei de calculatoare; s se documenteze cu privire la politicile i procedurile de securitate, respectiv procedurile de operare din sistemul informatic; s evalueze riscurile din sistem (inerent, de detectare i de control); s stabileasc nivelul pragului de materialitate; s stabileasc i s documenteze foile de lucru necesare pentru misiunea de audit. b. Evaluarea riscurilor i controlului intern n cadrul acestei etape auditorul trebuie:
s identifice vulnerabilitile i ameninrile la care este expus aria de audit; s evalueze prin tehnici adecvate (metoda scorurilor sau judecata liber) nivelurile de risc din cadrul ariei de audit; s stabileasc riscul inerent i de control; s evalueze controlul intern din aria de audit; c. Elaborarea programului de audit Programul de audit se elaboreaz dup planificarea i evaluarea riscurilor i controlului intern, atunci cnd auditorul are o imagine mai clar asupra sistemului ce va fi auditat. Acest program reprezint un ghid pentru procedurile ce vor fii realizate n etapa de culegere a probelor, astfel nct s fie acoperite ct mai bine obiectivele auditului. d. Culegerea probelor. Pentru fundamentarea unor concluzii ct mai reale i exprimarea unei opinii pertinente, auditorul trebuie s obin probe suficiente i concludente. Probele pe care auditorul IT Ie culege ntr-o misiune sunt variate. n general acestea pot fi: documente privind politicile i procedurile securitate din sistemul informaional al clientului; documente sau observaii privind infrastructura fizic (hardware) i logic (software) a sistemului auditat. interviurile i chestionarele aplicate; observaii personale n cadrul foilor de lucru; fiiere cu datele extrase din aria de auditat; fiiere cu tranzaciile de date necesare auditului; fiiere jurnal pentru intrri, prelucrri, tranzacii de date i tratarea erorilor, fiierele cu datele de test; fiiere cu erori; coninutul i rezultatul testelor controlului din sistem; liste cu surse ale programelor utilizate n procesele auditate; e. Formularea concluziilor i elaborarea raportului Dup culegerea probelor, auditorul trebuie s le analizeze i s formuleze concluziile cu privire la obiectivele misiunii de audit. Auditorul trebuie s discute rezultatele i concluziile n primul rnd cu managementul entitii auditate i apoi s le comunice conducerii ntreprinderii. Scopul unei astfel de proceduri este de a dezbate rezultatele obinute i de a elabora un plan de msuri corective. Rezultatele obinute i recomandrile stabilite, se vor concretiza sub forma unei opinii ntr-un raport de audit f. Urmrirea (monitorizarea) implementrii recomandrilor din raportul de audit.
Ultima etap a procesului de audit o reprezint urmrirea implementrii recomandrilor. Aceast etap const n stabilirea de comun acord cu clientul a unor date n care auditorul s revin i s verifice dac recomandrile i msurile corective propuse de el au fost implementate.
Auditul sistemului informatic const n evaluarea aplicaiilor i proceselor care susin funcionarea acestora. n vederea crerii unei opinii obiective i a unui raport de audit cuprinztor, echipa de audit va realiza urmtoarele activiti:
Inelegerea organizaiei - strngerea de informaii relevante despre client pentru utilizarea n cadrul etapelor urmtoare. Aceste informaii includ: detalii despre organizarea intern, detalii despre organizarea IT, despre tehnologii i sistemele folosite, modul de funcionare al sistemelor din cadrul domeniului de audit. n mod normal, auditorul programeaz interviuri cu persoanele responsabile desemnate de ctre client, sau, dupa caz, utilizeaz chestionare pentru fiecare seciune n parte. Tot n aceast etap se va realiza o list cu rolurile i responsabilitile personalului clientului n administrarea i operarea sistemelor int. Analiza documentaiei relevant - evaluarea conformitii documentaiei clientului cu cerinele specificate de standardele n domeniu; Analiza de risc definirea expunerii pe care o au sistemul i informaiile gestionate la riscuri privind securitatea informaiilor. n vederea realizrii acestei analize de risc, se realizeaz urmtoarele: Identificarea elementelor analizate: sisteme, aplicaii, procese, oameni; Identificarea vulnerabilitilor i a ameninrilor; Cuantificarea i msurarea scenarilor de risc; Identificarea controalelor aplicabile; Stabilirea registrului de riscuri i identificarea riscurilor reziduale sau a scenariilor necotrolate. Definire program audit - definirea de obiective de control i de verificri care se vor ntrebuina n verificrile la faa locului. Auditul sistemului - echipa de auditori ntreprinde evalurile i testele prevzute n programul de audit, cu scopul de a verifica atingerea obiectivelor de control stabilite. Acesta cuprinde 7 componente principale: Revizuirea controalelor tehnice implementate la nivelul aplicaiilor; Revizuirea controalelor tehnice implementate la nivelul serverelor ce susin sistemele int; Revizuirea controalelor tehnice implementate la nivelul infrastructurii de reea; Revizuirea controalelor de acces fizic; Revizuirea procedurilor operaionale ale sistemelor; Revizuirea procedurilor de mentenan i recuperare n caz de dezastru; Revizuirea controalelor tehnice implementate la nivelul staiilor de lucru. Raportarea pregtirea opiniei de audit i a raportului de audit, care documenteaz operaiunile i testele ntreprinse precum i rezultatele obinut
Pentru realizarea obiectivelor misiunii sale, auditorul trebuie s cunoasc principalele componente ale sistemului informatic i fluxul tranzaciilor. Aceste informaii le dobndete prin studierea documentaiei, observarea direct a proceselor de prelucrare i prin interviurile realizate cu administratorul aplicaiei i utilizatorii. Documentarea sa trebuie s cuprind, conform cerinelor practice, urmtoarele documente: metodologia de proiectare a sistemului; specificaiile proiectrii funcionale; modificrile realizate n timp asupra programelor; manualele-utilizator; documentaii tehnice ale furnizorului de software.
nelegerea complexitii i funcionalitii aplicaiei i ofer posibilitatea de a-i realiza strategia de teste n vederea evalurii adecvrii, completitudinii i eficienei, controalelor. Sarcina auditorului este de a identifica punctele forte ale controalelor, precum i punctele slabe. O deosebit importan o are diagrama tranzaciilor, aceasta oferind auditorului informaii cu privire la principalele controale, punctele de introducere a datelor, procesrii i afirii n vederea evalurii eficienei controalelor. Verificarea respectrii principiului segregrii funciilor incompatibile presupune evaluarea urmtoarelor probleme: separarea funciilor adic, procesarea automat a datelor, prin caracteristicile sale i implicaiile aciunilor diverilor utilizatori impune reguli stricte privind separarea funciilor. n acest sens, atribuii precum: initierea, autorizarea, verificarea i distribuia, nu pot fi alocate unei singure persoane. De asemenea, persoanele implicate n proiectarea, realizarea, actualizarea i administrarea software-ului nu vor putea avea atribuii de exploatare curent a acestuia. Evaluarea separrii funciilor se va realiza prin analizarea fielor posturilor i verificarea msurii n care, n activitatea curent, persoanele respect atribuiile asignate postului. autorizarea intrrilor se aplic regula celor patru ochi, adic drepturile acordate utilizatorilor trebuie s fac demarcaia ntre persoanele autorizate s introduc date n sistem i cele cu drept de autorizare. n acest caz, auditorul va trebui s verifice drepturile oferite utilizatorilor i modul de 10
executare a procedurilor de introducere i autorizare procednd la efectuarea de teste utiliznd un eantion de documente primare(autorizri n sistem), precum i verificarea existenei autorizrii pe documentul primar(autorizri manuale). balane care sunt executate pentru a verifica controalele de tip total i modul n care se realizeaz reconcilierea datelor. erori de control i corecia acestora - adic, erorile de introducere i nregistrrile respinse trebuie verificate naintea reintroducerii. Auditorul va proceda la verificarea modului n care managerul a procedat la verificarea erorilor i autorizarea erorilor plecnd de la un eantion de nregistrri eronate. distribuirea rapoartelor n acest caz, auditorul trebuie s verifice msura n care generarea i distribuirea rapoartelor ce conin informaii confideniale, se realizeaz n condiii de securitate adecvate. Astfel, va proceda la metoda observrii directe, la verificarea jurnalelor de distribuire pe baz de semntur a rapoartelor, precum i la testarea n sistem a drepturilor de acces la funciile de generare/vizualizare rapoarte.
11
controale pentru nlocuirea echipamentelor hardware existente auditorul va efectua teste de lucru pentru noile echipamente pentru aplicaiile si bazele de date existente. Analiza sistemului de operare const n: intervievarea personalului serviciului tehnic - n acest sens, auditorul va evalua cerinele din documentaie. proceduri de selecie a sofware-ului auditorul va evalua dac cerinele SI sunt n concordan cu afacerea studiu de fezabilitate i procese de selecie obiectivele sistemului se bazeaz pe cerere/ofert, in acest sens auditorul va verifica dac criteriile de selecie sunt aplicate la toate elementele din ofert. analiza securitii software-ului se vor efectua proceduri pentru limitarea accesului la sistem, astfel va evalua dac sunt eliminate toate configurrile sistemului stabilite de furnizorii de software. Analiza bazei de date const n urmtoarele tipuri de analize: proiectarea bazei de date auditorul va verifica entitile, cheile primare i externe, cardinalitile relaiilor. accesul la baza de date analizndu-se accesul principal la baza de date, in acest sens aditorul va evalua corectitudinea alegerii n cazul n care baza de date permite alegerea metodelor i tipurilor de indeci. administrarea bazei de date auditorul va evalua procedurile de backup i recuperare n caz de dezastre. interfaa bazei de date astfel se vor verifica procedurile de import-export, auditorul evalund asigurarea integritii i confidenialitii datelor. utilizarea cu uurin a bazei de date se vor verifica cererile SQL. Analiza operrii SI include observaii ale personalului privind ndatoririle acestuia pentru a asigura eficiena:operrii, stabilirea standardelor i politicilor, supervizarea adecvat, integritatea datelor i securitatea. acces al operrii acces la fiiere, la codul surs, librrii, utilitare pentru stabilitatea sistemului. n acest sens, auditorul va evalua limitarea la accesul operrii. planificarea operrii pe calculator operatorii trebuie s nregistreze i s planifice activiti pentru procesare, evaluarea auditorului const n planificare automat sau manual.
12
proceduri pentru obinerea aprobrii scrise sau electronice operatorii trebuie s obin aprobri scrise sau electronice s nregistreze cererile i s le analizeze. Auditorul va evalua cererile pentru a determina procedurile cele mai potrivite. accesul la biblioteci acest acces ar trebui restricionat pentru personalul autorizat, astfel auditorul va evalua evidena accesrii bibliotecii. coninutul i locaia stocrilor se va verifica dac stocarea este fcut aa cum ar trebui, i anume n alt locaie dect unde se gasete sistemul operaional.
Auditul securitii SI implic auditul accesului fizic i logic, utilizarea unor tehnici pentru testarea securitii, precum i utilizarea tehnicilor de investigare. n acest sens, se vor parcurge urmtorii pai: - reanalizarea politicilor, procedurilor i standardelor; - politici de securitate pentru accesul fizic; - politici de securitate pentru accesul logic; - contientizarea i formarea permanent a utilizatorilor privind politicile de securitate; - stabilirea proprietarilor i utilizatorilor de date; - date aflate n custodie; - administrator de securiatet; - utlizatori noi i accesul fosilor anagajai; - proceduri de autorizare a accesului documentate; - securitatea de baz, ce urmrete inventariarea mediului, antivirusul, parole de acces, copii de siguran, adresarea vulnerabilitii, minimizarea serviciilor oferite de sistem, actualizarea sistemului, personalul IT; - accesul standard. Auditul accesului logic presupune - determinarea riscurilor de securitatea privind procesarea tranzaciilor; evaluarea controalelor privind cile de acces n sistem; evaluarea mediului de control pentru a determina dac obiectivele controlului sunt atinse de rezultatele testrii; evaluarea mediului de securitate prin revizuirea politicilor, practicilor i procedurilor. Auditul accesului logic const n primul rnd n familiarizarea cu mediul IT pentru a obine o situaie clar a securitii mediului i evaluarea riscurilor. Un element important l reprezint documentarea privind cile de acces, ceea ce se concretizeaz ntr-un drum logic al unui utilizator la informaii. Pentru a controla accesul la componente ale sistemului, sunt cerui, adesea specialiti n domeniu.
13
Acetia sunt o surs valoroas pentru un auditor n sensul c pot furniza date privind securitatea sistemului. n acest sens, auditorul va cere un interviu cu aceti i va stabili vulnerabilitatea politicilor manageriale, securitatea logic i confidenialitatea. Se vor avea n vedere i rapoartele de analiz ale controlului accesului software i aplicaiile de analiz ale operaiilor manuale de sistem. Auditorul poate utiliza tehnici diferite de testare a securitii, precum: - chei i carduri; - identificarea terminalului; - identificarea i autentificarea utilizatorilor; - controlul asupra resurselor; - intrarea n sesiunea de lucru i raportarea accesului neautorizat; - urmrirea accesrii neautorizate; - securitatea necontrolat i controalele de compensare; - analiza controalelor de acces i administrarea parolelor. Odat implementat, un sistem informatic este obligatoriu s fie auditat periodic pentru a se asigura c ndeplinete toate sarcinile cerute la cel mai ridicat grad posibil de eficien i eficacitate. Creterea organizaiei, creterea volumului afacerilor, schimbrile n mediul afacerilor, schimbrile tehnologice i noile cerine de informaii toate plaseaz o cerere crescnd asupra sistemului informatic existent i adeseori impun modificarea sau extinderea acestuia pe baze ad-hoc. Exemple ale unui audit de SI aflat n funciune: - reevaluarea cerinelor de informaii; - verificarea modificrilor propuse la proiectrile de baz existente; - investigarea oportunitii noilor tehnologii; - mbuntirea procedurilor de operare. Din practic s-a constatat necesitatea auditarii unui sistem informatic odat la trei ani sau ori de cte ori schimbrile aprute o impun.
14
BIBLIOGRAFIE
1. A. Eden, Victoria Stanciu, Auditul sistemelor informatice, Editura Economic, 2003. 2. A. Rusovici, F. Cojoc, Gh. Rusu, Auditul financiar al societilor comerciale, Editura Regia Autonom Monitorul Oficial, 2003. 3. Munteanu A., Auditul sistemelor informaionale contabile - cadru general, Editura Polirom, 2001. 4. P. Nstase, Victoria Stanciu, A. Eden, Floarea Nstase, Gh. Popescu, Auditul i controlul sistemelor informaionale, Editura Economic, 2007. 5. www.ase.ro
15