UNIVERSITATEA PETROANI FACULTATEA DE TIINE ECONOMICE SISTEME INFORMATICE DE GESTIUNE

REFERAT

SISTEME DE SECURITATE I PROTECIA INFORMAIILOR

ANUL II SEMESTRUL I

PETROANI 2010

CUPRINS

CAPITOLUL I Auditul Sistemelor Informatice..3-5 CAPITOLUL II Auditul financiar n sistemele informatizate computerizate..6-11 -Procesarea datelor n CIS -Proceduri de audit -Structura sistemelor de control intern n CIS CAPITOLUL III Securitatea i vulnerabilitatea n CIS..12-16 -Securitatea informaiilor -Securitatea conectrii n internet -Vulnerabilitatea reelelor -Categorii de atacuri asupra reelelor CONCLUZIE.17

CAPITOLUL I AUDITUL SISTEMELOR INFORMATICE

Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale. n cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaii sunt verificrile, evalurile i testrile mijloacelor informaionale, astfel: - identificarea i evaluarea riscurilor din sistem; - evaluarea i testarea controlului din sistem; - verificarea i evaluarea fizic a mediului informaional; - verificarea i evaluarea administrrii sistemului informatic; - verificarea i evaluarea aplicailor informatice; - verificarea i evaluarea securitii reelelor de calculatoare; - verificarea i evaluarea planurilor i procedurilor de recuperare n caz de dezastre i continuare a activitii; - testarea integritii datelor. Ca orice demers de planificare i n domeniul sistemelor informatice, acesta se ntemeiaz pe un proces de anticipare avnd ca scop definirea obiectivelor fundamentale, care trebuie atinse prin dezvoltarea viitoarelor sisteme, precum i a aciunilor necesare. n vederea stabilirii unei coerente manageriale la nivelul organizaiei, procesul de planificare referitor la dezvoltarea sistemelor informatice vizeaz doua obiective fundamentale: - Realizarea unei coordonri intre obiectivele strategice de ansamblu ale organizaiei i cerinele satisfcute prin sistemele informatice. - Asigurarea compatibilitii intre definirea globala a sistemelor informatice i realizarea lor progresiv. Auditul informatic reprezint o form esenial prin care se verific dac un SI i atinge obiectivul pentru care a fost elaborat. Standardele definesc clar domeniul, activitile, etapele, coninutul auditrii i formele de finalizare. Respectnd cerinele standardelor, rezultatul procesului de auditare informatic este eliberat de riscurile contestrii. Auditul informatic reprezint un domeniu cuprinztor n care sunt incluse toate activitile de auditare pentru : specificaii, proiecte, software, baze de date, procesele specifice ciclului de via ale unui program, ale unei aplicaii informatice, ale unui sistem informatic pentru management i ale unui portal de maxim complexitate, asociat unei organizaii virtuale.

n domeniul informatic exist mai multe direcii de dezvoltare a Auditului: Auditarea software const n activiti prin care se evideniaz gradul de concordan dintre specificaii i programul elaborat. Auditul software d msura siguranei pe care trebuie s o aib utilizatorul de programe atunci cnd obine rezultate Auditul bazelor de date, este un domeniu de maxim complexitate avnd n vedere c, de regul, lucrul cu bazele de date presupune att datele ca atare nsoite de relaiile create ntre ele, ct i programele cu care datele se gestioneaz. n cazul auditrii riscului de gestiune a datelor stocate n baze de date se verific dac: - programele refer corect cmpurile cu date stocate; - operaiile de prelucrare sunt cele din specificaii; - agregrile, sortrile, evalurile de expresii de extragere a subseturilor de date sunt n concordan cu specificaiile de obinere a rezultatelor ca structur, dimensiune i coninut. Auditul sistemelor informatice evalueaz riscurile unui mediu informatic sau ale unei aplicaii informatice, ca de exemplu calculul salariilor sau facturarea. Aceste misiuni se realizeaz alegnd, mpreun cu clientul, procesul de evaluare. Auditul informatic poate s evalueze aspecte strategice sau referitoare la calitatea sistemelor informatice. De exemplu, s verifice dac sistemul informatic al ntreprinderii rspunde n mod eficient la nevoile funciilor serviciului. Auditul mediului informatic se execut pentru a evalua riscurile sistemelor informatice necesare funcionrii aplicaiilor. De exemplu: securitatea fizic, securitatea logic, securitatea reelelor, plan de salvare. n urma auditrii, se ntocmete un raport n care sunt prezentate punctele slabe, nivelul de risc al acestora i msurile corective propuse. Analistul informatic are la dispoziie numeroase tehnici i metode pe care le adapteaz contextului. De aceea, n cadrul procesului de audit informatic, planificarea i definirea metodei de audit este esenial. Alegerea unei metode neadecvate conduce la utilizarea de instrumente neadecvate, iar rezultatele auditului au caracter speculativ. Auditul propriu-zis include proceduri analitice, teste, prin care se evideniaz diferenele dintre ceea ce s-a planificat a se realiza i ceea ce s-a realizat. Procedurile analitice au la baz contractele ncheiate ntre pri, minutele care detaliaz obiective, sarcinile ce revin partenerilor, specificaiile. Auditorul tehnic trebuie s ierarhizeze informaiile astfel nct s identifice punctele cheie care definesc procesul de analiz, proiectare, dezvoltare, testare, implementare a

produsului informatic, fie c este vorba de un simplu program, fie c este vorba de o aplicaie informatic desktop sau n reea, fie c este vorba de un sistem informatic care vizeaz ntreaga activitate a unei organizaii. Principalele tipuri de audit informatic sunt: - auditul sistemului operaional de calcul; revizia controalelor sistemelor operaionale de calcul i reelelor, la diferite niveluri; de exemplu, reea, sistem de operare, software de aplicaie, baze de date, controale logice/procedurale, controale preventive/detective/corective etc; - auditul instalaiilor IT; include aspecte cum sunt securitatea fizic, controalele mediului de lucru, sistemele de management i echipamentele IT; - auditul sistemelor aflate n dezvoltare; acoper unul sau ambele aspecte: (1) controalele managementului proiectului i (2) specificaiile, dezvoltarea, testarea, implementarea i operarea controalelor tehnice i procedurale, incluznd controalele securitii tehnice i controalele referitoare la procesul afacerii; -auditul managementului IT include: revizia organizaiei, structurii, strategiei, planificrii muncii, planificrii resurselor, stabilirii bugetului, controlul costurilor etc.; - auditul procesului IT revederea proceselor care au loc n cadrul IT cum sunt dezvoltarea aplicaiei, testarea, implementarea, operaiile mentenana, gestionarea incidentelor; - auditul managementului schimbrilor revizia planificrii i controlului schimbrilor la sisteme, reele, aplicaii, procese, facilitai etc., incluznd managementul configuraiei, controlul codului de la dezvoltare, prin testare, la producie i managementul schimbrilor produse n organizaie ca rezultat al ICT; - auditul controlului i securitii informaiilor revizia controalelor referitoare la confidenialitatea, integritatea i disponibilitatea sistemelor i datelor; - auditul conformitii cu legalitatea copyright, conformitate cu legislaia, protecia datelor personale; - auditul accidentelor dezastruoase/planificrii continuitii afacerii/refacerii dup dezastre; reviziile msurilor propuse pentru restaurarea dup un dezastru care afecteaz sistemul i evaluarea modului n care organizaia abordeaz managementul riscurilor; - auditul strategiei IT revizia aspectelor variate ale strategiei IT, viziune i planuri, inclusiv relaiile cu alte strategii, viziuni i planuri. Auditul sistemelor informatice implic: - executarea unei serii de teste pentru a se asigura c exist un control adecvat asupra sistemului informatic; - controale generale; - controalele aplicaiilor.

CAPITOLUL II
AUDITUL N SISTEMELE INFORMATIZATE COMPUTERIZATE Auditul financiar n societile comerciale n care funcioneaz sisteme de informaie computerizate (CIS) se realizeaz n cadrul unui set de reglementari prevzute de legislaia de profil si de standardele internaionale de audit (ISA), respectiv: ISA nr. 250 Rolul legislaiei i reglementarilor in vigoare in auditul situaiilor financiare (Considerations of Laws and Regulations in an Audit of Financial Statements) ISA nr. 401 Auditul ntr-un mediu de sisteme de informaii computerizate (Auditing in a Computer Information Systems Environment) ISA nr. 1008 Evaluarea riscurilor i controlul intern Caracteristici i considerente CIS (Risk Assessments and Internal Control CIS Characteristics and Considerations) ISA nr. 1009 Tehnici de audit asistate de calculator Toate aceste standarde au ca punct comun de debut structura organizaional entitii patrimoniale ca subiect de audit, structura proprie de conducere a activitilor CIS, caracteristicile sistemului i natura procesrii. Procesarea datelor in CIS Potrivit ISA nr. 1008, preluarea i prelucrarea datelor i informaiilor, nregistrarea n conturi a modificrilor ce se produc n elementele bilanului, ca efect al tranzaciilor ncheiate de societate, procedurile diferite ce se folosesc in CIS n comparaie cu procedurile contabilitii tradiionale, particularizeaz CIS prin urmtoarele trsturi: Absena documentelor de intrare (justificative), asemntor procesrii n sistemele de tranzacionare on-line; Absena probelor materiale de derulare a tranzaciilor, numeroase programe fiind concepute cu conservarea informaiilor numai sub forma de fiier in calculator, iar dup un timp listarea sau, dup caz, memorizarea extern i arhivarea lor pe CD; Absena unor ieiri vizibile, rezultatele procesrii informaiilor de intrare neputndu-se examina vizual sau numai cu acces limitat la date de sinteza.

Mediul de audit n sistemele de informaii computerizate este definit n ISA nr. 401, in felul urmator: Un mediu de audit CIS functioneaza in firmele in care un computer de orice tip sau marime este implicat in prelucrarea de catre entitate a informatiilor financiare semnificative pentru audit, indiferent daca acel computer este folosit de entitatea propriu-zisa sau de catre o terta parte. Pentru aceste considerente auditorul trebuie sa aiba cunostinte suficiente despre CIS pentru a planifica, a conduce, a supraveghea si a revizui activitatea desfasurata. Proceduri de audit n medii de sisteme de informaii computerizate CIS Controlul intern prin intermediul prelucrarii computerizate, care contribuie la realizarea obiectivelor globale ale procesului de audit, include atat proceduri manuale, cat si proceduri caracteristice programelor computerizate. Obiectivele sistemului de control intern al CIS se refera la: Conformitatea activitatii conducerii intreprinderii/societatiimama/sucursalei, etc., cu obiectul de activitate pe care aceasta il are prevazut si corespunde cu hotararile organelor statutare; Protectia activelor si pasivelor entitatii; Corectitudinea informatiilor/datelor. Sistemul de control intern al departamentului IT actioneaza in stransa concordanta cu obiectivele auditului financiar, acestea constituindu-se intr-un ansamblu de controale generale si controale specifice. Controlul general se refera la organizarea CIS si la componentele acestuia, chiar daca nu se afla in directa legatura cu elementele situatiilor financiare. Controlul specific are in vedere procedurile automatizate care gestioneaza si elaboreaza informatiile si datele referitoare la evidenta contabila. n mod deosebit, controlul specific are urmatoarele obiective: Fiecare eveniment, tranzactie sau operatie gestionara trebuie sa-si gaseasca reflectarea corespunzatoare in contabilitate; Fiecare inregistrare in evidenta contabila trebuie sa fie identificabila cu evenimentul sau tranzactia pe care a generat-o; Fiecare inregistrare in evidenta contabila trebuie sa fie elaborata si recunoscuta in conformitate cu principiile contabile. Auditul financiar al structurilor CIS cuprinde trei faze, i anume: Faza preliminara efectuata cu scopul cunoasterii si evaluarii globale a caracteristicilor generale ale sistemului de control intern ale sectorului CIS, in vederea stabilirii gradului de credibilitate al sistemului insusi;

 Faza de examinare amanuntita si de studiere a constatarilor si concluziilor controalelor generale si controalelor specifice ale departamentului IT in general si al sectorului CIS in special, pentru prezentarea gradului de credibilitate a rezultatelor; Faza efectuarii de sondaje, cu scopul certificarii examinarii, studierii si controlului proceselor CIS. Sistemele electronice automatizate total sau partial, proiectate pentru procesarea informatiilor financiar-contabile, prezinta urmatoarele particularitati definitorii: - Credibilitatea rezultatelor furnizate se afla in dependenta directa, in principal, de corectitudinea informatiilor supuse tratamentelor informatice; - Prelucrarea electronica a datelor se realizeaza, in general, in ansambluri ale tehnicii de calcul, care concentreaza programe numeroase si diferite, unde opereaza un numar limitat de persoane cu drept de acces; - In sistemele automatizate sunt memorizate pe diferite suporturi o varietate si un volum extrem de mare de date; deteriorarea, pierderea sau interventia ilicita intentionata sau nu in baza de date poate avea consecinte grave asupra sistemelor informatice; - Intr-un sistem electronic de prelucrare a informatiilor, este limitata posibilitatea de a preciza daca un program poate fi continuat sau daca este autorizata procesarea; - In sistemele automatizate interventiile nelegale in derularea logica a programelor sau in mod direct asupra datelor pot altera rezultatele, facand imposibila sau ingreunand evidenta tranzactiilor sau proceselor economicefinanciare. Aceste particularitati ale CIS, si implicit ale entitatii, cer auditorului: - Cunoasterea tehnicilor de control specifice CIS si sistemelor automate on-line care pot influenta in mod revelator situatiile financiare; - Sistemele electronice si programele care pot fi revelatoare in elaborarea si prezentarea situatiilor financiare sa fie evaluate functional prin sondaje secventiale. Structura sistemului de control intern in CIS Sistemul de control intern in doemniul informaticii de gestiune, mai precis in procesele de prelucrare electronica a datelor cuprinde, asadar, controale generale si controale specifice. Controlul general

Controlul general are ca obiectiv sa asigure fluxurile de procesare a datelor pe baza organizarii si functionarii in bune conditii a activitatii departamentului (sectorului, directiei, etc.) informaticii de gestiune. Conform Audit operationnel (Becour J.C., Bouquin H. Economia, Paris, 1991), realizarea acestui obiectiv este conditionata de: - Structura organizationala a sectorului CIS; - Repartizarea de activitati si responsabilitati precise personalului; - Functionarea responsabila si protectia tehnicii din dotare; - Metodologia de utilizare a sistemelor aplicative; - Metodologia gestionarii programelor de calcul si a bazei de date; - Proceduri de operare; - Controlul intern si supravegherea functionarii sistemelor CIS. Controalele generale CIS pot include, conform ISA nr. 1008: a. Controale ale organizarii si conducerii concepute sa stabileasca un cadru de lucru organizational pentru activitatile CIS, inclusive: - Politici si proceduri referitoare la functiile de control; - Impartirea adecvata a functiilor b. Dezvoltarea sistemelor de aplicatii si controale de intretinere concepute sa ofere o siguranta rezonabila, in sensul ca aceste sisteme sunt dezvoltate si mentinute de o maniera autorizata si eficienta. De asemenea, ele sunt tipic concepute, cu scopul de a stabili un control asupra: -Testarii, conversiei, implementarii si documentarii pentru sistemele noi sau pentru cele revizuite;- Modificarilor sistemelor de aplicati;- Accesului la documentatia sistemelor; - Achizitionarii sistemelor de aplicatii de la terte parti. c. Controlul operatiunilor computerizate conceput sa controleze operarea sistemelor si sa ofere o siguranta rezonabila in ceea ce priveste faptul ca:- Sistemele sunt utilizate numai pentru scopuri autorizate;- Accesul la operatiunile computerizate este limitat la personalul autorizat;- Sunt utilizate numai programe autorizate;- Erorile de procesare sunt detectate si corectate; d. Controlul software-ului de sistem conceput sa ofere o siguranta rezonabila ca software-ul de sistem este obtinut sau dezvoltat intr-o maniera autorizata si eficienta, incluzand: - Autorizarea, aprobarea, testarea, implementarea si documentatia pentru noile pachete de software de sistem si pentru modificarile aduse pachetelor de soft existente; - Limitarea accesului la software-ul si documentatia de sistem numai la persoanele autorizate.

e. Controlul intrarilor de date si al programelor conceput sa ofere o siguranta rezonabila privind faptul ca: - Este stabilita o structura de acordare a autorizarii pentru tranzactiile care sunt introduse in sistem; -Accesul la date si programe este interzis personalului neautorizat. Controlul specific Controlul specific se refera la securitatea inregistrarii si procesarii datelor in vederea cuprinderii ansamblului documentelor specifice fiecareia din componentele situatiilor financiare: bilant, contul de profit si pierdere, fluxurile de trezorerie, modificarile capitalului propriu, continutul notelor explicative. Aceste controale pot fi regrupate in trei structuri: - Controale cu privire la datele de intrare ,care au ca scop furnizarea certitudinii ca datele integrate in CIS in vederea procesarii au fost autorizate preventiv, au fost convertite in forma inteligibila acceptata de calculator si nu pot fi alterate pe cai neregulamentare; - Controale cu privire la modul de procesare care au ca obiect obtinerea unei certitudini rationale potrivit careia procesarea se desfasoara in conformitate cu programul optim necesar si cu procedurile autorizate; - Controale cu privire la rezultatele procesarii care se efectueaza cu scopul ca datele de iesire, indiferent de suportul de prezentare- sa fie corecte, coerente si obtinute in conformitate cu metodologia prestabilita, programele autorizate fiind acceptate de personalul autorizat. Controlul datelor de intrare Controlul datelor de intrare cuprinde tehnici si metodologii de natura sa garanteze integralitatea, acuratetea si oportunitatea datelor contabile din momentul prezentarii lor spre procesare pana la prezentarea produsului avut in vedere. Toate aceste aspecte cer auditorului sa cunoasca actiunile desfasurate de controlul intern, in legatura cu datele ce urmeaza a fi procesate la calculator si sa verifice: Existenta procedurilor autorizate pentru accesul datelor la prelucrarea CIS; Prezenta controalelor de acces la terminale si protectia datelor in scopul prevenirii tentativelor ilegale; Efectuarea de controale privitoare la ansamblul structurii datelor de intrare, a caracterului rational de prelucrare a acestora si a corectitudinii informatiilor de iesire; Existenta unor metodologii precise de sesizare si corectare a erorilor;

10

 Existenta controlului modului de transmitere, prelucrare si comunicare a datelor prin diferitele sisteme de telecomunicatii. Controlul procesarii datelor Cuprinde tehnici si metodologii menite sa garanteze tratamentul corect si complet al datelor in concordanta cu programele de calcul adoptate, prevenirea folosirii in mod inadecvat a aplicatiilor, omisiunea preluarii integrale a datelor si introducerea de date neautorizate. Auditorul trebuie sa aiba in vedere modul in care controlul intern si-a indeplinit atributiile astfel incat sa se asigure: - Respectarea secventelor logice ale fazelor procesarii; - Existenta analizelor referitoare la producerea de erori si la cauzele acestora; - Prezenta procedurilor de salvare si reluarea procedurilor de functionare in caz de eroare; - Existenta unei documentatii complete si actualizate cu privire la gestiunea sistemului aplicativ si la activitatea personalului implicat (analisti, programatori,operatori, intretinere); - Protectia procesarii si prezentarii documentelor finale cu erori, folosirea neadecvata sau neautorizata a datelor. Studiul analitic al controalelor specifice cere auditorului sa cunoasca sistemele aplicative si credibilitatea rezultatelor procesarii. Procedurile cele mai uzuale au in vedere: interviuri cu personalul de operare si cu cel de intretinere a sistemului; examinarea documentatiei disponibile; observarea directa a activitatilor CIS; examinarea structurii datelor de intrare; examinarea documentelor elaborate si a informatiilor de iesire; examinarea instructiunilor insotitoare ale programelor si a instructiunilor de control; examinarea continutului datelor arhivate. Controlul rezultatelor procesarii Controalele ce se efectueaza in aceasta etapa constau in confruntarea rezultatelor furnizate in documentele de iesire cu evenimentele, procesele economico-financiare si tranzactiile echipei manageriale a intreprinderii. Controalele generale si controalele specifice acorda auditorului posibilitatea sa evalueze calitatea si functionalitatea controlului intern si, totodata, semnificatia diferitelor componente ale CIS, intre care: capacitatea si complexitatea tehnicii de calcul si a programelor utilizate in procesarea datelor,

11

complexitatea si caracterisiticile sistemelor aplicative, exigentele privind rigurozitatea si certitudinea tratamentelor si procesarii datelor.

CAPITOLUL III
SECURITATEA I VULNERABILITATEA CIS

Securitatea informatica Securitatea informatica a devenit una din compenentele majore ale internetului. Sistemele informatice sunt amenintate atat din interior cat si din exterior. Pot fi persoane bine intentionate care fac diferite erori de operare sau persoane rau intentionate, care sacrifica timp si bani pentru penetrarea sistemelor informatice. Dintre factorii tehnici care permit fisuri de securitate pot fi anumite erori ale software-ului de prelucrare sau de comunicare sau anumite defecte ale echipamentelor de calcul sau de comunicatie. De asemenea, lipsa unei pregatiri adecvate a administratorului, operatorilor si utilizatorilor de sisteme amplifica probabilitatea unor brese de securitate. Folosirea abuziva a unor sisteme (piraterie informatica) reprezinta, de asemenea, unul din factorii de risc major privind securitatea sistemelor informatice. In ultimii ani, in rile dezvoltate, hrtia a devenit numai un mediu de prezentare a informatiilor nu si de arhivare sau transport. Aceste ultime doua functii au fost preluate de calculatoare si de retele de interconectare a acestora. De aceea au trebuit sa fie gasite solutii pentru inlocuirea sigiliilor, stampilelor si semnaturilor olografe din documentele clasice cu variantele lor digitale, bazate pe criptografia clasica si cu chei publice. Criptografia computationala este tot mai folositapentru contracararea problemelor de securitate informatica. Utilizata multa vreme doar pentru asigurarea confidentialitatii comunicatiilor militare si diplomatice, criptografia a cunoscut in ultimii 20 de ani progrese spectaculoase, datorate aplicatiilor sale in securitatea datelor la calculatoare si retele. Ameliorarea securitatii sistemelor informatice trebuiesa fie un obiectiv important al oricarei organizatii.Trebuie insa avuta in vedere asigurarea unui bun echilibru intre costurile aferente si avantajele concrete obtinute. Masurile trebuie sa descurajeze tentativele de penetrare neautorizata, sa le faca mai costisitoare decat obtinerea legala a accesului la aceste programe si date. OCED

12

(Organization of Economic Cooperation and Development) este unul din organismele internationalepreocupate de domeniul protectiei datelor cu caracter personal, securitatii sistemelor informatice, politicii de cifrare si al protectiei proprietatii intelectuale. In ceea ce priveste protectia datelor cu caracter personal, OECD a elaborat in anul 1985 Declaratia cu privire la fluxultransfrontarier al datelor. Ideea fundamentala era de a se realiza, prin masuri juridice si tehnice, controlul direct individual asupra datelor cu caracter personal si asupra utilizarii acestora. Eforturile actuale sunt dirijate catre realizarea unui cadru international in ceea fe priveste viata personala si autonomia individuala a persoanelor (libertatea de miscare, libertatea de asociere si drepturile fundamentale ale omului). 3.2. Securitatea conectarii in internet Internetul este o structura deschisa la care se poate conecta un numar mare de calculatoare, fiind deci greu de controlat. De aceea putem vorbi de vulnerabilitatea retelelor, manifestata pe variate planuri. Un aspect crucial al retelelor de calculatoare, in special al comunicatiilor prin internet, il constituie securitatea informatiilor. Nevoia de securitate si de autenticitate apare la toate nivelurile arhitecturale ale retelelor. In tranzactiile financiare, alaturi de autenticitate si confidentialitate, un loc important il are si integritatea mesajelor, ceea ce inseamna ca mesajul receptionat nu a fost alterat in timpul transmisiei prin retea. In tranzactiile de afaceri este foarte important ca, o data receptionata, o comanda sa fie nu numai autentica, cu continut nemodificat, dar sa nu existe posibilitatea ca expeditorul sa nu o mai recunoasca. Deci portile (gateway) si rooter-ele trebuie sa discearna intre calculatoarele autorizate si cele intruse. In aceste conditii securitatea informatica a devenit una din componentele majore ale internetului. In cazul internet-ului adresele diferitelor noduri si servicii pot fi determinate usor. Orice posesor al unui PC cu modem, avand cunostinte medii de operare poate incerca sa forteze anumite servicii cum ar fi conectarea la distanta (telnet), transferul de fisiere (ftp) sau posta electronica (e-mail). Exista persoane dispuse sa cheltuiasca resurse, bani si timp pentru a penetra diferite sisteme de securitate. Unii sunt adevarati maestrii in domeniu: penetreaza calculatorul A, cu ajutorul caruia intra in calculatorul B, folosit mai departe pentru accesul la calculatorul C, etc. 3.3. Vulnerabilitatea retelelor

13

O retea de calculatoare este o structura deschisa la care se pot conecta noi tirupi de schpamente. Acest lucru conduce la o largrire necontrolata a cercului utilizatorilor cu acces nemijlocit la resursele retelei. Vulnerabilitatea retelelor se manifesta pe doua planuri:

posibilitatea modificarii sau distrugerii informatiei, adica atacul la integritatea ei fizica; posibilitatea folosirii neautorizate a informatiilor, adica scurgerea lor din cercul de utilizatori stabilit.

Securitatea si in special caracterul privat trebuie sa constituie obiectul unei analize atente in cazul retelelor. Retelele sunt ansabluri complexe de calculatoare. Este foarte dificil sa se obtina o schema completa a tuturor entitatilor si operatiilor existente la un moment dat, astfel incat retelele sunt vulnerabile la diferite tipuri de atacuri sau abuzuri. Complexitatea este generata de dispersarea geografica, uneori internationala a componentelor (nodurilor) retelei, implicarea mai multor organizatii im administrarea unei singure retele, esistenta unor tipuri diferite de calculatoare si sisteme de operare, existenta unui numar mare de entitati. In viitorul imediat, retelele de calculatoare vor deveni o parte esentiala din viata sociala si individuala. De functionarea lor corecta depinde activitatea guvernamentala, comerciala, industriala si chiar personal. Pe masura ce calculatoarele personale pot fi conectate de acasa in retele, o serie de activitati pot fi facute de persoane particulare. Trebuie avute in vedere tipurile de date pe care persoanele le pot citi, care sunt celelalte persoane cu care pot comunica, la ce programe au acces. Tot mai multe informatii memorate in fisiere devin posibil de corelat prin intermediul retelelor. Aceasta asociere de fisiere privinf persoanele poate avea consecinte nefaste asupra caracterului privat individual. Informatia este vulnerabila la atac, in orice punct al unei retele, de la introducerea ei pana la destinatia finala. In particular, informatia este mai susceptibila la atac atunci cand trece prin liniile de comunicatii. Masurile puternice de control ale accesului, bazate pe parole, scheme de protectie in sisteme de operare, fac mai atractive asupra liniilor retelei decat asupra calculatoarelor gazda. 3.3 Categorii de atacuri asupra retelelor Amenintarile la adresa securitatii unei retele de calculatoare pot avea urmatoarele origini: dezastre sau calamitati naturale, defectari al echipamentelor, greseli umane de operare sau manipulare, fraude. Cateva studii de securitate a calculatoarelor estimeaza ca jumatate din costurile implicate de incidente sunt datorate actiunilor voir distructive, un sfert dezastrelor accidentale si un sfert greselilor uname. In amenintarile datorate actiunilor voite, se disting doua categroii principale de atacuri: pasive si active.

14

Atacuri pasive sunt acelea in cadrul carora intrusul observa informatia ca trece prin canal fara sa interfereze cu fluxul sau continutul mesajelor. Ca urmare se face doar analiza traficului, prin citirea identitatii partilor care comunica si invatand lungimea si frecventa mesajelor vehiculate pe un anumit canal logic, chiar daca continutul este neinteligibil. Atacurile pasive au urmatoarele caracteristici comune:

nu cauzeaza pagube (nu se sterg sau se modifica date); incalca regulile de confidentialitate; obiectivul este de a asculta datele schimbate prin retea; pot fi realizate printr-o varietate de metode, cum ar fi supravegherea legaturilor telefonice sau radio, exploatarea radiatiilor electromagnetice emise, rutarea datelor prin noduri aditionale mai putin protejate.

Atacuri active - sunt acelea in care intrusul se angajeaza fie in furtul mesajelor, fie in modificarea, reluarea sau inserarea de mesaje false. Aceasta inseamna ca el poate sterge, intarzia sau modifica mesaje, poate sa faca inserarea unor mesaje false sau vechi, poate schimba oridinea mesajelor, fie pe o anumita directie, fie pe ambele directii ale unui canal logic. Aceste atacuri sunt serioase deoarece modifica starea sistemelor de calcul, a datelor sau a sistemelor de comunicatii. Exista urmatoarele tipuri de amenintari active:

mascarada este un tip de atac in care o entitate pretinde a fi o alta entitate reluarea se produce atunci cand un mesaj sau o parte a acestuia este reluata (repetata), in intentia de a produce un efect neautorizat modificarea mesajelor face ca datele mesajului sa fie alterate prin modificare, inserare sau sterfere. Poat fi folosita pentru a se schimba beneficiarul unui credit refuzul serviciului se produce cand o entitate nu izbuteste sa indeplineasca propria functie sau cand face actiuni care impiedica o alta entitate de la indeplinirea propriei functii; repudierea serviciului se produce cand o entitate refuza sa recunoasca un serviciu executat. Este evident ca in aplicatiile de transfer electronic de fonduri este important sa se evite repudierea serviciului atat de catre emitator, cat si de catre destinatar.

In cazul atacurilor active se inscriu si unele programe create cu scop distructiv si care afecteaza, uneori esential, securitatea calculatoarelor. Exista o terminologie care poate fi folosita pentru a prezenta diferitele posibilitati de atac asupra unui sistem. Acest vocabular este bine popularizat de povestile despre hackeri. Atacurile presupun, in general, fie citirea informatiilor neautorizate, fie distrugerea partiala sau totala a datelor sau chiar a calculatoarelor. Ce este mai grav este posibilitatea potentiala de infestare, prin retea sau chiar copieri de

15

dischete, a unui mare numar de masini. Dintre aceste programe distructive amintim urmatoarele:

virusii reprezinta programe insertate in aplicatii care se multiplica singure in alte programe din spatiul rezident de memorie sau de pe discuri. Apoi fie satureaza complet spatiul de memorie/disc si blocheaza sistemul, fie dupa un numar fixat de multilpicari, devin activi si intra intro faza distructiva (care ste de regula exponentiala); bomba software - este o procedura sau parte de cod inclusa intr-o aplicatie "normala", care este activata de un eveniment predefinit. Autorul bombei anunta evenimentul, lasand-o sa "explodeze", adica sa faca actiunile distructive programate; viermii - au efecte similare cu cele ale bombelor si virusilor. Principala diferenta este aceea ca nu rezida la o locatie fixa sau nu se duplica singuri. Se muta in permanenta, ceea ce ii face dificil de detectat. Cel mai renumit exemplu este Viermele internetului-ului, care a scos din functiune o parte din internet in noiembrie 1988; trapele - reprezinta accese speciale la sistem, care sunt rezervate in mod normal pentru proceduri de incarcare de la distanta, intretinere sau pentru dezvoltatorii unor aplicatii. Calul Troian - este o aplicatie care are o functie de utilizare foarte cunoscuta si care, intr-un mod ascuns, indeplineste si o alta functie. Nu creeaza copii. Hackerii sunt pasionati ai informaticii, care, de obicei au ca scop spargerea anumitor coduri, baze de date, pagini web etc. Ei sunt considerati infractori, in majoritatea statelor lumii. Hackerii adevarati nu distrug, de obicei, pagini inofensive, cum ar fi paginile personale. Tintele obisnuite ale atacurilor hackerilor sunt sistemele importante, care au protectii avansate si contin informatii strict secrete, cum ar fi bazele de date ale Pentagonului sau cele de la NASA. Odata obtinute, aceste fisiere (informatii) sunt publicate pe tot Internet-ul, pentru a fi vizionate sau folosite de cat mai multe persoane. Orice hacker advarat trebuie sa respecte un Cod de legi al hackerilor, care este bine stabilit, cunoscut si respectat.

16

CONCLUZIE Pornind de la obiectivul auditrii, de la importana pe care o prezint rezultatul auditrii, echipa de specialiti dimensioneaz efortul care trebuie depus de la ntocmirea planului de auditare, ca atare, i pn la elaborarea raportului de auditare. La desfurarea obiectivului auditrii trebuie s fie introduse acele elemente care subliniaz ncrederea pe care utilizatorul sistemului informatic trebuie s o aib pe durata exploatrii. Raportul de auditare trebuie s fac dovada n mod convingtor c achiziionnd un produs sau utiliznd un sistem informatic rezultat al unui proces investiional, utilizatorul va beneficia de servicii de calitatea dorit. Auditul transfer credibilitate unui produs nou. Obiectivul clar al auditului este de a se concentra ntreaga activitate, prin analiz, pe aspecte calitative i cantitative, din care rezult concordana dintre produsul planificat a fi realizat i produsul pe cale de a fi livrat. Auditul sistemului informatic este un proces extrem de complex, iar echipa care realizeaz un astfel de audit trebuie s aib o diversitate de specialiti, iar acetia, la rndul lor, trebuie s aib o bogat experien profesional i vaste cunotiine teoretice. Un sistem informatic nu se auditeaz de persoane care nu stpnesc domeniul afectat etapei din procesul de auditare. Aa cum n dezvoltarea sistemului informatic exist un ciclu de dezvoltare, divizat n etape, tot aa exist etape ale ciclului de auditare. Fiecare etap reprezint un sistem de diviziune a muncii, iar comunicarea este un factor esenial. Este vorba de comunicarea ntre membrii echipei de auditare, respectiv, comunicarea ntre auditori. De asemenea, auditorii trebuie s comunice, pentru a clarifica unele aspecte, cu echipa care a realizat sistemul informatic.

17

BIBLIOGRAFIE

Prof.univ.dr. Ali Eden, Prof.univ.dr.Victoria Stanciu :auditul Sistemelor Informatice Florin Boghean : Auditul i controlul Sistemelor Informaionale ( curs) Avram G. :Audutul sistemelor infaomaionale, Referat Tez de doctorat, Bucureti

18