Auditorul de sisteme informatice – rol şi referinţe în regulamentele internaţionale.
2011 Auditorul de sisteme informatice
Auditul este descris ca examinarea independentă a înregistrărilor şi a altor info inform rmaţ aţii ii în scop scopul ul form formăr ării ii unei unei opin opinii ii refe referit ritoa oare re la inte integr grita itate teaa sist sistem emul ului ui controalelor şi îmbunătăţirea controalelor recomandate pentru limitarea riscurilor.
1
Auditul Auditul sistemelor sistemelor informatice informatice reprezintă reprezintă activitatea activitatea de colectar colectaree şi evaluare evaluare a unorr probe uno probe pentru pentru a deter determin minaa dacă dacă sistem sistemul ul inform informati aticc este este securi securiza zat,t, mentin mentinee integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale intreprinderii şi utilizează eficient resursele r esursele informationale. Auditorul Auditorul informatic informatic este reprezentat reprezentat de un informatic informatician ian specializ specializat at în domeni domeniul ul financ financiar iar-co -conta ntabil bil ce este este certi certific ficat at ca audito auditorr inform informati aticc (Certi (Certifie fied d Information Systems Auditor Auditor CISA!de CISA!de c"tre c"tre ISACA. ac!ues "enard spune că
auditorul informatician nu este un auditor care a învăţat informatică, ci reprezintă neapărat un informatician format după metodologia şi instrumentele Auditului #ntern. Acest Acest audito auditorr inform informati aticia ciann îşi folose foloseşte şte talent talentul ul şi compe competen tenţel ţelee în cinci cinci direc direcţii ţii fund fundam amen enta tale le$$ audi auditu tull cent centre relo lorr info inform rmat atic ice, e, audi auditu tull biro biroti tici cii, i, audi auditu tull reţe reţele lelo lorr informatice, auditul sistemelor în exploatare şi al programelor informatice de aplicaţie şi auditul sistemelor în curs de dezvoltare. %esi există o legătura metodologică destul de stansă intre auditul financiar& contabil si auditul sistemelor informatice, cel din urma are la bază cunostinte din cel putin patru domenii, astfel$ auditul traditional, sisteme informationale pentru management, stiinta comportamentului si informatica. %e asem asemen enea ea 'tan 'tanda dard rdul ul #(A) #(A)&& #'A #'A *01 *01 face face refe referir riree la apti aptitu tudi dini nile le si competen competentele tele unui auditor auditor financiar financiar in conditiile conditiile auditului auditului intr&un intr&un mediu mediu informatiz informatizat, at, precum si #'A +20 face referiri la posibilitatea utilizarii unui expertin -enologia #nformatiei/ in cadrul misiunii de audit financiar, daca necesitatea practica o impune. bie b iect ctiv ivul ul 'tan 'tanda dard rdul ului ui de Au Audi ditt *01 *01 Aud Audit itul ul în me medi diul ul sist sistem emel elor or informaţionale computerizate #'A *01 Auditing in a )omputer #nformation '3stems 4nvironment/ constă în stabilirea normelor şi recomandărilor privind procedurile ce trebui trebuiee urmate urmate la exerci exercitar tarea ea auditu auditului lui într&un într&un me mediu diu de sistem sistemee inform informaţi aţiona onale le computerizate '#)/. )oform acestui standard auditorul trebuie să ia în considerare modul în care un mediu '#) influenţează asupra auditului. biectivul general şi sfera de aplicare a auditului nu se scimbă într&un mediu '#). )u toate acestea, utilizarea unui computer modifică modul de prelucrare, stocare şi comunicare al informaţiei financiare şi poate influenţa sistemele contabil şi de control intern utilizate de agentul economic. 5rin urmare, un mediu '#) poate influenţa$
2
procedurile efectuate de auditor în scopul obţinerii unei înţelegeri suficiente a
•
sistemelor contabil şi de control intern6 considerarea riscului inerent şi riscului legat de control, ceea ce influenţează
•
evaluarea riscului de către auditor6 elaborarea şi efectuarea de auditor a procedurilor de testare a controlului intern şi a
•
procedurilor ce ţin de esenţă care sînt potrivite atingerii unui anumit obiectiv al auditului. %e asemenea acest standard impune anumite aptitudini si competente pentru a planifica, gestiona, supravegea şi controla lucrările efectuate auditorul trebuie să posede cunoştinţe suficiente în domeniul '#). Auditorul trebuie să ia în considerare dacă pentru exercitarea auditului sunt necesare aptitudini specializate de lucru cu '#). Aceste aptitudini pot fi necesare pentru$
obţinerea înţelegerii suficiente a sistemelor contabil şi de control intern afectate de
•
mediul '#)6 •
determinarea influenţei mediului '#) asupra evaluării generale a riscului şi
evaluării riscului la nivelul soldurilor conturilor şi a grupurilor de tranzacţii6 elaborarea şi efectuarea procedurilor potrivite de testare a controlului intern şi a
•
celor ce ţin de esenţă. 7n cazul în care sunt necesare aptitudini specializate, auditorul urmează să se adreseze după asistenţă unui specialist care posedă astfel de aptitudini şi care poate face parte din titularii organizaţiei de audit sau poate fi anga8at din afară acesteia. %acă este planificată implicarea unui astfel de specialist, auditorul trebuie să obţină dovezi de audit suficiente şi adecvate asupra faptului, că lucrările unui astfel de specialist corespund obiectivelor auditului în conformitate cu '9A +20 :tilizarea lucrărilor expertului. (ăcand o sinteza a cunostintelor pe care trebuie sa la aiba un auditor de sisteme informatice, pot fi enumerate urmatoarele$ &
cunostinte din domeniul auditului financiar6
&
cunostinte din domeniul managementului6
&
cunostinte din domeniul contabilitatii6
&
cunostinte din domeniul financiar6
;
&
cunostinte privind evaluarea riscurilor6
&
cunostinte privind controlul6
&
cunostinte privind aritectura fizica ard
&
cunostinte privind sistemele de operare si aplicatiile informatice6
&
cunostinte privind telecominicatiile6
&
cunostinte privind securitatea sistemelor informatice6
&
cunostinte privind analiza si proiectarea sistemelor informatice6
&
cunostinte privind programarea si limba8ele de programare6
&
cunostinte privind sistemele de gestiune a bazelor de date6
&
cunostinte statistice
&
cunostinte privind legislatia. Auditul sistemului informatic poate fi organizat ata la nivelul intreprinderii,
in cadrul functiei de audit intern, cat si sub forma auditului extern realizat de catre persoane din afara intreprinderii. #n cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operatii sunt verificările, evaluarile si testările mi8loacelor informationale, astfel$ &
#dentificarea si evaluarea riscurilor din sistem6
&
4valuarea si testarea controlului din sistem6
&
=erificarea si evaluarea fizică a mediului informational6
&
=erificarea si evaluarea administrării sistemului informatic6
&
=erificarea si evaluarea aplicatiilor informatice6
&
=erificarea si evaluarea securitătii retelelor de calculatoare6
&
=erificarea si evaluarea planurilor si procedurilor de recuperare in caz de dezastre si continuare a activitatii6
&
-estarea integritătii datelor
"ealizarea auditului sistemului informatic contribuie la$ & îmbunătăţirea sistemului şi controalelor procesului6 & prevenirea şi detectarea erorilor şi a fraudelor6
*
& reducerea riscurilor şi îmbunătăţirea securităţii sistemului6 & planificarea pentru refacere în caz de accidente şi dezastre6 & managementul informaţiilor şi dezvoltării sistemului6 & evaluarea utilizării eficiente a resurselor. Auditorul sistemelor informatice trebuie să aibă capacitatea de a asista ecipa managerială în stabilirea mărimii sistemului informatic şi a numărului de personal necesar, domeniile de afaceri în care se utilizează eficient sistemele de calcul, natura afacerilor, pierderi potenţiale în cazul căderii sistemului informatic, extinderea controalelor manuale şi gradul de complexitate tenică. %e asemenea auditorul sistemelor informatice trebuie sa realizeze o pregatire profesionala continua prin participarea la cursuri de specialitate. #n ceea ce priveste aptitudinile auditorului de sisteme informatice, acesta trebuie$ &
să fie un bun membru intr&o ecipă de audit6
&
să fie un bun manager al activitătilor de audit6
&
să aibă un spirit de observatie bine dezvoltat6
&
să fie un bun colaborator6
&
să dispună de abilităti de comunicare6
&
să fie capabil să ia decizii obiective6
&
să fie un bun analist.
Sistemul informatic este o constructie complexa, care este realizata pe
parcursul mai multor ani si are ca obiectiv crearea de interdependente între componente, acoperirea tuturor problemelor agentului economic, asa incat se suprapune o structura în plan informational structurii fizice agentului economic. 5entru a realiza un proces de auditare eficient este necesar să se parcurgă următorii paşi$ & definirea obiectului auditării sistemului informatic6 & construirea planului de auditare6 & atribuirea sarcinilor fiecărui membru din ecipa de auditori6 & preluarea structurilor de tabele pentru înregistrarea rezultatelor auditării6
>
& derularea, pas cu pas, a procesului de auditare folosind standarde, tenici şi metode stabilite6 & înregistrarea rezultatelor şi evaluarea fiecărei etape parcurse6 & regruparea documentaţiei provenite din diferite stadi ale procesului de auditare şi construirea raportului final. 5rincipalele tipuri de audit informatic sunt$ & auditul sistemului operaţional de calcul & auditul instalaţiilor #& auditul sistemelor aflate în dezvoltare & auditul managementului #& auditul procesului #& auditul managementului scimbărilor & auditul controlului şi securităţii informaţiilor & auditul conformităţii cu legalitatea & auditul accidentelor dezastruoase?planificării continuităţii afacerii?refacerii după dezastre & auditul strategiei #%ezvoltarea sistemelor informatice presupune existenta unor activitati premargatoare, activitati care au menirea de a impune o ecipa, o tenologie unitara de analiza, design, dezvoltare, implementare, exploatare si mentenanta, aspecte care trebuie luate în considerare la efectuarea unui audit de sistem informatic. :n sistem informatic necesita$ stabilirea obiectivelor6 definirea unei strategii de dezvoltare, exploatare si mentenanta6 acizitionarea de ecipamente, instrumente necesare realizarii de prelucrari, de conexiuni si dezvoltarii fluxurilor cu exteriorul6 fonduri foarte mari în anumite cazuri. %ezvoltarea companiei prin acizitionarea de noi ecipamente, reorganizarea fluxului de productie, trecerea la realizarea de noi produse, introducerea elementelor de management total al calitatii vin sa influenteze calitativ si cantitativ structura si
+
functiunile sistemului informatic. -oate fluctuatiile se reflecta în sistemul de lucru, în calitatea componentelor sau stadiilor sistemului informatic. %urata mare de realizare a sistemelor informatice poate genera o serie de probleme care trebuie luate în considerare si solutionate astfel înc@t, în final, sa se obtina rezultatele scontate. 7n cazul în care o noua ecipa manageriala are o alta viziune asupra indicatorilor agregati pe care îsi fundamenteaza deciziile, se produc modificari în specificatii, care atrag modificari ale structurii sistemului informatic. Aparitia unor scimburi de informatii între companie si institutiile publice ale statului, modificarile unor algoritmi de calcul, necesitatea de a utiliza noi coeficienti, trebuie reflectate, în sistemul informatic aflat în constructie. 9oile tenologii informatice care apar produc scimbări în abordarea instrumentelor de asistare, în utilizarea de opţiuni, astfel înc@t sistemul informatic devine neomogen din punctul de vedere al tenologiilor de dezvoltare. egislaţia si dinamica proceselor din societatea informaţională conduc la evoluţii care trebuie reflectate în sistemul informatic. -oate aceste procese se derulează concomitent, produc@nd efecte con8ugate, în timp ce obiectivul stabilit iniţial, acela de a realiza un sistem informatic pentru managementul companiei, răm@ne nemodificat.
A#$I%#& SIS%''&)* I+,)*A%I)+A&'
&ocul auditului priind ad in ansamblul actiitatiilor de audit in cadrul organizatiei
B
Audit managerial Audit financiar Audit intern Audit 5A% Au A dit
u
gen
di
eral
tu
al
l
'#
% ' ( % C
Audit ul conta bil A A u
u
d
d
it
i
u
t
l
u
8
l
u r
a
n
p
a
l
D
l
i
e
c
l
a
o
t
r
i
c
i
o
l
n
o
t
r
a b
c
il
o
e
n t a b i l e
)E#-&ul reprezinta cadrul general de aplicabilitate a practicilor privind securitatea si controlul tenologiei informationale. 4nuntarea obiectivelor de atins prin implementarea unor masuri de control specifice unui domeniu particular de activitate a tenologiilor informationale "esurse folosite in #- $ & %ate reprezentari si proiecte/
F
& Aplicatii suma procedurilor manuale si automatizate/ & -enologia propriu&zisa ard, soft de baza, retele de comunicatii/ & "esurse umane & (acilitati resurse de sustinere a sistemului informational/ )riterii de evaluare a informatiei $ & eficacitate & confidentialitate & integritate & disponibilitate & realitate & oportunitate A:%#-: reprezinta o activitate de concepere a unui sistem care previne, detecteaza si corecteaza evenimente ilicite in viata unei organizatii.
10
*iscurile asociate auditului financiar – *iscul de audit
a/ G "iscul inerent general
& riscul de management & riscul contabil & riscul de afaceri
b/ G "iscul de control
& o eroare sau un grup de erori cu impact semnificativ nu a fost prevenita, detectata sau corectata la timp de sistemul contabil sau auditul intern
c/ G "iscul de nedectare
& procedurile fundamentale de audit nu detectează o eroare semnificativa sau mai multe erori însumate cu efect cumulat semnificativ
d/ G "iscul de eşantionare Auditorul financiar trebuie sa ia in considerare modul in care un mediu )#' afectează auditul. "iscul inerent si riscul de control intr&un mediu )#' poate avea particularităţi $ &
"iscuri generate de deficiente ale mediului )#'
&
)reşterea potenţialului de apariţie a erorilor si a activităţilor frauduloase
specifice &
eroare individuala in mediul )#' poate afecta întregul ansamblu
informaţional al întreprinderii *ISC#*I&' AS)CIA%' SISI%'#&#I I+,)*A%I)+A&
a/ "iscurile de mediu
& ard
b/ "iscuri asociate mediului $ & pericole naturale si dezastre & alterarea sau furtul aplicaţiilor, datelor & erori umane sau tenice & incompetenta manageriala & pierderi financiare previzibile "iscurile trebuie $
& evaluate din punct de vedere al gravităţii efectelor lor
11
& evaluate din punct de vedere al probabilităţii procedurilor & estimate financiar pentru fiecare apariţie a fenomenului si pe total articularitati ale sistemelor informatice in ealuarea riscului /
A. 'tructura organizationala$ & )oncentrarea functiilor si a cunostintelor & )oncentrarea programelor si a datelor E. 9atura procesarii$ & Absenta documentelor de intrare & ipsa unei dovezi vizibile a tranzactiei & ipsa unor iesiri vizibile & :surinta de a accesa datele si softurile ). Aspecte procedurale$ & consecventa executiei & proceduri de control programate & o tranzactie are efect in fisiere multiple & vulnerabilitatea mediilor de stocare "iscuri asociate unui sistem informatic $ a/ pierderea, deturnarea, modificarea informatiilor b/ accesul neautorizat la informatii c/ intreruperea procesarii )$'& CA&I%A%I0 $' '0A&#A*' A *ISC#*I&)* (te1nica scorurilor!
*ISC
a.0#&+'*A2I&I%A%'
& A))4' (#H#) & A))4' "4-4A b. C)&'3I%A%'
12
& )I54J#-A-4 "KA9#HA-#9AA & (:9)-##" '#'-4I::# & 54"'9A & 54"'9A %4 '54)#A#-A-4 & IA9AK4"# & %):I49-A-#4 & )#): %4 =#A-A c. ,I+A+CIA*
*ISC#& AS)CIA% ACC'S#&#I ,I4IC +I0'& *ISC
$'SC*I '*'
IA"4 I4%#:
"esursele informationale sunt accesibile tuturor anga8atilor "esursele informationale sunt in birouri organizate cu acces
')AH:-
limitat de personal "esursele informationale sunt in zona cu acces strict controlat *ISC#& AS)CIA% *'%'&'I $' C)#+ICA%II
+I0'& *ISC
IA"4 I4%#: ')AH:-
$'SC*I '*'
'istem conectat la reteaua publica 'istem conectat la retea privata. )omunicarea cu exteriorul cu linii dedicate 9ici o conexiune cu mediul
Controlul la nielul managementului presupune evaluarea anuala a sistemului
informaţional, a direcţiilor de dezvoltare, strategiilor de dezvoltare. Controlul ciclului de iata presupune controlul iniţierii proiectului sistemului informaţional, controlul
analizei si proiectării iniţiale a sistemului informaţional, controlul aciziţiei dezvoltării/ sistemului informaţional, controlul testării sistemului informaţional, controlul implementării si conversiei sistemului informaţional, controlul întreţinerii sistemului informaţional, controlul securităţii sistemului, responsabilitatea managementului, separarea funcţiilor incompatibile, controlul accesului, controlul securităţii fizice, controlul prevenirii efectelor dezastrelor.
1;
Controalele nielului operaţional presupun$ controlul modului de operare,
controlul reţelei de calculatoare, controlul pregătirii si introducerii datelor in sistem, controlul procesării datelor, controlul gestiunii mediilor de stocare, controlul gestiunii aplicaţiilor si a documentaţiilor, controlul asistentei tenice. )2I'C%I0'&' A#$I%#&#I
%ate de intrare
& tipul & originea & volumul si creşterea anticipata & dependenta temporala
(işiere &
tipul
& principale & tranzacţii & baze de date
&
modul de control si de arivare
&
mărimea si creşterea anticipata
&
frecventa actualizării
&
relaţiile cu fişierele din alte sisteme
#eşiri &
tipul si conţinutul rapoartelor
&
volumul si creşterile anticipate
&
frecventa de raportare
&
suportul de prezentare
Altele &
necesar de ard
&
cerinţele de securitate
&
cerinţele legale soft/
&
auditibilitatea proceduri/
Controlul ac1iziţiei (dezolt"rii! sistemului
a.
%ezvoltarea integrala din interiorul organizaţiei in&ouse/
1*
b.
4cipamente aciziţionate de organizaţie6 soft de aplicaţie aciziţionat de
la furnizor outside/ c.
Aplicaţie integrala la ceie outsourcing/ a.
4ste necesara proiectarea de detaliu cu intervenţia specifica a auditorului
b.
'oft&ul se poate comanda in mod specific
c.
)riteriile foarte exacte de selecţie ale furnizorului
Controlul test"rii sistemului
&
testare paralela
&
testare pilot
biectivele auditului $ &
asigurarea ca sistemul funcţionează corect
&
in cazul întreruperilor, se emit mesa8e de documentare
&
nu exista prelucrări neefectuate
Controlul implement"rii sistemului
biectivele auditului $ &
controlul atribuirii responsabilitatilor la implementare
&
controlul standardelor de eficacitate a implementării
&
controlul planului de implementare
&
controlul modului de implicare a utilizatorilor la implementare
Controlul întreţinerii sistemului
biectivele auditului $ &
identificarea factorilor care generează necesitatea modificării sistemului
&
controlul autorizării execuţiei modificării
&
controlul mecanismelor ce previn modificări neautorizate
(actorii care impun modificări ale sistemului $ &
Apariţia de funcţii noi
&
9ecesitatea modificării raportării
&
Iodificări in cadrul legislativ
&
Apariţia de probleme neprevazute in proiectare
1>
C)+%*)&#& S'C#*I%A%II SI S%''&)* I+,)*A%IC'
5rocesele de asigurare a securităţii sistemelor informatice îndeplinesc funcţia de a prote8a sistemele împotriva folosirii, publicării sau modificării neautorizate, distrugerii sau pierderii informaţiilor stocate. 'ecuritatea sistemelor informatice este asigurata prin controale logice de acces, care asigura accesul la sisteme, programe si date numai utilizatorilor autorizaţi. 4lemente de control logic care asigura securitatea sistemelor informatice $ L
cerinţele de confidenţialitate a datelor6
L
controlul autorizării, autentificării si accesului6
L
identificarea utilizatorului si profilele de autorizare6
L
stabilirea informaţiilor necesare pentru fiecare profil de utilizator6
L
controlul ceilor de criptare6
L
gestionarea incidentelor, raportarea si masurile ulterioare6
L
protecţia împotriva atacurilor viruşilor si prevenirea acestora6
L
fire
L
administrarea centralizata a securităţii sistemelor6
L
training&ul utilizatorilor6
L
metode de monitorizare a respectării procedurilor #-, teste de intruziune si raportări.
)biectie de control detaliate
Asigurarea securităţii sistemelor informatice 5.
Controlul masurilor de securitate
'ecuritatea sistemelor informatice trebuie organizata astfel incat sa fie in concordanta cu obiectivele de afaceri ale organizatiei$ L
includerea informatiilor legate de evaluarea riscurilor la nivel
organizational in proiectarea securitatii informatice6 L
implementarea si actualizarea planului de securitate #- pentru a reflecta
modificarile intervenite in structura organizatiei6 L
evaluarea impactului modificarilor planurilor de securitate #-, si
monitorizarea implementarii procedurilor de securitate6 L
alinierea procedurilor de securitate #- la procedurile generale ale
organizaţiei.
1+
6.
Identificarea autentificarea si accesul
Accesul logic la resursele informatice trebuie restrictionat prin implementarea unor mecanisme adecvate de identificare, autentificare si acces, prin crearea unei legaturi intre utilizatori si resurse, bazata pe drepturi de acces. 7.
Securitatea accesului on-line la date
#ntr&un mediu #- on&line trebuie implementate proceduri in concordanta cu politica de securitate, care presupune controlul securitatii accesului bazat pe necesitatile individuale de accesare, adaugare, modificare sau stergere a informatiilor. 8.
anagementul conturilor utilizator
)onducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator. procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul de securitate. 9.
0erificarea conturilor utilizator de catre conducere
)onducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confirme periodic drepturile de acces. :.
0erificarea conturilor utilizator de catre utilizatori
:tilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi, in vederea detectarii activitatilor neobisnuite. ;.
Supraeg1erea securitatii sistemului
Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile legate de securitatea sistemului sunt inregistrate intr&un 8urnal, si orice indiciu referitor la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile. <.
Clasificarea datelor
)onducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de vedere al gradului de confidentialitate, printr&o decizie formala a detinatorului datelor. )iar si datele care nu necesita protectie trebuie clasificate in aceasta categorie printr&o decizie formala. %atele trebuie sa poata fi reclasificate in conditiile modificarii ulterioare a gradului de confidentialitate. =.
Centralizarea identificarii utilizatorilor si drepturilor de acces
#dentificarea si controlul asupra drepturilor de acces trebuie efectuate centralizate pentru a asigura consistenta si eficienta controlului global al accesului.
1B
5>.
*apoarte priind iolarea securitatii sistemului
Administratorii de sistem trebuie sa se asigure ca activitatile care pot afecta securitatea sistemului sunt inregistrate, raportate si analizate cu regularitate, iar incidentele care presupun acces neautorizat la date sunt rezolvate operativ. Accesul logic la informatii trebuie acordat pe baza necesitatilor stricte ale utilizatorului acesta trebuie sa aiba acces numai la informatiile care ii sunt necesare/. 55.
?estionarea incidentelor
)onducerea trebuie sa implementeze proceduri de gestionare a incidentelor legate de securitatea sistemului, astfel incat raspunsul la aceste incidente sa fie eficient, rapid si adecvat. 56.
Increderea in terte parti
rganizatia trebuie sa asigure implementarea unor proceduri de control si autentificare a tertilor cu care intra in contact prin medii electronice de comunicare. 1;.
Autorizarea tranzactiilor
5olitica organizatiei trebuie sa asigure implementarea unor controale care sa verifice autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza tranzactia. 1*.
5revenirea refuzului de acceptare a tranzactiei
'istemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate ulterior de nici un participant. Aceasta presupune implementarea unui sistem de confirmare a efectuarii tranzactiei. 59.
Informatiile sensibile trebuie transmise numai pe un canal de
comunicatii considerat sigur de parti care sa nu permita interceptarea datelor 5:.
rotectia functiilor de securitate
-oate functiile organizatiei legate de asigurarea securitatii trebuie prote8ate in mod special, in vederea mentinerii integritatii acestora. rganizatiile trebuie sa pastreze secrete procedurile de securitate.
1D
5;.
anagementul c1eilor de criptare
)onducerea trebuie sa defineasca si sa implementeze proceduri si protocoale pentru generarea, modificarea, anularea, distrugerea, certificarea, utilizarea ceilor de criptare pentru a asigura protectia impotriva accesului neautorizat. 5<.
reenirea detectarea si corectarea programelor distructie
#n vederea prote8arii sistemului impotriva aplicatiilor distructive viruşi/, trebuie implementata o procedura adecvata care sa includa masuri de prevenire, detectare, actiune, corectare si raportare a incidentelor de acest fel. 5=.
Ar1itecturi ,ire@all si conectarea la retele publice
#n cazul in care sistemul organizatiei este conectat la #nternet sau alte retele publice, programe de protectie adecvate fire.
rotectia alorilor electronice
)onducerea trebuie sa asigure protectia si integritatea cardurilor si a altor dispozitive folosite pentru autentificare sau inregistrare de date considerate sensibile financiare/. S'C#*I %A%'A SIS%' '&)* I+,)*A%I)+A&'
rganizatia trebuie sa aiba o politica se securitate informationala. L
"esponsabilitatile personalului
L
Atributiile responsabilului cu securitatea
L
)larificarea datelor si nivelurile de securitate
L
)ontrolul auditul/ intern al securitatii
5olitica de securitate se refera la tot personalul anga8at $ &
standarde interne si principii privind securitatea '.#. & la nivel grobal
& pe grupe functii, sectii/ de lucru &
codul etic al anga8atilor si pregatirea acestora.
S'A*A*'A ,#+C%II&)* I+C)A%I2I&'
&
imiteaza erorile si fraudele
&
)reste probabilitatea detectarii fraudelor
&
'epararea functiilor se realizeaza in domeniile $ &
#nitierea si autorizarea tranzactiilor
1F
&
#nregistrarea tranzactiilor
&
custodia activelor
5ersoane diferite pentru operatiile $ &
programare G operare
&
procesare date G pregatire
&
gestionar memorie externa G operator
&
eliberare, multiplicare, distrugere informatii G autorizare
&
programare G administrare baza de date
&
responsabil securitate G orice alte activitati
&
controlul drepturilor de acces G alte functii activitati/. A#%)*I4A*'A #%I&I4A%)*I&)*
1.
#dentificare $ calculatorul
recunoaste un potential
utilizator
al
sistemului 2.
Autentificare $ functia de stabilire a validitatii identitatii pretinse
;.
Autorizare $
utilizatorului recunoscut i se permite accesul la resursele
sistemului C)+%*)&#& ACC'S#&#I
"iscurile accesului neautorizat $ &
%iminuarea confidentialitatii
&
(urtul informatiilor
&
%ivulgarea neautorizata de informatii
&
%iminuarea integritatii informatiilor
&
#ntreruperea functionarii sistemului
)ontrolul accesului in mediile publice utilizand (#"4MA #mpune o politica de control a accesului intre doua retele. &
#ntreg traficul de date trece prin el
&
4ste permisa numai trecerea autorizata prin politica locala de securitate
&
'istemul insusi este imun la penetrare
&
Ionitorizarea comunicatiilor -)5?#5
&
5oate inregistra toate comunicatiile
&
5oate fi folosit la criptare.
20
'%A'&' A%AC#&#I &A ) *'%'A
I. Colectare de informatii
&
5rotocol '9I5
& examineaza tabela de rutare pentru un router
neprote8at &
5rograme -"A)4 ":-4 & ofera adresele retelelor si routelor intermediare spre o tinta
&
'erverele %9'
& pot fi interogate pentru a obtine informatii
referitoare la tipul calculatoarelor, numele si adresele # 5 ascoiate &
5rotocol (#9K4"
& informatii despre utilizatorii unui calculator
gazda G login, nr. telefon, data ultimei conectari &
5rogramul 5#9K
& determina daca un calculator e disponibil
II. Testarea securitatii sistemelor
&
5rogram de scanare a securitatii sistemelor & '' # 9-4"94- '4):"# -N ')A994"/ &'A-A9 '4):"#-N
A%I#9#'-"A-"
-
("
A:%#-#9K 94-M"O/ &
5rograme proprii pentru conectare la porturile specifice ale serviciilor
vulnerabile. III. Accesarea sistemelor protejate
&
obtinerea accesului privilegiat/. C)+%*)&#& S'C#*I%A%II ,I4IC'
Auditorul verifica masura in care accesul fizic la date si resursele ard
21
calculatoarelor si mediilor de stocare a datelorP L 4xistenta unor programe gen 4as3 "ecover3 sau ost Q found care permit recuperarea datelor sterse de pe mediile de stocare. )omanda :9("IA- din %'. L dificultatea asigurarii controlului accesului fizic la fiecare componenta ard
Auditorul trebuie sa verifice daca la nivelul organizatiei exista $ & 5roceduri prin care sa se asigure functionarea sistemului in cazul caderii alimentarii cu energie electrica sau a cailor de comunicatii. L 4xista sectoare sensibile G bancar, bursier, securitatea statului, energetic etc. care impun asigurarea functionarii continue a sistemelor informatice ceea ce implica existenta unor surse alternative de energie si?sau comunicatii. & 5lanuri bine testate si documentate, actualizate periodic prin care sa se asigure operationalitatea sistemului informatic in conditiile producerii unor evenimente neprevazute. & 5roceduri si controlul aplicarii acestora, privind realizarea copiilor de siguranta si refacerea starii sistemului in cazul caderii acestuia ca urmare a unor cauze ard sau soft. & 4xistenta unui contract de asigurare a organizatiei pentru evenimente neprevazute. & 9ivelul de instruire a personalului cu privire la procedurile aplicabile in cazul realizarii periodice a copiilor de siguranta sau executarii procedurilor de criza in cazul producerii dezastrelor. *efacerea in cazul esecului operational
Auditorul verifica $ & daca sunt stabilite proceduri adecvate in cazul producerii unor esecuri operationale & daca aceste proceduri sunt verificate si aprobate de staff&ul #& daca aceste esecuri operationale sunt identificate, rezolvate la timp,
22
comsemnate si raportate & in ce masura ecipamentele sunt adecvat plasate si prote8ate pentru a se preveni riscul distrugerii accidentale foc, fum, praf, vibratii, radiatii electromagnetice etc./ & in ce masura ecipamentele sunt corect intretinute & ce controale exista pentru prevenirea esecurilor operationale produse din $ & cauze ard
C)+%*)&#& +I0'&#&#I )'*A%I)+A&
%istribuirea prelucrarii R impune controlul la nivel operational Activitati auditate $ 1. perarea efectiva la postul de lucru & restrictionarea accesului & utilizarea eficienta a timpului de lucru & intretinerea si repararea ecipamentului & cunoasterea si respectarea procedurilor de catre utilizatori 2. "eteaua de calculatoare & Iodul de monitorizare a traficului pe retea & 5olitica antivirus G server sau post de lucru & )ontrolul politicilor de acces si restrictionare & 5rotectia conexiunii la retele publice Auditorul urmareste $ L )ontrolul retelei?accesului dial&up$ L Accesul de la distanta la '# prin conexiunile la retea sau dial&up/ trebuie sa fie restrictionate corespunzator$ & )um sunt autentificate conectarile de la distanta la calculatoarele organizatiei & %aca reteaua este mare, in ce masura este organizata pe domenii separateP
2;
& %aca reteaua este parta8ata mai ales daca se extinde dincolo de organizatie/ ce controale exista pentru a se verifica faptul ca utilizatorii acceseaza doar portiunile de retea pentru care sunt autorizatiP & )um sunt prote8ate transmisiile in reteaP & %aca este corespunzator numarul de utilizatori dial&upP & )um sunt autentificati utilizatorii dial&upP & #n ce masura disponibilitatea facilitatilor dial&up este restrictionata la momentele de timp zi? saptamana/P & )e controale se folosesc pentru diagnosticul porturilorP L )ontrolul conexiunilor externe la retea #nternet, 4%#, 4(-/ & )onexiunile externe trebuie folosite doar pentru scopuri valide ale afacerii si controalele trebuie sa previna ca aceste conexiuni sa submineze securitatea sistemului & #n ce masura aceste conexiuni externe sunt impuse de nevoi ale organizatieiP & )at de sigura este posta electronica a organizatieiP & )at de bine este prote8at gate
2*
& )ontrolul introducerii datelor L Acuratetea datelor depinde de $ & calitatea controalelor & factorul uman & tipul ecipamentelor folosite pentru introducerea datelor in s3stem. *. 5rocesarea datelor & Acces autorizat pentru declansarea procedurilor & "espectarea termenelor si timpilor de procesare & 5rote8area fisierelor & 5astrarea rezultatelor procesarii Auditorul va verifica cum managementul controleaza masura in care rolul si responsabilitatile personalului implicat in procesarea datelor sunt cunoscute si respectate, focalizand pe procedurile de $ & bacSup si refacerea sistemului & prelucarea pe loturi batc/ si? sau on&line. Asigurarea la timp a datelor necesare prelucrarilor, mai ales in cazul in care acestea sunt asigurate de alte sisteme informatice interne sau externe organizatiei/ & intretinerea soft. Kestionarea mediilor de stocare 5astrarea, utilizarea si intretinerea $ & discetelor & )%&urilor & C%%&urilor & casetelor cu banda data cartdrige/ & casetelor zip urnalul de evidenta a mediilor de stocare cuprinde $ & identificatorul eticeta/ mediului de stocare & localizarea curenta
2>
& persoana responsabila gestionarul/ & data acizitiei & utilizatorul & fisierele?programele? aplicatiile continute & persoanele autorizate sa acceseze mediul. +. Kestionarea aplicatiilor si a documentatiei & modul de pastrare & modul de acces & actualizarea documentatiei & copii de siguranta. B. Asistenta tenica & modul de acizitionare a ard
2+
operarea calculatoruluiP
2ibliografie/
2B
2rndaş Claudiu -Auditul sistemelor informaţionale de gestiune *eista de Audit
,inanciar nr.7 din 6>>7. untean Adrian -Auditul sistemelor informaţionale contabile 'd. olirom 6>>6. Camera Auditorilor ,inanciari din *omania-Audit financiar 6>>> 'ditura 'conomica 2ucuresti.6>>>.
2D
