View
45
Download
0
Category
Preview:
DESCRIPTION
Eksploatacja zasobów informatycznych przedsiębiorstwa. Diagnozowanie stanu obecnego. Audyt systemu. Audyt systemu informacyjnego. Proces gromadzenia informacji na temat funkcjonowania i zasobów komputerowych Przegląd, kontrola i wykrywanie działań bezprawnych - PowerPoint PPT Presentation
Citation preview
Eksploatacja zasobów Eksploatacja zasobów informatycznych informatycznych przedsiębiorstwaprzedsiębiorstwa
Diagnozowanie stanu Diagnozowanie stanu obecnegoobecnego
Audyt systemuAudyt systemu
Audyt systemu informacyjnegoAudyt systemu informacyjnego
ProcesProces gromadzenia informacji na temat gromadzenia informacji na temat funkcjonowania i zasobów komputerowychfunkcjonowania i zasobów komputerowych
Przegląd, kontrola i wykrywanie działań Przegląd, kontrola i wykrywanie działań bezprawnychbezprawnych
Proces, w którym niezależna jednostka Proces, w którym niezależna jednostka gromadzi i ocenia dowody o różnicach gromadzi i ocenia dowody o różnicach między wartością wskaźników mierzalnych między wartością wskaźników mierzalnych a ustalonymi kryteriami [Bruce, Dempsey a ustalonymi kryteriami [Bruce, Dempsey 1997]1997]
Kroki postępowania w procesie Kroki postępowania w procesie kontrolnymkontrolnym
Ustalenie stanu obowiązującego (wzorce Ustalenie stanu obowiązującego (wzorce kontrolne),kontrolne),Ustalenie stanu rzeczywistego,Ustalenie stanu rzeczywistego,Porównanie stanu rzeczywistego ze stanem Porównanie stanu rzeczywistego ze stanem pożądanym,pożądanym,Badanie przyczyn, źródeł i warunków, które Badanie przyczyn, źródeł i warunków, które wywołały odchylenia,wywołały odchylenia,Wskazanie dróg usprawnienia,Wskazanie dróg usprawnienia,Wykorzystanie pozytywnych rozwiązań dla Wykorzystanie pozytywnych rozwiązań dla usprawnienia podobnych działań w innych usprawnienia podobnych działań w innych komórkach organizacyjnych.komórkach organizacyjnych.
PorównywaniePorównywanie
Stanu środków z ewidencją,Stanu środków z ewidencją,
Czynności z zapisami,Czynności z zapisami,
Wykonania zadań z obowiązującymi Wykonania zadań z obowiązującymi przepisami,przepisami,
Zachowań z ustalonymi i unormowanymi Zachowań z ustalonymi i unormowanymi zachowaniami,zachowaniami,
Wartości cech zjawisk z ustaleniami i Wartości cech zjawisk z ustaleniami i normami.normami.
Uzasadnienie przeprowadzenia Uzasadnienie przeprowadzenia audytu informatycznegoaudytu informatycznego
Ze względu na wysokie koszty systemu,Ze względu na wysokie koszty systemu,
W celu rozpoznania ogólnego poziomu W celu rozpoznania ogólnego poziomu
zabezpieczeń w przedsiębiorstwie,zabezpieczeń w przedsiębiorstwie,
W celu wpajania zdyscyplinowanego W celu wpajania zdyscyplinowanego
podejścia do zabezpieczeń,podejścia do zabezpieczeń,
W celu ułatwienia identyfikacji aplikacji i W celu ułatwienia identyfikacji aplikacji i
systemów krytycznych.systemów krytycznych.
Zakres audytuZakres audytu
Dane,Dane,
Oprogramowanie,Oprogramowanie,
Procedury,Procedury,
Technika informatyczna,Technika informatyczna,
Personel działu informatycznego,Personel działu informatycznego,
Dokumentacja.Dokumentacja.
Poziomy prowadzenia audytówPoziomy prowadzenia audytów
Zalecenia: ISACF (Information Systems Zalecenia: ISACF (Information Systems Audit and Control Foundation):Audit and Control Foundation):
Poziom IPoziom I – zadań, które generują – zadań, które generują mierzalne efekty,mierzalne efekty,
Poziom IIPoziom II – procesów (serii połączonych – procesów (serii połączonych zadań),zadań),
Poziom IIIPoziom III – domeny obejmujące grupy – domeny obejmujące grupy procesów.procesów.
Domeny funkcjonalneDomeny funkcjonalne
Planowanie strategii informatyzacji,Planowanie strategii informatyzacji,
Akwizycja i wprowadzanie rozwiązań Akwizycja i wprowadzanie rozwiązań
techniki informatycznej,techniki informatycznej,
Dostarczanie i instalowanie systemów,Dostarczanie i instalowanie systemów,
Monitorowanie systemów i ocena Monitorowanie systemów i ocena
zastosowań techniki informatycznej.zastosowań techniki informatycznej.
Techniki przeprowadzania Techniki przeprowadzania audytówaudytów
Testy zgodności – dla weryfikacji Testy zgodności – dla weryfikacji
poprawnego wykonania procedur poprawnego wykonania procedur
przetwarzania lub procesów rejestracji przetwarzania lub procesów rejestracji
danych,danych,
Testy uzasadniające – dla analizy Testy uzasadniające – dla analizy
rzeczywistych danych.rzeczywistych danych.
Kontrola typowych procedurKontrola typowych procedur
Wykorzystania oprogramowania i praw Wykorzystania oprogramowania i praw autorskich,autorskich,
Zakupu oprogramowania,Zakupu oprogramowania,
Instalowania oprogramowania,Instalowania oprogramowania,
Przeprowadzania szkoleń,Przeprowadzania szkoleń,
Indywidualnego wykorzystania Indywidualnego wykorzystania oprogramowania,oprogramowania,
Wymiany i likwidacji oprogramowania.Wymiany i likwidacji oprogramowania.
Audyt jako narzędzie Audyt jako narzędzie identyfikacji finansów ITidentyfikacji finansów IT
Elementów (aktywów) systemów Elementów (aktywów) systemów informacyjnych, które są użyteczne, przydatne i informacyjnych, które są użyteczne, przydatne i w pełni funkcjonalne,w pełni funkcjonalne,
Elementów, które są niezbędne, ale Elementów, które są niezbędne, ale wykorzystywane są poniżej standardu i wykorzystywane są poniżej standardu i wymagają częściowej odnowy,wymagają częściowej odnowy,
Elementów, które stanowią nadwyżki i muszą Elementów, które stanowią nadwyżki i muszą być usunięte,być usunięte,
Brakujących elementów, które muszą zostać Brakujących elementów, które muszą zostać zakupione.zakupione.
Cechy poprawnych audytówCechy poprawnych audytów
Stosowność,Stosowność,
Bezstronność,Bezstronność,
Obiektywizm oceny,Obiektywizm oceny,
Powtarzalność,Powtarzalność,
Niezależność:Niezależność:
Od audytowanego podmiotu,Od audytowanego podmiotu,
Od zespołu odpowiedzialnego za system,Od zespołu odpowiedzialnego za system,
Od decydenta/sponsora informatyzacji.Od decydenta/sponsora informatyzacji.
Inwentaryzacja oprogramowaniaInwentaryzacja oprogramowania
Wykorzystywane oprogramowanie,Wykorzystywane oprogramowanie,
Oprogramowanie kluczowe w Oprogramowanie kluczowe w
przedsiębiorstwie,przedsiębiorstwie,
Zarządzanie licencjami,Zarządzanie licencjami,
Procesy doskonalenia (zakupów, Procesy doskonalenia (zakupów,
wymiany, itp.) wykorzystywanego wymiany, itp.) wykorzystywanego
oprogramowania,oprogramowania,
Zabezpieczenia, autoryzacja itd.Zabezpieczenia, autoryzacja itd.
Inwentaryzacja oprogramowania Inwentaryzacja oprogramowania - przykład - przykład
Krok 1 – klasyfikacja oprogramowania:Krok 1 – klasyfikacja oprogramowania: Oprogramowanie wspomagające procesy biznesowe,Oprogramowanie wspomagające procesy biznesowe,
Oprogramowanie systemowe i narzędziowe,Oprogramowanie systemowe i narzędziowe,
Krok 2 – opis oprogramowania:Krok 2 – opis oprogramowania: Szczegółowy opis głównych aplikacji: producent, zastosowanie, Szczegółowy opis głównych aplikacji: producent, zastosowanie,
funkcjonalność, informacje techniczne,funkcjonalność, informacje techniczne,
Opis zastosowania biznesowych aplikacji dodatkowych,Opis zastosowania biznesowych aplikacji dodatkowych,
Zestawienie oprogramowania systemowego i narzędziowego,Zestawienie oprogramowania systemowego i narzędziowego,
Krok 3 – zarządzanie licencjami:Krok 3 – zarządzanie licencjami: Zestawienie ilości posiadanych licencji oprogramowania z podziałem Zestawienie ilości posiadanych licencji oprogramowania z podziałem
zgodnym z klasyfikacją,zgodnym z klasyfikacją,
Zestawienie (wstępne) potrzeb w zakresie zakupu (odnowienia) licencji.Zestawienie (wstępne) potrzeb w zakresie zakupu (odnowienia) licencji.
Inwentaryzacja oprogramowania Inwentaryzacja oprogramowania - przykład cd.- przykład cd.
Przykładowe zestawienie informacji o oprogramowaniuPrzykładowe zestawienie informacji o oprogramowaniu
Lp. Grupa Nazwa Przeznaczenie Autor Jęz. Program
1. A ASImport Aplikacja do wymiany danych pomiędzy bazą danych Synergy oraz Exact Globe 2003; dane w formacie XML.
Exact C++C++
2. D Hurt Wystawianie faktur, WZ, potwierdzanie zamówienia, rejestracja płatności, projektantów i kojarzenie ich z zamówieniami (prowizje).
Opracowanie wewnętrzne
Delphi Delphi
Inwentaryzacja oprogramowania Inwentaryzacja oprogramowania - przykład cd.- przykład cd.
Systemy operacyjne użytkowane w przedsiębiorstwie:Systemy operacyjne użytkowane w przedsiębiorstwie: Serwery: Windows 2003 Serwer, Windows 2000 Serwer, Windows Serwery: Windows 2003 Serwer, Windows 2000 Serwer, Windows
NT 4.0 Serwer,NT 4.0 Serwer, Stacje robocze: Windows XP Professional, Windows NT 4.0,Stacje robocze: Windows XP Professional, Windows NT 4.0,
Używane oprogramowanie narzędziowe:Używane oprogramowanie narzędziowe: Check Point SecurePlatform – firewall VPNCheck Point SecurePlatform – firewall VPN,, 8e6 Xstop – oprogramowanie filtrujące dla sieciowego ruchu z 8e6 Xstop – oprogramowanie filtrujące dla sieciowego ruchu z
internetu,internetu, Kaspersky Anti-Virus for Checkpoint Firewall-1 – oprogramowanie Kaspersky Anti-Virus for Checkpoint Firewall-1 – oprogramowanie
filtrujące przeciwwirusowe,filtrujące przeciwwirusowe, Trend Micro ScanMail Suite dla Microsoft Exchange – Trend Micro ScanMail Suite dla Microsoft Exchange –
oprogramowanie przeciwwirusowe dla MS Exchange,oprogramowanie przeciwwirusowe dla MS Exchange, Computer Associates InOculateIT (e-Trust) – oprogramowanie Computer Associates InOculateIT (e-Trust) – oprogramowanie
przeciwwirusowe dla komputerów użytkowników,przeciwwirusowe dla komputerów użytkowników, Veritas Backup – oprogramowanie do wykonywania zapasowych Veritas Backup – oprogramowanie do wykonywania zapasowych
kopii danych.kopii danych.
Inwentaryzacja oprogramowania Inwentaryzacja oprogramowania - przykład cd.- przykład cd.
Przykładowe zestawienie informacji o posiadanych licencjachPrzykładowe zestawienie informacji o posiadanych licencjach
Lp. Nazwa Producent Ilość posiadanych
licencji
Ilość wykorzystywana
UWAGI
1. Windows XP Professional
Microsoft 250 250250 Planowany zakup Planowany zakup 20 licencji – 20 licencji – styczeń 2005styczeń 2005
2. Norton Antywirus
SymantecSymantec 250250 225225 Na pozostałych Na pozostałych stacjach MKS-vir – stacjach MKS-vir – planowana planowana wymiana na NAV wymiana na NAV grudzień 2004grudzień 2004
3. AutoCAD 2004
AutodeskAutodesk 55 1010 5 instalacji 5 instalacji próbnych 30 próbnych 30 dniowych – dniowych – planowany zakup planowany zakup 5 licencji5 licencji
Inwentaryzacja sprzętuInwentaryzacja sprzętu
Użytkowany sprzęt:Użytkowany sprzęt: Serwery,Serwery, Stacje robocze,Stacje robocze, Drukarki,Drukarki, Urządzenia pomocnicze,Urządzenia pomocnicze,
Infrastruktura:Infrastruktura: Urządzenia sieciowe,Urządzenia sieciowe, Okablowanie,Okablowanie, Urządzenia pomocniczeUrządzenia pomocnicze..
Inwentaryzacja sprzętu - Inwentaryzacja sprzętu - przykład przykład
Podstawowe informacje o serwerachPodstawowe informacje o serwerach
Wszystkie serwery zbudowane są w technologii Wszystkie serwery zbudowane są w technologii rack mountrack mount. Większość . Większość
wyposażona jest w dwa procesory, na ogół Intel Xeon-A (2400 MHz), wyposażona jest w dwa procesory, na ogół Intel Xeon-A (2400 MHz),
ewentualnie Pentium IIIE (933 MHz). Podsystemy dyskowe serwerów ewentualnie Pentium IIIE (933 MHz). Podsystemy dyskowe serwerów
łączu SCSI w technologii łączu SCSI w technologii hot-swaphot-swap, w najważniejszych serwerach dyski w , w najważniejszych serwerach dyski w
macierzach RAID. Pamięć operacyjna serwerów ma kontrolę i korekcję macierzach RAID. Pamięć operacyjna serwerów ma kontrolę i korekcję
błędów (ECC). błędów (ECC).
Podstawowe informacje o stacjach roboczychPodstawowe informacje o stacjach roboczych
Pentium III 1,5 GHz, 254 MB RAM, 60 GB HDD – standard (90%), Pentium III 1,5 GHz, 254 MB RAM, 60 GB HDD – standard (90%),
pozostałe stacje bardzo zróżnicowane,pozostałe stacje bardzo zróżnicowane,
Informacje o urządzeniach dodatkowychInformacje o urządzeniach dodatkowych
Drukarki HP laserowe (seria LJ2200) 80% - pozostałe , plotery Drukarki HP laserowe (seria LJ2200) 80% - pozostałe , plotery
atramentowe HP.atramentowe HP.
Inwentaryzacja sprzętu - Inwentaryzacja sprzętu - przykład cd.przykład cd.
Opis ogólny infrastrukturyOpis ogólny infrastrukturyXXXXX Sp. z. o.o. ma dwie sąsiadujące lokalizacje: w NNNN oraz XXXXX Sp. z. o.o. ma dwie sąsiadujące lokalizacje: w NNNN oraz ZZZZ. Połączone są one w jedną sieć lokalną. Pozostałe jednostki ZZZZ. Połączone są one w jedną sieć lokalną. Pozostałe jednostki organizacyjne łączą się z centralą poprzez stałe łącza internetowe. organizacyjne łączą się z centralą poprzez stałe łącza internetowe. Centrum sieci stanowi centrum przetwarzania danych w NNNN.Centrum sieci stanowi centrum przetwarzania danych w NNNN.Połączenia pomiędzy budynkami w NNNN oraz pomiędzy Połączenia pomiędzy budynkami w NNNN oraz pomiędzy lokalizacją w YYYY i ZZZZ zbudowane są na światłowodach o lokalizacją w YYYY i ZZZZ zbudowane są na światłowodach o przepływności 1 Gbps. Łącza światłowodowe tworzą gigabitowy przepływności 1 Gbps. Łącza światłowodowe tworzą gigabitowy szkielet sieci lokalnej. Do szkieletu podłączone są serwery poprzez szkielet sieci lokalnej. Do szkieletu podłączone są serwery poprzez przełączniki Intel 530-T, 535-T oraz D-Link 3226 i 3326S. przełączniki Intel 530-T, 535-T oraz D-Link 3226 i 3326S. Cały ruch internetowy z i do systemu przechodzi przez jeden punkt Cały ruch internetowy z i do systemu przechodzi przez jeden punkt wejścia do sieci wewnętrznej, gdzie jest ściśle kontrolowany. wejścia do sieci wewnętrznej, gdzie jest ściśle kontrolowany. Połączenie systemu IT Internetem odbywa się poprzez dwa Połączenie systemu IT Internetem odbywa się poprzez dwa radiowe łącza o przepływności 2 Mbps każde. radiowe łącza o przepływności 2 Mbps każde. Ponadto na stałe zestawione jest łącze VPN do firmy AAAA, która Ponadto na stałe zestawione jest łącze VPN do firmy AAAA, która na zasadzie outsourcingu świadczy usługi zdalnego nauczania dla na zasadzie outsourcingu świadczy usługi zdalnego nauczania dla użytkowników systemu PRODUCENT. użytkowników systemu PRODUCENT.
Inwentaryzacja sprzętu - Inwentaryzacja sprzętu - przykład cd.przykład cd.
Przykładowe zestawienie informacji o wykorzystywanym sprzęciePrzykładowe zestawienie informacji o wykorzystywanym sprzęcie
Nazwa serwera Serwer1
Przeznaczenie Aplikacja Inżynier
Producent płyty głównej Intel
BIOS AMI (03/13/03)
Chipset Intel Plumas-533 E7501
Procesor/y Dual Intel Xeon-A, 2400 MHz
Pamięć RAM 3840 MB (2x 1024 MB/266 MHz ECC,
Zainstalowane dyski SEAGATE ST336607LC SCSI Disk Device (34 MB)
Organizacja dysków RAID-1
Partycje C: (NTFS) 34993 MB (7576 MB free) D: (NTFS) 34993 MB (32172 MB free)
Zainstalowane karty sieciowe Intel(R) Advanced Network Services
Prędkość połączenia z siecią 100
Inne urządzenia ATI RAGE XL PCI Family (8 MB)
System operacyjny Microsoft Windows Server 2003, Standard Edition
OS Service Pack None
Inne
Recommended