Upload
shima
View
56
Download
0
Embed Size (px)
DESCRIPTION
Provedba analitičkih testova sigurnosti informacijskog sustava. Prof.dr.sc. Mario Spremić, dipl.inž, CGEIT. Partneri. Medijski pokrovitelji. Sadržaj predavanja. Revizija sigurnosti IS-a Regulativa i norme Tijek provedbe revizije sigurnosti IS-a Provedba analitičkih testova - PowerPoint PPT Presentation
Citation preview
Provedba analitičkih testova sigurnosti informacijskog sustava
Prof.dr.sc. Mario Spremić, dipl.inž, CGEIT
PartneriPartneri
Medijski pokroviteljiMedijski pokrovitelji
Sadržaj predavanja
• Revizija sigurnosti IS-a
• Regulativa i norme
• Tijek provedbe revizije sigurnosti IS-a
• Provedba analitičkih testova
• Vrednovanje dokaza i procjena rizika
Prof.dr.sc. Mario Spremić, CGEIT- B.Sc – PMF, Matematika, dipl.inž. mat, M.Sc. - ‘Informatički management’,
Ph.D. Ekonomski fakultet Zagreb - Autor ili koautor 10 knjiga i preko 150 znanstvenih i stručnih radova- Voditelj FBA – CIO Akademije (www.efzg.hr/cio) - CGEIT (Certificate in Governance of Enterprise IT)- ISACA član, IIA član - Prethodno radno iskustvo: sistem analitičar, voditelj projekata- Projekti u HR i SLO, veći broj revizija IS-a- područja: Poslovna strategija / strategija informatike, Korporativno
upravljanje informatikom (IT Governance), Revizija informacijskih sustava, Sigurnost IS-a, Business Continuity, IS Risk Management ..(banke, osiguranje, hotelska industrija, maloprodaja, informatika, ….)
- Metodologije: CobiT, ISO 27000, ITIL, SoX, …
www.efzg.hr/mspremic
• Kvaliteta informacijskih sustava predstavlja relativnu kategoriju kojom se mjeri odstupanje njegove realne funkcije za idealnom
• Što je odstupanje (zaostajanje) realne funkcije sustava za idealnom manje, sustav je kvalitetniji, i obratno
• Zakon minimuma kvalitete IS-a: kvaliteta IS-a jednaka je umnošku razina kvalitete svake pojedine komponente
• K(I) = K(H) x K(S) x K(L) x K(N) x K(O) x K(D)
Mjerenje i vrednovanje (revizija) kvalitete IS-a
Revizija informacijskih sustava• Revizija informacijskih sustava (engl. Information System
Audit) - proces provjere rizika, odnosno uspješnosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti, raspoloživosti i pouzdanosti
• Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje
• ‘Alternativna' definicije revizije informacijskih sustava - procjena rizika (razine kvalitete) informacijskih sustava u skladu s potrebama poslovanja
7
• Provjera funkcionalnosti IS-a – funkcioniraju li svi dijelovi IS-a (hardware, software, netware, orgware, lifeware, dataware) na ispravan i propisan način i provode li se temeljne poslovne transakcije u skladu s očekivanjima
• Provjera pouzdanosti IS-a – jesu li svi dijelovi sustava i cjelina pouzdani za korištenje, odnosno izlaže li njihova uporaba korisnike, vlasnike, itd. nekom riziku
• Provjera sigurnosti IS-a – postoje li i koja je razina sigurnosnih rizika uporabe IS-a i kakav je njihov učinak na poslovanje
• Provjera djelotvornosti i učinkovitosti IS-a – mogu li se IS-i koristiti na efikasniji, jeftiniji ili učinkovitiji način? Postoje li načini poboljšanja isplativosti ulaganja u informatiku, koliko su djelotvorni IS-i obzirom na potrebe poslovanja
• Provjera kvalitete upravljanja IS-om i njihovu utjecaju na poslovanje – u kojoj su mjeri organizacijske i upravljačke metode i tehnike koje se koriste pri upravljanju IS-om
• Provjera usklađenosti (regulatorna revizija) – je li uporaba IS-a i svih njegovih dijelova u skladu s važećom regulativom, normama i stručnim standardima
Područja provedbe revizije IS-a
8
• provjeriti trenutno stanje, tj. utvrditi razinu zrelosti upravljanja IS-om = provjeriti (testirati) učinkovitost kontrola
• otkriti potencijalno rizična područja i procijeniti razinu (sigurnosnog) rizika kojim je poslovanje izloženo temeljem intenzivne primjene informacijskih sustava
• dati preporuke menadžmentu koje mjere poduzeti da se učinak uočenih rizika smanji ili ukloni i unaprijediti poslovnu praksu po tom pitanju
Osnovni ciljevi revizije (sigurnosti) IS-a
99
Regulativa (HNB – Odluka o primjerenom ….)
• Upravljanje sigurnošću IS-a• Upravljanje rizikom koji vezan uz IS• Logičke kontrole pristupa• Upravljanje imovinom IS-a• Upravljanje operativnim i
sistemskim zapisima• Upravljanje pričuvnom pohranom• Upravljanje odnosima s
pružateljima usluga• Upravljanje odnosa s dobavljačima
opreme• Upravljanje razvojem IS-a• Upravljanje fizičkom sigurnošću
• Upravljanje lozinkama• Upravljanje promjenama• Upravljanje kontinuitetom
poslovanja• Upravljanje incidentima i
problemima• Primjena internih akata
vezanih uz IS
1010
Norme, standardi i okviri revizije IS-a • COBIT krovni okvir (34 procesa, 318 detaljnih kontrola)• Prema područjima provjere razlikujemo sljedeće izvedene standarde
– upravljanje razvojem IS-a (CMMI, TickIT,...),– upravljanje informatičkim uslugama (ITIL)– upravljanje ulaganjima u informatiku (Val IT)– upravljanje rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005)– upravljanje sigurnošću IS-a (ISO 27000, NIST, SANS, IS3)– upravljanje projektima (Prince 2, PMBOK)– upravljanje kontinuitetom poslovanja (BS 25999), ….
11
Koraci provedbe revizije IS-a
• Pregled – ‘snimka stanja’ informatike ili odabranog područja provjere (revizije)
• Određivanje prioriteta rada (određivanje objekta revizije IS-a i ciljeva kontrole)
• Detaljan pregled objekta revizije IS-a i testiranje kontrola (detaljni analitički testovi)
• Prikupljanje dokaza i procjena poslovnih rizika • Preporuke i izvještaj revizora IS-a
12
Primjeri analitičkih testova sigurnosti IS-a
• Ovlasti korisnika baze, ključnih aplikacija, OS-a (1, 2, 3• Sistemske postavke OS-a, baze (AS/400, 1, 2, 3)• ‘Password policy’ (1, 2, 2, 3, 4, • Pristup i ovlasti rada sa sistemskim skriptama, zapisima (1, 2• Pristupi ‘produkcijskoj’ aplikaciji i bazi (IP adrese, korisnici, ….)• Razvojno, testno, produkcijsko okruženje• ‘remote access’ na produkciju • Postavke ključnih dijelova mreže (FW, routeri, VPN, DMZ, NTP), log
testovi, nadzor mreže, …..• Penetracijski testovi, test otvorenih portova, IDS, ….
Vrednovanje dokaza i procjena rizika
• Dokazi (organizacijski, tehnički, fizički, elektronički, opažanje, testovi, simulacija, …..)
• Čuvanje i pohranjivanje dokaza• Procjena razine rizika i objašnjenje ‘poslovne’ vrijednosti• Pisanje i prezentacija izvještaja revizora IS-a Upravi• Usuglašavanje izvještaja • Preporuke za poboljšanje prakse
Hvala.
[email protected]. Mario SpremićEkonomski fakultet Zagreb