Provedba analitičkih testova sigurnosti informacijskog sustava

Prof.dr.sc. Mario Spremić, dipl.inž, CGEIT

PartneriPartneri

Medijski pokroviteljiMedijski pokrovitelji

Sadržaj predavanja

• Revizija sigurnosti IS-a

• Regulativa i norme

• Tijek provedbe revizije sigurnosti IS-a

• Provedba analitičkih testova

• Vrednovanje dokaza i procjena rizika

Prof.dr.sc. Mario Spremić, CGEIT- B.Sc – PMF, Matematika, dipl.inž. mat, M.Sc. - ‘Informatički management’,

Ph.D. Ekonomski fakultet Zagreb - Autor ili koautor 10 knjiga i preko 150 znanstvenih i stručnih radova- Voditelj FBA – CIO Akademije (www.efzg.hr/cio) - CGEIT (Certificate in Governance of Enterprise IT)- ISACA član, IIA član - Prethodno radno iskustvo: sistem analitičar, voditelj projekata- Projekti u HR i SLO, veći broj revizija IS-a- područja: Poslovna strategija / strategija informatike, Korporativno

upravljanje informatikom (IT Governance), Revizija informacijskih sustava, Sigurnost IS-a, Business Continuity, IS Risk Management ..(banke, osiguranje, hotelska industrija, maloprodaja, informatika, ….)

- Metodologije: CobiT, ISO 27000, ITIL, SoX, …

www.efzg.hr/mspremic

mspremic@efzg.hr

• Kvaliteta informacijskih sustava predstavlja relativnu kategoriju kojom se mjeri odstupanje njegove realne funkcije za idealnom

• Što je odstupanje (zaostajanje) realne funkcije sustava za idealnom manje, sustav je kvalitetniji, i obratno

• Zakon minimuma kvalitete IS-a: kvaliteta IS-a jednaka je umnošku razina kvalitete svake pojedine komponente

• K(I) = K(H) x K(S) x K(L) x K(N) x K(O) x K(D)

Mjerenje i vrednovanje (revizija) kvalitete IS-a

Revizija informacijskih sustava• Revizija informacijskih sustava (engl. Information System

Audit) - proces provjere rizika, odnosno uspješnosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti, raspoloživosti i pouzdanosti

• Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje

• ‘Alternativna' definicije revizije informacijskih sustava - procjena rizika (razine kvalitete) informacijskih sustava u skladu s potrebama poslovanja

7

• Provjera funkcionalnosti IS-a – funkcioniraju li svi dijelovi IS-a (hardware, software, netware, orgware, lifeware, dataware) na ispravan i propisan način i provode li se temeljne poslovne transakcije u skladu s očekivanjima

• Provjera pouzdanosti IS-a – jesu li svi dijelovi sustava i cjelina pouzdani za korištenje, odnosno izlaže li njihova uporaba korisnike, vlasnike, itd. nekom riziku

• Provjera sigurnosti IS-a – postoje li i koja je razina sigurnosnih rizika uporabe IS-a i kakav je njihov učinak na poslovanje

• Provjera djelotvornosti i učinkovitosti IS-a – mogu li se IS-i koristiti na efikasniji, jeftiniji ili učinkovitiji način? Postoje li načini poboljšanja isplativosti ulaganja u informatiku, koliko su djelotvorni IS-i obzirom na potrebe poslovanja

• Provjera kvalitete upravljanja IS-om i njihovu utjecaju na poslovanje – u kojoj su mjeri organizacijske i upravljačke metode i tehnike koje se koriste pri upravljanju IS-om

• Provjera usklađenosti (regulatorna revizija) – je li uporaba IS-a i svih njegovih dijelova u skladu s važećom regulativom, normama i stručnim standardima

Područja provedbe revizije IS-a

8

• provjeriti trenutno stanje, tj. utvrditi razinu zrelosti upravljanja IS-om = provjeriti (testirati) učinkovitost kontrola

• otkriti potencijalno rizična područja i procijeniti razinu (sigurnosnog) rizika kojim je poslovanje izloženo temeljem intenzivne primjene informacijskih sustava

• dati preporuke menadžmentu koje mjere poduzeti da se učinak uočenih rizika smanji ili ukloni i unaprijediti poslovnu praksu po tom pitanju

Osnovni ciljevi revizije (sigurnosti) IS-a

99

Regulativa (HNB – Odluka o primjerenom ….)

• Upravljanje sigurnošću IS-a• Upravljanje rizikom koji vezan uz IS• Logičke kontrole pristupa• Upravljanje imovinom IS-a• Upravljanje operativnim i

sistemskim zapisima• Upravljanje pričuvnom pohranom• Upravljanje odnosima s

pružateljima usluga• Upravljanje odnosa s dobavljačima

opreme• Upravljanje razvojem IS-a• Upravljanje fizičkom sigurnošću

• Upravljanje lozinkama• Upravljanje promjenama• Upravljanje kontinuitetom

poslovanja• Upravljanje incidentima i

problemima• Primjena internih akata

vezanih uz IS

1010

Norme, standardi i okviri revizije IS-a • COBIT krovni okvir (34 procesa, 318 detaljnih kontrola)• Prema područjima provjere razlikujemo sljedeće izvedene standarde

– upravljanje razvojem IS-a (CMMI, TickIT,...),– upravljanje informatičkim uslugama (ITIL)– upravljanje ulaganjima u informatiku (Val IT)– upravljanje rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005)– upravljanje sigurnošću IS-a (ISO 27000, NIST, SANS, IS3)– upravljanje projektima (Prince 2, PMBOK)– upravljanje kontinuitetom poslovanja (BS 25999), ….

11

Koraci provedbe revizije IS-a

• Pregled – ‘snimka stanja’ informatike ili odabranog područja provjere (revizije)

• Određivanje prioriteta rada (određivanje objekta revizije IS-a i ciljeva kontrole)

• Detaljan pregled objekta revizije IS-a i testiranje kontrola (detaljni analitički testovi)

• Prikupljanje dokaza i procjena poslovnih rizika • Preporuke i izvještaj revizora IS-a

12

Primjeri analitičkih testova sigurnosti IS-a

• Ovlasti korisnika baze, ključnih aplikacija, OS-a (1, 2, 3• Sistemske postavke OS-a, baze (AS/400, 1, 2, 3)• ‘Password policy’ (1, 2, 2, 3, 4, • Pristup i ovlasti rada sa sistemskim skriptama, zapisima (1, 2• Pristupi ‘produkcijskoj’ aplikaciji i bazi (IP adrese, korisnici, ….)• Razvojno, testno, produkcijsko okruženje• ‘remote access’ na produkciju • Postavke ključnih dijelova mreže (FW, routeri, VPN, DMZ, NTP), log

testovi, nadzor mreže, …..• Penetracijski testovi, test otvorenih portova, IDS, ….

Vrednovanje dokaza i procjena rizika

• Dokazi (organizacijski, tehnički, fizički, elektronički, opažanje, testovi, simulacija, …..)

• Čuvanje i pohranjivanje dokaza• Procjena razine rizika i objašnjenje ‘poslovne’ vrijednosti• Pisanje i prezentacija izvještaja revizora IS-a Upravi• Usuglašavanje izvještaja • Preporuke za poboljšanje prakse

Hvala.

mspremic@efzg.hrProf.dr.sc. Mario SpremićEkonomski fakultet Zagreb