Auditorul de sisteme informatice – rol şi referinţe în
regulamentele internaţionale.
2011
Auditorul de sisteme informatice
0
Auditul este descris ca examinarea independentă a înregistrărilor şi a altor
informaţii în scopul formării unei opinii referitoare la integritatea sistemului
controalelor şi îmbunătăţirea controalelor recomandate pentru limitarea riscurilor.
Auditul sistemelor informatice reprezintă activitatea de colectare şi evaluare a
unor probe pentru a determina dacă sistemul informatic este securizat, mentine
integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale
intreprinderii şi utilizează eficient resursele informationale.
Auditorul informatic este reprezentat de un informatician specializat în
domeniul financiar-contabil ce este certificat ca auditor informatic (Certified
Information Systems Auditor, CISA)de către ISACA. Jacques Renard spune că
auditorul informatician nu este un auditor care a învăţat informatică, ci reprezintă
neapărat un informatician format după metodologia şi instrumentele Auditului Intern.
Acest auditor informatician îşi foloseşte talentul şi competenţele în cinci direcţii
fundamentale: auditul centrelor informatice, auditul biroticii, auditul reţelelor
informatice, auditul sistemelor în exploatare şi al programelor informatice de aplicaţie şi
auditul sistemelor în curs de dezvoltare.
Desi există o legătura metodologică destul de stansă intre auditul financiar-
contabil si auditul sistemelor informatice, cel din urma are la bază cunostinte din cel
putin patru domenii, astfel: auditul traditional, sisteme informationale pentru
management, stiinta comportamentului si informatica.
De asemenea Standardul IFAC- ISA 401 face referire la aptitudinile si
competentele unui auditor financiar in conditiile auditului intr-un mediu informatizat,
precum si ISA 620 face referiri la posibilitatea utilizarii unui expert(in Tehnologia
Informatiei) in cadrul misiunii de audit financiar, daca necesitatea practica o impune.
Obiectivul Standardului de Audit 401 “Auditul în mediul sistemelor
informaţionale computerizate” (ISA 401 ”Auditing in a Computer Information Systems
Environment”) constă în stabilirea normelor şi recomandărilor privind procedurile ce
trebuie urmate la exercitarea auditului într-un mediu de sisteme informaţionale
computerizate (SIC).
Coform acestui standard auditorul trebuie să ia în considerare modul în care un
mediu SIC influenţează asupra auditului. Obiectivul general şi sfera de aplicare a
auditului nu se schimbă într-un mediu SIC. Cu toate acestea, utilizarea unui computer
1
modifică modul de prelucrare, stocare şi comunicare al informaţiei financiare şi poate
influenţa sistemele contabil şi de control intern utilizate de agentul economic. Prin
urmare, un mediu SIC poate influenţa:
procedurile efectuate de auditor în scopul obţinerii unei înţelegeri suficiente a
sistemelor contabil şi de control intern;
considerarea riscului inerent şi riscului legat de control, ceea ce influenţează
evaluarea riscului de către auditor;
elaborarea şi efectuarea de auditor a procedurilor de testare a controlului intern şi a
procedurilor ce ţin de esenţă care sînt potrivite atingerii unui anumit obiectiv al
auditului.
De asemenea acest standard impune anumite aptitudini si competente pentru a
planifica, gestiona, supraveghea şi controla lucrările efectuate auditorul trebuie să posede
cunoştinţe suficiente în domeniul SIC. Auditorul trebuie să ia în considerare dacă pentru
exercitarea auditului sunt necesare aptitudini specializate de lucru cu SIC. Aceste aptitudini pot
fi necesare pentru:
obţinerea înţelegerii suficiente a sistemelor contabil şi de control intern afectate de
mediul SIC;
determinarea influenţei mediului SIC asupra evaluării generale a riscului şi
evaluării riscului la nivelul soldurilor conturilor şi a grupurilor de tranzacţii;
elaborarea şi efectuarea procedurilor potrivite de testare a controlului intern şi a
celor ce ţin de esenţă.
În cazul în care sunt necesare aptitudini specializate, auditorul urmează să se
adreseze după asistenţă unui specialist care posedă astfel de aptitudini şi care poate face
parte din titularii organizaţiei de audit sau poate fi angajat din afară acesteia. Dacă este
planificată implicarea unui astfel de specialist, auditorul trebuie să obţină dovezi de
audit suficiente şi adecvate asupra faptului, că lucrările unui astfel de specialist
corespund obiectivelor auditului în conformitate cu SNA 620 “Utilizarea lucrărilor
expertului”.
Făcand o sinteza a cunostintelor pe care trebuie sa la aiba un auditor de sisteme
informatice, pot fi enumerate urmatoarele:
- cunostinte din domeniul auditului financiar;
- cunostinte din domeniul managementului;
2
- cunostinte din domeniul contabilitatii;
- cunostinte din domeniul financiar;
- cunostinte privind evaluarea riscurilor;
- cunostinte privind controlul;
- cunostinte privind arhitectura fizica (hardware) a sistemelor informatice;
- cunostinte privind sistemele de operare si aplicatiile informatice;
- cunostinte privind telecominicatiile;
- cunostinte privind securitatea sistemelor informatice;
- cunostinte privind analiza si proiectarea sistemelor informatice;
- cunostinte privind programarea si limbajele de programare;
- cunostinte privind sistemele de gestiune a bazelor de date;
- cunostinte statistice
- cunostinte privind legislatia.
Auditul sistemului informatic poate fi organizat ata la nivelul intreprinderii,
in cadrul functiei de audit intern, cat si sub forma auditului extern realizat de
catre persoane din afara intreprinderii.
In cadrul unei misiuni de audit a sistemului informatic cele mai frecvente
operatii sunt verificările, evaluarile si testările mijloacelor informationale, astfel:
- Identificarea si evaluarea riscurilor din sistem;
- Evaluarea si testarea controlului din sistem;
- Verificarea si evaluarea fizică a mediului informational;
- Verificarea si evaluarea administrării sistemului informatic;
- Verificarea si evaluarea aplicatiilor informatice;
- Verificarea si evaluarea securitătii retelelor de calculatoare;
- Verificarea si evaluarea planurilor si procedurilor de recuperare in caz de
dezastre si continuare a activitatii;
- Testarea integritătii datelor
Realizarea auditului sistemului informatic contribuie la:
3
- îmbunătăţirea sistemului şi controalelor procesului;
- prevenirea şi detectarea erorilor şi a fraudelor;
- reducerea riscurilor şi îmbunătăţirea securităţii sistemului;
- planificarea pentru refacere în caz de accidente şi dezastre;
- managementul informaţiilor şi dezvoltării sistemului;
- evaluarea utilizării eficiente a resurselor.
Auditorul sistemelor informatice trebuie să aibă capacitatea de a asista echipa
managerială în stabilirea mărimii sistemului informatic şi a numărului de personal
necesar, domeniile de afaceri în care se utilizează eficient sistemele de calcul, natura
afacerilor, pierderi potenţiale în cazul căderii sistemului informatic, extinderea
controalelor manuale şi gradul de complexitate tehnică.
De asemenea auditorul sistemelor informatice trebuie sa realizeze o pregatire
profesionala continua prin participarea la cursuri de specialitate.
In ceea ce priveste aptitudinile auditorului de sisteme informatice, acesta trebuie:
- să fie un bun membru intr-o echipă de audit;
- să fie un bun manager al activitătilor de audit;
- să aibă un spirit de observatie bine dezvoltat;
- să fie un bun colaborator;
- să dispună de abilităti de comunicare;
- să fie capabil să ia decizii obiective;
- să fie un bun analist.
Sistemul informatic este o constructie complexa, care este realizata pe
parcursul mai multor ani si are ca obiectiv crearea de interdependente între componente,
acoperirea tuturor problemelor agentului economic, asa incat se suprapune o structura în
plan informational structurii fizice agentului economic.
Pentru a realiza un proces de auditare eficient este necesar să se parcurgă
următorii paşi:
- definirea obiectului auditării sistemului informatic;
- construirea planului de auditare;
- atribuirea sarcinilor fiecărui membru din echipa de auditori;
4
- preluarea structurilor de tabele pentru înregistrarea rezultatelor auditării;
- derularea, pas cu pas, a procesului de auditare folosind standarde, tehnici şi metode
stabilite;
- înregistrarea rezultatelor şi evaluarea fiecărei etape parcurse;
- regruparea documentaţiei provenite din diferite stadi ale procesului de auditare şi
construirea raportului final.
Principalele tipuri de audit informatic sunt:
- auditul sistemului operaţional de calcul
- auditul instalaţiilor IT
- auditul sistemelor aflate în dezvoltare
- auditul managementului IT
- auditul procesului IT
- auditul managementului schimbărilor
- auditul controlului şi securităţii informaţiilor
- auditul conformităţii cu legalitatea
- auditul accidentelor dezastruoase/planificării continuităţii afacerii/refacerii
după dezastre
- auditul strategiei IT
Dezvoltarea sistemelor informatice presupune existenta unor activitati
premargatoare, activitati care au menirea de a impune o echipa, o tehnologie unitara de
analiza, design, dezvoltare, implementare, exploatare si mentenanta, aspecte care trebuie
luate în considerare la efectuarea unui audit de sistem informatic.
Un sistem informatic necesita: stabilirea obiectivelor; definirea unei strategii de
dezvoltare, exploatare si mentenanta; achizitionarea de echipamente, instrumente
necesare realizarii de prelucrari, de conexiuni si dezvoltarii fluxurilor cu exteriorul;
fonduri foarte mari în anumite cazuri.
Dezvoltarea companiei prin achizitionarea de noi echipamente, reorganizarea
fluxului de productie, trecerea la realizarea de noi produse, introducerea elementelor de
5
management total al calitatii vin sa influenteze calitativ si cantitativ structura si
functiunile sistemului informatic. Toate fluctuatiile se reflecta în sistemul de lucru, în
calitatea componentelor sau stadiilor sistemului informatic.
Durata mare de realizare a sistemelor informatice poate genera o serie de
probleme care trebuie luate în considerare si solutionate astfel încât, în final, sa se
obtina rezultatele scontate. În cazul în care o noua echipa manageriala are o alta viziune
asupra indicatorilor agregati pe care îsi fundamenteaza deciziile, se produc modificari în
specificatii, care atrag modificari ale structurii sistemului informatic.
Aparitia unor schimburi de informatii între companie si institutiile publice ale
statului, modificarile unor algoritmi de calcul, necesitatea de a utiliza noi coeficienti,
trebuie reflectate, în sistemul informatic aflat în constructie.
Noile tehnologii informatice care apar produc schimbări în abordarea
instrumentelor de asistare, în utilizarea de opţiuni, astfel încât sistemul informatic
devine neomogen din punctul de vedere al tehnologiilor de dezvoltare.
Legislaţia si dinamica proceselor din societatea informaţională conduc la
evoluţii care trebuie reflectate în sistemul informatic.
Toate aceste procese se derulează concomitent, producând efecte conjugate, în
timp ce obiectivul stabilit iniţial, acela de a realiza un sistem informatic pentru
managementul companiei, rămâne nemodificat.
AUDITUL SISTEMELOR INFORMATIONALE
Locul auditului privind Pad in ansamblul activitatiilor de audit in cadrul
organizatiei
6
Audit managerial
Audit financiar
Audit intern
Audit PAD
Au
dit
gen
eral
al
SI
A
u
di
tu
l
D
S
O
L
F
D
L
H
L
Audit
ul
conta
bil
A
u
d
it
u
l
j
u
r
A
u
d
i
t
u
l
a
7
n
a
l
e
l
o
r
c
o
n
t
a
b
il
e
p
l
i
c
a
t
i
i
l
o
r
c
o
n
t
a
b
i
l
e
COBIT-ul reprezinta cadrul general de aplicabilitate a practicilor privind securitatea si
controlul tehnologiei informationale.
8
Enuntarea obiectivelor de atins prin implementarea unor masuri de control specifice
unui domeniu particular de activitate a tehnologiilor informationale
Resurse folosite in IT :
- Date (reprezentari si proiecte)
- Aplicatii (suma procedurilor manuale si automatizate)
- Tehnologia propriu-zisa (hard, soft de baza, retele de comunicatii)
- Resurse umane
- Facilitati (resurse de sustinere a sistemului informational)
Criterii de evaluare a informatiei :
- eficacitate
- confidentialitate
- integritate
- disponibilitate
- realitate
- oportunitate
AUDITUL reprezinta o activitate de concepere a unui sistem care previne, detecteaza si
corecteaza evenimente ilicite in viata unei organizatii.
9
Riscurile asociate auditului financiar – Riscul de audit
a) – Riscul inerent general - riscul de management
- riscul contabil
- riscul de afaceri
b) – Riscul de control - o eroare sau un grup de erori cu impact
semnificativ nu a fost prevenita, detectata sau
corectata la timp de sistemul contabil sau auditul
intern
c) – Riscul de nedectare - procedurile fundamentale de audit nu detectează
o eroare semnificativa sau mai multe erori
însumate cu efect cumulat semnificativ
d) – Riscul de eşantionare
Auditorul financiar trebuie sa ia in considerare modul in care un mediu CIS
afectează auditul.
Riscul inerent si riscul de control intr-un mediu CIS poate avea particularităţi :
- Riscuri generate de deficiente ale mediului CIS
- Creşterea potenţialului de apariţie a erorilor si a activităţilor frauduloase
specifice
- O eroare individuala in mediul CIS poate afecta întregul ansamblu
informaţional al întreprinderii
RISCURILE ASOCIATE SISITEMULUI INFORMATIONAL
a) Riscurile de mediu - hardware si reţele de comunicaţii
- sistem de operare
- softuri de aplicaţie
b) Riscuri asociate mediului : - pericole naturale si dezastre
- alterarea sau furtul aplicaţiilor, datelor
10
- erori umane sau tehnice
- incompetenta manageriala
- pierderi financiare previzibile
Riscurile trebuie : - evaluate din punct de vedere al gravităţii efectelor lor
- evaluate din punct de vedere al probabilităţii
procedurilor
- estimate financiar pentru fiecare apariţie a fenomenului
si pe total
Particularitati ale sistemelor informatice in evaluarea riscului :
A. Structura organizationala:
- Concentrarea functiilor si a cunostintelor
- Concentrarea programelor si a datelor
B. Natura procesarii:
- Absenta documentelor de intrare
- Lipsa unei dovezi vizibile a tranzactiei
- Lipsa unor iesiri vizibile
- Usurinta de a accesa datele si softurile
C. Aspecte procedurale:
- consecventa executiei
- proceduri de control programate
- o tranzactie are efect in fisiere multiple
- vulnerabilitatea mediilor de stocare
Riscuri asociate unui sistem informatic :
a) pierderea, deturnarea, modificarea informatiilor
b) accesul neautorizat la informatii
c) intreruperea procesarii
MODEL CALITATIV DE EVALUARE A RISCURILOR (tehnica scorurilor)
RISC
a.VULNERABILITATE
11
- ACCES FIZIC
- ACCES RETEA
b. COMPLEXITATE
- COMPLEXITATE ORGANIZATIONALA
- FUNCTIILOR SISTEMULUI
- PERSONAL
- PERSONAL DE SPECIALITATE
- MANAGERI
- DOCUMENTATIE
- CICLU DE VIATA
c. FINANCIAR
RISCUL ASOCIAT ACCESULUI FIZIC
NIVEL RISC DESCRI ERE
MARE Resursele informationale sunt accesibile tuturor angajatilor
MEDIU Resursele informationale sunt in birouri organizate cu acces
limitat de personal
SCAZUT Resursele informationale sunt in zona cu acces strict
controlat
RISCUL ASOCIAT RETELEI DE COMUNICATII
NIVEL RISC DESCRI ERE
MARE Sistem conectat la reteaua publica
MEDIU Sistem conectat la retea privata. Comunicarea cu exteriorul cu linii dedicateSCAZUT Nici o conexiune cu mediul
Controlul la nivelul managementului presupune evaluarea anuala a sistemului
informaţional, a direcţiilor de dezvoltare, strategiilor de dezvoltare. Controlul ciclului
12
de viata presupune controlul iniţierii proiectului sistemului informaţional, controlul
analizei si proiectării iniţiale a sistemului informaţional, controlul achiziţiei (dezvoltării)
sistemului informaţional, controlul testării sistemului informaţional, controlul
implementării si conversiei sistemului informaţional, controlul întreţinerii sistemului
informaţional, controlul securităţii sistemului, responsabilitatea managementului,
separarea funcţiilor incompatibile, controlul accesului, controlul securităţii fizice,
controlul prevenirii efectelor dezastrelor.
Controalele nivelului operaţional presupun: controlul modului de operare,
controlul reţelei de calculatoare, controlul pregătirii si introducerii datelor in sistem,
controlul procesării datelor, controlul gestiunii mediilor de stocare, controlul gestiunii
aplicaţiilor si a documentaţiilor, controlul asistentei tehnice.
OBIECTIVELE AUDITULUI
Date de intrare - tipul
- originea
- volumul si creşterea anticipata
- dependenta temporala
Fişiere - tipul - principale
- tranzacţii
- baze de date
- modul de control si de arhivare
- mărimea si creşterea anticipata
- frecventa actualizării
- relaţiile cu fişierele din alte sisteme
Ieşiri - tipul si conţinutul rapoartelor
- volumul si creşterile anticipate
- frecventa de raportare
- suportul de prezentare
Altele - necesar de hard
- cerinţele de securitate
- cerinţele legale (soft)
- auditibilitatea (proceduri)
13
Controlul achiziţiei (dezvoltării) sistemului
a. Dezvoltarea integrala din interiorul organizaţiei (in-house)
b. Echipamente achiziţionate de organizaţie; soft de aplicaţie achiziţionat de
la furnizor (outside)
c. Aplicaţie integrala la cheie (outsourcing)
a. Este necesara proiectarea de detaliu cu intervenţia specifica a
auditorului
b. Soft-ul se poate comanda in mod specific
c. Criteriile foarte exacte de selecţie ale furnizorului
Controlul testării sistemului
- testare paralela
- testare pilot
Obiectivele auditului :
- asigurarea ca sistemul funcţionează corect
- in cazul întreruperilor, se emit mesaje de documentare
- nu exista prelucrări neefectuate
Controlul implementării sistemului
Obiectivele auditului :
- controlul atribuirii responsabilitatilor la implementare
- controlul standardelor de eficacitate a implementării
- controlul planului de implementare
- controlul modului de implicare a utilizatorilor la implementare
Controlul întreţinerii sistemului
Obiectivele auditului :
- identificarea factorilor care generează necesitatea modificării
sistemului
- controlul autorizării execuţiei modificării
- controlul mecanismelor ce previn modificări neautorizate
14
Factorii care impun modificări ale sistemului :
- Apariţia de funcţii noi
- Necesitatea modificării raportării
- Modificări in cadrul legislativ
- Apariţia de probleme neprevazute in proiectare
CONTROLUL SECURITATII SI STEMELOR INFORMATICE
Procesele de asigurare a securităţii sistemelor informatice îndeplinesc funcţia de
a proteja sistemele împotriva folosirii, publicării sau modificării neautorizate, distrugerii
sau pierderii informaţiilor stocate.
Securitatea sistemelor informatice este asigurata prin controale logice de acces,
care asigura accesul la sisteme, programe si date numai utilizatorilor autorizaţi.
Elemente de control logic care asigura securitatea sistemelor informatice :
• cerinţele de confidenţialitate a datelor;
• controlul autorizării, autentificării si accesului;
• identificarea utilizatorului si profilele de autorizare;
• stabilirea informaţiilor necesare pentru fiecare profil de utilizator;
• controlul cheilor de criptare;
• gestionarea incidentelor, raportarea si masurile ulterioare;
• protecţia împotriva atacurilor viruşilor si prevenirea acestora;
• firewalls;
• administrarea centralizata a securităţii sistemelor;
• training-ul utilizatorilor;
• metode de monitorizare a respectării procedurilor IT, teste de intruziune
si raportări.
Obiective de control detaliate
Asigurarea securităţii sistemelor informatice
1. Controlul masurilor de securitate
Securitatea sistemelor informatice trebuie organizata astfel incat sa fie in
concordanta cu obiectivele de afaceri ale organizatiei:
• includerea informatiilor legate de evaluarea riscurilor la nivel
organizational in proiectarea securitatii informatice;
15
• implementarea si actualizarea planului de securitate IT pentru a reflecta
modificarile intervenite in structura organizatiei;
• evaluarea impactului modificarilor planurilor de securitate IT, si
monitorizarea implementarii procedurilor de securitate;
• alinierea procedurilor de securitate IT la procedurile generale ale
organizaţiei.
2. Identificarea, autentificarea si accesul
Accesul logic la resursele informatice trebuie restrictionat prin implementarea
unor mecanisme adecvate de identificare, autentificare si acces, prin crearea unei
legaturi intre utilizatori si resurse, bazata pe drepturi de acces.
3. Securitatea accesului on-line la date
Intr-un mediu IT on-line trebuie implementate proceduri in concordanta cu
politica de securitate, care presupune controlul securitatii accesului bazat pe necesitatile
individuale de accesare, adaugare, modificare sau stergere a informatiilor.
4. Managementul conturilor utilizator
Conducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni
rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator. O
procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul
de securitate.
5. Verificarea conturilor utilizator de catre conducere
Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa
confirme periodic drepturile de acces.
6. Verificarea conturilor utilizator de catre utilizatori
Utilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi,
in vederea detectarii activitatilor neobisnuite.
7. Supravegherea securitatii sistemului
Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile
legate de securitatea sistemului sunt inregistrate intr-un jurnal, si orice indiciu referitor
la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile.
8. Clasificarea datelor
Conducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de
vedere al gradului de confidentialitate, printr-o decizie formala a detinatorului datelor.
16
Chiar si datele care nu necesita protectie trebuie clasificate in aceasta categorie printr-o
decizie formala. Datele trebuie sa poata fi reclasificate in conditiile modificarii
ulterioare a gradului de confidentialitate.
9. Centralizarea identificarii utilizatorilor si drepturilor de acces
Identificarea si controlul asupra drepturilor de acces trebuie efectuate
centralizate pentru a asigura consistenta si eficienta controlului global al accesului.
10. Rapoarte privind violarea securitatii sistemului
Administratorii de sistem trebuie sa se asigure ca activitatile care pot afecta
securitatea sistemului sunt inregistrate, raportate si analizate cu regularitate, iar
incidentele care presupun acces neautorizat la date sunt rezolvate operativ. Accesul
logic la informatii trebuie acordat pe baza necesitatilor stricte ale utilizatorului (acesta
trebuie sa aiba acces numai la informatiile care ii sunt necesare).
11. Gestionarea incidentelor
Conducerea trebuie sa implementeze proceduri de gestionare a incidentelor
legate de securitatea sistemului, astfel incat raspunsul la aceste incidente sa fie eficient,
rapid si adecvat.
12. Increderea in terte parti
Organizatia trebuie sa asigure implementarea unor proceduri de control si
autentificare a tertilor cu care intra in contact prin medii electronice de comunicare.
13. Autorizarea tranzactiilor
Politica organizatiei trebuie sa asigure implementarea unor controale care sa
verifice autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza
tranzactia.
14. Prevenirea refuzului de acceptare a tranzactiei
Sistemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate ulterior
de nici un participant. Aceasta presupune implementarea unui sistem de confirmare a
efectuarii tranzactiei.
15. Informatiile sensibile trebuie transmise numai pe un canal de
comunicatii considerat sigur de parti, care sa nu permita interceptarea datelor
16. Protectia functiilor de securitate
17
Toate functiile organizatiei legate de asigurarea securitatii trebuie protejate in
mod special, in vederea mentinerii integritatii acestora. Organizatiile trebuie sa pastreze
secrete procedurile de securitate.
17. Managementul cheilor de criptare
Conducerea trebuie sa defineasca si sa implementeze proceduri si protocoale
pentru generarea, modificarea, anularea, distrugerea, certificarea, utilizarea cheilor de
criptare pentru a asigura protectia impotriva accesului neautorizat.
18. Prevenirea, detectarea si corectarea programelor distructive
In vederea protejarii sistemului impotriva aplicatiilor distructive (viruşi), trebuie
implementata o procedura adecvata care sa includa masuri de prevenire, detectare,
actiune, corectare si raportare a incidentelor de acest fel.
19. Arhitecturi Firewall si conectarea la retele publice
In cazul in care sistemul organizatiei este conectat la Internet sau alte retele
publice, programe de protectie adecvate (firewalls) trebuie implementate pentru a
proteja accesul neautorizat la resursele interne ale sistemului.
20. Protectia valorilor electronice
Conducerea trebuie sa asigure protectia si integritatea cardurilor si a altor
dispozitive folosite pentru autentificare sau inregistrare de date considerate sensibile
(financiare).
SECURI TATEA SISTEM ELOR INFORMATIONALE
Organizatia trebuie sa aiba o politica se securitate informationala.
• Responsabilitatile personalului
• Atributiile responsabilului cu securitatea
• Clarificarea datelor si nivelurile de securitate
• Controlul (auditul) intern al securitatii
Politica de securitate se refera la tot personalul angajat :
- standarde interne si principii privind securitatea S.I. - la nivel grobal
18
- pe grupe (functii, sectii) de lucru
- codul etic al angajatilor si pregatirea acestora.
SEPARAREA FUNCTIILOR INCOMPATIBILE
- Limiteaza erorile si fraudele
- Creste probabilitatea detectarii fraudelor
- Separarea functiilor se realizeaza in domeniile :
- Initierea si autorizarea tranzactiilor
- Inregistrarea tranzactiilor
- custodia activelor
Persoane diferite pentru operatiile :
- programare – operare
- procesare date – pregatire
- gestionar memorie externa – operator
- eliberare, multiplicare, distrugere informatii – autorizare
- programare – administrare baza de date
- responsabil securitate – orice alte activitati
- controlul drepturilor de acces – alte functii (activitati).
AUTORIZAREA UTILIZATORILOR
1. Identificare : calculatorul recunoaste un potential utilizator al
sistemului
2. Autentificare : functia de stabilire a validitatii identitatii pretinse
3. Autorizare : utilizatorului recunoscut i se permite accesul la resursele
sistemului
CONTROLUL ACCESULUI
Riscurile accesului neautorizat :
- Diminuarea confidentialitatii
- Furtul informatiilor
- Divulgarea neautorizata de informatii
- Diminuarea integritatii informatiilor
- Intreruperea functionarii sistemului
19
Controlul accesului in mediile publice utilizand FIREWALL
Impune o politica de control a accesului intre doua retele.
- Intreg traficul de date trece prin el
- Este permisa numai trecerea autorizata prin politica locala de securitate
- Sistemul insusi este imun la penetrare
- Monitorizarea comunicatiilor TCP/IP
- Poate inregistra toate comunicatiile
- Poate fi folosit la criptare.
ETAPELE ATACULUI LA O RETEA
I. Colectare de informatii
- Protocol SNMP - examineaza tabela de rutare pentru un router
neprotejat
- Programe TRACE ROUTE - ofera adresele retelelor si routelor
intermediare spre o tinta
- Serverele DNS - pot fi interogate pentru a obtine informatii
referitoare la tipul calculatoarelor, numele si adresele I P ascoiate
- Protocol FINGER - informatii despre utilizatorii unui calculator
gazda – login, nr. telefon, data ultimei conectari
- Programul PING - determina daca un calculator e disponibil
II. Testarea securitatii sistemelor
- Program de scanare a securitatii sistemelor
- SS (I NTERNET SECURI TY SCANNER)
-SATAN (SECURITY ADMINISTRATOR TOOL FOR
AUDITING NETWORK)
- Programe proprii pentru conectare la porturile specifice ale serviciilor
vulnerabile.
III. Accesarea sistemelor protejate
- obtinerea accesului (privilegiat).
20
CONTROLUL SECURITATII FIZICE
Auditorul verifica masura in care accesul fizic la date si resursele hardware
sunt restrictionate corespunzator :
- Cum este restrictionat accesul fizic la facilitatile IT din firma?
- Cum este restrictionat accesul la spatiile unde se afla echipamentele pe care se
realizeaza prelucrarile?
- Cum sunt protejate stocarile offline de date?
- Cat de sigura, din punct de vedere informational, este scoaterea din uz a
calculatoarelor si mediilor de stocare a datelor?
• Existenta unor programe gen Easy Recovery sau Lost & found care permit
recuperarea datelor sterse de pe mediile de stocare. Comanda UNFORMAT din
DOS.
• dificultatea asigurarii controlului accesului fizic la fiecare componenta hardware
• extinderea lucrului in retea si a utilizarii sistemelor distribuite s-a caracterizat prin
concentrarea atentiei pe controlul accesului logic, dar controlul accesului fizic ramane in
continuare important, el reprezentand o componenta a sistemului de securitate.
COPII DE SIGURANTA SI EVENIMENTE NEPREVAZUTEAuditorul trebuie sa verifice daca la nivelul organizatiei exista :
- Proceduri prin care sa se asigure functionarea sistemului in cazul caderii
alimentarii cu energie electrica sau a cailor de comunicatii.
• Exista sectoare “sensibile” – bancar, bursier, securitatea statului, energetic etc.
care impun asigurarea functionarii continue a sistemelor informatice ceea ce
implica existenta unor surse alternative de energie si/sau comunicatii.
- Planuri bine testate si documentate, actualizate periodic prin care sa se asigure
operationalitatea sistemului informatic in conditiile producerii unor evenimente
neprevazute.
- Proceduri si controlul aplicarii acestora, privind realizarea copiilor de siguranta si
refacerea starii sistemului in cazul “caderii” acestuia ca urmare a unor cauze hard
sau soft.
- Existenta unui contract de asigurare a organizatiei pentru evenimente
neprevazute.
- Nivelul de instruire a personalului cu privire la procedurile aplicabile in cazul
21
realizarii periodice a copiilor de siguranta sau executarii procedurilor de criza in cazul
producerii dezastrelor.
Refacerea in cazul esecului operationalAuditorul verifica :
- daca sunt stabilite proceduri adecvate in cazul producerii unor esecuri
operationale
- daca aceste proceduri sunt verificate si aprobate de staff-ul IT
- daca aceste esecuri operationale sunt identificate, rezolvate la timp,
comsemnate si raportate
- in ce masura echipamentele sunt adecvat plasate si protejate pentru a se
preveni riscul distrugerii accidentale (foc, fum, praf, vibratii, radiatii
electromagnetice etc.)
- in ce masura echipamentele sunt corect intretinute
- ce controale exista pentru prevenirea esecurilor operationale produse din :
- cauze hardware
- neaplicarea corecta a procedurilor de operare
- erori software
- care sunt procedurile de RESTART si REFACERE (Recovery) pentru
refacerea starii sistemului in urma unui esec operational
- in caz de incidente sunt evaluate actiunile operatorilor pentru a se vedea
daca prin actiunile lor nu au afectat calitatea prelucrarilor sau structurile de date.
CONTROLUL NIVELULUI OPERATIONALDistribuirea prelucrarii → impune controlul la nivel operational
Activitati auditate :
1. Operarea efectiva la postul de lucru
- restrictionarea accesului
- utilizarea eficienta a timpului de lucru
- intretinerea si repararea echipamentului
- cunoasterea si respectarea procedurilor de catre utilizatori
2. Reteaua de calculatoare
- Modul de monitorizare a traficului pe retea
- Politica antivirus – server sau post de lucru
22
- Controlul politicilor de acces si restrictionare
- Protectia conexiunii la retele publice
Auditorul urmareste :
• Controlul retelei/accesului dial-up:
• Accesul de la distanta la SI (prin conexiunile la retea sau dial-up) trebuie sa fie
restrictionate corespunzator:
- Cum sunt autentificate conectarile de la distanta la calculatoarele organizatiei
- Daca reteaua este mare, in ce masura este organizata pe domenii separate?
- Daca reteaua este partajata (mai ales daca se extinde dincolo de organizatie) ce
controale exista pentru a se verifica faptul ca utilizatorii acceseaza doar portiunile de
retea
pentru care sunt autorizati?
- Cum sunt protejate transmisiile in retea?
- Daca este corespunzator numarul de utilizatori dial-up?
- Cum sunt autentificati utilizatorii dial-up?
- In ce masura disponibilitatea facilitatilor dial-up este restrictionata la momentele de
timp
(zi/ saptamana)?
- Ce controale se folosesc pentru diagnosticul porturilor?
• Controlul conexiunilor externe la retea (Internet, EDI, EFT)
- Conexiunile externe trebuie folosite doar pentru scopuri valide ale afacerii si
controalele trebuie sa previna ca aceste conexiuni sa submineze securitatea sistemului
- In ce masura aceste conexiuni externe sunt impuse de nevoi ale organizatiei?
- Cat de sigura este posta electronica a organizatiei?
- Cat de bine este protejat gateway-ul dintre Internat si mediul firmei?
-Ce controale exista pentru a preveni accesarea unor site-uri inadecvate?
- Ce controale exista pentru a preveni navigarea neproductiva pe Internet a
personalului si in afara sarcinilor de serviciu?
- Cat de bine sunt protejate conexiunile externe ale retelei pentru folosirea EDI si
EFT?
Solutia hardware si software a retelei trebuie sa asigure nevoile de disponibilitate,
performanta si flexibilitate.
23
- Ce documentatie de retea este disponibila?- Cum sunt aprobate modificarile din retea,
controlate si testate?
- Ce procese au loc pentru planificarea capacitatii si monitorizarea nivelului de
performanta?
3. Pregatirea datelor si introducerea in sistem
- Pregatirea documentelor primare
• Datele sunt clasificate, grupate, verificate, sortate si transmise pentru
procesare.
- Controlul introducerii datelor
• Acuratetea datelor depinde de :
- calitatea controalelor
- factorul uman
- tipul echipamentelor folosite pentru introducerea datelor in system.
4. Procesarea datelor
- Acces autorizat pentru declansarea procedurilor
- Respectarea termenelor si timpilor de procesare
- Protejarea fisierelor
- Pastrarea rezultatelor procesarii
Auditorul va verifica cum managementul controleaza masura in care rolul si
responsabilitatile personalului implicat in procesarea datelor sunt cunoscute si
respectate,
focalizand pe procedurile de :
- backup si refacerea sistemului
- prelucarea pe loturi (batch) si/ sau on-line. Asigurarea la timp a datelor necesare
prelucrarilor, mai ales in cazul in care acestea sunt asigurate de alte sisteme
informatice (interne sau externe organizatiei)
- intretinerea software-ului.
Auditorul va urmari masura in care a asigurat documentatia necesara personalului
implicat
in procesarea datelor.
5. Gestionarea mediilor de stocare
Pastrarea, utilizarea si intretinerea :
24
- dischetelor
- CD-urilor
- HDD-urilor
- casetelor cu banda (data cartdrige)
- casetelor zip
Jurnalul de evidenta a mediilor de stocare cuprinde :
- identificatorul (eticheta) mediului de stocare
- localizarea curenta
- persoana responsabila (gestionarul)
- data achizitiei
- utilizatorul
- fisierele/programele/ aplicatiile continute
- persoanele autorizate sa acceseze mediul.
6. Gestionarea aplicatiilor si a documentatiei
- modul de pastrare
- modul de acces
- actualizarea documentatiei
- copii de siguranta.
7. Asistenta tehnica
- modul de achizitionare a hardware-ului
- instruire utilizatori
- identificarea erorilor de procesare si modul de rezolvare
- controlul soft-urilor
- raportarea incidentelor.
Managementul trebuie sa stabileasca nivelurile de service necesitate de
utilizatori si sa
stabileasca politicile privind asigurarea acestora :
- In ce masura corespund contractele de service existente nevoilor reale?
- In ce masura service-ul asigurat raspunde cerintelor de securitate?
8. Monitorizarea performantelor
• Monitorizarea performantei operationale si aprobarea procedurilor documentate.
Managementul trebuie sa monitorizeze performanta privitoare la nivelele de service si a
25
procedurilor de operare.
- Ce informatii primeste managerul pentru a-i permite sa monitorizeze starea
mediului hard si terminarea la timp a prelucrarilor batch?
- Cat de des se primesc aceste informatii?
- In ce masura au existat probleme cu performanta componentelor hardware si/sau
executarea la timp a prelucrarilor batch?
- Ce monitorizare se desfasoara pentru verificarea operarii eficiente a calculatorului?
- In ce masura au existat probleme cu neaprobarea unor proceduri definite pentru
operarea calculatorului?
26
Bibliografie:
Brândaş Claudiu -Auditul sistemelor informaţionale de gestiune, Revista de Audit
Financiar, nr.3 din 2003.
Muntean Adrian -Auditul sistemelor informaţionale contabile, Ed. Polirom, 2002.
Camera Auditorilor Financiari din Romania-Audit financiar 2000, Editura Economica Bucuresti.2000.
27
Recommended