UNIVERSITATEA DE VEST FACULTATEA DE ECONOMIE SI DE ADMINISTRARE A AFACERILOR

Auditorul de sisteme informatice rol i referine n regulamentele internaionale.

Masterand: Bugyi Clara An 1, AFC.

2011

Auditorul de sisteme informatice

Auditul este descris ca examinarea independent a nregistrrilor i a altor informaii n scopul formrii unei opinii referitoare la integritatea sistemului controalelor i mbuntirea controalelor recomandate pentru limitarea riscurilor. Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, mentine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale intreprinderii i utilizeaz eficient resursele informationale. Auditorul informatic este reprezentat de un informatician specializat n domeniul financiar-contabil ce este certificat ca auditor informatic (Certified Information Systems Auditor, CISA)de ctre ISACA. Jacques Renard spune c auditorul informatician nu este un auditor care a nvat informatic, ci reprezint neaprat un informatician format dup metodologia i instrumentele Auditului Intern. Acest auditor informatician i folosete talentul i competenele n cinci direcii fundamentale: auditul centrelor informatice, auditul biroticii, auditul reelelor informatice, auditul sistemelor n exploatare i al programelor informatice de aplicaie i auditul sistemelor n curs de dezvoltare. Desi exist o legtura metodologic destul de stans intre auditul financiarcontabil si auditul sistemelor informatice, cel din urma are la baz cunostinte din cel putin patru domenii, astfel: auditul traditional, sisteme informationale pentru management, stiinta comportamentului si informatica. De asemenea Standardul IFAC- ISA 401 face referire la aptitudinile si competentele unui auditor financiar in conditiile auditului intr-un mediu informatizat, precum si ISA 620 face referiri la posibilitatea utilizarii unui expert(in Tehnologia Informatiei) in cadrul misiunii de audit financiar, daca necesitatea practica o impune. Obiectivul Standardului de Audit 401 Auditul n mediul sistemelor informaionale computerizate (ISA 401 Auditing in a Computer Information Systems Environment) const n stabilirea normelor i recomandrilor privind procedurile ce trebuie urmate la exercitarea auditului ntr-un mediu de sisteme informaionale computerizate (SIC).

Coform acestui standard auditorul trebuie s ia n considerare modul n care un mediu SIC influeneaz asupra auditului. Obiectivul general i sfera de aplicare a auditului nu se schimb ntr-un mediu SIC. Cu toate acestea, utilizarea unui computer modific modul de prelucrare, stocare i comunicare al informaiei financiare i poate influena sistemele contabil i de control intern utilizate de agentul economic. Prin urmare, un mediu SIC poate influena: procedurile efectuate de auditor n scopul obinerii unei nelegeri suficiente a sistemelor contabil i de control intern; considerarea riscului inerent i riscului legat de control, ceea ce influeneaz evaluarea riscului de ctre auditor; elaborarea i efectuarea de auditor a procedurilor de testare a controlului intern i a procedurilor ce in de esen care snt potrivite atingerii unui anumit obiectiv al auditului. De asemenea acest standard impune anumite aptitudini si competente pentru a
planifica, gestiona, supraveghea i controla lucrrile efectuate auditorul trebuie s posede cunotine suficiente n domeniul SIC. Auditorul trebuie s ia n considerare dac pentru exercitarea auditului sunt necesare aptitudini specializate de lucru cu SIC. Aceste aptitudini pot fi necesare pentru:

obinerea nelegerii suficiente a sistemelor contabil i de control intern afectate de mediul SIC; determinarea influenei mediului SIC asupra evalurii generale a riscului i evalurii riscului la nivelul soldurilor conturilor i a grupurilor de tranzacii; elaborarea i efectuarea procedurilor potrivite de testare a controlului intern i a celor ce in de esen. n cazul n care sunt necesare aptitudini specializate, auditorul urmeaz s se adreseze dup asisten unui specialist care posed astfel de aptitudini i care poate face parte din titularii organizaiei de audit sau poate fi angajat din afar acesteia. Dac este planificat implicarea unui astfel de specialist, auditorul trebuie s obin dovezi de audit suficiente i adecvate asupra faptului, c lucrrile unui astfel de specialist corespund obiectivelor auditului n conformitate cu SNA 620 Utilizarea lucrrilor expertului.

Fcand o sinteza a cunostintelor pe care trebuie sa la aiba un auditor de sisteme informatice, pot fi enumerate urmatoarele: cunostinte din domeniul auditului financiar; cunostinte din domeniul managementului; cunostinte din domeniul contabilitatii; cunostinte din domeniul financiar; cunostinte privind evaluarea riscurilor; cunostinte privind controlul; cunostinte privind arhitectura fizica (hardware) a sistemelor informatice; cunostinte privind sistemele de operare si aplicatiile informatice; cunostinte privind telecominicatiile; cunostinte privind securitatea sistemelor informatice; cunostinte privind analiza si proiectarea sistemelor informatice; cunostinte privind programarea si limbajele de programare; cunostinte privind sistemele de gestiune a bazelor de date; cunostinte statistice cunostinte privind legislatia. Auditul sistemului informatic poate fi organizat ata la nivelul intreprinderii, in cadrul functiei de audit intern, cat si sub forma auditului extern realizat de catre persoane din afara intreprinderii. In cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operatii sunt verificrile, evaluarile si testrile mijloacelor informationale, astfel: Identificarea si evaluarea riscurilor din sistem; Evaluarea si testarea controlului din sistem; Verificarea si evaluarea fizic a mediului informational; Verificarea si evaluarea administrrii sistemului informatic; Verificarea si evaluarea aplicatiilor informatice; Verificarea si evaluarea securittii retelelor de calculatoare; Verificarea si evaluarea planurilor si procedurilor de recuperare in caz de dezastre si continuare a activitatii; Testarea integrittii datelor

Realizarea auditului sistemului informatic contribuie la: - mbuntirea sistemului i controalelor procesului; - prevenirea i detectarea erorilor i a fraudelor; - reducerea riscurilor i mbuntirea securitii sistemului; - planificarea pentru refacere n caz de accidente i dezastre; - managementul informaiilor i dezvoltrii sistemului; - evaluarea utilizrii eficiente a resurselor. Auditorul sistemelor informatice trebuie s aib capacitatea de a asista echipa managerial n stabilirea mrimii sistemului informatic i a numrului de personal necesar, domeniile de afaceri n care se utilizeaz eficient sistemele de calcul, natura afacerilor, pierderi poteniale n cazul cderii sistemului informatic, extinderea controalelor manuale i gradul de complexitate tehnic. De asemenea auditorul sistemelor informatice trebuie sa realizeze o pregatire profesionala continua prin participarea la cursuri de specialitate. In ceea ce priveste aptitudinile auditorului de sisteme informatice, acesta trebuie: s fie un bun membru intr-o echip de audit; s fie un bun manager al activittilor de audit; s aib un spirit de observatie bine dezvoltat; s fie un bun colaborator; s dispun de abilitti de comunicare; s fie capabil s ia decizii obiective; s fie un bun analist.

Sistemul informatic este o constructie complexa, care este realizata pe parcursul mai multor ani si are ca obiectiv crearea de interdependente ntre componente, acoperirea tuturor problemelor agentului economic, asa incat se suprapune o structura n plan informational structurii fizice agentului economic.

Pentru a realiza un proces de auditare eficient este necesar s se parcurg urmtorii pai: - definirea obiectului auditrii sistemului informatic; - construirea planului de auditare; - atribuirea sarcinilor fiecrui membru din echipa de auditori; - preluarea structurilor de tabele pentru nregistrarea rezultatelor auditrii; - derularea, pas cu pas, a procesului de auditare folosind standarde, tehnici i metode stabilite; - nregistrarea rezultatelor i evaluarea fiecrei etape parcurse; - regruparea documentaiei provenite din diferite stadi ale procesului de auditare i construirea raportului final. Principalele tipuri de audit informatic sunt: - auditul sistemului operaional de calcul - auditul instalaiilor IT - auditul sistemelor aflate n dezvoltare - auditul managementului IT - auditul procesului IT - auditul managementului schimbrilor - auditul controlului i securitii informaiilor - auditul conformitii cu legalitatea - auditul accidentelor dezastruoase/planificrii continuitii afacerii/refacerii dup dezastre - auditul strategiei IT Dezvoltarea sistemelor informatice presupune existenta unor activitati premargatoare, activitati care au menirea de a impune o echipa, o tehnologie unitara de analiza, design, dezvoltare, implementare, exploatare si mentenanta, aspecte care trebuie luate n considerare la efectuarea unui audit de sistem informatic.

Un sistem informatic necesita: stabilirea obiectivelor; definirea unei strategii de dezvoltare, exploatare si mentenanta; achizitionarea de echipamente, instrumente necesare realizarii de prelucrari, de conexiuni si dezvoltarii fluxurilor cu exteriorul; fonduri foarte mari n anumite cazuri. Dezvoltarea companiei prin achizitionarea de noi echipamente, reorganizarea fluxului de productie, trecerea la realizarea de noi produse, introducerea elementelor de management total al calitatii vin sa influenteze calitativ si cantitativ structura si functiunile sistemului informatic. Toate fluctuatiile se reflecta n sistemul de lucru, n calitatea componentelor sau stadiilor sistemului informatic. Durata mare de realizare a sistemelor informatice poate genera o serie de probleme care trebuie luate n considerare si solutionate astfel nct, n final, sa se obtina rezultatele scontate. n cazul n care o noua echipa manageriala are o alta viziune asupra indicatorilor agregati pe care si fundamenteaza deciziile, se produc modificari n specificatii, care atrag modificari ale structurii sistemului informatic. Aparitia unor schimburi de informatii ntre companie si institutiile publice ale statului, modificarile unor algoritmi de calcul, necesitatea de a utiliza noi coeficienti, trebuie reflectate, n sistemul informatic aflat n constructie. Noile tehnologii informatice care apar produc schimbri n abordarea instrumentelor de asistare, n utilizarea de opiuni, astfel nct sistemul informatic devine neomogen din punctul de vedere al tehnologiilor de dezvoltare. Legislaia si dinamica proceselor din societatea informaional conduc la evoluii care trebuie reflectate n sistemul informatic. Toate aceste procese se deruleaz concomitent, producnd efecte conjugate, n timp ce obiectivul stabilit iniial, acela de a realiza un sistem informatic pentru managementul companiei, rmne nemodificat.

AUDITUL SISTEMELOR INFORMATIONALE

Locul auditului privind Pad in ansamblul activitatiilor de audit in cadrul organizatiei

Audit managerial Audit financiar Audit intern Audit PAD Audit Auditul general al SI DSOLFD LHL Auditul contabil Auditul Auditul jurnalelo r contabile aplicatiilo r contabile

COBIT-ul reprezinta cadrul general de aplicabilitate a practicilor privind securitatea si controlul tehnologiei informationale. Enuntarea obiectivelor de atins prin implementarea unor masuri de control specifice unui domeniu particular de activitate a tehnologiilor informationale Resurse folosite in IT : - Date (reprezentari si proiecte) - Aplicatii (suma procedurilor manuale si automatizate) - Tehnologia propriu-zisa (hard, soft de baza, retele de comunicatii) - Resurse umane

- Facilitati (resurse de sustinere a sistemului informational) Criterii de evaluare a informatiei : - eficacitate - confidentialitate - integritate - disponibilitate - realitate - oportunitate AUDITUL reprezinta o activitate de concepere a unui sistem care previne, detecteaza si corecteaza evenimente ilicite in viata unei organizatii.

Riscurile asociate auditului financiar Riscul de audit

a) Riscul inerent general - riscul de management - riscul contabil

- riscul de afaceri b) Riscul de control - o eroare sau un grup de erori cu impact semnificativ nu a fost prevenita, detectata sau corectata la timp de sistemul contabil sau auditul intern c) Riscul de nedectare - procedurile fundamentale de audit nu detecteaz o eroare semnificativa sau mai multe erori nsumate cu efect cumulat semnificativ d) Riscul de eantionare Auditorul financiar trebuie sa ia in considerare modul in care un mediu CIS afecteaz auditul. Riscul inerent si riscul de control intr-un mediu CIS poate avea particulariti : specifice O eroare individuala in mediul CIS poate afecta ntregul ansamblu informaional al ntreprinderii Riscuri generate de deficiente ale mediului CIS Creterea potenialului de apariie a erorilor si a activitilor frauduloase

RISCURILE ASOCIATE SISITEMULUI INFORMATIONAL

a) Riscurile de mediu - hardware si reele de comunicaii - sistem de operare - softuri de aplicaie b) Riscuri asociate mediului : - pericole naturale si dezastre - alterarea sau furtul aplicaiilor, datelor - erori umane sau tehnice - incompetenta manageriala - pierderi financiare previzibile Riscurile trebuie : - evaluate din punct de vedere al gravitii efectelor lor - evaluate din punct de vedere al probabilitii procedurilor

10

- estimate financiar pentru fiecare apariie a fenomenului si pe total Particularitati ale sistemelor informatice in evaluarea riscului : A. Structura organizationala: - Concentrarea functiilor si a cunostintelor - Concentrarea programelor si a datelor B. Natura procesarii: - Absenta documentelor de intrare - Lipsa unei dovezi vizibile a tranzactiei - Lipsa unor iesiri vizibile - Usurinta de a accesa datele si softurile C. Aspecte procedurale: - consecventa executiei - proceduri de control programate - o tranzactie are efect in fisiere multiple - vulnerabilitatea mediilor de stocare Riscuri asociate unui sistem informatic : a) pierderea, deturnarea, modificarea informatiilor b) accesul neautorizat la informatii c) intreruperea procesarii MODEL CALITATIV DE EVALUARE A RISCURILOR (tehnica scorurilor) RISC a.VULNERABILITATE - ACCES FIZIC - ACCES RETEA b. COMPLEXITATE - COMPLEXITATE ORGANIZATIONALA - FUNCTIILOR SISTEMULUI

11

- PERSONAL - PERSONAL DE SPECIALITATE - MANAGERI - DOCUMENTATIE - CICLU DE VIATA c. FINANCIAR RISCUL ASOCIAT ACCESULUI FIZIC NIVEL RISC MARE MEDIU SCAZUT DESCRI ERE Resursele informationale sunt accesibile tuturor angajatilor Resursele informationale sunt in birouri organizate cu acces limitat de personal Resursele informationale sunt in zona cu acces strict controlat RISCUL ASOCIAT RETELEI DE COMUNICATII NIVEL RISC MARE MEDIU SCAZUT DESCRI ERE Sistem conectat la reteaua publica Sistem conectat la retea privata. Comunicarea cu exteriorul cu linii dedicate Nici o conexiune cu mediul

Controlul la nivelul managementului presupune evaluarea anuala a sistemului informaional, a direciilor de dezvoltare, strategiilor de dezvoltare. Controlul ciclului de viata presupune controlul iniierii proiectului sistemului informaional, controlul analizei si proiectrii iniiale a sistemului informaional, controlul achiziiei (dezvoltrii) sistemului informaional, controlul testrii sistemului informaional, controlul implementrii si conversiei sistemului informaional, controlul ntreinerii sistemului informaional, controlul securitii sistemului, responsabilitatea managementului, separarea funciilor incompatibile, controlul accesului, controlul securitii fizice, controlul prevenirii efectelor dezastrelor. Controalele nivelului operaional presupun: controlul modului de operare, controlul reelei de calculatoare, controlul pregtirii si introducerii datelor in sistem,

12

controlul procesrii datelor, controlul gestiunii mediilor de stocare, controlul gestiunii aplicaiilor si a documentaiilor, controlul asistentei tehnice. OBIECTIVELE AUDITULUI Date de intrare - tipul - originea - volumul si creterea anticipata - dependenta temporala Fiiere tipul - principale - tranzacii - baze de date Ieiri Altele modul de control si de arhivare mrimea si creterea anticipata frecventa actualizrii relaiile cu fiierele din alte sisteme tipul si coninutul rapoartelor volumul si creterile anticipate frecventa de raportare suportul de prezentare necesar de hard cerinele de securitate cerinele legale (soft) auditibilitatea (proceduri)

Controlul achiziiei (dezvoltrii) sistemului a. b. c. Dezvoltarea integrala din interiorul organizaiei (in-house) Echipamente achiziionate de organizaie; soft de aplicaie achiziionat de Aplicaie integrala la cheie (outsourcing)

la furnizor (outside)

13

a. b. c. -

Este necesara proiectarea de detaliu cu intervenia specifica a auditorului Soft-ul se poate comanda in mod specific Criteriile foarte exacte de selecie ale furnizorului

Controlul testrii sistemului testare paralela testare pilot asigurarea ca sistemul funcioneaz corect in cazul ntreruperilor, se emit mesaje de documentare nu exista prelucrri neefectuate

Obiectivele auditului :

Controlul implementrii sistemului Obiectivele auditului : controlul atribuirii responsabilitatilor la implementare controlul standardelor de eficacitate a implementrii controlul planului de implementare controlul modului de implicare a utilizatorilor la implementare

Controlul ntreinerii sistemului Obiectivele auditului : identificarea factorilor care genereaz necesitatea modificrii sistemului controlul autorizrii execuiei modificrii controlul mecanismelor ce previn modificri neautorizate Apariia de funcii noi Necesitatea modificrii raportrii Modificri in cadrul legislativ Apariia de probleme neprevazute in proiectare

Factorii care impun modificri ale sistemului :

CONTROLUL SECURITATII SI STEMELOR INFORMATICE

14

Procesele de asigurare a securitii sistemelor informatice ndeplinesc funcia de a proteja sistemele mpotriva folosirii, publicrii sau modificrii neautorizate, distrugerii sau pierderii informaiilor stocate. Securitatea sistemelor informatice este asigurata prin controale logice de acces, care asigura accesul la sisteme, programe si date numai utilizatorilor autorizai. Elemente de control logic care asigura securitatea sistemelor informatice : cerinele de confidenialitate a datelor; controlul autorizrii, autentificrii si accesului; identificarea utilizatorului si profilele de autorizare; stabilirea informaiilor necesare pentru fiecare profil de utilizator; controlul cheilor de criptare; gestionarea incidentelor, raportarea si masurile ulterioare; protecia mpotriva atacurilor viruilor si prevenirea acestora; firewalls; administrarea centralizata a securitii sistemelor; training-ul utilizatorilor; metode de monitorizare a respectrii procedurilor IT, teste de intruziune si raportri. Obiective de control detaliate Asigurarea securitii sistemelor informatice 1. Controlul masurilor de securitate Securitatea sistemelor informatice trebuie organizata astfel incat sa fie in concordanta cu obiectivele de afaceri ale organizatiei: organizaiei. 2. Identificarea, autentificarea si accesul includerea informatiilor legate de evaluarea riscurilor la nivel implementarea si actualizarea planului de securitate IT pentru a reflecta evaluarea impactului modificarilor planurilor de securitate IT, si alinierea procedurilor de securitate IT la procedurile generale ale organizational in proiectarea securitatii informatice; modificarile intervenite in structura organizatiei; monitorizarea implementarii procedurilor de securitate;

15

Accesul logic la resursele informatice trebuie restrictionat prin implementarea unor mecanisme adecvate de identificare, autentificare si acces, prin crearea unei legaturi intre utilizatori si resurse, bazata pe drepturi de acces. 3. Securitatea accesului on-line la date Intr-un mediu IT on-line trebuie implementate proceduri in concordanta cu politica de securitate, care presupune controlul securitatii accesului bazat pe necesitatile individuale de accesare, adaugare, modificare sau stergere a informatiilor. 4. Managementul conturilor utilizator Conducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator. O procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul de securitate. 5. Verificarea conturilor utilizator de catre conducere Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confirme periodic drepturile de acces. 6. Verificarea conturilor utilizator de catre utilizatori Utilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi, in vederea detectarii activitatilor neobisnuite. 7. Supravegherea securitatii sistemului Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile legate de securitatea sistemului sunt inregistrate intr-un jurnal, si orice indiciu referitor la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile. 8. Clasificarea datelor Conducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de vedere al gradului de confidentialitate, printr-o decizie formala a detinatorului datelor. Chiar si datele care nu necesita protectie trebuie clasificate in aceasta categorie printr-o decizie formala. Datele trebuie sa poata fi reclasificate in conditiile modificarii ulterioare a gradului de confidentialitate. 9. Centralizarea identificarii utilizatorilor si drepturilor de acces Identificarea si controlul asupra drepturilor de acces trebuie efectuate centralizate pentru a asigura consistenta si eficienta controlului global al accesului. 10. Rapoarte privind violarea securitatii sistemului

16

Administratorii de sistem trebuie sa se asigure ca activitatile care pot afecta securitatea sistemului sunt inregistrate, raportate si analizate cu regularitate, iar incidentele care presupun acces neautorizat la date sunt rezolvate operativ. Accesul logic la informatii trebuie acordat pe baza necesitatilor stricte ale utilizatorului (acesta trebuie sa aiba acces numai la informatiile care ii sunt necesare). 11. Gestionarea incidentelor Conducerea trebuie sa implementeze proceduri de gestionare a incidentelor legate de securitatea sistemului, astfel incat raspunsul la aceste incidente sa fie eficient, rapid si adecvat. 12. Increderea in terte parti Organizatia trebuie sa asigure implementarea unor proceduri de control si autentificare a tertilor cu care intra in contact prin medii electronice de comunicare. 13. Autorizarea tranzactiilor Politica organizatiei trebuie sa asigure implementarea unor controale care sa verifice autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza tranzactia. 14. Prevenirea refuzului de acceptare a tranzactiei Sistemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate ulterior de nici un participant. Aceasta presupune implementarea unui sistem de confirmare a efectuarii tranzactiei. 15. 16. Informatiile sensibile trebuie transmise numai pe un canal de Protectia functiilor de securitate comunicatii considerat sigur de parti, care sa nu permita interceptarea datelor Toate functiile organizatiei legate de asigurarea securitatii trebuie protejate in mod special, in vederea mentinerii integritatii acestora. Organizatiile trebuie sa pastreze secrete procedurile de securitate.

17.

Managementul cheilor de criptare

17

Conducerea trebuie sa defineasca si sa implementeze proceduri si protocoale pentru generarea, modificarea, anularea, distrugerea, certificarea, utilizarea cheilor de criptare pentru a asigura protectia impotriva accesului neautorizat. 18. Prevenirea, detectarea si corectarea programelor distructive In vederea protejarii sistemului impotriva aplicatiilor distructive (virui), trebuie implementata o procedura adecvata care sa includa masuri de prevenire, detectare, actiune, corectare si raportare a incidentelor de acest fel. 19. Arhitecturi Firewall si conectarea la retele publice In cazul in care sistemul organizatiei este conectat la Internet sau alte retele publice, programe de protectie adecvate (firewalls) trebuie implementate pentru a proteja accesul neautorizat la resursele interne ale sistemului. 20. Protectia valorilor electronice Conducerea trebuie sa asigure protectia si integritatea cardurilor si a altor dispozitive folosite pentru autentificare sau inregistrare de date considerate sensibile (financiare). SECURI TATEA SISTEM ELOR INFORMATIONALE Organizatia trebuie sa aiba o politica se securitate informationala. Responsabilitatile personalului Atributiile responsabilului cu securitatea Clarificarea datelor si nivelurile de securitate Controlul (auditul) intern al securitatii standarde interne si principii privind securitatea S.I. - la nivel grobal codul etic al angajatilor si pregatirea acestora.

Politica de securitate se refera la tot personalul angajat : - pe grupe (functii, sectii) de lucru

SEPARAREA FUNCTIILOR INCOMPATIBILE Limiteaza erorile si fraudele Creste probabilitatea detectarii fraudelor Separarea functiilor se realizeaza in domeniile : Initierea si autorizarea tranzactiilor Inregistrarea tranzactiilor

18

custodia activelor

Persoane diferite pentru operatiile : programare operare procesare date pregatire gestionar memorie externa operator eliberare, multiplicare, distrugere informatii autorizare programare administrare baza de date responsabil securitate orice alte activitati controlul drepturilor de acces alte functii (activitati). AUTORIZAREA UTILIZATORILOR 1. sistemului 2. 3. Autentificare : functia de stabilire a validitatii identitatii pretinse Autorizare : sistemului CONTROLUL ACCESULUI Riscurile accesului neautorizat : Diminuarea confidentialitatii Furtul informatiilor Divulgarea neautorizata de informatii Diminuarea integritatii informatiilor Intreruperea functionarii sistemului utilizatorului recunoscut i se permite accesul la resursele Identificare : calculatorul recunoaste un potential utilizator al

Controlul accesului in mediile publice utilizand FIREWALL Impune o politica de control a accesului intre doua retele. Intreg traficul de date trece prin el Este permisa numai trecerea autorizata prin politica locala de securitate Sistemul insusi este imun la penetrare Monitorizarea comunicatiilor TCP/IP Poate inregistra toate comunicatiile Poate fi folosit la criptare.

19

ETAPELE ATACULUI LA O RETEA I. Colectare de informatii Protocol SNMP neprotejat Programe TRACE ROUTE - ofera adresele retelelor si routelor intermediare spre o tinta Serverele DNS Protocol FINGER Programul PING - pot fi interogate pentru a obtine informatii - informatii despre utilizatorii unui calculator - determina daca un calculator e disponibil referitoare la tipul calculatoarelor, numele si adresele I P ascoiate gazda login, nr. telefon, data ultimei conectari II. Testarea securitatii sistemelor Program de scanare a securitatii sistemelor - SS (I NTERNET SECURI TY SCANNER) -SATAN (SECURITY ADMINISTRATOR TOOL FOR AUDITING NETWORK) Programe proprii pentru conectare la porturile specifice ale serviciilor vulnerabile. III. Accesarea sistemelor protejate obtinerea accesului (privilegiat). CONTROLUL SECURITATII FIZICE Auditorul verifica masura in care accesul fizic la date si resursele hardware sunt restrictionate corespunzator : - Cum este restrictionat accesul fizic la facilitatile IT din firma? - Cum este restrictionat accesul la spatiile unde se afla echipamentele pe care se realizeaza prelucrarile? - Cum sunt protejate stocarile offline de date? - Cat de sigura, din punct de vedere informational, este scoaterea din uz a calculatoarelor si mediilor de stocare a datelor? - examineaza tabela de rutare pentru un router

20

 Existenta unor programe gen Easy Recovery sau Lost & found care permit recuperarea datelor sterse de pe mediile de stocare. Comanda UNFORMAT din DOS. dificultatea asigurarii controlului accesului fizic la fiecare componenta hardware extinderea lucrului in retea si a utilizarii sistemelor distribuite s-a caracterizat prin concentrarea atentiei pe controlul accesului logic, dar controlul accesului fizic ramane in continuare important, el reprezentand o componenta a sistemului de securitate. COPII DE SIGURANTA SI EVENIMENTE NEPREVAZUTE Auditorul trebuie sa verifice daca la nivelul organizatiei exista : - Proceduri prin care sa se asigure functionarea sistemului in cazul caderii alimentarii cu energie electrica sau a cailor de comunicatii. Exista sectoare sensibile bancar, bursier, securitatea statului, energetic etc. care impun asigurarea functionarii continue a sistemelor informatice ceea ce implica existenta unor surse alternative de energie si/sau comunicatii. - Planuri bine testate si documentate, actualizate periodic prin care sa se asigure operationalitatea sistemului informatic in conditiile producerii unor evenimente neprevazute. - Proceduri si controlul aplicarii acestora, privind realizarea copiilor de siguranta si refacerea starii sistemului in cazul caderii acestuia ca urmare a unor cauze hard sau soft. - Existenta unui contract de asigurare a organizatiei pentru evenimente neprevazute. - Nivelul de instruire a personalului cu privire la procedurile aplicabile in cazul realizarii periodice a copiilor de siguranta sau executarii procedurilor de criza in cazul producerii dezastrelor. Refacerea in cazul esecului operational Auditorul verifica : - daca sunt stabilite proceduri adecvate in cazul producerii unor esecuri operationale - daca aceste proceduri sunt verificate si aprobate de staff-ul IT - daca aceste esecuri operationale sunt identificate, rezolvate la timp, comsemnate si raportate

21

- in ce masura echipamentele sunt adecvat plasate si protejate pentru a se preveni riscul distrugerii accidentale (foc, fum, praf, vibratii, radiatii electromagnetice etc.) - in ce masura echipamentele sunt corect intretinute - ce controale exista pentru prevenirea esecurilor operationale produse din : - cauze hardware - neaplicarea corecta a procedurilor de operare - erori software - care sunt procedurile de RESTART si REFACERE (Recovery) pentru refacerea starii sistemului in urma unui esec operational - in caz de incidente sunt evaluate actiunile operatorilor pentru a se vedea daca prin actiunile lor nu au afectat calitatea prelucrarilor sau structurile de date.

CONTROLUL NIVELULUI OPERATIONAL Distribuirea prelucrarii impune controlul la nivel operational Activitati auditate : 1. Operarea efectiva la postul de lucru - restrictionarea accesului - utilizarea eficienta a timpului de lucru - intretinerea si repararea echipamentului - cunoasterea si respectarea procedurilor de catre utilizatori 2. Reteaua de calculatoare - Modul de monitorizare a traficului pe retea - Politica antivirus server sau post de lucru - Controlul politicilor de acces si restrictionare - Protectia conexiunii la retele publice Auditorul urmareste : Controlul retelei/accesului dial-up: Accesul de la distanta la SI (prin conexiunile la retea sau dial-up) trebuie sa fie restrictionate corespunzator: - Cum sunt autentificate conectarile de la distanta la calculatoarele organizatiei - Daca reteaua este mare, in ce masura este organizata pe domenii separate? - Daca reteaua este partajata (mai ales daca se extinde dincolo de organizatie) ce

22

controale exista pentru a se verifica faptul ca utilizatorii acceseaza doar portiunile de retea pentru care sunt autorizati? - Cum sunt protejate transmisiile in retea? - Daca este corespunzator numarul de utilizatori dial-up? - Cum sunt autentificati utilizatorii dial-up? - In ce masura disponibilitatea facilitatilor dial-up este restrictionata la momentele de timp (zi/ saptamana)? - Ce controale se folosesc pentru diagnosticul porturilor? Controlul conexiunilor externe la retea (Internet, EDI, EFT) - Conexiunile externe trebuie folosite doar pentru scopuri valide ale afacerii si controalele trebuie sa previna ca aceste conexiuni sa submineze securitatea sistemului - In ce masura aceste conexiuni externe sunt impuse de nevoi ale organizatiei? - Cat de sigura este posta electronica a organizatiei? - Cat de bine este protejat gateway-ul dintre Internat si mediul firmei? -Ce controale exista pentru a preveni accesarea unor site-uri inadecvate? - Ce controale exista pentru a preveni navigarea neproductiva pe Internet a personalului si in afara sarcinilor de serviciu? - Cat de bine sunt protejate conexiunile externe ale retelei pentru folosirea EDI si EFT? Solutia hardware si software a retelei trebuie sa asigure nevoile de disponibilitate, performanta si flexibilitate. - Ce documentatie de retea este disponibila?- Cum sunt aprobate modificarile din retea, controlate si testate? - Ce procese au loc pentru planificarea capacitatii si monitorizarea nivelului de performanta? 3. Pregatirea datelor si introducerea in sistem - Pregatirea documentelor primare Datele sunt clasificate, grupate, verificate, sortate si transmise pentru procesare. - Controlul introducerii datelor

23

 Acuratetea datelor depinde de : - calitatea controalelor - factorul uman - tipul echipamentelor folosite pentru introducerea datelor in system. 4. Procesarea datelor - Acces autorizat pentru declansarea procedurilor - Respectarea termenelor si timpilor de procesare - Protejarea fisierelor - Pastrarea rezultatelor procesarii Auditorul va verifica cum managementul controleaza masura in care rolul si responsabilitatile personalului implicat in procesarea datelor sunt cunoscute si respectate, focalizand pe procedurile de : - backup si refacerea sistemului - prelucarea pe loturi (batch) si/ sau on-line. Asigurarea la timp a datelor necesare prelucrarilor, mai ales in cazul in care acestea sunt asigurate de alte sisteme informatice (interne sau externe organizatiei) - intretinerea software-ului. Auditorul va urmari masura in care a asigurat documentatia necesara personalului implicat in procesarea datelor. 5. Gestionarea mediilor de stocare Pastrarea, utilizarea si intretinerea : - dischetelor - CD-urilor - HDD-urilor - casetelor cu banda (data cartdrige) - casetelor zip Jurnalul de evidenta a mediilor de stocare cuprinde : - identificatorul (eticheta) mediului de stocare - localizarea curenta - persoana responsabila (gestionarul)

24

- data achizitiei - utilizatorul - fisierele/programele/ aplicatiile continute - persoanele autorizate sa acceseze mediul. 6. Gestionarea aplicatiilor si a documentatiei - modul de pastrare - modul de acces - actualizarea documentatiei - copii de siguranta. 7. Asistenta tehnica - modul de achizitionare a hardware-ului - instruire utilizatori - identificarea erorilor de procesare si modul de rezolvare - controlul soft-urilor - raportarea incidentelor. Managementul trebuie sa stabileasca nivelurile de service necesitate de utilizatori si sa stabileasca politicile privind asigurarea acestora : - In ce masura corespund contractele de service existente nevoilor reale? - In ce masura service-ul asigurat raspunde cerintelor de securitate? 8. Monitorizarea performantelor Monitorizarea performantei operationale si aprobarea procedurilor documentate. Managementul trebuie sa monitorizeze performanta privitoare la nivelele de service si a procedurilor de operare. - Ce informatii primeste managerul pentru a-i permite sa monitorizeze starea mediului hard si terminarea la timp a prelucrarilor batch? - Cat de des se primesc aceste informatii? - In ce masura au existat probleme cu performanta componentelor hardware si/sau executarea la timp a prelucrarilor batch? - Ce monitorizare se desfasoara pentru verificarea operarii eficiente a calculatorului? - In ce masura au existat probleme cu neaprobarea unor proceduri definite pentru operarea calculatorului?

25

Bibliografie:

26

Brnda Claudiu -Auditul sistemelor informaionale de gestiune, Revista de Audit

Financiar, nr.3 din 2003. Muntean Adrian -Auditul sistemelor informaionale contabile, Ed. Polirom, 2002. Camera Auditorilor Financiari din Romania-Audit financiar 2000, Editura Economica Bucuresti.2000.

27