Auditul Sistemelor Informatice
29
UNIVERSITATEA PETROŞANI FACULTATEA DE ŞTIINŢE ECONOMICE SISTEME INFORMATICE DE GESTIUNE REFERAT SISTEME DE SECURITATE ŞI PROTECŢIA INFORMAŢIILOR ANUL II SEMESTRUL I 1
Transcript of Auditul Sistemelor Informatice
UNIVERSITATEA PETROŞANIFACULTATEA DE ŞTIINŢE ECONOMICESISTEME INFORMATICE DE GESTIUNE
REFERAT
SISTEME DE SECURITATE ŞI
PROTECŢIA INFORMAŢIILOR
ANUL II SEMESTRUL I
PETROŞANI2010
1
CUPRINS
CAPITOLUL IAuditul Sistemelor Informatice…………………………………………..3-5CAPITOLUL IIAuditul financiar în sistemele informatizate computerizate……………..6-11 -Procesarea datelor în CIS -Proceduri de audit -Structura sistemelor de control intern în CISCAPITOLUL IIISecuritatea şi vulnerabilitatea în CIS………………………………..…12-16 -Securitatea informaţiilor -Securitatea conectării în internet -Vulnerabilitatea reţelelor -Categorii de atacuri asupra reţelelorCONCLUZIE………………………………………………………….17
2
CAPITOLUL I
AUDITUL SISTEMELOR INFORMATICE
Auditul sistemelor informatice reprezintă activitatea de colectare şievaluare a unor probe pentru a determina dacă sistemul informatic estesecurizat, menţine integritatea datelor prelucrate şi stocate, permite atingereaobiectivelor strategice ale întreprinderii şi utilizează eficient resurseleinformaţionale. În cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaţii sunt verificările, evaluările şi testările mijloacelorinformaţionale, astfel:- identificarea şi evaluarea riscurilor din sistem;- evaluarea şi testarea controlului din sistem;- verificarea şi evaluarea fizică a mediului informaţional;- verificarea şi evaluarea administrării sistemului informatic;- verificarea şi evaluarea aplicaţilor informatice;- verificarea şi evaluarea securităţii reţelelor de calculatoare;- verificarea şi evaluarea planurilor şi procedurilor de recuperare încaz de dezastre şi continuare a activităţii;
- testarea integrităţii datelor.Ca orice demers de planificare şi în domeniul sistemelor informatice,
acesta se întemeiază pe un proces de anticipare având ca scop definirea obiectivelor fundamentale, care trebuie atinse prin dezvoltarea viitoarelor sisteme, precum şi a acţiunilor necesare.În vederea stabilirii unei coerente manageriale la nivelul organizaţiei, procesul de planificare referitor la dezvoltarea sistemelor informatice vizează doua obiective fundamentale:- Realizarea unei coordonări intre obiectivele strategice de ansamblu ale organizaţiei şi cerinţele satisfăcute prin sistemele informatice.- Asigurarea compatibilităţii intre definirea globala a sistemelor informatice şi realizarea lor progresivă. Auditul informatic reprezintă o formă esenţială prin care se verificădacă un SI îşi atinge obiectivul pentru care a fost elaborată. Standardeledefinesc clar domeniul, activităţile, etapele, conţinutul auditării şi formelede finalizare. Respectând cerinţele standardelor, rezultatul procesului deauditare informatică este eliberat de riscurile contestării. Auditul informaticreprezintă un domeniu cuprinzător în care sunt incluse toate activităţile deauditare pentru : specificaţii, proiecte, software, baze de date, proceselespecifice ciclului de viaţă ale unui program, ale unei aplicaţii informatice,ale unui sistem informatic pentru management şi ale unui portal de maximăcomplexitate, asociat unei organizaţii virtuale.
3
În domeniul informatic există mai multe direcţii de dezvoltare aAuditului: Auditarea software constă în activităţi prin care se evidenţiază gradulde concordanţă dintre specificaţii şi programul elaborat. Auditul software dămăsura siguranţei pe care trebuie să o aibă utilizatorul de programe atuncicând obţine rezultate Auditul bazelor de date, este un domeniu de maximă complexitateavând în vedere că, de regulă, lucrul cu bazele de date presupune atât dateleca atare însoţite de relaţiile create între ele, cât şi programele cu care datelese gestionează. În cazul auditării riscului de gestiune a datelor stocate în baze dedate se verifică dacă:- programele referă corect câmpurile cu date stocate;- operaţiile de prelucrare sunt cele din specificaţii;- agregările, sortările, evaluările de expresii de extragere a subseturilor de date sunt în concordanţă cu specificaţiile de obţinere a rezultatelor ca structură, dimensiune şi conţinut. Auditul sistemelor informatice evaluează riscurile unui mediuinformatic sau ale unei aplicaţii informatice, ca de exemplu calcululsalariilor sau facturarea. Aceste misiuni se realizează alegând, împreună cuclientul, procesul de evaluare.Auditul informatic poate să evalueze aspecte strategice sau referitoare la calitatea sistemelor informatice. De exemplu, să verifice dacă sistemul informatic al întreprinderii răspunde în mod eficient la nevoile funcţiilor serviciului. Auditul mediului informatic se execută pentru a evalua riscurile sistemelor informatice necesare funcţionării aplicaţiilor. De exemplu: securitatea fizică, securitatea logică, securitatea reţelelor, plan de salvare. În urma auditării, se întocmeşte un raport în care sunt prezentate punctele slabe, nivelul de risc al acestora şi măsurile corective propuse. Analistul informatic are la dispoziţie numeroase tehnici şi metode pe care le adaptează contextului. De aceea, în cadrul procesului de audit informatic, planificarea şi definirea metodei de audit este esenţială. Alegerea unei metode neadecvate conduce la utilizarea de instrumente neadecvate, iar rezultatele auditului au caracter speculativ. Auditul propriu-zis include proceduri analitice, teste, prin care se evidenţiază diferenţele dintre ceea ce s-a planificat a se realiza şi ceea ce s-arealizat. Procedurile analitice au la bază contractele încheiate între părţi, minutele care detaliază obiective, sarcinile ce revin partenerilor, specificaţiile. Auditorul tehnic trebuie să ierarhizeze informaţiile astfel încât să identifice punctele cheie care definesc procesul de analiză, proiectare, dezvoltare, testare, implementare a
4
produsului informatic, fie că este vorba de un simplu program, fie că este vorba de o aplicaţie informatică desktop sau în reţea, fie că este vorba de un sistem informatic care vizează întreaga activitate a unei organizaţii. Principalele tipuri de audit informatic sunt:- auditul sistemului operaţional de calcul; revizia controalelorsistemelor operaţionale de calcul şi reţelelor, la diferite niveluri; deexemplu, reţea, sistem de operare, software de aplicaţie, baze de date,controale logice/procedurale, controale preventive/detective/corective etc;- auditul instalaţiilor IT; include aspecte cum sunt securitateafizică, controalele mediului de lucru, sistemele de management şiechipamentele IT;- auditul sistemelor aflate în dezvoltare; acoperă unul sau ambeleaspecte: (1) controalele managementului proiectului şi (2) specificaţiile,dezvoltarea, testarea, implementarea şi operarea controalelor tehnice şiprocedurale, incluzând controalele securităţii tehnice şi controalelereferitoare la procesul afacerii;-auditul managementului IT include: revizia organizaţiei, structurii, strategiei, planificării muncii, planificării resurselor, stabilirii bugetului, controlul costurilor etc.; - auditul procesului IT revederea proceselor care au loc în cadrul IT cum sunt dezvoltarea aplicaţiei, testarea, implementarea, operaţiile mentenanţa, gestionarea incidentelor;- auditul managementului schimbărilor revizia planificării şi controlului schimbărilor la sisteme, reţele, aplicaţii, procese, facilitaţi etc., incluzând managementul configuraţiei, controlul codului de la dezvoltare, prin testare, la producţie şi managementul schimbărilor produse în organizaţie ca rezultat al ICT;- auditul controlului şi securităţii informaţiilor revizia controalelor referitoare la confidenţialitatea, integritatea şi disponibilitatea sistemelor şi datelor;- auditul conformităţii cu legalitatea copyright, conformitate cu legislaţia, protecţia datelor personale;- auditul accidentelor dezastruoase/planificării continuităţii afacerii/refacerii după dezastre; reviziile măsurilor propuse pentru restaurarea după un dezastru care afectează sistemul şi evaluarea modului în care organizaţia abordează managementul riscurilor;- auditul strategiei IT revizia aspectelor variate ale strategiei IT,viziune şi planuri, inclusiv relaţiile cu alte strategii, viziuni şi planuri.Auditul sistemelor informatice implică:- executarea unei serii de teste pentru a se asigura că există un control adecvat asupra sistemului informatic;- controale generale;- controalele aplicaţiilor.
5
CAPITOLUL II
AUDITUL ÎN SISTEMELE INFORMATIZATE COMPUTERIZATE
Auditul financiar în societăţile comerciale în care funcţionează sisteme de informaţie computerizate (CIS) se realizează în cadrul unui set de reglementari prevăzute de legislaţia de profil si de standardele internaţionale de audit (ISA), respectiv:
· ISA nr. 250 – “Rolul legislaţiei şi reglementarilor in vigoare in auditul situaţiilor financiare” (Considerations of Laws and Regulations in an Audit of Financial Statements)
· ISA nr. 401 – “Auditul într-un mediu de sisteme de informaţii computerizate” (Auditing in a Computer Information Systems Environment)
· ISA nr. 1008 – “Evaluarea riscurilor şi controlul intern – Caracteristici şi considerente CIS” (Risk Assessments and Internal Control – CIS Characteristics and Considerations)
· ISA nr. 1009 – “Tehnici de audit asistate de calculator”
Toate aceste standarde au ca punct comun de debut structura organizaţională entităţii patrimoniale ca subiect de audit, structura proprie de conducere a activităţilor CIS, caracteristicile sistemului şi natura procesării.
Procesarea datelor in CIS
Potrivit ISA nr. 1008, preluarea şi prelucrarea datelor şi informaţiilor, înregistrarea în conturi a modificărilor ce se produc în elementele bilanţului, ca efect al tranzacţiilor încheiate de societate, procedurile diferite ce se folosesc in CIS în comparaţie cu procedurile contabilităţii tradiţionale, particularizează CIS prin următoarele trăsături: · Absenţa documentelor de intrare (justificative), asemănător procesării în sistemele de tranzacţionare on-line; · Absenţa probelor materiale de derulare a tranzacţiilor, numeroase programe fiind concepute cu conservarea informaţiilor numai sub forma de fişier in calculator, iar după un timp listarea sau, după caz, memorizarea externă şi arhivarea lor pe CD; · Absenţa unor ieşiri vizibile, rezultatele procesării informaţiilor de intrare neputându-se examina vizual sau numai cu acces limitat la date de sinteza.
6
Mediul de audit în sistemele de informaţii computerizate este definit în ISA nr. 401, in felul urmator: “ Un mediu de audit CIS functioneaza in firmele in care un computer de orice tip sau marime este implicat in prelucrarea de catre entitate a informatiilor financiare semnificative pentru audit, indiferent daca acel computer este folosit de entitatea propriu-zisa sau de catre o terta parte.” Pentru aceste considerente “auditorul trebuie sa aiba cunostinte suficiente despre CIS pentru a planifica, a conduce, a supraveghea si a revizui activitatea desfasurata”.
Proceduri de audit în medii de sisteme de informaţii computerizate CIS
Controlul intern prin intermediul prelucrarii computerizate, care contribuie la realizarea obiectivelor globale ale procesului de audit, include atat proceduri manuale, cat si proceduri caracteristice programelor computerizate. Obiectivele sistemului de control intern al CIS se refera la: · Conformitatea activitatii conducerii intreprinderii/societatii-mama/sucursalei, etc., cu obiectul de activitate pe care aceasta il are prevazut si corespunde cu hotararile organelor statutare; · Protectia activelor si pasivelor entitatii; · Corectitudinea informatiilor/datelor.
Sistemul de control intern al departamentului IT actioneaza in stransa concordanta cu obiectivele auditului financiar, acestea constituindu-se intr-un ansamblu de controale generale si controale specifice.
Controlul general se refera la organizarea CIS si la componentele acestuia, chiar daca nu se afla in directa legatura cu elementele situatiilor financiare. Controlul specific are in vedere procedurile automatizate care gestioneaza si elaboreaza informatiile si datele referitoare la evidenta contabila.În mod deosebit, controlul specific are urmatoarele obiective: · Fiecare eveniment, tranzactie sau operatie gestionara trebuie sa-si gaseasca reflectarea corespunzatoare in contabilitate; · Fiecare inregistrare in evidenta contabila trebuie sa fie identificabila cu evenimentul sau tranzactia pe care a generat-o; · Fiecare inregistrare in evidenta contabila trebuie sa fie elaborata si recunoscuta in conformitate cu principiile contabile.
Auditul financiar al structurilor CIS cuprinde trei faze, şi anume:
· Faza preliminara efectuata cu scopul cunoasterii si evaluarii globale a caracteristicilor generale ale sistemului de control intern ale sectorului CIS, in vederea stabilirii gradului de credibilitate al sistemului insusi;
7
· Faza de examinare amanuntita si de studiere a constatarilor si concluziilor controalelor generale si controalelor specifice ale departamentului IT in general si al sectorului CIS in special, pentru prezentarea gradului de credibilitate a rezultatelor; · Faza efectuarii de sondaje, cu scopul certificarii examinarii, studierii si controlului proceselor CIS.
Sistemele electronice automatizate total sau partial, proiectate pentru procesarea informatiilor financiar-contabile, prezinta urmatoarele particularitati definitorii: - Credibilitatea rezultatelor furnizate se afla in dependenta directa, in principal, de corectitudinea informatiilor supuse tratamentelor informatice;
- Prelucrarea electronica a datelor se realizeaza, in general, in ansambluri ale tehnicii de calcul, care concentreaza programe numeroase si diferite, unde opereaza un numar limitat de persoane cu drept de acces; - In sistemele automatizate sunt memorizate pe diferite suporturi o varietate si un volum extrem de mare de date; deteriorarea, pierderea sau interventia ilicita intentionata sau nu in baza de date poate avea consecinte grave asupra sistemelor informatice; - Intr-un sistem electronic de prelucrare a informatiilor, este limitata posibilitatea de a preciza daca un program poate fi continuat sau daca este autorizata procesarea; - In sistemele automatizate interventiile nelegale in derularea logica a programelor sau in mod direct asupra datelor pot altera rezultatele, facand imposibila sau ingreunand evidenta tranzactiilor sau proceselor economice-financiare. Aceste particularitati ale CIS, si implicit ale entitatii, cer auditorului:- Cunoasterea tehnicilor de control specifice CIS si sistemelor automate on-line care pot influenta in mod revelator situatiile financiare;- Sistemele electronice si programele care pot fi revelatoare in elaborarea si prezentarea situatiilor financiare sa fie evaluate functional prin sondaje secventiale.
Structura sistemului de control intern in CIS
Sistemul de control intern in doemniul informaticii de gestiune, mai precis in procesele de prelucrare electronica a datelor cuprinde, asadar, controale generale si controale specifice.
Controlul general
8
Controlul general are ca obiectiv sa asigure fluxurile de procesare a datelor pe baza organizarii si functionarii in bune conditii a activitatii departamentului (sectorului, directiei, etc.) informaticii de gestiune.Conform “Audit operationnel” (Becour J.C., Bouquin H. – Economia, Paris, 1991), realizarea acestui obiectiv este conditionata de:- Structura organizationala a sectorului CIS;- Repartizarea de activitati si responsabilitati precise personalului;- Functionarea responsabila si protectia tehnicii din dotare;- Metodologia de utilizare a sistemelor aplicative;- Metodologia gestionarii programelor de calcul si a bazei de date;- Proceduri de operare;- Controlul intern si supravegherea functionarii sistemelor CIS.
Controalele generale CIS pot include, conform ISA nr. 1008:
a. Controale ale organizarii si conducerii – concepute sa stabileasca un cadru de lucru organizational pentru activitatile CIS, inclusive:- Politici si proceduri referitoare la functiile de control;- Impartirea adecvata a functiilor
b. Dezvoltarea sistemelor de aplicatii si controale de intretinere – concepute sa ofere o siguranta rezonabila, in sensul ca aceste sisteme sunt dezvoltate si mentinute de o maniera autorizata si eficienta. De asemenea, ele sunt tipic concepute, cu scopul de a stabili un control asupra: -Testarii, conversiei, implementarii si documentarii pentru sistemele noi sau pentru cele revizuite;- Modificarilor sistemelor de aplicati;- Accesului la documentatia sistemelor; - Achizitionarii sistemelor de aplicatii de la terte parti.
c. Controlul operatiunilor computerizate – conceput sa controleze operarea sistemelor si sa ofere o siguranta rezonabila in ceea ce priveste faptul ca:- Sistemele sunt utilizate numai pentru scopuri autorizate;- Accesul la operatiunile computerizate este limitat la personalul autorizat;- Sunt utilizate numai programe autorizate;- Erorile de procesare sunt detectate si corectate;
d. Controlul software-ului de sistem – conceput sa ofere o siguranta rezonabila ca software-ul de sistem este obtinut sau dezvoltat intr-o maniera autorizata si eficienta, incluzand:- Autorizarea, aprobarea, testarea, implementarea si documentatia pentru noile pachete de software de sistem si pentru modificarile aduse pachetelor de soft existente;- Limitarea accesului la software-ul si documentatia de sistem numai la persoanele autorizate.
9
e. Controlul intrarilor de date si al programelor – conceput sa ofere o siguranta rezonabila privind faptul ca:- Este stabilita o structura de acordare a autorizarii pentru tranzactiile care sunt introduse in sistem;-Accesul la date si programe este interzis personalului neautorizat.
Controlul specific
Controlul specific se refera la securitatea inregistrarii si procesarii datelor in vederea cuprinderii ansamblului documentelor specifice fiecareia din componentele situatiilor financiare: bilant, contul de profit si pierdere, fluxurile de trezorerie, modificarile capitalului propriu, continutul notelor explicative. Aceste controale pot fi regrupate in trei structuri:
- Controale cu privire la datele de intrare ,care au ca scop furnizarea certitudinii ca datele integrate in CIS in vederea procesarii au fost autorizate preventiv, au fost convertite in forma inteligibila acceptata de calculator si nu pot fi alterate pe cai neregulamentare; - Controale cu privire la modul de procesare care au ca obiect obtinerea unei certitudini rationale potrivit careia procesarea se desfasoara in conformitate cu programul optim necesar si cu procedurile autorizate; - Controale cu privire la rezultatele procesarii care se efectueaza cu scopul ca datele de iesire, indiferent de suportul de prezentare- sa fie corecte, coerente si obtinute in conformitate cu metodologia prestabilita, programele autorizate fiind acceptate de personalul autorizat.
Controlul datelor de intrare
Controlul datelor de intrare cuprinde tehnici si metodologii de natura sa garanteze integralitatea, acuratetea si oportunitatea datelor contabile din momentul prezentarii lor spre procesare pana la prezentarea produsului avut in vedere.
Toate aceste aspecte cer auditorului sa cunoasca actiunile desfasurate de controlul intern, in legatura cu datele ce urmeaza a fi procesate la calculator si sa verifice:· Existenta procedurilor autorizate pentru accesul datelor la prelucrarea CIS;· Prezenta controalelor de acces la terminale si protectia datelor in scopul prevenirii tentativelor ilegale;· Efectuarea de controale privitoare la ansamblul structurii datelor de intrare, a caracterului rational de prelucrare a acestora si a corectitudinii informatiilor de iesire;· Existenta unor metodologii precise de sesizare si corectare a erorilor;
10
· Existenta controlului modului de transmitere, prelucrare si comunicare a datelor prin diferitele sisteme de telecomunicatii.
Controlul procesarii datelor
Cuprinde tehnici si metodologii menite sa garanteze tratamentul corect si complet al datelor in concordanta cu programele de calcul adoptate, prevenirea folosirii in mod inadecvat a aplicatiilor, omisiunea preluarii integrale a datelor si introducerea de date neautorizate. Auditorul trebuie sa aiba in vedere modul in care controlul intern si-a indeplinit atributiile astfel incat sa se asigure:- Respectarea secventelor logice ale fazelor procesarii;- Existenta analizelor referitoare la producerea de erori si la cauzele acestora;- Prezenta procedurilor de salvare si reluarea procedurilor de functionare in caz de eroare;- Existenta unei documentatii complete si actualizate cu privire la gestiunea sistemului aplicativ si la activitatea personalului implicat (analisti, programatori,operatori, intretinere);- Protectia procesarii si prezentarii documentelor finale cu erori, folosirea neadecvata sau neautorizata a datelor.
Studiul analitic al controalelor specifice cere auditorului sa cunoasca sistemele aplicative si credibilitatea rezultatelor procesarii. Procedurile cele mai uzuale au in vedere:· interviuri cu personalul de operare si cu cel de intretinere a sistemului;· examinarea documentatiei disponibile;· observarea directa a activitatilor CIS;· examinarea structurii datelor de intrare;· examinarea documentelor elaborate si a informatiilor de iesire;· examinarea instructiunilor insotitoare ale programelor si a instructiunilor de control;· examinarea continutului datelor arhivate.
Controlul rezultatelor procesarii
Controalele ce se efectueaza in aceasta etapa constau in confruntarea rezultatelor furnizate in documentele de iesire cu evenimentele, procesele economico-financiare si tranzactiile echipei manageriale a intreprinderii. Controalele generale si controalele specifice acorda auditorului posibilitatea sa evalueze calitatea si functionalitatea controlului intern si, totodata, semnificatia diferitelor componente ale CIS, intre care: capacitatea si complexitatea tehnicii de calcul si a programelor utilizate in procesarea datelor,
11
complexitatea si caracterisiticile sistemelor aplicative, exigentele privind rigurozitatea si certitudinea tratamentelor si procesarii datelor.
CAPITOLUL III
SECURITATEA ŞI VULNERABILITATEA CIS
Securitatea informatica
Securitatea informatica a devenit una din compenentele majore ale internetului. Sistemele informatice sunt amenintate atat din interior cat si din exterior. Pot fi persoane bine intentionate care fac diferite erori de operare sau persoane rau intentionate, care sacrifica timp si bani pentru penetrarea sistemelor informatice. Dintre factorii tehnici care permit fisuri de securitate pot fi anumite erori ale software-ului de prelucrare sau de comunicare sau anumite defecte ale echipamentelor de calcul sau de comunicatie. De asemenea, lipsa unei pregatiri adecvate a administratorului, operatorilor si utilizatorilor de sisteme amplifica probabilitatea unor brese de securitate. Folosirea abuziva a unor sisteme (piraterie informatica) reprezinta, de asemenea, unul din factorii de risc major privind securitatea sistemelor informatice.
In ultimii ani, in ţările dezvoltate, hârtia a devenit numai un mediu de prezentare a informatiilor nu si de arhivare sau transport. Aceste ultime doua functii au fost preluate de calculatoare si de retele de interconectare a acestora. De aceea au trebuit sa fie gasite solutii pentru inlocuirea sigiliilor, stampilelor si semnaturilor olografe din documentele clasice cu variantele lor digitale, bazate pe criptografia clasica si cu chei publice. Criptografia computationala este tot mai folositapentru contracararea problemelor de securitate informatica. Utilizata multa vreme doar pentru asigurarea confidentialitatii comunicatiilor militare si diplomatice, criptografia a cunoscut in ultimii 20 de ani progrese spectaculoase, datorate aplicatiilor sale in securitatea datelor la calculatoare si retele.
Ameliorarea securitatii sistemelor informatice trebuiesa fie un obiectiv important al oricarei organizatii.Trebuie insa avuta in vedere asigurarea unui bun echilibru intre costurile aferente si avantajele concrete obtinute. Masurile trebuie sa descurajeze tentativele de penetrare neautorizata, sa le faca mai costisitoare decat obtinerea legala a accesului la aceste programe si date. OCED
12
(Organization of Economic Cooperation and Development) este unul din organismele internationalepreocupate de domeniul protectiei datelor cu caracter personal, securitatii sistemelor informatice, politicii de cifrare si al protectiei proprietatii intelectuale.
In ceea ce priveste protectia datelor cu caracter personal, OECD a elaborat in anul 1985 Declaratia cu privire la fluxultransfrontarier al datelor. Ideea fundamentala era de a se realiza, prin masuri juridice si tehnice, controlul direct individual asupra datelor cu caracter personal si asupra utilizarii acestora. Eforturile actuale sunt dirijate catre realizarea unui cadru international in ceea fe priveste viata personala si autonomia individuala a persoanelor (libertatea de miscare, libertatea de asociere si drepturile fundamentale ale omului).
3.2. Securitatea conectarii in internet
Internetul este o structura deschisa la care se poate conecta un numar mare de calculatoare, fiind deci greu de controlat. De aceea putem vorbi de vulnerabilitatea retelelor, manifestata pe variate planuri. Un aspect crucial al retelelor de calculatoare, in special al comunicatiilor prin internet, il constituie securitatea informatiilor. Nevoia de securitate si de autenticitate apare la toate nivelurile arhitecturale ale retelelor. In tranzactiile financiare, alaturi de autenticitate si confidentialitate, un loc important il are si integritatea mesajelor, ceea ce inseamna ca mesajul receptionat nu a fost alterat in timpul transmisiei prin retea. In tranzactiile de afaceri este foarte important ca, o data receptionata, o comanda sa fie nu numai autentica, cu continut nemodificat, dar sa nu existe posibilitatea ca expeditorul sa nu o mai recunoasca. Deci portile (gateway) si rooter-ele trebuie sa discearna intre calculatoarele autorizate si cele intruse. In aceste conditii securitatea informatica a devenit una din componentele majore ale internetului.
In cazul internet-ului adresele diferitelor noduri si servicii pot fi determinate usor. Orice posesor al unui PC cu modem, avand cunostinte medii de operare poate incerca sa “forteze” anumite servicii cum ar fi conectarea la distanta (telnet), transferul de fisiere (ftp) sau posta electronica (e-mail). Exista persoane dispuse sa cheltuiasca resurse, bani si timp pentru a penetra diferite sisteme de securitate. Unii sunt adevarati “maestrii” in domeniu: penetreaza calculatorul A, cu ajutorul caruia intra in calculatorul B, folosit mai departe pentru accesul la calculatorul C, etc.
3.3. Vulnerabilitatea retelelor
13
O retea de calculatoare este o structura deschisa la care se pot conecta noi tirupi de schpamente. Acest lucru conduce la o largrire necontrolata a cercului utilizatorilor cu acces nemijlocit la resursele retelei.
Vulnerabilitatea retelelor se manifesta pe doua planuri:
posibilitatea modificarii sau distrugerii informatiei, adica atacul la integritatea ei fizica;
posibilitatea folosirii neautorizate a informatiilor, adica scurgerea lor din cercul de utilizatori stabilit.
Securitatea si in special caracterul privat trebuie sa constituie obiectul unei analize atente in cazul retelelor. Retelele sunt ansabluri complexe de calculatoare. Este foarte dificil sa se obtina o schema completa a tuturor entitatilor si operatiilor existente la un moment dat, astfel incat retelele sunt vulnerabile la diferite tipuri de atacuri sau abuzuri. Complexitatea este generata de dispersarea geografica, uneori internationala a componentelor (nodurilor) retelei, implicarea mai multor organizatii im administrarea unei singure retele, esistenta unor tipuri diferite de calculatoare si sisteme de operare, existenta unui numar mare de entitati. In viitorul imediat, retelele de calculatoare vor deveni o parte esentiala din viata sociala si individuala. De functionarea lor corecta depinde activitatea guvernamentala, comerciala, industriala si chiar personală. Pe masura ce calculatoarele personale pot fi conectate de acasa in retele, o serie de activitati pot fi facute de persoane particulare. Trebuie avute in vedere tipurile de date pe care persoanele le pot citi, care sunt celelalte persoane cu care pot comunica, la ce programe au acces. Tot mai multe informatii memorate in fisiere devin posibil de corelat prin intermediul retelelor. Aceasta asociere de fisiere privinf persoanele poate avea consecinte nefaste asupra caracterului privat individual. Informatia este vulnerabila la atac, in orice punct al unei retele, de la introducerea ei pana la destinatia finala. In particular, informatia este mai susceptibila la atac atunci cand trece prin liniile de comunicatii. Masurile puternice de control ale accesului, bazate pe parole, scheme de protectie in sisteme de operare, fac mai atractive asupra liniilor retelei decat asupra calculatoarelor gazda.
3.3 Categorii de atacuri asupra retelelor
Amenintarile la adresa securitatii unei retele de calculatoare pot avea urmatoarele origini: dezastre sau calamitati naturale, defectari al echipamentelor, greseli umane de operare sau manipulare, fraude. Cateva studii de securitate a calculatoarelor estimeaza ca jumatate din costurile implicate de incidente sunt datorate actiunilor voir distructive, un sfert dezastrelor accidentale si un sfert greselilor uname. In amenintarile datorate actiunilor voite, se disting doua categroii principale de atacuri: pasive si active.
14
Atacuri pasive – sunt acelea in cadrul carora intrusul observa informatia ca trece prin “canal” fara sa interfereze cu fluxul sau continutul mesajelor. Ca urmare se face doar analiza traficului, prin citirea identitatii partilor care comunica si “invatand” lungimea si frecventa mesajelor vehiculate pe un anumit canal logic, chiar daca continutul este neinteligibil. Atacurile pasive au urmatoarele caracteristici comune:
nu cauzeaza pagube (nu se sterg sau se modifica date); incalca regulile de confidentialitate;
obiectivul este de a “asculta” datele schimbate prin retea;
pot fi realizate printr-o varietate de metode, cum ar fi supravegherea legaturilor telefonice sau radio, exploatarea radiatiilor electromagnetice emise, rutarea datelor prin noduri aditionale mai putin protejate.
Atacuri active - sunt acelea in care intrusul se angajeaza fie in furtul mesajelor, fie in modificarea, reluarea sau inserarea de mesaje false. Aceasta inseamna ca el poate sterge, intarzia sau modifica mesaje, poate sa faca inserarea unor mesaje false sau vechi, poate schimba oridinea mesajelor, fie pe o anumita directie, fie pe ambele directii ale unui canal logic. Aceste atacuri sunt serioase deoarece modifica starea sistemelor de calcul, a datelor sau a sistemelor de comunicatii. Exista urmatoarele tipuri de amenintari active:
mascarada – este un tip de atac in care o entitate pretinde a fi o alta entitate
reluarea – se produce atunci cand un mesaj sau o parte a acestuia este reluata (repetata), in intentia de a produce un efect neautorizat
modificarea mesajelor – face ca datele mesajului sa fie alterate prin modificare, inserare sau sterfere. Poat fi folosita pentru a se schimba beneficiarul unui credit
refuzul serviciului – se produce cand o entitate nu izbuteste sa indeplineasca propria functie sau cand face actiuni care impiedica o alta entitate de la indeplinirea propriei functii;
repudierea serviciului – se produce cand o entitate refuza sa recunoasca un serviciu executat. Este evident ca in aplicatiile de transfer electronic de fonduri este important sa se evite repudierea serviciului atat de catre emitator, cat si de catre destinatar.
In cazul atacurilor active se inscriu si unele programe create cu scop distructiv si care afecteaza, uneori esential, securitatea calculatoarelor. Exista o
15
terminologie care poate fi folosita pentru a prezenta diferitele posibilitati de atac asupra unui sistem. Acest vocabular este bine popularizat de “povestile” despre “hackeri”. Atacurile presupun, in general, fie citirea informatiilor neautorizate, fie distrugerea partiala sau totala a datelor sau chiar a calculatoarelor. Ce este mai grav este posibilitatea potentiala de infestare, prin retea sau chiar copieri de dischete, a unui mare numar de masini. Dintre aceste programe distructive amintim urmatoarele:
virusii – reprezinta programe insertate in aplicatii care se multiplica singure in alte programe din spatiul rezident de memorie sau de pe discuri. Apoi fie satureaza complet spatiul de memorie/disc si blocheaza sistemul, fie dupa un numar fixat de multilpicari, devin activi si intra intr-o faza distructiva (care ste de regula exponentiala);
bomba software - este o procedura sau parte de cod inclusa intr-o aplicatie "normala", care este activata de un eveniment predefinit. Autorul bombei anunta evenimentul, lasand-o sa "explodeze", adica sa faca actiunile distructive programate;
viermii - au efecte similare cu cele ale bombelor si virusilor. Principala diferenta este aceea ca nu rezida la o locatie fixa sau nu se duplica singuri. Se muta in permanenta, ceea ce ii face dificil de detectat. Cel mai renumit exemplu este Viermele internetului-ului, care a scos din functiune o parte din internet in noiembrie 1988;
trapele - reprezinta accese speciale la sistem, care sunt rezervate in mod normal pentru proceduri de incarcare de la distanta, intretinere sau pentru dezvoltatorii unor aplicatii.
Calul Troian - este o aplicatie care are o functie de utilizare foarte cunoscuta si care, intr-un mod ascuns, indeplineste si o alta functie. Nu creeaza copii.
Hackerii sunt pasionati ai informaticii, care, de obicei au ca scop „spargerea” anumitor coduri, baze de date, pagini web etc. Ei sunt considerati infractori, in majoritatea statelor lumii. Hackerii adevarati nu „distrug”, de obicei, pagini inofensive, cum ar fi paginile personale. Tintele obisnuite ale atacurilor hackerilor sunt sistemele importante, care au protectii avansate si contin informatii strict secrete, cum ar fi bazele de date ale Pentagonului sau cele de la NASA. Odata obtinute, aceste fisiere (informatii) sunt publicate pe tot Internet-ul, pentru a fi vizionate sau folosite de cat mai multe persoane. Orice hacker advarat trebuie sa respecte un „Cod de legi al hackerilor”, care este bine stabilit, cunoscut si respectat.
16
CONCLUZIE
Pornind de la obiectivul auditării, de la importanţa pe care o prezintărezultatul auditării, echipa de specialişti dimensionează efortul care trebuiedepus de la întocmirea planului de auditare, ca atare, şi până la elaborarearaportului de auditare.
La desfăşurarea obiectivului auditării trebuie să fie introduse aceleelemente care subliniază încrederea pe care utilizatorul sistemuluiinformatic trebuie să o aibă pe durata exploatării. Raportul de auditaretrebuie să facă dovada în mod convingător că achiziţionând un produs sauutilizând un sistem informatic rezultat al unui proces investiţional,utilizatorul va beneficia de servicii de calitatea dorită.
Auditul transferă credibilitate unui produs nou. Obiectivul clar al auditului este de a se concentra întreaga activitate, prin analiză, pe aspecte calitative şi cantitative, din care rezultă concordanţa dintre produsul planificat a fi realizat şiprodusul pe cale de a fi livrat. Auditul sistemului informatic este un proces extrem de complex, iar echipa care realizează un astfel de audit trebuie să aibă o diversitate de specialişti, iar aceştia, la rândul lor, trebuie să aibă o bogată experienţă profesională şi vaste cunoştiinţe teoretice. Un sistem informatic nu se auditează de persoane care nu stăpânesc domeniul afectat etapei din procesul de auditare. Aşa cum în dezvoltarea sistemului informatic există un ciclu de dezvoltare, divizat în etape, tot aşa există etape ale ciclului de auditare. Fiecare etapă reprezintă un sistem de diviziune a muncii, iar comunicarea este un factor esenţial. Este vorba de comunicarea între membrii echipei de auditare, respectiv, comunicarea între auditori. De asemenea, auditorii trebuie să comunice, pentru a clarifica unele aspecte, cu echipa care a realizat sistemul informatic.
17
BIBLIOGRAFIE
Prof.univ.dr. Ali Eden, Prof.univ.dr.Victoria Stanciu :auditul Sistemelor InformaticeFlorin Boghean : Auditul şi controlul Sistemelor Informaţionale ( curs)Avram G. :Audutul sistemelor infaomaţionale, Referat Teză de doctorat, Bucureşti
18
