PROIECT

Identificarea ameninrilor i vulnerabilitii n tehnologia informaional

C.S.C SF. ANDREI centru de protecie social aflat in subordinea D.G.A.S.P.C. DMBOVIA i a CONSILIULUI JUDEEAN DMBOVIA cu un numar de 30 de angajati care lucreaza in 2 compartimente cu domeniu de activitate diferit: compartimentul de asistena social, compartimentul administrativ. Ambele departamente deservecs dou sisteme de protecie social diferite: locuine protejate i centru de zi.1. Hardware totalitatea componentelor (fizic) unui sistem informaticsn carul centrului exist trei sisteme PC diferite ntre ele ca marc i componente. Computerul pe care l folosesc este un Intel Celeron cu 0.99 GB de RAM ,HDD 80GB, CPU 2.53 GHz. Sistemul de operare instalat este Windows XP Service Pack 2.Amenintari intentionate:- n cazul n care calculatorul nu funcioneaza conform cerinelor mele ncarc sistemul cu tot felul de programe care pot afecta sau aps pe toate butoanele tastaturii- l las deschis n timp ce afara sunt fenomene meteorologice cu descrcri electrice tiind c computerul nu este asigurat

Amenintari neintentionate:- l las conectat la sursa de curent pe timpul nopii riscnd sa fie afectat de ocurile electrice,

2. Software - totalitatea componentelor (logic) unui sistem informaticPC-ul pe care l utilizez are instalat Microsoft Office 2003, program utilizat n elaborarea tuturor documentelor administrative, iar ca protecie are instalat Avast Home Edition 1. ameninri intenionate :-descarcarea i instalarea unor programe infectate care pot afecta ntregul sistem de operare,

2. ameninri neintenionate:- instalarea unor aplicaii necompatibile cu sistemul care ncetinete viteza de operare-deschiderea prea multor aplicaii n acelai timp.

3. vulnerabilitate natural sau uman: -ncercarea de curare a sistemului utiliznd CCleaner care poate terge i documente contabile sau chiar programe , 4. vulnerabiliate tehnic:-incompatibili ntre sistemul de operare si programe spre exemplu nu pot instala Microsoft Office 2007

Vulnerabiliti: instalarea unei aplicaii netestate neconcordan ntre culegerea datelor i aplicaie (sistem informaional i sistem informatic.

Page 5 of 5

Auditul performanei sistemului informatic al C.S.C Sf. Andrei

Obiectivul general i obiectivele specifice ale auditului:

Obiectivul general al auditului a constat n evaluarea stadiului de dezvoltare i utilizare a sistemului informatic existent n cadrul centrului precum i a instrumentelor, tehnologiilor informatice i infrastructurii aferente furnizarii unor servicii de calitate mpreun cu formularea unor recomandri in scopul mbunatirii serviciilor oferite.

Principalele concluzii si constatari ale auditului:

Utilizandu-se metoda Mehari prezinta un nivel de risc de 2 puncte.

Mw = 4 * Ri * Wi / Wi = Mi / 12 = 4*9/18 = 3 puncte

Pe baza probelor de audit au fost identificate si constatate urmatoarele aspecte:

lipsa sistemului de securitate, a datelor, duce la dezvluirea neautorizat a datelor cu caracter confidenial nenregistrarea n sistem a tuturor operaiilor efectuate apariia unor probleme legate de funcionarea aplicaiilor informatice, care conduc la pierderea unor date erori legate de transmiterea datelor n format electronic defeciuni ale echipamentelor fizice de stocare a informaiilor electronice ale instituiei de credit toate programele informatice se afla sub licena producatorului.

Recomandarile auditului:

Pentru a veni in sprijinul entitaii auditate n aciunea de implementare i utilizare a unui sistem informatic integrat, auditorul face urmatoarele recomandari:

Intarirea echipei manageriale IT, prin includerea unor persoane responsabile cu administrarea sistemelor de operare si a bazelor de date, a securitatii logice si fizice si a infrastructurii de comunicatii; Existenta unor masuri suplimentare de securitate in afara programului care vizeaza in special echipele care realizeaza curatenia si intretinerea spatiilor de lucru; Desemnarea unor persoane responsabile cu verificarea paramentrilor echipamentelor, retelei in week-enduri si vacante; Implementarea unui sistem de baterii care sa permita sistemului, in cazul unei pene de curent, cel putin realizarea unei copii back-up; In cazul atribuirii drepturilor de acces se recomanda un control mai strict in sensul actualizarii la timp a bazei de date cu utilizatori si drepturile fiecaruia tinandu-se cont de miscarile de personal; Nu se garanteaza caracterul inviolabil al parolei utilizatorilor,daca acestia nu au scopul de a o mentine strict confidentiala astfel se recomanda un control mai strict al parolelor; Elaborarea si implementarea unor proceduri de securitate cu privire la reteaua de telefonie; Extinderea rolului misiunilor de audit intern asupra domeniului utilizarii tehnologiilor informatiei, prin efectuarea unor controale specifice mediului IT atat la nivel central, cat si operativ.