Auditorul de sisteme informatice – rol şi referinţe în

regulamentele internaţionale.

2011

Auditorul de sisteme informatice

0

Auditul este descris ca examinarea independentă a înregistrărilor şi a altor

informaţii în scopul formării unei opinii referitoare la integritatea sistemului

controalelor şi îmbunătăţirea controalelor recomandate pentru limitarea riscurilor.

Auditul sistemelor informatice reprezintă activitatea de colectare şi evaluare a

unor probe pentru a determina dacă sistemul informatic este securizat, mentine

integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale

intreprinderii şi utilizează eficient resursele informationale.

Auditorul informatic este reprezentat de un informatician specializat în

domeniul financiar-contabil ce este certificat ca auditor informatic (Certified

Information Systems Auditor, CISA)de către ISACA. Jacques Renard spune că

auditorul informatician nu este un auditor care a învăţat informatică, ci reprezintă

neapărat un informatician format după metodologia şi instrumentele Auditului Intern.

Acest auditor informatician îşi foloseşte talentul şi competenţele în cinci direcţii

fundamentale: auditul centrelor informatice, auditul biroticii, auditul reţelelor

informatice, auditul sistemelor în exploatare şi al programelor informatice de aplicaţie şi

auditul sistemelor în curs de dezvoltare.

Desi există o legătura metodologică destul de stansă intre auditul financiar-

contabil si auditul sistemelor informatice, cel din urma are la bază cunostinte din cel

putin patru domenii, astfel: auditul traditional, sisteme informationale pentru

management, stiinta comportamentului si informatica.

De asemenea Standardul IFAC- ISA 401 face referire la aptitudinile si

competentele unui auditor financiar in conditiile auditului intr-un mediu informatizat,

precum si ISA 620 face referiri la posibilitatea utilizarii unui expert(in Tehnologia

Informatiei) in cadrul misiunii de audit financiar, daca necesitatea practica o impune.

Obiectivul Standardului de Audit 401 “Auditul în mediul sistemelor

informaţionale computerizate” (ISA 401 ”Auditing in a Computer Information Systems

Environment”) constă în stabilirea normelor şi recomandărilor privind procedurile ce

trebuie urmate la exercitarea auditului într-un mediu de sisteme informaţionale

computerizate (SIC).

Coform acestui standard auditorul trebuie să ia în considerare modul în care un

mediu SIC influenţează asupra auditului. Obiectivul general şi sfera de aplicare a

auditului nu se schimbă într-un mediu SIC. Cu toate acestea, utilizarea unui computer

1

modifică modul de prelucrare, stocare şi comunicare al informaţiei financiare şi poate

influenţa sistemele contabil şi de control intern utilizate de agentul economic. Prin

urmare, un mediu SIC poate influenţa:

procedurile efectuate de auditor în scopul obţinerii unei înţelegeri suficiente a

sistemelor contabil şi de control intern;

considerarea riscului inerent şi riscului legat de control, ceea ce influenţează

evaluarea riscului de către auditor;

elaborarea şi efectuarea de auditor a procedurilor de testare a controlului intern şi a

procedurilor ce ţin de esenţă care sînt potrivite atingerii unui anumit obiectiv al

auditului.

De asemenea acest standard impune anumite aptitudini si competente pentru a

planifica, gestiona, supraveghea şi controla lucrările efectuate auditorul trebuie să posede

cunoştinţe suficiente în domeniul SIC. Auditorul trebuie să ia în considerare dacă pentru

exercitarea auditului sunt necesare aptitudini specializate de lucru cu SIC. Aceste aptitudini pot

fi necesare pentru:

obţinerea înţelegerii suficiente a sistemelor contabil şi de control intern afectate de

mediul SIC;

determinarea influenţei mediului SIC asupra evaluării generale a riscului şi

evaluării riscului la nivelul soldurilor conturilor şi a grupurilor de tranzacţii;

elaborarea şi efectuarea procedurilor potrivite de testare a controlului intern şi a

celor ce ţin de esenţă.

În cazul în care sunt necesare aptitudini specializate, auditorul urmează să se

adreseze după asistenţă unui specialist care posedă astfel de aptitudini şi care poate face

parte din titularii organizaţiei de audit sau poate fi angajat din afară acesteia. Dacă este

planificată implicarea unui astfel de specialist, auditorul trebuie să obţină dovezi de

audit suficiente şi adecvate asupra faptului, că lucrările unui astfel de specialist

corespund obiectivelor auditului în conformitate cu SNA 620 “Utilizarea lucrărilor

expertului”.

Făcand o sinteza a cunostintelor pe care trebuie sa la aiba un auditor de sisteme

informatice, pot fi enumerate urmatoarele:

- cunostinte din domeniul auditului financiar;

- cunostinte din domeniul managementului;

2

- cunostinte din domeniul contabilitatii;

- cunostinte din domeniul financiar;

- cunostinte privind evaluarea riscurilor;

- cunostinte privind controlul;

- cunostinte privind arhitectura fizica (hardware) a sistemelor informatice;

- cunostinte privind sistemele de operare si aplicatiile informatice;

- cunostinte privind telecominicatiile;

- cunostinte privind securitatea sistemelor informatice;

- cunostinte privind analiza si proiectarea sistemelor informatice;

- cunostinte privind programarea si limbajele de programare;

- cunostinte privind sistemele de gestiune a bazelor de date;

- cunostinte statistice

- cunostinte privind legislatia.

Auditul sistemului informatic poate fi organizat ata la nivelul intreprinderii,

in cadrul functiei de audit intern, cat si sub forma auditului extern realizat de

catre persoane din afara intreprinderii.

In cadrul unei misiuni de audit a sistemului informatic cele mai frecvente

operatii sunt verificările, evaluarile si testările mijloacelor informationale, astfel:

- Identificarea si evaluarea riscurilor din sistem;

- Evaluarea si testarea controlului din sistem;

- Verificarea si evaluarea fizică a mediului informational;

- Verificarea si evaluarea administrării sistemului informatic;

- Verificarea si evaluarea aplicatiilor informatice;

- Verificarea si evaluarea securitătii retelelor de calculatoare;

- Verificarea si evaluarea planurilor si procedurilor de recuperare in caz de

dezastre si continuare a activitatii;

- Testarea integritătii datelor

Realizarea auditului sistemului informatic contribuie la:

3

- îmbunătăţirea sistemului şi controalelor procesului;

- prevenirea şi detectarea erorilor şi a fraudelor;

- reducerea riscurilor şi îmbunătăţirea securităţii sistemului;

- planificarea pentru refacere în caz de accidente şi dezastre;

- managementul informaţiilor şi dezvoltării sistemului;

- evaluarea utilizării eficiente a resurselor.

Auditorul sistemelor informatice trebuie să aibă capacitatea de a asista echipa

managerială în stabilirea mărimii sistemului informatic şi a numărului de personal

necesar, domeniile de afaceri în care se utilizează eficient sistemele de calcul, natura

afacerilor, pierderi potenţiale în cazul căderii sistemului informatic, extinderea

controalelor manuale şi gradul de complexitate tehnică.

De asemenea auditorul sistemelor informatice trebuie sa realizeze o pregatire

profesionala continua prin participarea la cursuri de specialitate.

In ceea ce priveste aptitudinile auditorului de sisteme informatice, acesta trebuie:

- să fie un bun membru intr-o echipă de audit;

- să fie un bun manager al activitătilor de audit;

- să aibă un spirit de observatie bine dezvoltat;

- să fie un bun colaborator;

- să dispună de abilităti de comunicare;

- să fie capabil să ia decizii obiective;

- să fie un bun analist.

Sistemul informatic este o constructie complexa, care este realizata pe

parcursul mai multor ani si are ca obiectiv crearea de interdependente între componente,

acoperirea tuturor problemelor agentului economic, asa incat se suprapune o structura în

plan informational structurii fizice agentului economic.

Pentru a realiza un proces de auditare eficient este necesar să se parcurgă

următorii paşi:

- definirea obiectului auditării sistemului informatic;

- construirea planului de auditare;

- atribuirea sarcinilor fiecărui membru din echipa de auditori;

4

- preluarea structurilor de tabele pentru înregistrarea rezultatelor auditării;

- derularea, pas cu pas, a procesului de auditare folosind standarde, tehnici şi metode

stabilite;

- înregistrarea rezultatelor şi evaluarea fiecărei etape parcurse;

- regruparea documentaţiei provenite din diferite stadi ale procesului de auditare şi

construirea raportului final.

Principalele tipuri de audit informatic sunt:

- auditul sistemului operaţional de calcul

- auditul instalaţiilor IT

- auditul sistemelor aflate în dezvoltare

- auditul managementului IT

- auditul procesului IT

- auditul managementului schimbărilor

- auditul controlului şi securităţii informaţiilor

- auditul conformităţii cu legalitatea

- auditul accidentelor dezastruoase/planificării continuităţii afacerii/refacerii

după dezastre

- auditul strategiei IT

Dezvoltarea sistemelor informatice presupune existenta unor activitati

premargatoare, activitati care au menirea de a impune o echipa, o tehnologie unitara de

analiza, design, dezvoltare, implementare, exploatare si mentenanta, aspecte care trebuie

luate în considerare la efectuarea unui audit de sistem informatic.

Un sistem informatic necesita: stabilirea obiectivelor; definirea unei strategii de

dezvoltare, exploatare si mentenanta; achizitionarea de echipamente, instrumente

necesare realizarii de prelucrari, de conexiuni si dezvoltarii fluxurilor cu exteriorul;

fonduri foarte mari în anumite cazuri.

Dezvoltarea companiei prin achizitionarea de noi echipamente, reorganizarea

fluxului de productie, trecerea la realizarea de noi produse, introducerea elementelor de

5

management total al calitatii vin sa influenteze calitativ si cantitativ structura si

functiunile sistemului informatic. Toate fluctuatiile se reflecta în sistemul de lucru, în

calitatea componentelor sau stadiilor sistemului informatic.

Durata mare de realizare a sistemelor informatice poate genera o serie de

probleme care trebuie luate în considerare si solutionate astfel încât, în final, sa se

obtina rezultatele scontate. În cazul în care o noua echipa manageriala are o alta viziune

asupra indicatorilor agregati pe care îsi fundamenteaza deciziile, se produc modificari în

specificatii, care atrag modificari ale structurii sistemului informatic.

Aparitia unor schimburi de informatii între companie si institutiile publice ale

statului, modificarile unor algoritmi de calcul, necesitatea de a utiliza noi coeficienti,

trebuie reflectate, în sistemul informatic aflat în constructie.

Noile tehnologii informatice care apar produc schimbări în abordarea

instrumentelor de asistare, în utilizarea de opţiuni, astfel încât sistemul informatic

devine neomogen din punctul de vedere al tehnologiilor de dezvoltare.

Legislaţia si dinamica proceselor din societatea informaţională conduc la

evoluţii care trebuie reflectate în sistemul informatic.

Toate aceste procese se derulează concomitent, producând efecte conjugate, în

timp ce obiectivul stabilit iniţial, acela de a realiza un sistem informatic pentru

managementul companiei, rămâne nemodificat.

AUDITUL SISTEMELOR INFORMATIONALE

Locul auditului privind Pad in ansamblul activitatiilor de audit in cadrul

organizatiei

6

Audit managerial

Audit financiar

Audit intern

Audit PAD

Au

dit

gen

eral

al

SI

A

u

di

tu

l

D

S

O

L

F

D

L

H

L

Audit

ul

conta

bil

A

u

d

it

u

l

j

u

r

A

u

d

i

t

u

l

a

7

n

a

l

e

l

o

r

c

o

n

t

a

b

il

e

p

l

i

c

a

t

i

i

l

o

r

c

o

n

t

a

b

i

l

e

COBIT-ul reprezinta cadrul general de aplicabilitate a practicilor privind securitatea si

controlul tehnologiei informationale.

8

Enuntarea obiectivelor de atins prin implementarea unor masuri de control specifice

unui domeniu particular de activitate a tehnologiilor informationale

Resurse folosite in IT :

- Date (reprezentari si proiecte)

- Aplicatii (suma procedurilor manuale si automatizate)

- Tehnologia propriu-zisa (hard, soft de baza, retele de comunicatii)

- Resurse umane

- Facilitati (resurse de sustinere a sistemului informational)

Criterii de evaluare a informatiei :

- eficacitate

- confidentialitate

- integritate

- disponibilitate

- realitate

- oportunitate

AUDITUL reprezinta o activitate de concepere a unui sistem care previne, detecteaza si

corecteaza evenimente ilicite in viata unei organizatii.

9

Riscurile asociate auditului financiar – Riscul de audit

a) – Riscul inerent general - riscul de management

- riscul contabil

- riscul de afaceri

b) – Riscul de control - o eroare sau un grup de erori cu impact

semnificativ nu a fost prevenita, detectata sau

corectata la timp de sistemul contabil sau auditul

intern

c) – Riscul de nedectare - procedurile fundamentale de audit nu detectează

o eroare semnificativa sau mai multe erori

însumate cu efect cumulat semnificativ

d) – Riscul de eşantionare

Auditorul financiar trebuie sa ia in considerare modul in care un mediu CIS

afectează auditul.

Riscul inerent si riscul de control intr-un mediu CIS poate avea particularităţi :

- Riscuri generate de deficiente ale mediului CIS

- Creşterea potenţialului de apariţie a erorilor si a activităţilor frauduloase

specifice

- O eroare individuala in mediul CIS poate afecta întregul ansamblu

informaţional al întreprinderii

RISCURILE ASOCIATE SISITEMULUI INFORMATIONAL

a) Riscurile de mediu - hardware si reţele de comunicaţii

- sistem de operare

- softuri de aplicaţie

b) Riscuri asociate mediului : - pericole naturale si dezastre

- alterarea sau furtul aplicaţiilor, datelor

10

- erori umane sau tehnice

- incompetenta manageriala

- pierderi financiare previzibile

Riscurile trebuie : - evaluate din punct de vedere al gravităţii efectelor lor

- evaluate din punct de vedere al probabilităţii

procedurilor

- estimate financiar pentru fiecare apariţie a fenomenului

si pe total

Particularitati ale sistemelor informatice in evaluarea riscului :

A. Structura organizationala:

- Concentrarea functiilor si a cunostintelor

- Concentrarea programelor si a datelor

B. Natura procesarii:

- Absenta documentelor de intrare

- Lipsa unei dovezi vizibile a tranzactiei

- Lipsa unor iesiri vizibile

- Usurinta de a accesa datele si softurile

C. Aspecte procedurale:

- consecventa executiei

- proceduri de control programate

- o tranzactie are efect in fisiere multiple

- vulnerabilitatea mediilor de stocare

Riscuri asociate unui sistem informatic :

a) pierderea, deturnarea, modificarea informatiilor

b) accesul neautorizat la informatii

c) intreruperea procesarii

MODEL CALITATIV DE EVALUARE A RISCURILOR (tehnica scorurilor)

RISC

a.VULNERABILITATE

11

- ACCES FIZIC

- ACCES RETEA

b. COMPLEXITATE

- COMPLEXITATE ORGANIZATIONALA

- FUNCTIILOR SISTEMULUI

- PERSONAL

- PERSONAL DE SPECIALITATE

- MANAGERI

- DOCUMENTATIE

- CICLU DE VIATA

c. FINANCIAR

RISCUL ASOCIAT ACCESULUI FIZIC

NIVEL RISC DESCRI ERE

MARE Resursele informationale sunt accesibile tuturor angajatilor

MEDIU Resursele informationale sunt in birouri organizate cu acces

limitat de personal

SCAZUT Resursele informationale sunt in zona cu acces strict

controlat

RISCUL ASOCIAT RETELEI DE COMUNICATII

NIVEL RISC DESCRI ERE

MARE Sistem conectat la reteaua publica

MEDIU Sistem conectat la retea privata. Comunicarea cu exteriorul cu linii dedicateSCAZUT Nici o conexiune cu mediul

Controlul la nivelul managementului presupune evaluarea anuala a sistemului

informaţional, a direcţiilor de dezvoltare, strategiilor de dezvoltare. Controlul ciclului

12

de viata presupune controlul iniţierii proiectului sistemului informaţional, controlul

analizei si proiectării iniţiale a sistemului informaţional, controlul achiziţiei (dezvoltării)

sistemului informaţional, controlul testării sistemului informaţional, controlul

implementării si conversiei sistemului informaţional, controlul întreţinerii sistemului

informaţional, controlul securităţii sistemului, responsabilitatea managementului,

separarea funcţiilor incompatibile, controlul accesului, controlul securităţii fizice,

controlul prevenirii efectelor dezastrelor.

Controalele nivelului operaţional presupun: controlul modului de operare,

controlul reţelei de calculatoare, controlul pregătirii si introducerii datelor in sistem,

controlul procesării datelor, controlul gestiunii mediilor de stocare, controlul gestiunii

aplicaţiilor si a documentaţiilor, controlul asistentei tehnice.

OBIECTIVELE AUDITULUI

Date de intrare - tipul

- originea

- volumul si creşterea anticipata

- dependenta temporala

Fişiere - tipul - principale

- tranzacţii

- baze de date

- modul de control si de arhivare

- mărimea si creşterea anticipata

- frecventa actualizării

- relaţiile cu fişierele din alte sisteme

Ieşiri - tipul si conţinutul rapoartelor

- volumul si creşterile anticipate

- frecventa de raportare

- suportul de prezentare

Altele - necesar de hard

- cerinţele de securitate

- cerinţele legale (soft)

- auditibilitatea (proceduri)

13

Controlul achiziţiei (dezvoltării) sistemului

a. Dezvoltarea integrala din interiorul organizaţiei (in-house)

b. Echipamente achiziţionate de organizaţie; soft de aplicaţie achiziţionat de

la furnizor (outside)

c. Aplicaţie integrala la cheie (outsourcing)

a. Este necesara proiectarea de detaliu cu intervenţia specifica a

auditorului

b. Soft-ul se poate comanda in mod specific

c. Criteriile foarte exacte de selecţie ale furnizorului

Controlul testării sistemului

- testare paralela

- testare pilot

Obiectivele auditului :

- asigurarea ca sistemul funcţionează corect

- in cazul întreruperilor, se emit mesaje de documentare

- nu exista prelucrări neefectuate

Controlul implementării sistemului

Obiectivele auditului :

- controlul atribuirii responsabilitatilor la implementare

- controlul standardelor de eficacitate a implementării

- controlul planului de implementare

- controlul modului de implicare a utilizatorilor la implementare

Controlul întreţinerii sistemului

Obiectivele auditului :

- identificarea factorilor care generează necesitatea modificării

sistemului

- controlul autorizării execuţiei modificării

- controlul mecanismelor ce previn modificări neautorizate

14

Factorii care impun modificări ale sistemului :

- Apariţia de funcţii noi

- Necesitatea modificării raportării

- Modificări in cadrul legislativ

- Apariţia de probleme neprevazute in proiectare

CONTROLUL SECURITATII SI STEMELOR INFORMATICE

Procesele de asigurare a securităţii sistemelor informatice îndeplinesc funcţia de

a proteja sistemele împotriva folosirii, publicării sau modificării neautorizate, distrugerii

sau pierderii informaţiilor stocate.

Securitatea sistemelor informatice este asigurata prin controale logice de acces,

care asigura accesul la sisteme, programe si date numai utilizatorilor autorizaţi.

Elemente de control logic care asigura securitatea sistemelor informatice :

• cerinţele de confidenţialitate a datelor;

• controlul autorizării, autentificării si accesului;

• identificarea utilizatorului si profilele de autorizare;

• stabilirea informaţiilor necesare pentru fiecare profil de utilizator;

• controlul cheilor de criptare;

• gestionarea incidentelor, raportarea si masurile ulterioare;

• protecţia împotriva atacurilor viruşilor si prevenirea acestora;

• firewalls;

• administrarea centralizata a securităţii sistemelor;

• training-ul utilizatorilor;

• metode de monitorizare a respectării procedurilor IT, teste de intruziune

si raportări.

Obiective de control detaliate

Asigurarea securităţii sistemelor informatice

1. Controlul masurilor de securitate

Securitatea sistemelor informatice trebuie organizata astfel incat sa fie in

concordanta cu obiectivele de afaceri ale organizatiei:

• includerea informatiilor legate de evaluarea riscurilor la nivel

organizational in proiectarea securitatii informatice;

15

• implementarea si actualizarea planului de securitate IT pentru a reflecta

modificarile intervenite in structura organizatiei;

• evaluarea impactului modificarilor planurilor de securitate IT, si

monitorizarea implementarii procedurilor de securitate;

• alinierea procedurilor de securitate IT la procedurile generale ale

organizaţiei.

2. Identificarea, autentificarea si accesul

Accesul logic la resursele informatice trebuie restrictionat prin implementarea

unor mecanisme adecvate de identificare, autentificare si acces, prin crearea unei

legaturi intre utilizatori si resurse, bazata pe drepturi de acces.

3. Securitatea accesului on-line la date

Intr-un mediu IT on-line trebuie implementate proceduri in concordanta cu

politica de securitate, care presupune controlul securitatii accesului bazat pe necesitatile

individuale de accesare, adaugare, modificare sau stergere a informatiilor.

4. Managementul conturilor utilizator

Conducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni

rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator. O

procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul

de securitate.

5. Verificarea conturilor utilizator de catre conducere

Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa

confirme periodic drepturile de acces.

6. Verificarea conturilor utilizator de catre utilizatori

Utilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi,

in vederea detectarii activitatilor neobisnuite.

7. Supravegherea securitatii sistemului

Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile

legate de securitatea sistemului sunt inregistrate intr-un jurnal, si orice indiciu referitor

la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile.

8. Clasificarea datelor

Conducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de

vedere al gradului de confidentialitate, printr-o decizie formala a detinatorului datelor.

16

Chiar si datele care nu necesita protectie trebuie clasificate in aceasta categorie printr-o

decizie formala. Datele trebuie sa poata fi reclasificate in conditiile modificarii

ulterioare a gradului de confidentialitate.

9. Centralizarea identificarii utilizatorilor si drepturilor de acces

Identificarea si controlul asupra drepturilor de acces trebuie efectuate

centralizate pentru a asigura consistenta si eficienta controlului global al accesului.

10. Rapoarte privind violarea securitatii sistemului

Administratorii de sistem trebuie sa se asigure ca activitatile care pot afecta

securitatea sistemului sunt inregistrate, raportate si analizate cu regularitate, iar

incidentele care presupun acces neautorizat la date sunt rezolvate operativ. Accesul

logic la informatii trebuie acordat pe baza necesitatilor stricte ale utilizatorului (acesta

trebuie sa aiba acces numai la informatiile care ii sunt necesare).

11. Gestionarea incidentelor

Conducerea trebuie sa implementeze proceduri de gestionare a incidentelor

legate de securitatea sistemului, astfel incat raspunsul la aceste incidente sa fie eficient,

rapid si adecvat.

12. Increderea in terte parti

Organizatia trebuie sa asigure implementarea unor proceduri de control si

autentificare a tertilor cu care intra in contact prin medii electronice de comunicare.

13. Autorizarea tranzactiilor

Politica organizatiei trebuie sa asigure implementarea unor controale care sa

verifice autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza

tranzactia.

14. Prevenirea refuzului de acceptare a tranzactiei

Sistemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate ulterior

de nici un participant. Aceasta presupune implementarea unui sistem de confirmare a

efectuarii tranzactiei.

15. Informatiile sensibile trebuie transmise numai pe un canal de

comunicatii considerat sigur de parti, care sa nu permita interceptarea datelor

16. Protectia functiilor de securitate

17

Toate functiile organizatiei legate de asigurarea securitatii trebuie protejate in

mod special, in vederea mentinerii integritatii acestora. Organizatiile trebuie sa pastreze

secrete procedurile de securitate.

17. Managementul cheilor de criptare

Conducerea trebuie sa defineasca si sa implementeze proceduri si protocoale

pentru generarea, modificarea, anularea, distrugerea, certificarea, utilizarea cheilor de

criptare pentru a asigura protectia impotriva accesului neautorizat.

18. Prevenirea, detectarea si corectarea programelor distructive

In vederea protejarii sistemului impotriva aplicatiilor distructive (viruşi), trebuie

implementata o procedura adecvata care sa includa masuri de prevenire, detectare,

actiune, corectare si raportare a incidentelor de acest fel.

19. Arhitecturi Firewall si conectarea la retele publice

In cazul in care sistemul organizatiei este conectat la Internet sau alte retele

publice, programe de protectie adecvate (firewalls) trebuie implementate pentru a

proteja accesul neautorizat la resursele interne ale sistemului.

20. Protectia valorilor electronice

Conducerea trebuie sa asigure protectia si integritatea cardurilor si a altor

dispozitive folosite pentru autentificare sau inregistrare de date considerate sensibile

(financiare).

SECURI TATEA SISTEM ELOR INFORMATIONALE

Organizatia trebuie sa aiba o politica se securitate informationala.

• Responsabilitatile personalului

• Atributiile responsabilului cu securitatea

• Clarificarea datelor si nivelurile de securitate

• Controlul (auditul) intern al securitatii

Politica de securitate se refera la tot personalul angajat :

- standarde interne si principii privind securitatea S.I. - la nivel grobal

18

- pe grupe (functii, sectii) de lucru

- codul etic al angajatilor si pregatirea acestora.

SEPARAREA FUNCTIILOR INCOMPATIBILE

- Limiteaza erorile si fraudele

- Creste probabilitatea detectarii fraudelor

- Separarea functiilor se realizeaza in domeniile :

- Initierea si autorizarea tranzactiilor

- Inregistrarea tranzactiilor

- custodia activelor

Persoane diferite pentru operatiile :

- programare – operare

- procesare date – pregatire

- gestionar memorie externa – operator

- eliberare, multiplicare, distrugere informatii – autorizare

- programare – administrare baza de date

- responsabil securitate – orice alte activitati

- controlul drepturilor de acces – alte functii (activitati).

AUTORIZAREA UTILIZATORILOR

1. Identificare : calculatorul recunoaste un potential utilizator al

sistemului

2. Autentificare : functia de stabilire a validitatii identitatii pretinse

3. Autorizare : utilizatorului recunoscut i se permite accesul la resursele

sistemului

CONTROLUL ACCESULUI

Riscurile accesului neautorizat :

- Diminuarea confidentialitatii

- Furtul informatiilor

- Divulgarea neautorizata de informatii

- Diminuarea integritatii informatiilor

- Intreruperea functionarii sistemului

19

Controlul accesului in mediile publice utilizand FIREWALL

Impune o politica de control a accesului intre doua retele.

- Intreg traficul de date trece prin el

- Este permisa numai trecerea autorizata prin politica locala de securitate

- Sistemul insusi este imun la penetrare

- Monitorizarea comunicatiilor TCP/IP

- Poate inregistra toate comunicatiile

- Poate fi folosit la criptare.

ETAPELE ATACULUI LA O RETEA

I. Colectare de informatii

- Protocol SNMP - examineaza tabela de rutare pentru un router

neprotejat

- Programe TRACE ROUTE - ofera adresele retelelor si routelor

intermediare spre o tinta

- Serverele DNS - pot fi interogate pentru a obtine informatii

referitoare la tipul calculatoarelor, numele si adresele I P ascoiate

- Protocol FINGER - informatii despre utilizatorii unui calculator

gazda – login, nr. telefon, data ultimei conectari

- Programul PING - determina daca un calculator e disponibil

II. Testarea securitatii sistemelor

- Program de scanare a securitatii sistemelor

- SS (I NTERNET SECURI TY SCANNER)

-SATAN (SECURITY ADMINISTRATOR TOOL FOR

AUDITING NETWORK)

- Programe proprii pentru conectare la porturile specifice ale serviciilor

vulnerabile.

III. Accesarea sistemelor protejate

- obtinerea accesului (privilegiat).

20

CONTROLUL SECURITATII FIZICE

Auditorul verifica masura in care accesul fizic la date si resursele hardware

sunt restrictionate corespunzator :

- Cum este restrictionat accesul fizic la facilitatile IT din firma?

- Cum este restrictionat accesul la spatiile unde se afla echipamentele pe care se

realizeaza prelucrarile?

- Cum sunt protejate stocarile offline de date?

- Cat de sigura, din punct de vedere informational, este scoaterea din uz a

calculatoarelor si mediilor de stocare a datelor?

• Existenta unor programe gen Easy Recovery sau Lost & found care permit

recuperarea datelor sterse de pe mediile de stocare. Comanda UNFORMAT din

DOS.

• dificultatea asigurarii controlului accesului fizic la fiecare componenta hardware

• extinderea lucrului in retea si a utilizarii sistemelor distribuite s-a caracterizat prin

concentrarea atentiei pe controlul accesului logic, dar controlul accesului fizic ramane in

continuare important, el reprezentand o componenta a sistemului de securitate.

COPII DE SIGURANTA SI EVENIMENTE NEPREVAZUTEAuditorul trebuie sa verifice daca la nivelul organizatiei exista :

- Proceduri prin care sa se asigure functionarea sistemului in cazul caderii

alimentarii cu energie electrica sau a cailor de comunicatii.

• Exista sectoare “sensibile” – bancar, bursier, securitatea statului, energetic etc.

care impun asigurarea functionarii continue a sistemelor informatice ceea ce

implica existenta unor surse alternative de energie si/sau comunicatii.

- Planuri bine testate si documentate, actualizate periodic prin care sa se asigure

operationalitatea sistemului informatic in conditiile producerii unor evenimente

neprevazute.

- Proceduri si controlul aplicarii acestora, privind realizarea copiilor de siguranta si

refacerea starii sistemului in cazul “caderii” acestuia ca urmare a unor cauze hard

sau soft.

- Existenta unui contract de asigurare a organizatiei pentru evenimente

neprevazute.

- Nivelul de instruire a personalului cu privire la procedurile aplicabile in cazul

21

realizarii periodice a copiilor de siguranta sau executarii procedurilor de criza in cazul

producerii dezastrelor.

Refacerea in cazul esecului operationalAuditorul verifica :

- daca sunt stabilite proceduri adecvate in cazul producerii unor esecuri

operationale

- daca aceste proceduri sunt verificate si aprobate de staff-ul IT

- daca aceste esecuri operationale sunt identificate, rezolvate la timp,

comsemnate si raportate

- in ce masura echipamentele sunt adecvat plasate si protejate pentru a se

preveni riscul distrugerii accidentale (foc, fum, praf, vibratii, radiatii

electromagnetice etc.)

- in ce masura echipamentele sunt corect intretinute

- ce controale exista pentru prevenirea esecurilor operationale produse din :

- cauze hardware

- neaplicarea corecta a procedurilor de operare

- erori software

- care sunt procedurile de RESTART si REFACERE (Recovery) pentru

refacerea starii sistemului in urma unui esec operational

- in caz de incidente sunt evaluate actiunile operatorilor pentru a se vedea

daca prin actiunile lor nu au afectat calitatea prelucrarilor sau structurile de date.

CONTROLUL NIVELULUI OPERATIONALDistribuirea prelucrarii → impune controlul la nivel operational

Activitati auditate :

1. Operarea efectiva la postul de lucru

- restrictionarea accesului

- utilizarea eficienta a timpului de lucru

- intretinerea si repararea echipamentului

- cunoasterea si respectarea procedurilor de catre utilizatori

2. Reteaua de calculatoare

- Modul de monitorizare a traficului pe retea

- Politica antivirus – server sau post de lucru

22

- Controlul politicilor de acces si restrictionare

- Protectia conexiunii la retele publice

Auditorul urmareste :

• Controlul retelei/accesului dial-up:

• Accesul de la distanta la SI (prin conexiunile la retea sau dial-up) trebuie sa fie

restrictionate corespunzator:

- Cum sunt autentificate conectarile de la distanta la calculatoarele organizatiei

- Daca reteaua este mare, in ce masura este organizata pe domenii separate?

- Daca reteaua este partajata (mai ales daca se extinde dincolo de organizatie) ce

controale exista pentru a se verifica faptul ca utilizatorii acceseaza doar portiunile de

retea

pentru care sunt autorizati?

- Cum sunt protejate transmisiile in retea?

- Daca este corespunzator numarul de utilizatori dial-up?

- Cum sunt autentificati utilizatorii dial-up?

- In ce masura disponibilitatea facilitatilor dial-up este restrictionata la momentele de

timp

(zi/ saptamana)?

- Ce controale se folosesc pentru diagnosticul porturilor?

• Controlul conexiunilor externe la retea (Internet, EDI, EFT)

- Conexiunile externe trebuie folosite doar pentru scopuri valide ale afacerii si

controalele trebuie sa previna ca aceste conexiuni sa submineze securitatea sistemului

- In ce masura aceste conexiuni externe sunt impuse de nevoi ale organizatiei?

- Cat de sigura este posta electronica a organizatiei?

- Cat de bine este protejat gateway-ul dintre Internat si mediul firmei?

-Ce controale exista pentru a preveni accesarea unor site-uri inadecvate?

- Ce controale exista pentru a preveni navigarea neproductiva pe Internet a

personalului si in afara sarcinilor de serviciu?

- Cat de bine sunt protejate conexiunile externe ale retelei pentru folosirea EDI si

EFT?

Solutia hardware si software a retelei trebuie sa asigure nevoile de disponibilitate,

performanta si flexibilitate.

23

- Ce documentatie de retea este disponibila?- Cum sunt aprobate modificarile din retea,

controlate si testate?

- Ce procese au loc pentru planificarea capacitatii si monitorizarea nivelului de

performanta?

3. Pregatirea datelor si introducerea in sistem

- Pregatirea documentelor primare

• Datele sunt clasificate, grupate, verificate, sortate si transmise pentru

procesare.

- Controlul introducerii datelor

• Acuratetea datelor depinde de :

- calitatea controalelor

- factorul uman

- tipul echipamentelor folosite pentru introducerea datelor in system.

4. Procesarea datelor

- Acces autorizat pentru declansarea procedurilor

- Respectarea termenelor si timpilor de procesare

- Protejarea fisierelor

- Pastrarea rezultatelor procesarii

Auditorul va verifica cum managementul controleaza masura in care rolul si

responsabilitatile personalului implicat in procesarea datelor sunt cunoscute si

respectate,

focalizand pe procedurile de :

- backup si refacerea sistemului

- prelucarea pe loturi (batch) si/ sau on-line. Asigurarea la timp a datelor necesare

prelucrarilor, mai ales in cazul in care acestea sunt asigurate de alte sisteme

informatice (interne sau externe organizatiei)

- intretinerea software-ului.

Auditorul va urmari masura in care a asigurat documentatia necesara personalului

implicat

in procesarea datelor.

5. Gestionarea mediilor de stocare

Pastrarea, utilizarea si intretinerea :

24

- dischetelor

- CD-urilor

- HDD-urilor

- casetelor cu banda (data cartdrige)

- casetelor zip

Jurnalul de evidenta a mediilor de stocare cuprinde :

- identificatorul (eticheta) mediului de stocare

- localizarea curenta

- persoana responsabila (gestionarul)

- data achizitiei

- utilizatorul

- fisierele/programele/ aplicatiile continute

- persoanele autorizate sa acceseze mediul.

6. Gestionarea aplicatiilor si a documentatiei

- modul de pastrare

- modul de acces

- actualizarea documentatiei

- copii de siguranta.

7. Asistenta tehnica

- modul de achizitionare a hardware-ului

- instruire utilizatori

- identificarea erorilor de procesare si modul de rezolvare

- controlul soft-urilor

- raportarea incidentelor.

Managementul trebuie sa stabileasca nivelurile de service necesitate de

utilizatori si sa

stabileasca politicile privind asigurarea acestora :

- In ce masura corespund contractele de service existente nevoilor reale?

- In ce masura service-ul asigurat raspunde cerintelor de securitate?

8. Monitorizarea performantelor

• Monitorizarea performantei operationale si aprobarea procedurilor documentate.

Managementul trebuie sa monitorizeze performanta privitoare la nivelele de service si a

25

procedurilor de operare.

- Ce informatii primeste managerul pentru a-i permite sa monitorizeze starea

mediului hard si terminarea la timp a prelucrarilor batch?

- Cat de des se primesc aceste informatii?

- In ce masura au existat probleme cu performanta componentelor hardware si/sau

executarea la timp a prelucrarilor batch?

- Ce monitorizare se desfasoara pentru verificarea operarii eficiente a calculatorului?

- In ce masura au existat probleme cu neaprobarea unor proceduri definite pentru

operarea calculatorului?

26

Bibliografie:

Brândaş Claudiu -Auditul sistemelor informaţionale de gestiune, Revista de Audit

Financiar, nr.3 din 2003.

Muntean Adrian -Auditul sistemelor informaţionale contabile, Ed. Polirom, 2002.

Camera Auditorilor Financiari din Romania-Audit financiar 2000, Editura Economica Bucuresti.2000.

27