1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)
  1. CONTROL LA NIVELUL MANAGEMENTULUI
  • evaluarea anuala a sistemului informational;
  • directiile de dezvoltare;
  • strategiile de dezvoltare.

 

  1. CONTROLUL CICLULUI DE VIATA
  • controlul initierii proiectului sistemului informational;
  • controlul analizei si proiectarii initiale a sistemului informational;
  • controlul achizitiei (dezvoltarii) sistemului informational;
  • controlul testarii sistemului informational;
  • controlul implementarii si conversiei sistemului informational;
  • controlul intretinerii sistemului informational.

 

  1. CONTROLUL SECURITATII SISTEMULUI
  • responsabilitatea managementului;
  • separarea functiilor incompatibile;
  • controlul accesului;
  • controlul securitatii fizice;
  • controlul prevenirii efectelor dezastrelor.
  1. CONTROALELE NIVELULUI OPERATIONAL
  • controlul modului de operare;
  • controlul retelei de calculatoare;
  • controlul pregatirii si introducerii datelor in system;
  • controlul procesarii datelor;
  • controlul gestiunii mediilor de stocare;
  • controlul gestiunii aplicatiilor si a documentatiilor;
  • controlul asistentei tehnice.
  1. EVALUAREA PERFORMANTELOR SISTEMULUI

 

Controlul ciclului de viata

 

 

 

  1. Controlul initierii proiectului
  • Realizarea sistemului (achizitia) in corelatie cu dezvoltarea societatii;
  • Determinarea costurilor, economicitatii sau alte avantaje.

 

Auditorul – membru al echipei de proiectare

  1. STRUCTURAREA CORESPUNZATOARE A ECHIPEI DE LUCRU
  2. REVIZUIREA ANALIZEI SISTEMULUI INFORMATIONAL EXISTENT
  3. REVIZUIREA COSTURILOR NOULUI SISTEM
  4. REVIZUIREA DOCUMENTATIEI PROIECTARII CONCEPTUALE
  1. Controlul analizei si proiectarii initiale

Scop general - Sistemul dezvoltat (achizitionat) corespunde cerintelor Utilizatorului si are in vedere:

  1. REVIZUIREA PROIECTULUI INITIAL
  2. ASIGURAREA DOCUMENTATIEI
  3. REVIZUIREA SPECIFICATIILOR FISIERELOR SI INTRARILE ASOCIATE
  4. REVIZUIREA SPECIFICATIILOR ECHIPAMENTELOR
  5. REVIZUIREA COSTURILOR SI STANDARDELOR DE PROCESARE

Controlul securitatii sistemelor informatice

 

 

Procesele de asigurare a securitatii sistemelor informatice indeplinesc functia de a proteja sistemele impotriva folosirii, publicarii sau modificarii neautorizate, distrugerii sau pierderii informatiilor stocate. Securitatea sistemelor informatice este asigurata prin controale logice de acces, care asigura accesul la sisteme, programe si date numai utilizatorilor autorizati.

Elementele de control logic care asigura securitatea sistemelor informatice sunt:

  • cerintele de confidentialitate a datelor;
  • controlul autorizarii, autentificarii si accesului;
  • identificarea utilizatorului si profilele de autorizare;
  • stabilirea informatiilor necesare pentru fiecare profil de utilizator;
  • controlul cheilor de criptare;
  • gestionarea incidentelor, raportarea si masurile ulterioare;
  • protectia impotriva atacurilor virusilor si prevenirea acestora;
  • firewalls;
  • administrarea centralizata a securitatii sistemelor;
  • training-ul utilizatorilor;
  • metode de monitorizare a respectarii procedurilor IT, teste de intruziune si raportari.

Obiective de control detaliate

 

 

Asigurarea securitatii sistemelor informatice prin controlul masurilor de securitate

 

  • includerea informatiilor legate de evaluarea riscurilor la nivel organizational in proiectarea securitatii informatice;
  • implementarea si actualizarea planului de securitate IT pentru a reflecta modificarile intervenite in structura organizatiei;
  • evaluarea impactului modificarilor planurilor de securitate IT, si monitorizarea

            implementarii procedurilor de securitate;

  • alinierea procedurilor de securitate IT la procedurile generale ale organizatiei.

 

Identificarea, autentificarea si accesul

Accesul logic la resursele informatice trebuie restrictionat prin implementarea unor mecanisme adecvate de identificare, autentificare si acces, prin crearea unei legaturi intre utilizatori si resurse, bazata pe drepturi de acces.

 

 


Securitatea accesului on- line la date

Intr-un mediu IT on-line trebuie implementate proceduri in concordanta cu politica de securitate, care presupune controlul securitatii accesului bazat pe  necesitatile individuale de accesare, adaugare, modificare sau stergere a informatiilor.

 Managementul conturilor utilizator

 Conducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator. O procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul de securitate.

 Verificarea conturilor utilizator de catre conducere

 Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confirme periodic drepturile de acces.

 Verificarea conturilor utilizator de catre utilizatori

 Utilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi, in vederea detectarii activitatilor neobisnuite.

 Supravegherea securitatii sistemului

 Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile legate de securitatea sistemului sunt inregistrate intr-un jurnal, si orice indiciu referitor la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile.

 Clasificarea datelor

 Conducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de vedere al gradului de confidentialitate, printr-o decizie formala a detinatorului datelor. Chiar si datele care nu necesita protectie trebuie clasificate in aceasta categorie printr-o decizie formala. Datele trebuie sa poata fi reclasificate in conditiile modificarii ulterioare a gradului de confidentialitate.

 

Centralizarea identificarii utilizatorilor si drepturilor de acces

Identificarea si controlul asupra drepturilor de acces trebuie efectuate centralizate pentru a asigura consistenta si eficienta controlului global al accesului.

 Rapoarte privind violarea securitatii sistemului

 Administratorii de sistem trebuie sa se asigure ca activitatile care pot afecta securitatea sistemului sunt inregistrate, raportate si analizate cu regularitate, iar incidentele care presupun acces neautorizat la date sunt rezolvate operativ. Accesul logic la informatii trebuie acordat pe baza necesitatilor stricte ale utilizatorului (acesta trebuie sa aiba acces numai la informatiile care ii sunt necesare).

 Gestionarea incidentelor

 Conducerea trebuie sa implementeze proceduri de gestionare a incidentelor legate de securitatea sistemului, astfel incat raspunsul la aceste incidente sa fie eficient, rapid si adecvat.

 Increderea in terte parti

 Organizatia trebuie sa asigure implementarea unor proceduri de control si autentificare a tertilor cu care intra in contact prin medii electronice de comunicare.

 Autorizarea tranzactiilor

 Politica organizatiei trebuie sa asigure implementarea unor controale care sa verifice autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza tranzactia.

 Prevenirea refuzului de acceptare a tranzactiei

 Sistemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate ulterior de nici un participant. Aceasta presupune implementarea unui sistem de confirmare a efectuarii tranzactiei.

 Informatiile sensibile trebuie transmise numai pe un canal de comunicatii considerat sigur de parti, care sa nu permita interceptarea datelor.

Protectia functiilor de securitate

Toate functiile organizatiei legate de asigurarea securitatii trebuie protejate in mod special, in vederea mentinerii integritatii acestora. Organizatiile trebuie sa pastreze secrete procedurile de securitate.

 Managementul cheilor de criptare

 Conducerea trebuie sa defineasca si sa implementeze proceduri si protocoale pentru generarea, modificarea, anularea, distrugerea, certificarea, utilizarea cheilor de criptare pentru a asigura protectia impotriva accesului neautorizat.

 Prevenirea, detectarea si corectarea programelor distructive

 In vederea protejarii sistemului impotriva aplicatiilor distructive (virusi), trebuie implementata o procedura adecvata care sa includa masuri de prevenire, detectare, actiune, corectare si raportare a incidentelor de acest fel.

 Arhitecturi Firewall si conectarea la retele publice

 In cazul in care sistemul organizatiei este conectat la Internet sau alte retele publice, programe de protectie adecvate (firewalls) trebuie implementate pentru a proteja accesul neautorizat la resursele interne ale sistemului.

 Protectia valorilor electronice

 Conducerea trebuie sa asigure protectia si integritatea cardurilor si a altor dispozitive folosite pentru autentificare sau inregistrare de date considerate sensibile (financiare).

Securitatea sistemelor informatice

Organizatia trebuie sa aiba o politica se securitate informationala care se refera la:

  • responsabilitatile personalului;
  • atributiile responsabilului cu securitatea;
  • clarificarea datelor si nivelurile de securitate;
  • controlul (auditul) intern al securitatii.

Politica de securitate se refera la tot personalul angajat, adica la:

  • standarde interne si principii privind securitatea S.I.;
  • la nivel grobal;
  • pe grupe (functii, sectii) de lucru;
  • codul etic al angajatilor si pregatirea acestora.

Autorizarea utilizatorilor

 

  1. Identificare : calculatorul recunoaste un potential utilizator al sistemului;
  2. Autentificare : functia de stabilire a validitatii identitatii pretense;
  3. c. Autorizare : utilizatorului recunoscut i se permite accesul la resursele sistemului.

Controlul accesului

 

Riscurile accesului neautorizat se refera la:

  • diminuarea confidentialitatii;
  • furtul informatiilor;
  • divulgarea neautorizata de informatii;
  • diminuarea integritatii informatiilor;
  • intreruperea functionarii sistemului.

Controlul accesului in mediile publice utilizand firewall impune o politica de control a accesului intre doua retele si  ne indica faptul ca:

  • intreg traficul de date trece prin el;
  • este permisa numai trecerea autorizata prin politica locala de securitate;
  • sistemul insusi este imun la penetrare;
  • monitorizarea comunicatiilor TCP/IP;
  • poate inregistra toate comunicatiile;
  • poate fi folosit la criptare.

Limitele unui firewall

 

  • restrictioneaza, blocheaza accesul la unele servicii externe;
  • protectie scazuta pentru atacuri din interior;
  • protectie scazuta fata de virusi;
  • diminueaza viteza de comunicare cu exteriorul;
  • fiabilitate redusa datorita centralizarii.



Controlul securitatii fizice

 

 Auditorul verifica masura in care accesul fizic la date si resursele hardware sunt restrictionate corespunzator si impune cateva obiective, si anume:

  • modul cum este restrictionat accesul fizic la facilitatile IT din firma;
  • modul cum este restrictionat accesul la spatiile unde se afla echipamentele pe care se realizeaza prelucrarile;
  • modul cum sunt protejate stocarile offline de date;
  • cat de sigura, din punct de vedere informational, este scoaterea din uz a calculatoarelor si mediilor de stocare a datelor;
  • existenta unor programe care permit recuperarea datelor sterse de pe mediile de stocare;
  • dificultatea asigurarii controlului accesului fizic la fiecare componenta hardware;extinderea lucrului in retea si a utilizarii sistemelor distribuite s-a caracterizat prin concentrarea atentiei pe controlul accesului logic, dar controlul accesului fizic ramane in continuare important, el reprezentand o componenta a sistemului de securitate.

Copii de siguranta si evenimente neprevazute

Auditorul trebuie sa verifice daca la nivelul organizatiei exista :

  • proceduri prin care sa se asigure functionarea sistemului in cazul caderii

alimentarii cu energie electrica sau a cailor de comunicatii. Exista sectoare “sensibile” – bancar, bursier, securitatea statului, energetic etc. care impun asigurarea functionarii continue a sistemelor informatice ceea ce implica existenta unor surse alternative de energie si/sau comunicatii.

  • planuri bine testate si documentate, actualizate periodic prin care sa se asigure

operationalitatea sistemului informatic in conditiile producerii unor evenimente neprevazute.

  • proceduri si controlul aplicarii acestora, privind realizarea copiilor de siguranta si refacerea starii sistemului in cazul “caderii” acestuia ca urmare a unor cauze hard sau soft.
  • existenta unui contract de asigurare a organizatiei pentru evenimente neprevazute.
  • nivelul de instruire a personalului cu privire la procedurile aplicabile in cazul

realizarii periodice a copiilor de siguranta sau executarii procedurilor de criza in cazul producerii dezastrelor.

 Dezastrele

 

  • actiuni cu scop distructiv produse intentionat sau nu, inclusiv VIRUSI;
  • dezastre naturale.

Conceptul de BUSINESS CONTINUITY MANAGEMENT (BCM) prevede:

  • anticiparea incidentelor care pot afecta functiile critice si procesele organizatiei
  • asigurand ca organizatia va raspunde oricarui incident conform planurilor elaborate pana la revenirea activitatii la o desfasurare normala;
  • functia IT este una fin functiile critice ale organizatiei;
  • plan de actiune care cuprinde proceduri si persoanele responsabile cu punerea inpractica a actiunilor de limitare a distrugerilor si refacerea sistemului prin:
    1. stabilirea echipei responsabile cu realizarea unui plan de refacere a sistemului formata din personalul din compartimentul de specialitate, auditorul sistemului informatic, utilizatori;
    2. elaborarea procedurilor de verificare a principalelor componente ale sistemului (date, soft, hard, documentatii) in cazul producerii evenimentelor distructive si stabilirea responsabilitatilor;
    3. stabilirea locatiilor in care vor fi pastrate copiile de siguranta, documentatiile si componente hardware;
    4. stabilirea prioritatilor privind procedurile ce trebuie efectuate;
    5. stabilirea locatiei in care se vor executa procedurile;
    6. testarea planului pe elemente componente;
    7. documentarea planului;
    8. nu toate incidentele (evenimentele distructive) pot fi anticipate prin BCM;

            Planificarea continuitatii activitatii in cadrul organizatiei implica aspecte de genul:

  • ce a facut managementul privitor la riscul de “cadere” a sistemului si fata

      de scenariul de dezastre;

  • cum sunt testate si actualizate planurile de continuitate a activitatii prin:
    1. revederea planurilor existente;
    2. daca sunt clar precizate responsabilitatile;
    3. care este nivelul de instruire a personalului implicat;
    4. refacerea in cazul esecului operational.

In acest caz, auditorul verifica :

  • daca sunt stabilite proceduri adecvate in cazul producerii unor esecuri operationale;
  • daca aceste proceduri sunt verificate si aprobate;
  • daca aceste esecuri operationale sunt identificate, rezolvate la timp, comsemnate si raportate;
  • in ce masura echipamentele sunt adecvat plasate si protejate pentru a se preveni riscul distrugerii accidentale (foc, fum, praf, vibratii, radiatii electromagnetice etc.);
  • in ce masura echipamentele sunt corect intretinute;
  • ce controale exista pentru prevenirea esecurilor operationale produse din :
  1. cauze hardware;
  2. neaplicarea corecta a procedurilor de operare;
  3. erori software.
    • care sunt procedurile de RESTART si REFACERE (Recovery) pentru refacerea starii sistemului in urma unui esec operational;
    • in caz de incidente sunt evaluate actiunile operatorilor pentru a se vedea daca prin actiunile lor nu au afectat calitatea prelucrarilor sau structurile de date.

Actualizarile folosind backup-urile datelor (fisierelor), aplicatiilor si software-ul de sistem trebuie sa fie posibile in caz de urgenta sis a prevada:

  • daca procedurile de backup (pentru date si soft) sunt cele potrivite;
  • daca backup-urile sunt corect jurnalizate si stocate in locatii sigure;
  • daca exista siguranta ca backup-urile si procedurile RECOVERY vor lucra la nevoie;
  • daca datele din fisierele copii sunt acoperitoare pentru refacerea fisierelor operationale. Frecventa realizarii copiilor este direct proportionala cu volumul

      tranzactiilor si importanta datelor pentru organizatie.

Conform procedurilor backup copiile pot fi :

  • partiale;
  • totale.

Controlul nivelului operational

Distribuirea prelucrarii impune controlul la nivel operational si presupune urmatoarele activitati auditate:

 

  1. Operarea efectiva la postul de lucru prin:
  • restrictionarea accesului;
  • utilizarea eficienta a timpului de lucru;
  • intretinerea si repararea echipamentului;
  • cunoasterea si respectarea procedurilor de catre utilizatori.
  1. Reteaua de calculatoare care va presupune:
  • modul de monitorizare a traficului pe retea;
  • politica antivirus – server sau post de lucru;
  • controlul politicilor de acces si restrictionare;
  • protectia conexiunii la retele publice.

Auditorul urmareste :

  • cum sunt autentificate conectarile de la distanta la calculatoarele organizatiei;
  • daca reteaua este mare, in ce masura este organizata pe domenii separate;
  • daca reteaua este partajata (mai ales daca se extinde dincolo de organizatie) ce controale exista pentru a se verifica faptul ca utilizatorii acceseaza doar portiunile de retea pentru care sunt autorizati;
  • cum sunt protejate transmisiile in retea;
  • conexiunile externe trebuie folosite doar pentru scopuri valide ale afacerii si controalele trebuie sa previna ca aceste conexiuni sa submineze securitatea sistemului;
  • in ce masura aceste conexiuni externe sunt impuse de nevoi ale organizatiei;
  • cat de sigura este posta electronica a organizatiei;
  • ce controale exista pentru a preveni accesarea unor site-uri inadecvate;
  • ce controale exista pentru a preveni navigarea neproductiva pe Internet a
  • personalului si in afara sarcinilor de serviciu.

Solutia hardware si software a retelei trebuie sa asigure nevoile de disponibilitate, performanta si flexibilitate.

  • ce documentatie de retea este disponibila;
  • cum sunt aprobate modificarile din retea, controlate si testate;
  • ce procese au loc pentru planificarea capacitatii si monitorizarea nivelului de performanta.
  1. Pregatirea datelor si introducerea in sistem care presupun:
  • pregatirea documentelor primare;
  • datele sunt clasificate, grupate, verificate, sortate si transmise pentru
  • procesare;
  • controlul introducerii datelor;
  • acuratetea datelor care depinde de :
    1. calitatea controalelor;
    2. factorul uman;
    3. tipul echipamentelor folosite pentru introducerea datelor in sistem.
  1. Procesarea datelor realizata prin:
    • acces autorizat pentru declansarea procedurilor;
    • respectarea termenelor si timpilor de procesare;
    • protejarea fisierelor;
    • pastrarea rezultatelor procesarii;
    • asigurarea la timp a datelor necesare prelucrarilor, mai ales in cazul in care acestea sunt asigurate de alte sisteme informatice (interne sau externe organizatiei);
    • intretinerea software-ului;
    • Auditorul va urmari masura in care a asigurat documentatia necesara personalului implicat in procesarea datelor.
  1. Gestionarea mediilor de stocare prin:
  • localizarea curenta;
  • persoana responsabila (gestionarul);
  • data achizitiei;
  • utilizatorul;
  • fisierele/programele/aplicatiile continute;
  • persoanele autorizate sa acceseze mediul;
  • data ultima cand a fost folosit; de cine; data restituirii;
  • data la care continutul poate fi sters;
  • cum sunt protejate stocarile offline de date.
  1. Gestionarea aplicatiilor si a documentatiei
  • modul de pastrare;
  • modul de acces;
  • actualizarea documentatiei;
  • copii de siguranta.
  1. Asistenta tehnica
  • modul de achizitionare a hardware-ului;
  • instruire utilizatori;
  • identificarea erorilor de procesare si modul de rezolvare;
  • controlul soft-urilor;
  • raportarea incidentelor.

Managementul trebuie sa stabileasca nivelurile de service necesitate de utilizatori si sa stabileasca politicile privind asigurarea acestora :

  • in ce masura corespund contractele de service existente nevoilor reale;
  • in ce masura service-ul asigurat raspunde cerintelor de securitate.
  1. Monitorizarea performantelor
  • monitorizarea performantei operationale si aprobarea procedurilor documentate;
  • monitorizarea performantei privitoare la nivelele de service si a procedurilor de operare;
  • ce informatii primeste managerul pentru a-i permite sa monitorizeze starea mediului hard si terminarea la timp a prelucrarilor;
  • cat de des se primesc aceste informatii;
  • in ce masura au existat probleme cu performanta componentelor hardware si/sau executarea la timp a prelucrarilor;
  • ce monitorizare se desfasoara pentru verificarea operarii eficiente a calculatorului;
  • in ce masura au existat probleme cu neaprobarea unor proceduri definite pentru operarea calculatorului.
Loading...