Auditul unui Sistem Informatic

1. Aspecte teoretice privind auditul sistemelor informatice

Prin audit , în general , se înțelege examinarea profesională a unei informații în vederea

exprimării unei opinii responsabile și independente, prin raportarea la un criteriu ( standard ) de calitate .

Elementele principale sunt:

- examinarea exclusiv profesională ;

- scopul examinării – exprimarea unei opinii ;

- opinia exprimată să fie responsabilă și independentă ;

- examinarea trebuie să se facă după anumite reguli ;

- dinainte stabilite cuprinse într-un standard sau

- norma legală sau profesională.

Obiectivul auditului : îmbunătățirea utilizării informației (utilizarea informației în condiții optime).

Controlul intern într-un sistem informatic presupune utilizarea unor metode şi tehnici de verificare a corectitudinii rezultatelor prelucrărilor realizate în interiorul său, cunoscute, în literatura de specialitate, sub denumirea de controale.

Scopul acestui serviciu este de a determina riscurile de securitate şi conformitatea cu cerinţele minime de securitate impuse de standardele în domeniu. În acest sens, se realizează un audit independent al soluţiilor informatice prin intermediul cărora clientul îşi desfaşoară activitatea. În urma activităţilor de audit, se emite o opinie de audit însoţită de raportul de audit. Auditul urmăreşte existenţa unor măsuri concrete în ceea ce priveşte:

• confidenţialitatea şi integritatea comunicaţiilor;

• confidenţialitatea şi nonrepudierea tranzacţiilor;

• confidenţialitatea şi integritatea datelor;

• autenticitatea părtilor care participă la tranzacţii;

• protecţia datelor cu caracter personal;

• trasabilitatea tranzacţiilor;

• continuitatea serviciilor oferite clienţilor;

• împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem;

• restaurarea informaţiilor gestionate de sistem în cazul unor calamităţi naturale, evenimente imprevizibile;

• gestionarea şi administrarea sistemului informatic;

• orice alte activităţi sau măsuri tehnice întreprinse pentru exploatarea în siguranţă a sistemului.

În vederea creării unei opinii obiective şi a unui raport de audit cuprinzător, echipa de audit va realiza următoarele activităţi:

Inţelegerea organizaţiei - strângerea de informaţii relevante despre client pentru utilizarea în cadrul etapelor următoare; Aceste informaţii includ: detalii despre organizarea internă, detalii despre organizarea IT, despre tehnologii şi sistemele folosite, modul de funcţionare al sistemelor din cadrul domeniului de audit.

În mod normal, auditorul programează interviuri cu persoanele responsabile desemnate de către client, sau, dupa caz, utilizează chestionare pentru fiecare secţiune în parte. Tot în această etapă se va realiza o listă cu rolurile şi responsabilităţile personalului clientului în administrarea şi operarea sistemelor ţintă.

Analiza documentaţiei relevantă - evaluarea conformităţii documentaţiei clientului cu cerinţele specificate de standardele în domeniu;

Analiza de risc – definirea expunerii pe care o au sistemul şi informaţiile gestionate la riscuri privind securitatea informaţiilor;

În vederea realizării acestei analize de risc, se realizează următoarele:

• Identificarea elementelor analizate: sisteme, aplicaţii, procese, oameni;

• Identificarea vulnerabilităţilor şi a ameninţărilor;

• Cuantificarea şi măsurarea scenarilor de risc;

• Identificarea controalelor aplicabile;

• Stabilirea registrului de riscuri şi identificarea riscurilor reziduale sau a scenariilor necotrolate.

Definire program audit - definirea de obiective de control şi de verificări care se vor întrebuinţa în verificările la faţa locului;

Auditul sistemului - echipa de auditori întreprinde evaluările şi testele prevăzute în programul de audit, cu scopul de a verifica atingerea obiectivelor de control stabilite;

Acesta cuprinde 7 componente principale:

• Revizuirea controalelor tehnice implementate la nivelul aplicaţiilor;

• Revizuirea controalelor tehnice implementate la nivelul serverelor ce susţin sistemele ţintă;

• Revizuirea controalelor tehnice implementate la nivelul infrastructurii de reţea;

• Revizuirea controalelor de acces fizic;

• Revizuirea procedurilor operaţionale ale sistemelor;

• Revizuirea procedurilor de mentenanţă şi recuperare în caz de dezastru;

• Revizuirea controalelor tehnice implementate la nivelul staţiilor de lucru.

Raportarea – pregătirea opiniei de audit şi a raportului de audit, care documentează operaţiunile şi testele întreprinse precum şi rezultatele obţinute.