Extras din proiect
Auditul sistemelor informatice se compune din trei etape majore:
1). Strangerea de informatii
2). Evaluarea propriu-zisa/proceduri de control
3). Raportarea
1). Strangerea de informatii
Informatiile obtinute trebuie sa fie cat mai complete si reale deoarece ele vor sta la baza tuturor activitatilor ulterioare de audit, fiind folosite ca referinta pentru pasii urmatori.
Se vor urmari obtinerea de informatii in privinta urmatorelor elemente:
- aspecte organizatorice/proceduri de personal;
- securitatea fizica/controalele mediului;
- profilele utilizatorilor
- verificarea pastrarii datelor/recuperarea si planului de rezerva-salvare (backup);
- procedurile de salvare si controalele;
2). Evaluarea propriu-zisa
O data ce informatiile necesare au fost colectate, auditorul poate incepe evaluarea sistemului informatic. Evident, sunt multe situatii in care informatiile colectate nu sunt suficiente sau apare necesitatea pentru un alt set de informatii. Colectarea informatiilor si evaluarea nu trebuie privite ca procese seriale, ne putem intoarce la etapa anterioara in orice moment daca este nevoie. De fapt, o buna parte din evaluare se face chiar in timpul strangerii informatiilor.
a). aspecte organizatorice/proceduri de personal
1). Se identifica acele pozitii responsabile pentru mentinerea programelor, alternantei
sistemului/fisierelor de date si utilizarea diferitelor sisteme ale centrului informatic.
2). Daca este necesar, se verifica fisele de post scrise pentru fiecare responsabilitate
functionala descrisa în organigrama;
3). Se determina daca s-au realizat prevederi pentru înlocuirea personalului din pozitiile cheie;
4). Se determina daca procedurile de terminare sunt adecvate:
a). cardurile de identificare ale angajatului trebuie sa fie returnata atunci când el
sau ea a terminat contractul de munca,
b). parolele care au fost utilizate de angajatul ce-si termina contractul de munca
trebuie sa fie anulate sau schimbate,
c). cheile angajatului respectiv trebuie sa fie returnate si/sau încuietoarele sa fie
schimbate,
d). exista o sesiune/procedura de verificare a terminarii contractului de munca?
5). Se determina daca este oferita o pregatire si supraveghere adecvata referitoare la
sistem acordata angajatilor ce utilizeaza sistemul;
6). Se determina daca personalul prestatorilor de servicii este supravegheat în timpul
sederii acestuia în centrul informatic;
7). Se obtine sau documenteaza o opinie generala asupra sistemelor informatice
(incluzând resursele de hardware, software, personalul de întretinere/design si
utilizatorii) din cadrul centrului informatic;
8). Se determina pragul critic general al fiecarui sistem major identificat;
9). Pe liniile de retea se includ în cadrul sistemului de securitate aspecte de call-back sau
câteva alte mijloace de control care sa asigure accesul autorizat?
10). Se determina daca exista proceduri scrise de operare a sistemului (în special pentru
deschiderea si închiderea calculatorului, mentinerea fisierelor si întretinerea
preventiva).
b). securitatea fizica/controalele mediului
Se determina daca procedurile si politicile de securitate fizica sunt adecvate prin
evaluarea controalelor cu ajutorul interviului si observatiei. Se utilizeaza urmatorii pasi de audit/întrebari în determinarea adecvarii:
1). se asigura ca exista proceduri scrise valabile care previn acordarea de acces la
facilitatile informatice personalului neautorizat,
2). se asigura ca personalul autorizat este în mod specific definit în standardele de
operare si/sau proceduri,
3). se observa la câteva momente diferite daca doar persoanele autorizate sunt în aria de procesare,
4). se determina daca facilitatile din camera calculatoarelor sunt restrictionate prin
utilizarea de chei, cartele magnetice sau alte dispozitive de securitate automatizate,
5). locul unde se afla serverele este situat la parter si exista o fereastra de observatie?
6). locul unde se afla serverele se afla la subsol?
Preview document
Conținut arhivă zip
- Auditul Sistemului Informatic - Concept, Control si Practica.doc