Auditarea sistemelor informatice

Auditul sistemelor informatice se compune din trei etape majore:

1). Strangerea de informatii

2). Evaluarea propriu-zisa/proceduri de control

3). Raportarea

1). Strangerea de informatii

Informatiile obtinute trebuie sa fie cat mai complete si reale deoarece ele vor sta la baza tuturor activitatilor ulterioare de audit, fiind folosite ca referinta pentru pasii urmatori.

Se vor urmari obtinerea de informatii in privinta urmatorelor elemente:

- aspecte organizatorice/proceduri de personal;

- securitatea fizica/controalele mediului;

- profilele utilizatorilor

- verificarea pastrarii datelor/recuperarea si planului de rezerva-salvare (backup);

- procedurile de salvare si controalele;

2). Evaluarea propriu-zisa

O data ce informatiile necesare au fost colectate, auditorul poate incepe evaluarea sistemului informatic. Evident, sunt multe situatii in care informatiile colectate nu sunt suficiente sau apare necesitatea pentru un alt set de informatii. Colectarea informatiilor si evaluarea nu trebuie privite ca procese seriale, ne putem intoarce la etapa anterioara in orice moment daca este nevoie. De fapt, o buna parte din evaluare se face chiar in timpul strangerii informatiilor.

a). aspecte organizatorice/proceduri de personal

1). Se identifica acele pozitii responsabile pentru mentinerea programelor, alternantei

sistemului/fisierelor de date si utilizarea diferitelor sisteme ale centrului informatic.

2). Daca este necesar, se verifica fisele de post scrise pentru fiecare responsabilitate

functionala descrisa în organigrama;

3). Se determina daca s-au realizat prevederi pentru înlocuirea personalului din pozitiile cheie;

4). Se determina daca procedurile de terminare sunt adecvate:

a). cardurile de identificare ale angajatului trebuie sa fie returnata atunci când el

sau ea a terminat contractul de munca,

b). parolele care au fost utilizate de angajatul ce-si termina contractul de munca

trebuie sa fie anulate sau schimbate,

c). cheile angajatului respectiv trebuie sa fie returnate si/sau încuietoarele sa fie

schimbate,

d). exista o sesiune/procedura de verificare a terminarii contractului de munca?

5). Se determina daca este oferita o pregatire si supraveghere adecvata referitoare la

sistem acordata angajatilor ce utilizeaza sistemul;

6). Se determina daca personalul prestatorilor de servicii este supravegheat în timpul

sederii acestuia în centrul informatic;

7). Se obtine sau documenteaza o opinie generala asupra sistemelor informatice

(incluzând resursele de hardware, software, personalul de întretinere/design si

utilizatorii) din cadrul centrului informatic;

8). Se determina pragul critic general al fiecarui sistem major identificat;

9). Pe liniile de retea se includ în cadrul sistemului de securitate aspecte de call-back sau

câteva alte mijloace de control care sa asigure accesul autorizat?

10). Se determina daca exista proceduri scrise de operare a sistemului (în special pentru

deschiderea si închiderea calculatorului, mentinerea fisierelor si întretinerea

preventiva).

b). securitatea fizica/controalele mediului

Se determina daca procedurile si politicile de securitate fizica sunt adecvate prin

evaluarea controalelor cu ajutorul interviului si observatiei. Se utilizeaza urmatorii pasi de audit/întrebari în determinarea adecvarii:

1). se asigura ca exista proceduri scrise valabile care previn acordarea de acces la

facilitatile informatice personalului neautorizat,

2). se asigura ca personalul autorizat este în mod specific definit în standardele de

operare si/sau proceduri,

3). se observa la câteva momente diferite daca doar persoanele autorizate sunt în aria de procesare,

4). se determina daca facilitatile din camera calculatoarelor sunt restrictionate prin

utilizarea de chei, cartele magnetice sau alte dispozitive de securitate automatizate,

5). locul unde se afla serverele este situat la parter si exista o fereastra de observatie?

6). locul unde se afla serverele se afla la subsol?