Auditul Sistemelor Informatice

1. PREZENTAREA GENERALĂ A AUDITULUI PENTRU SISTEMELE INFORMATICE

1.1. Prezentare generală

Auditul sistemelor informatice reprezintă activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale întreprinderii şi utilizează eficient resursele informaţionale.

În cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaţii sunt verificările, evaluările şi testările mijloacelor informaţionale, astfel:

- identificarea şi evaluarea riscurilor din sistem;

- evaluarea şi testarea controlului din sistem;

- verificarea şi evaluarea fizică a mediului informaţional;

- verificarea şi evaluarea administrării sistemului informatic;

- verificarea şi evaluarea aplicaţilor informatice;

- verificarea şi evaluarea securităţii reţelelor de calculatoare;

- verificarea şi evaluarea planurilor şi procedurilor de recuperare în caz de dezastre şi continuare a activităţii;

- testarea integrităţii datelor.

Auditul informatic reprezintă o formă esenţială prin care se verifică dacă un SI îşi atinge obiectivul pentru care a fost elaborat. Standardele definesc clar domeniul, activităţile, etapele, conţinutul auditării şi formele de finalizare. Respectând cerinţele standardelor, rezultatul procesului de auditare informatică este eliberat de riscurile contestării. Auditul informatic reprezintă un domeniu cuprinzător în care sunt incluse toate activităţile de auditare pentru: specificaţii, proiecte, software, baze de date, procesele specifice ciclului de viaţă ale unui program, ale unei aplicaţii informatice, ale unui sistem informatic pentru management şi ale unui portal de maximă complexitate, asociat unei organizaţii virtuale.

În domeniul informatic există mai multe direcţii de dezvoltare a auditului.

1.1.1. Auditarea software constă în activităţi prin care se evidenţiază gradul de concordanţă dintre specificaţii şi programul elaborat. Auditul software dă măsura siguranţei pe care trebuie să o aibă utilizatorul de programe atunci când obţine rezultate. Siguranţa se referă la corectitudinea şi completitudinea rezultatelor finale atunci când datele de intrare sunt, de asemenea, corecte şi complete.

1.1.2. Auditul bazelor de date, este un domeniu de maximă complexitate având în vedere că, de regulă, lucrul cu bazele de date presupune atât datele ca atare însoţite de relaţiile create între ele, cât şi programele cu care datele se gestionează. De aceea se impune efectuarea unei reparări.

Auditul datelor vizează definirea acelor elemente prin care se stabileşte măsura în care datele stocate îndeplinesc cerinţele de calitate: corectitudine, completitudine, omogenitate, comprehensibilitate, temporalitate, reproductibilitate. Pentru fiecare caracteristică există o metrică elaborată, iar auditorul de date trebuie să evalueze nivelul atins de caracteristică, pentru setul de date supus auditării. În final, auditorul de date certifică faptul că datele stocate în baze de date constituie intrări valabile pentru a obţine rezultate corecte.

În cazul auditării riscului de gestiune a datelor stocate în baze de date se verifică dacă:

- programele referă corect câmpurile cu date stocate;

- operaţiile de prelucrare sunt cele din specificaţii;

- agregările, sortările, evaluările de expresii de extragere a subseturilor de date sunt în concordanţă cu specificaţiile de obţinere a rezultatelor ca structură, dimensiune şi conţinut.

1.1.3. Auditul sistemelor informatice evaluează riscurile unui mediu informatic sau ale unei aplicaţii informatice, ca de exemplu calculul salariilor sau facturarea. Aceste misiuni se realizează alegând, împreună cu clientul, procesul de evaluare.

Auditul informatic se poate referi la evaluarea riscurilor informatice ale securităţii fizice, securitatea logică, managementul schimbărilor, planul de asistenţă etc. În cazul general, auditul informatic se referă la un ansamblu de procese informatice pentru a răspunde la o cerere precisă a clientului. De exemplu, aprecierea disponibilităţii informaţiilor şi a sistemului. În acest caz se controlează care dintre procesele informatice răspund cel mai eficient la o asemenea cerere. În cazul disponibilităţii, de exemplu, securitatea fizică şi planul de continuitate.

Auditul informatic poate, de asemenea, să evalueze aspecte strategice sau referitoare la calitatea sistemelor informatice. De exemplu, să verifice dacă sistemul informatic al întreprinderii răspunde în mod eficient la nevoile funcţiilor serviciului.

1.1.4. Auditul mediului informatic se execută pentru a evalua riscurile sistemelor informatice necesare funcţionării aplicaţiilor. De exemplu: securitatea fizică, securitatea logică, securitatea reţelelor, plan de salvare. În urma auditării, se întocmeşte un raport în care sunt prezentate punctele slabe, nivelul de risc al acestora şi măsurile corective propuse.