Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1
REVIZIJA INFORMACIONIH SISTEMA
Tipovi Revizije 2
1. Operativna revizija
2. Revizija podobnosti poslovnog sistema
3. Finansijska revizija
4. Revizija IS-a
5. Inspekciona revizija
6. Revizija administrativnih internih kontrola
Revizorski pristup 3
Revizorski pristup se sastoji iz sljedećih faza:
1. Kreiranje opšteg plana revizije i identifikovanje značajnih revizorskih oblasti
2. Razumevanje i procjena značajnih izvora informacije
3. Procjena rizika
4. Definisanje i primjena revizorskog pristupa
5. Donošenje opštih revizorskih zaključaka
Ciljevi revizije IS-a 4
Osnovni cilj revizije IS-a je da proceni i da mišljenje ili preporuke o tome da li je sigurnost IS-a u saglasnosti sa specifičnostima poslovnog sistema i sa aktuelnim standardima.
...
Revizija i informacioni sistemi 5
Treba razlikovati dva vida revizije:
Revizija podržana informacionim sistemima
Uticaj na strukturu samih IS (’udice’ [hooks])
Posebni programski paketi (npr. ACL – Audit Command Language)
Revizija informacionih sistema
Segmenti i standardi revizije 6
Osnovni segmenti revizije IS-a su:
Upravljanje promjenama
Razvoj, akvizicija i implementacija
Sigurnost sistema
Računarske operacije
Upravljanje promenama 7
Pod rizikom upravljanja promjenama podrazumjevamo:
Neovlašćenu implemntaciju promena (krađa, gubitak podataka)
Implementaciju netestiranih promena (pad sistema, gubitak podataka)
Promene nisu implementirane na vreme
Nepostojanje određenog nivoa sigurnosti
Neodgovarajuće održavanje dokumentacije
Upravljanje promenama 8
Prilikom revizije načina upravljanja promjenama potrebno je utvrditi da li su definisani i dokumentovani sljedeći segmenti:
Tipovi promjena
Traženi elementi promjena
Ovlašćenja za obavljanje promjena
Test procedure
Sve promjene
Potpisane procedure
Pojava I korekcija grešaka i pobiljšanje funkcionalnosti
Revizija razvoja, akvizicije i implementacije IS
Dugoročna strategija IS-a (mora pratiti razvoj tehnologije)
Uključivanje korisnika
Kontrolne tačke
Nadzor budžeta i vremena
Testiranje i potpisivanje procedura
Edukacija
Dokumentovanje
Finalnno prihvatanje
Migracija podataka
Implementacija
Postimplementacioni nadzor
9
Revizija sigurnosti sistema
Neadekvatna kontrola promjene podataka
Neusklađenost s propisima
Otkrivanje podataka
Gubitak integriteta podataka
10
Standardi revizije
ISACA (Information System Audit and Control Assotiation)
Standardi
Minimalni nivo prihvatljivih performansi
Upravljanje i profesionalno obavljanje aktivnosti
Sertifikovanje revizora (CISA – Certified Informacion System Auditor)
Uputstva (vodič za primjenu standrda)
Procedure (informacija kako da se standardi primjene)
11
Standardi revizije informacionih sistema
Upravljanje informacionim sistemima po COBIT metologiji
Standard za informacionu bezbjednost BS 7799
ISO standardi za informacionu bezbjednost
BSI – Bundesamt für Sicherheit in der Informationstechnik
Evropska komisije dokumentom broj 465/2005 od
22.03.2005. godine zahtijeva se od agencija platnog prometa
da bezbjednost svojih informacionih sistema zasnivaju na
jednom od navedenih standarda.
Upravljanje informacionim sistemima po COBIT metodologiji
COBIT paket se sastoji od šest publikacija:
Pregled namijenjen menadžerima
COBIT radni okvir objašnjava kako COBIT organizira ciljeve upravljanja. Radni okvir definiše
koji od informacionih kriterija (pouzdanost, integritet, efikasnost i dr.) najbolje utiču na resurse
(ljude, aplikacije, tehnologiju, infrastrukturu i dr.) i potpomažu poslovne procese.
Ciljevi kontrola opisuju četiri osnovne domene, 34 procesa i 318 ciljeva kontrola, kao i dobru
praksu upravljanja aktivnostima u informacionim sistemima.
Vodič za provođenje revizije daje sugestiju za način provođenja stvarnih aktivnosti koje
korenspondiraju sa definisanim procesima.
Set alata za uspješnu implementaciju COBIT-a objašnjava kako su određene organizacije
primijenile COBIT u svojim radnim okolinama, te daje preporuke kako brzo i uspješno
implementirati COBIT procese.
Menadžment smjernice identifikuju ključne indikatore cilja, ključne indikatore učinaka te
pridružene modele zrelosti za upravljanje informacionim tehnologijama.
Upravljanje informacionim sistemima po COBIT metodologiji
COBIT publikacije govore o radnom okviru koji ima struktura koja se sastoji od tri
nivoa. Najviši nivo čine četiri osnovne domene (eng. high-level control):
Planiranje i organizovanje
Nabavka i implementacija Isporuka i
podrška
Nadgledanje i evaluacija
IT resursi
Informacije
COBIT radni okvir
Upravljanje informacionim sistemima po COBIT metodologiji
Planiranje i organizovanje:
PO1 - Strateško planiranje
PO2 – Definisanje informatičke arhitekture
PO3 – Određivanje tehnoloških smjernica
PO4 – Organizacija i odnosi u IS
PO5 – Upravljanje investicijama i troškovima
PO6 – Upravljanje komunikacijom
PO7 – Upravljanje ljudskim resursima
PO8 – Zadovoljavanje spoljnjih zahtjeva
PO9 – Procjena rizika
PO10 - Upravljanje projektima
PO11 - Upravljanje kvalitetom
Nabavka i implementacija:
AI1 - Identifikacija mogućih rješenja
AI2 - Nabavka i održavanje aplikativnih rješenja
AI3 - Nabavka i održavanje teh- infrastrukture
AI4 - Dokumentacija razvoja i održavanja
AI5 - Instalacija i akreditacija sistema
AI6 - Upravljanje promjenama
Isporuka i podrška:
DS1 - Definisanje i upravljanje kvalitetom usluga
DS2 - Upravljanje spoljnjim uslugama
DS3 - Upravljanje proizvodnjom i kapacitetima
DS4 - Osiguranje kontinuiteta usluga
DS5 - Bezbjednost sistema
DS6 - Idenifikacija i lokacija troškova
DS7 - Edukacija korisnika
DS8 - Podrška korisnicima
DS9 - Upravljanje konfiguracijom
DS10 - Upravljanje incidentima
DS11 - Upravljanje podacima
DS12 - Upravljanje pomoćnom opremom
DS13 - Upravljanje obradama
Nadgledanje i evaluacija:
ME1 - Nadzor nad informacionim procesima
ME2 - Procjena uspješnosti unutrašnje kontrole
ME3 - Stvaranje povjerenja zainteresovanih strana
ME4 - Nezavisna revizija
Upravljanje informacionim sistemima po COBIT metodologiji
0 – Neimplementiran – upravljanje procesom nije uopšte prisutno i ne postoje jasni pokazatelji bilo
kakvog vladanja informacionim tehnologijama.
1 – Početni nivo – procesi se posmatraju ad hoc i neorganizovano. Postoje naznake da je organizacija
prepoznala postojanje problema upravljanja informacionim tehnologijama.
2 – Ponavljajući – proces se odvija regularno.To znači da se procesi ponašaju na očekivani način, pri
čemu definisane procedure obavljaju različiti zaposlenici. U načelu organizacija je svjesna problematike
vladanja informacionim tehnologijama ali procedure nisu formalno dokumentovane.
3 - Definisan – procesi su dokumentovani i uspostavljena je komunikacija. Ovakva ocjena podrazumijeva
da su procedure standardizovane i dokumentovane, a njihova djelotvornost se periodično mjeri.
4 – Upravljan – procesi se nadziru i mjere. Organizacije su uspostavile sistem nadzora i mjerenja efekata
preduzetih aktivnosti. Značajan broj kontrola je automatizovan i vrši se njihovo redovno preispitivanje.
Postoji potpuno razumijevanje problematike upravljanja na svim nivoima. Informacioni procesi su
usklađeni sa poslovnim ciljevima i strategijom informacionog sistema.
5 – Optimalan – uključene su i automatizovane najbolje prakse. U ovakvim organizacijama je
implementiran cjeloviti program upravljanja rizicima. Edukacija i uvježbavanje je ispunjeno najboljim
tehnikama. Procesi se kontinuirano poboljšavaju u skladu sa najboljim poznatim praksama, pri čemu se
vrši upoređivanje i mjerenje sa drugim organizacijama.
Mjerenje perfomansi
COBIT nema ugrađen proces certifikacije. Umjesto formalne certifikacije, nudi se model zrelosti
(eng. Maturity Model). Model zrelosti definiše način mjerenja i ciljeve do kojih se dolazi
mjerenjem perfomansi informacionih procesa, pri tome se koristi skala između 0 i 5, pri čemu je:
Standard za informacionu bezbjednost BS 7799
"Plan" – planiranje i uspostavljanje sistema
"Do" - upotreba sistema
"Check“ - praćenje i revizije sistema
"Act“ - unapređenje sistema
Check
Plan
Do Act
PDCA ciklus
U fazi planiranja potrebno je:
usvojiti politiku bezbjednosti informacija,
definisati područje primjene sistema bezbjednosti,
odrediti strukturu organizacije bezbjednosti,
izvršiti procjenu rizika,
planirati kontrole bezbjednosti, i
kreirati izjave o usklađenosti.
U fazi upotrebe sistema potrebno je:
upravljati rizicima bezbjednosti,
implementirati kontrole bezbjednosti,
edukovati zaposlene i
otkrivati incidente bezbjednosti.
U fazi praćenja i revizije potrebno je:
provjeravati efikasnost sistema bezbjednosti,
provoditi internu reviziju sistema, i
vršiti pregled sistema od strane poslovodstva.
U fazi unapređenja sistema potrebno je:
analizirati neusaglašenosti;
provesti preventivne i korektivne mjere;
informisati o sistemu unutar organizacije.
Namjena upotrebe standarda BS 7799 je uspostavljanje određenog nivoa bezbjednosti
programske i tehničke opreme, informacija i informacionih sistema te preduzimanje potrebnih
aktivnosti koje sprečavaju ili umanjuju efekte incidenata bezbjednosti, uspostavljanje efikasnog,
dokumentovanog, transparentnog sistema bezbjednosti informacija, interne kontrole sistema
bezbjednosti i certikacijski pregled sistema bezbjednosti.
Standard za informacionu bezbjednost BS 7799
Organizaciona struktura sistema bezbjednosti
Reagovanje na incidente
bezbjednosti
Sistem upravljanja
bezbjednošću informacija
Glavni službenik za
bezbjednost informacija
Poslovodstvo za upravljanje
bezbjednošću
Pregled sistema od
strane poslovodstva
Planiranje neprekinutosti
poslovanja
Tim za oporavak od
kriznih situacija
Odbor za kontrolu promjena
Održavanje bezbjednosti
Tim za rukovanje
incidentima bezbjednosti
Vanjski partneri
ISO standardi za informacionu bezbjednost
ISO 27000 – će biti rječnik termina koji se koriste, ili će se koristiti u ostalim standardima ove serije;
ISO 27002 - će predstavljati nadopunjeni postojeći standard ISO 17799 iz 2005. godine;
ISO 27003 – će sadržavati uputstva za implementaciju standarda ove serije;
ISO 27004 – će definisati način mjerenja uspješnosti implemenatcije pojedinih normi;
ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS
7799-3 objavljenom 2006. godine.
ISO 27006 – iako nije precizno definisan njegov sadržaj, vjerovatno će se baviti problemom obnavljanja
i nastavka poslovanja nakon incidenata.
Razvoj ISO 17799 i 27001 standarda
Na osnovu informacija objavljenih iz međunarodne organizacije za standardizaciju, serija standarda 27000,
pored ISO 27001, će biti dopunjena standardima:
ISO standardi za informacionu bezbjednost
Procjena rizika – analiza i procjena rizika;
Politika bezbjednosti - krovni dokument definisan od strane menadžmenta;
Organizovanje informacione bezbjednosti – način organizacije provođenja politike bezbjednosti;
Upravljanje resursima – određivanje i klasifikacija sredstava koji su bitni za informacionu bezbjednost;
Bezbjednost i ljudski resursi – upravljanje aspektima bezbjednosti vezanim za zaposlene, njihov raspored i napuštanje organizacije;
Fizička bezbjednost – fizička zaštita informacionog sistema;
Upravljanje komunikacijama i operacijama – upravljanje bezbjednošću tehničkih komponenti informacionog sistema i mreža;
Kontrola pristupa – upravljanje pristupom računarskim mrežama, aplikacijama i podacima;
Nabavka, razvoj i održavanje informacionog sistema – upravljanje bezbjednošću u životnom ciklusu informacionog sistema;
Upravljanje incidentima informacionog sistema – ponašanje u slučaju dešavanja incidenata bezbjednosti;
Upravljanje poslovnim kontinuitetom – sprečavanje prekida poslovnih aktivnosti i zaštita kritičnih poslovnih procesa;
Usaglašenost - usklađenost sa zakonskim i drugim propisima.
ISO/IEC 17799 sadrži 11 domena kontrola bezbjednosti, koje skupa sadrže 39 osnovnih
kategorija bezbjednosti i jednu uvodnu domenu koja definiše procjenu rizika. Domene
definisane ovim standardom su:
Profesionalni odnos
Revizor IS mora imati raznovrsna znanja
Revizor IS mora imati iskustvo i treninge
Revizor IS mora razumjeti poslovanje klijenta
Revizor mora imati sertifikat za revizora IS (CISA)
Revizor ima visoke etičke standarde (latinska riječ auditor – onaj ko sluša žalbe i donosi pravedne odluke)
Revizor mora imati povjerenje klijenta
Revizor mora imati profesionalni odnos da bi uradio visoko kvalitetnu analizu IS
21
Model rizika kao revizorski pristup
Upravljanje rizikom se odnosi na:
Identifikaciju klasičnih
Procenjivanje njihovog uticaja
Način upravljanja sa svakim identifikovanim rizikom
Permanentni monitoring i izveštavanje
Sve se ovo radi da bi se spriječile opasnosti.
22
Model rizika kao revizorski pristup
Koristi od upravljanja rizikom i internih kontrola:
Velika vjerovatnoća ostvarivanja postavljenih ciljeva
Promjene u poslovnom sistemu u pravcu boljeg poslovanja
Dobra baza za postojeću strategiju
Malo neočekivanih i neželjenih iznenađenja
Akcenat na važne stvari i na njihovo pravilno funkcionisanje
23
Rizik definicija
Rizik je postojanje mogućnosti nastanka postupka ili događaja, koji bi imao negativan uticaj na poslovni sistem.
Rizik je potencijal ili mogućnost da ispoljena prijetnja ili mogućnost da ispoljena prijetnja iskoristi slabost sredstava ili grupe sredstava, izazivajući gubitak ili oštećenje sredstava.
24
Model rizika – operativni rizici
U pravcu procjene rizika , revizor
Inherentni rizik
(rizik vezan za događaje u odsustvu specifičnih kontrola)
Rizik kontrola poslovnog sistema
(rizik pojave materijalne greške, koja neće biti spriječena ili detektovana internom kontrolom)
Rizik detekcije
(rizik da procedura valjanosti neće detektovati grešku koja može biti materijalna, velik za pojavu prekida bezbjednosti IS, a mali za oporavak od nepogoda)
25
Inherentni rizik
U pravcu procjene rizika, revizor za IS razmatra
Integritet rukovodioca IS, njegovo znanje i iskustvo
Da li postoji pritisak na njega da prikrije informacije
Prirodu organizacije poslovanja i poslovnog sistema
Faktore koji utiču na djelatnost poslovnog sistema
Stepen uticaja trećih lica na kontrolu sistema koji se revidira
Zaključke od revizije iz predhodne godine
26
Inherentni rizik
Revizor za IS mora obratiti pažnju na
Uključivanje u kompleksnost sistema i sprovođenje adekvatnih procedura
Nivo potrebnih manualnih intervencija
Sklonost gubitku ili otuđenju dobara, kontrolisanih od strane IS (skladište, plate)
Vjerovatnoća ostvarenja najboljeg poslovanja, u periodu revizije
Iskustvo, integritet i znanje menadžera i osoblja IS koji su uključeni u kontrolu
27
Procene rizika
Rizik se najčešće procjenjuje kombinujući efekte i verovatnoću nastanka određenog događaja.
Posebnu važnost treba obratiti na:
Inherentni rizik
(rizik vezan za događaje u odsustvu specifičnih kontrola)
Rezidualni rizik
(rizik vezan za događaje u situaciji postojanja kontrola koje imaju za cilj smanjenje verovatnoće nastanka istog)
28
Period revizije IS-a
Fiksne
1. Kalendarska godina
2. Dvanaestomjesečni period
3. Šestomjesečne
4. Osanaestomjesečne
Vezane za jedan posao (ili završetak neke faze projekta)
29
Revizor IS radi procjenu raznih rizika i šta treba da bude predmet dalje revizije
Korist od procjene nivoa rizika su
Da se revizorski resursi efektivno raspodjele
Obezbjeđuje realno prezentovanje informacija sa svih nivoa upravljanja IS
Efektivno upravljanje revizijom IS.
30
Potrebno je prikupljati informacije da bi se procjenio inherentni rizik
Način prikupljanja informacija
Intervjuisanje viših menadžera
Slanje forme upitnika menadžerima
Pregled zadnjih izvještaja iz IS
Praćenje procesa izrade budžeta
Informacije od predhodnih eksternih revizora
Informacije prikupljene od drugih izvora van firme
Sve ostale specifične metode koje će dati korisne informacije.
31
6. Programi revizije IS-a
1. Kontrolno okruženje IS-a
2. Generalni programi revizije IS-a
3. Evaluacija kontrola kritičnih aplikacija
32
Kontrolno okruženje IS-a
Kontrolno okruženje IS su komponente i procedure koje se odnose na kompjuterizovane operacije, ali koje nisu u direktnoj vezi sa IS.
Područja kontrolnog okruženja IS:
- Upravljanje sigurnošću
- Sprečavanje ilegalnog pristupa i
- Upravljanje sistemom (razvoj i održavanje)
33
Kontrolno okruženje IS-a
Softver za registrovanje neautorizovanom pristupu sistemu
Odmah se odbija pristup neautorizovani pristup (preporuka)
Neko vreme se zadržava registracija neautorizovanog pristupa
Pošelje se poruka neautorizovanom korisniku, stupa se u kontakt i traži razlog ulaska u sistem.
34
Kontrolno okruženje IS-a
Treba voditi računa o integritetu informacija.
Identifikacija korisnika putem lozinki, kartica ili biometrije.
Definisanje korisničkih prava, koja se moraju revidirati periodično.
Menadžer IS vrši delegiranje prava odgovornim osobama:
- Regulisanje pitanja sigurnosti
- Podešavanje parametara sistema
- Održavanje sistema i
- Korišćenje pojedinih podataka i sistema kao cjeline
35
6.2. Generalni programi revizije IS-a
Revizor IS mora da procjeni i identifikuje sve rizike i da pravilo usmjeri dalji rad IS.
Mora da procjeni koji su dokazi tačni, integralni i valjani.
Kontrola IS se sastoji od:
- Vrednovanje opštih kontrola IS (ne uključujući nabavku, razvoj i održavanje softvera)
- Procena pouzdanosti kontrola aplikacije
36
Generalni programi revizije IS-a
Po završetku revizije revizor mora da potvrdi da su podaci na osnovu kojih radi procjenu:
- Pouzdani
- Nepouzdani ili
- Da nije moguće utvrditi pouzdanost podataka.
37
Generalni programi revizije IS-a
Po završetku vrednovanja generalnih kontrola revizor sačinjava izvještaj:
- Koje interne kontrole postižu ciljeve.
- Gdje postoje značajne slabosti internih kontrola.
- Koje su potencijalni rizici zbog slabosti internih kontrola.
- Predlog mjera za otklanjanje slabosti internih kontrola.
38
Generalni programi revizije IS-a
1. Nalozi u proceni rizika i revizorski dokaz
2. Preliminarne procedure, prethodna revizija i revizorski nalazi
3. Informaciono tehnološki procesi
4. Kontinuitet poslovnih aktivnosti
5. Bezbedan logički pristup
6. Fizička sigurnost i zaštita resursa
7. Budžet sektora za informacione resurse
39
Generalni programi revizije IS-a
1. Nalozi u proceni rizika i revizorski dokaz
2. Preliminarne procedure, prethodna revizija i revizorski nalazi
3. Informaciono tehnološki procesi
4. Kontinuitet poslovnih aktivnosti
5. Bezbjedan logički pristup
6. Fizička sigurnost i zaštita resursa
7. Budžet sektora za informacione resurse
40
Nalozi u proceni rizika i revizorski dokaz
Nivo obima ispitivanja pojedinih revizorskih područja zavisi od procjene rizika.
Loša procjena rizika dovodi do:
1. Neće biti vremena da se revizor usmjeri na glavna revizorska područja ili će izostaviti neke bitne stvari.
2. Efikasnost i efektivnost revizije je smanjena.
41
Nalozi u proceni rizika i revizorski dokaz
Nakon preliminarne procjene rizika revizor kreira tipove revizorskih dikaza.
1. Observacioni procesi i verifikacija postojanja fizičkih predmeta.
2. Dokumentovani revizorski dokazi.
3. Prikazi i prezentacije
4. Analize
42
Nalozi u proceni rizika i revizorski dokaz
Dokumentovani revizorski dokazi su zabilježeni na papiru ili nekom drugom mediju :
1. Rezultati izvedenih podataka
2. Zapis o transakcijama
3. Programski listing
4. Faktura
5. Kontrolni logovi u bazi podataka
6. Dokumentacija koja prati sistemski razvoj IS
43
Nalozi u proceni rizika i revizorski dokaz
Prikazi i prezentacije
1. Pisane politike i procedure.
2. Sistemski prikazi i grafikoni.
3. Pisani ili usmeni izvještaji zapisani u bilo kom obliku
44
Nalozi u proceni rizika i revizorski dokaz
Procedure za prikupljanje dokaza
1. Ispitivanje
2. Opservacija
3. Inspekcija
4. Konfirmacija
5. Ponovno obavljanje ili simulacija
6. Monitoring
45
Preliminarne procedure, prethodna revizija i revizorski nalazi
1. Prikupljanje informacija i razumjevanje poslovanja
2. Ispitivanje valjanosti organizacije procedura poslovnog sistema
Upoznavanje sa strukturom osoblja u sektoru IT
Lista osnovne opreme (Hardware).
Lista aplikacija (Software)
Analiza predhodnog revizorskog izvještaja (ako postoji)
46
Nakon preliminarne ocene IS slijedi intervuju sa
menadžmentom sektora za IT i menadžmentom cijele firme i analizira se:
1. Da li menadžment sektora IT kreira kratkoročne i dugoročne planove razvoja IS?
2. Da li postoje operativni standardi u vidu pisanih procedura, koje se odnose na sigurnost IS
3. Kakva je alokacija informacionih resursa (hardver, softver, mreža, organizacija)?
4. Određivanje statusa glavnih projekata?
5. Budžet IS i tekući troškovi?
6. Da li postoji neka procjena o rezultatu ili doprinosu sektora za IT za poslovanje cijele firme?
7. Da li postoje neki korisnički komentari ili žalbe u pisanom obliku?
47
Informaciono tehnološki procesi
Nakon osnovnih pripremnih radnji slijedi faza detaljnog razumjevanja poslovanja firme.
Da li postoje kontrole koje omogućuju nesmetan rad IS?
Da li su planirane ili su u toku promene u IS? Onda se one prvo testiraju.
Pribavljanje kopija dokumenata ili fajlovi koje je kreirao projektant IS.
Prikupljaju se standardi po kojima je projektovan IS.
Životni ciklus razvoja IS.
48
Kontinuitet poslovnih aktivnosti
Opis aktivnosti u slučaju nesvakidašnjih događaja i plan oporavka u slučaju nepogode. Pravljenje rezervne kopije slijedećih komponenti IS:
1. Operativni sistem
2. Aplikacije
3. Master fajlove
4. Transakcione fajlove
5. Ostali programi neophodni za skladištenje podataka na alternativnu lokaciju i koji medijum
49
Kontinuitet poslovnih aktivnosti
Povremeno treba testirati da li su rezervne kopije funkcionalne i vrijeme za koje im se može pristupiti.
50
Bezbjedan logički pristup
Korisnici IS moraju biti precizno identifikovani i svakom dodjeljena autorska prava.
Moraju da se prate i zapisuju logovanja svakog korisnika, a posebno pristup osjetljivim (bitnim) podacima.
Moraju biti pisane procedure za opis dodavanja novih korisnika ili dodjelu novih prava starim.
Definisanje prekida radnog odnosa u IS.
Identifikovati korisnike koji imaju neograničen pristup svim fajlovima u IS (programeri).
51
Bezbjedan logički pristup
Politika lozinki i njihova promjena.
Da li postoji daljinski pristup (remote access) IS?
Mjere koje preduzima sistem administrator po pitanju sigurnosti.
Da li postoji Fireewoll?
Da li postoji antivirus program (licenciran)?
Revizor pokreće antivirus program, kako bi utvrdio da li postoji neki zaraženi fajl.
52
Fizička sigurnost i zaštita resursa
Fizička zaštita hardvera i softvera od krađe i oštećenja i moraju u procedurama biti određene lokacije:
1. Servera
2. Napajanja el. Energijom i osigurača
3. UPS-a
4. Komunikacione opreme
5. Kompjuterskog skladišta i skladišta rezervnih dijelova
6. Medijuma na kojima se nalaze rezervne kopije
Mora se tačno znati ko ima pravo pristupa ovim lokacijama.
53
Fizička sigurnost i zaštita resursa
Treba postojati garantni list za kupljenu opremu IS.
Treba imati polisu osiguranja za opremu IS.
54
Fizička sigurnost i zaštita resursa
Revizor u razgovoru sa menadžerom IS treba da nastoji da ispita sve eventualne greške koje se odnose:
1. Prisustvo detektora za dim, temperaturu i vlagu.
2. Prisustvo protivpožarne opreme i da zaposleni znaju da rukuju ovom opremom.
3. Redovna inspekcija protivpožarne opreme (datum).
4. Rezervno napajanja el. energijom, UPS.
5. Na vidnom mjestu prekidač za isključenje el. Energije.
6. Plan evakuacije sa uputstvima.
7. Postojanje pravila kućnog reda u pisanom obliku.
55
Budžet sektora za informacione resurse
Ovo je sektor koji zahtjeva stalnu modernizaciju.
Budžet zavisi od značaja za poslovanje preduzeća.
Da li firma želi da dalje ulaže u razvoj IS?
Aktuelni troškovi treba da se uklapaju u budžet.
56
Budžet sektora za informacione resurse
Svaka budžetska stavka treba da se opravda:
1. Da li za svaki poseban dio hardvera, softvera, komunikacione opreme planiraju posebni troškovi ili su svi grupa i jedna stavka u budžetu?
2. Da nije premalo ni previše uloženo u IS?
3. Da ne postoji dupliranje informacionih resursa?
4. Da li su važeći ugovori?
5. Ako su stavke u budžetu razvrstane u kategorije, onda ih tako mora pregledati i revizor.
57
6.3. Evaluacija kontrola kritičnih aplikacija
Kontrole aplikacija mogu biti
1. Manuelne ili
2. programske
Cilj je da se utvrdi tačnost svih transakcija za vrijeme korišćenja aplikacije.
Svaka aplikacija treba da bude dokumentovana.
58
Evaluacija kontrola kritičnih aplikacija
1. Revizija organizacije i dokmentacije aplikacije
2. Kontrola ulaznih podataka
3. Kontrola funkcionisanja aplikacije
4. Kontrola prenosa podataka
5. Kontrola matičnih podataka
6. Kontrola rezutata aplikacije
59
Revizija organizacije i dokmentacije aplikacije
Prvo se ispituje:
- vlasništvo nad aplikacijom
- Podaci koji su proizvod aplikacije
- Upravljanje aplikacijom i
- Održavanje aplikacije (ugovori/sporazumi)
- Mora se od softverske kuće koja je napravila softver dobiti garancija na pravo posjedovanja izvornog koda u slučaju bankrota softverske kuće!
60
Kontrola ulaznih podataka
Već rečeno kod bezbjednog logičkog pristupa.
Za adekvatan unos podataka su bitna pitanja:
- Da li su pojedini dijelovi i svi ulazni podaci odobreni?
- Da li su tačno unijeti podaci i da li je narušena njihova integralnost?
61
Kontrola ulaznih podataka
Politika odobravanja ulaznih podataka
1. Samo ovlaštene osobe mogu unositi podatke
2. Podatke treba unositi samo sa ovjerenih dokumenata, a to vrši onaj ko unosi ili druga kontrolna osoba
3. Ulazni podaci koji se prenose elektronskim putem ili preko magnetnih medija se posebno kontrolišu.
4. Sumu elektronskog prenosa, se provjerava preko sume pošiljaoca.
5. Logičke kontrole treba da spriječe dalju obradu podataka koji su formalno ispravni ali nisu logični.
62
Kontrola ulaznih podataka
Za tačnost i integralnost unijetih podataka provjeriti
1. Raditi kontrolne sume među rezultata, ručno ili automatski.
2. Formalna ispravnost pojedinih podataka.
3. Za osjetljive podatke se koriste složene šifre.
4. Zbir unesenih stavki se provjerava po datumima.
5. Za unos šifri treba biti provjera po kontrolnom broju za poznati algoritam
6. Ažuriranje matičnih podataka mora imati posebno odobrenje.
7. Da se čuvaju dokumenti u kojima je došlo greške pri obradi.
63
Kontrola funkcionisanja aplikacije
Cilj obezbjeđivanje računske tačnosti i obrade svih transakcija, pravilno knjiženje i zapis rezultata
1. Kontrola sume unosa
2. Program generiše podatke, a korisnik ih upoređuje sa očekivanim
3. Izvršene sve transakcije u cjelini ili se sve odbacuju i rade ponovo
4. Pri kontroli treba koristiti podatke iz različitih datoteka i različitih vremenskih perioda
64
Kontrola funkcionisanja aplikacije
Provjera da li se rade vanredne provjere tačnosti rezultata
1. Da li postoji termin vanrednih provjera?
2. Da li postoje postupci za provjeru vanrednih obrada?
3. Ako postoje alati za upiti, moraju postojati kontrole koje daju pripremljene odgovore na njih.
65
Kontrola prenosa podataka
Cilj je zadovoljiti integritet i otkrivanje podataka pri prenosu, a koriste se kontrole:
1. Kontrola na kontrolni broj šifre i kontrolne sume
2. Digitalni potpis
3. Tehnika kodiranaja podataka
4. Tehnika lozinki
5. Poruke i transakcije treba označavati rednim brojem
6. Primalac (mašina ili čovjek) treba odah da pošalje obavještenje da su podaci primljeni
66
Kontrola matičnih podataka
U svakoj aplikaciji postoje podaci koji su stalni i od kojih zavise ostali proračuni, a moraju se raditi kontrole:
1. Provjeru ovih podataka stalno radi administrator baze podataka ili odgovarajući korisnik
2. Za praćenje stanja ovih podataka treba koristiti kontrolne sume
3. Kontrola datuma nastanka datoteke
4. Korisnik treba povremeno da provjerava štampanje ovih matičnih podataka.
67
Kontrola rezutata aplikacije je posljednja kontrola na papiru, ekranu ili nekom mediju
1. Program treba da provjerava ispravnost i ograničenja. Ako se greška otkrije mora se poslati poruka upozorenja. Mora biti uputstvo za ispravku greški.
2. Moraju postojati postupci koji garantuju razuman nivo provjere ispisa obrade.
3. Izvještaji treba da sadrže zbir stavki koje korisnik upoređuje sa kontrolnim sumama.
68
Kontrola rezutata aplikacije je i provjera da li rezultate dobijajaju samo oni kojima su namjenjeni
1. Da li se rezultati aplikacije čuvaju pod nadzorom i dostavljaju korisnicima uz odgovarajuće mjere zaštite i privatnosti?
2. Da li se popis poštanskih adresa za dostavu rezultata redovno kontroliše, a nepotrebne i netačne brišu?
3. Da li program ispisuje više kopija nego korisnika rezultata?
4. Da li pravila opšte zaštite štite računar i štampače na kojima se prikazuju rezultati?
5. Da li se svaki rezultat aplikacije označava?
6. Da li se obrasci koji su osjetljivi, unovčivi ili prenose prava, posebno evidentiraju i štite?
69
R E Z I M E
Osnovni proizvod revizije je mišljenje.
Rizik je osnova revizije.
Nove informacione tehnologije, nameću potrebu da se revizija radi uz softverske alate.
Revizorska kuća treba da se pažljivo izabere.
Kvalitetni revizori povećavaju ukupnu vrijednost IS.
70
Hvala na pažnji!
71