ОДИТ НА ИНФОРМАЦИОННИТЕ СИСТЕМИ В

ДЪРЖАВНАТА АДМИНИСТРАЦИЯ

10ТА ЮБИЛЕЙНА НАЦИОНАЛНА КОНФЕРЕНЦИЯ ПО ЕЛЕКТРОННО УПРАВЛЕНИЕ

Е-АДМИНИСТРАЦИЯТА В БЪЛГАРИЯ – ПОСТИЖЕНИЯ И ПЕРСПЕКТИВИ

СОФИЯ, 11 МАРТ 2009 Г.

Николай Димитров, CISA, CIA, CCSA

ISACA Sofia Chapter

Одит на информационни системи?

“Процес на събиране и анализ на

доказателства, за да се оцени

способността на дадена

информационна система да

изпълни поставените

организационни цели, като

същевременно гарантира

опазване на активите, сигурност

(интегритет, поверителност и

достъпност) на информацията и

оптимално използване на

ресурсите.”*

* EDP Auditing - Conceptual Foundations and

Practice, © McGraw-Hill College, 1982

11 март 2009 г. Одит на ИС в държавната администрация 2

ЕК и стандартите за информационна сигурност

11 март 2009 г. Одит на ИС в държавната администрация 3

Информационните системи и законодателството

Регламенти на Европейската

комисия

Council Regulation (EC) No 1083/2006

of 11 July 2006 laying down general

provisions on the European Regional

Development Fund, the European

Social Fund and the Cohesion

Национални актове

Закон за електронното управление;

Наредба за общите изисквания за

оперативна съвместимост и

информационна сигурност;

11 март 2009 г. Одит на ИС в държавната администрация 4

Защо CobiT е интересен за одиторите и ръководството?

ІТ трябва да предоставя информацията, от която се нуждае организацията за да постигне своите цели

Набляга на ІТ процесите и собствеността върху тях

Обособява ІТ дейностите в 34 процеса, групирани в 4 домейна

Отчитайки нуждите от доверие, качество и сигурност на организацията, предоставя 7 информационни критерия, които обобщават какво се изисква от ІТ

Поддържа над 200 детайлни контролни цели

11 март 2009 г. Одит на ИС в държавната администрация 5

• Ефективност

• Ефикасност

• Достъпност

• Интегритет

• Поверителност

• Надеждност

• Съответствие

“Пътна карта” за одит на ІТ в организацията

11 март 2009 г. Одит на ИС в държавната администрация 6

пл

ани

ран

е о

бхв

ат и

зпъ

лн

ени

е

• Определяне на ІТ одит вселената

• Избор на контролна рамка за ІТ дейностите

• Планиране, базирано на оценка на ІТ рисковете

• Оценка на по-обобщено ниво

• Определяне на обхвата и общите цели на ангажимента

Бизнес цели

ІТ цели

Ключови ІТ процеси и ІТ ресурси

Ключови контролни цели

Уточнени ключови контролни цели

ІТ П

ЛА

НО

ВЕ

ЗА

АН

ГА

ЖИ

МЕ

НТ

ИТ

Е

ДЕ

ТА

ЙЛ

ЕН

ОБ

ХВ

АТ

И Ц

ЕЛ

И

ОД

ИТ

ЗА

КЛ

ЮЧ

ЕН

ИЕ

Прецизирайте

разбирането

за

одитираната

област

Рафинирайте

обхвата

и целите на

одит

ангажимента

Тествайте

адекватността

на ключовите

контроли

Тествайте

ефективноста

на ключовите

контроли

Опишете

установените

контролни

слабости

Изгответе

заключение и

препоръки за

отстраняване

на слабостите

Планиране на одит на информационна система (1/2)

Описание на основните

елементи в ІТ средата, за да

бъдат идентифицирани

приложимите цели и рискове за

системите

Запознаване с приложимото

законодателство и вътрешни

правила;

Ръководства за ползване и

администриране на системата;

11 март 2009 г. Одит на ИС в държавната администрация 7

Разбиране за средата и системата

Прецизиране на обхвата и

целите

Тестване на адекватността и ефективността на контролите

Определяне на ефекта от

слабостите

Докладване на заключение и

препоръки

Планиране на одит на информационна система (2/2)

Описание чрез

Диаграми и описания на процеси

Обяснителни текстове към диаграмите

Попълване на въпросници

Определяне какво ще се одитира и какво няма да се покрие

Обща контролна среда, свързана с информационните системи (IT General Controls

review);

Приложни контроли (Application Controls Review);

Инфраструктура (Servers, DMZ, Firewall, Router configuration reviews, etc.);

11 март 2009 г. Одит на ИС в държавната администрация 8

Разбиране за средата и системата

Прецизиране на обхвата и целите

Тестване на адекватността и ефективността на контролите

Определяне на ефекта от

слабостите

Докладване на заключение и

препоръки

Изпълнение на одита (1/2)

Тестване за съответствие

Формиране на извадка от транзакции и/или документи в избраната област

• Заявки за създаване/промяна на потребители;

• Промени в конфигурацията на устройства или системи;

Оценка за степента на спазване на действащите правила;

Определяне дали е критичен броят на отклоненията и несъответствията:

• Не е критичен – контролът е действал ефективно;

• Критичен е – контролът не е действал ефективно и трябва да се определи размерът на

последствията от това.

11 март 2009 г. Одит на ИС в държавната администрация 9

Разбиране за средата и системата

Прецизиране на обхвата и

целите

Тестване на адекватността и ефективността на контролите

Определяне на ефекта от

слабостите

Докладване на заключение и

препоръки

Изпълнение на одита (2/2)

Детайлно тестване

Преглед на права за достъп на отделни потребителски профили и съпоставяне с

правомощията по длъжностни характеристики;

Анализ на лог файлове за следи от неоторизиран достъп;

Тестване интегритета и възстановимостта на архивните копия;

Проверка коректността на изчисленията

• Включително и от неоторизирано променени модули.

11 март 2009 г. Одит на ИС в държавната администрация 10

Разбиране за средата и системата

Прецизиране на обхвата и

целите

Тестване на адекватността и ефективността на контролите

Определяне на ефекта от

слабостите

Докладване на заключение и

препоръки

Какво биха тествали одиторите? (1/2)

Адекватността на контролите за валидиране на въвежданите данни.

Необходимостта от ‘error/exception reports’, касаещи интегритета на

данните.

Разработените контроли върху входящите и изходящи потоци от данни

между различните системи.

Репликация и процедури за откриване на различия и несъответствия в

данните в случаите, когато една и съща информация се съхранява в

различни бази данни и/или системи.

Механизмите и резултатите от проследяването на дейностите в

системата (audit trails) и начините за тяхното управление.

Системата трябва да позволява проследяването на дадена транзакция или

информация от началото до края на нейния жизнен път в системата.

11 март 2009 г. Одит на ИС в държавната администрация 11

Какво биха тествали одиторите? (2/2)

Механизми за автентикиране на потребителите, използващи като

минимум уникален идентификатор за всеки потребител и поверително

ползване и съхранение на пароли.

Механизми за оторизация в приложението следва да позволяват:

Достъпване на чувствителни транзакции или данни след като правата на

потребителите са проверени и допуснати от механизмите за сигурност.

Улеснено администриране на правата през модул с подходяща функционалност.

Прилагане на гъвкави правила за одобрение на отделни дейности.

Блокиране на потребителски профил при освобождаване на съответния служител

или при смяна на неговата длъжност.

11 март 2009 г. Одит на ИС в държавната администрация 12

Докладване

Обобщение и докладване на установените слабости

Потвърждение на фактите със собствениците и ключовите потребители на

системата

Изготвяне на проекто доклад към мениджмънта

Обсъждане на мерки за тяхното отстраняване с мениджмънта

Определяне на приблизителни срокове и отговорни лица

Отразяване на отговора на мениджмънта в доклада

Издаване на окончателния доклад

11 март 2009 г. Одит на ИС в държавната администрация 13

Разбиране за средата и системата

Прецизиране на обхвата и

целите

Тестване на адекватността и ефективността на контролите

Определяне на ефекта от

слабостите

Докладване на заключение и

препоръки

Благодаря за вниманието!

Николай Димитров, CISA, CIA, CCSA Мениджър ИТ одит, DFK ANDA Consulting Ltd.

е ndimitrov@dfkanda.bg

t (02) 859 0122

m (089) 351 9564

w http://www.dfkanda.bg

11 март 2009 г. Одит на ИС в държавната администрация 14