revizija informacijskog sustava · 2013-01-05 · picalo (open source) i ms ima (će imati) konja...
TRANSCRIPT
Revizija informacijskog sustava
Dalibor Uremović
Zavod za ispitivanje kvalitete d.o.o.
Sponzori
Preduvjeti
Nema...
Sadržaj predavanja
Informacijska sigurnost
Prvi pisani trag iz područja informacijske
sigurnosti?
Brdo standarda, smjernica, okosnica, ...
BS 25999 ISO 27001
ISO 27002
COBIT
ITIL
COSO
ISO 20000
ISO 24760
SOX
BASEL II
ISO 15408
Informacijska imovina
poslovna dokumentacija,
ugovori s poslovnim partnerima,
dokumentacija o poslovnim rezultatima,
radne procedure i upute,
baze podataka,
datoteke,
aplikacijska, sistemska i komunikacijska programska oprema,
razvojni alati,
korisnička upute,
materijali za izobrazbu,
planovi kontinuiteta poslovanja,
informacije o zaposlenicima i korisnicima,
imidž tvrtke,
informacije o uslugama,
itd....
Regulatorski zahtjevi
Odluka o primjerenom upravljanju informacijskim sustavom (srpanj 2007.)
članci 16. i 17. Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te usvajanje metodologije za provođenje revizije
informacijskog sustava
Što je revizija?
Vrednovanje uspostavljenih kontrolnih
mehanizama i procedura odnosno ocjena
usklađenosti s “dobrom praksom”,
standardima i metodama
Zašto revizija?
Zakonski, ugovorni ili regulatorni zahtjevi
Prepoznavanje uspješnosti implementiranog
sustava prema postavljenim ciljevima
Vrednovanje IS-a prema najboljim svjetskim
praksama
Sprječavanje ili smanjenje odgovarajućih rizika
Podizanje svjesnosti o primjerenom upravljanju
IS-om (uvid u funkcioniranje IS-a)
Miran san
Područja revizije
Kako se izvodi revizija (1)
Upute za provođenje revizije
- ISO 19011 smjernice za revizore sustava kvalitete i okoliša
- CobiT -> “Audit guidelines” od ISACA-e -> CISA
- ISO -> ISO 27007 smjernice za reviziju ISMS-a
- ITIL -> Continual Service Improvement (reporting, measurement)
Kako se izvodi revizija (2)
DA/NE pitalice
Kontrolne liste
Razgovor i promatranje implementacije
Uzimanje uzorka (eng. sampling)
CAAT alati/tehnike
Kako se izvodi revizija (3)
Organizacijske
mjere zaštite
Tehničke
mjere zaštite
CAAT alati/tehnike
eng. Computer Assisted Auditing Techniques/Tools
računalno podržani revizijski alati
uporaba statističkih i matematičkih funkcija
specijalizirane tehnike analize podataka slučajno generiranje uzoraka
devijacije
medijani, srednje vrijednosti, trendovi
raslojavanje podataka
otkrivanje praznina
sumnjivi uzorci u podacima
otkrivanje if-then pravila
pronalaženje sumnjivih veza među podacima
CAAT alati/tehnike
Excel
MS Access
ACL
IDEA
....
Picalo (open source)
i MS ima (će imati) konja za utrku...
ACE tim (Application Consulting & Engineering)
sustav upravljanja sigurnosnim
atributima u životnom ciklusu
razvoja aplikacija
pisanje sigurnosnog koda
vrednovanje stanja sustava s
željenim politikama,
procedurama, standardima, ...
TCM Spider - screenshot
Top 5 najrizičnijih područja
Upravljanje konfiguracijama
postavke sustava
pradenje izmjena tijekom vremena
odgovornosti i ovlaštenja
početna konfiguracija
godišnji odmori i bolovanja
reinstalacije
Rizici
Izvješća o riziku
Izračunavanje rizika
Pregled izračunatog
rizika
Procjena rizika
Inicijalizacija
procesa
procjene
Identifikacija i
vrednovanje
imovine
Identifikacija i
vrednovanje
prijetnja i
ranjivosti
Obrada
rizika
Upravljanje promjenama
Razvoj Testiranje Produkcija
Organizacija inf. sigurnosti
Što ovdje nije u redu?
Razina svijesti o inf. sigurnosti
obuka i podizanje svijesti
Ljudi će:
zapisivati svoje lozinke izabrati lako prepoznatljive lozinke redi drugima svoje lozinke ako ih se pita ugasiti lokalni antivirusni program odgovoriti na upit ne provjeravajudi pošiljatelja (mail, telefon, ...) prenositi osjetljive podatke na privatnim usb, pda, ... osloniti se na druge otvoriti vrata drugima radi pristojnosti razvijati i testirati na produkcijskim serverima .......
Ispunite upitnike i osvojite nagrade
Petak: Microsoft Office Professional 2007
Povezani sadržaji
Neprekinuto poslovanje i oporavak od nepogode (BC/DR)
Poslovne primjene
Goran Pizent, Mobilnet
Hotel Grand, dvorana Lavanda
Petak, 25.04.2008., 10:00-10:50
CASE: WinDays Network 2008 Poslovne primjene
Ivica Ivančić, Infinitas Grupa d.o.o.
Hotel Grand, dvorana Mimoza
Petak, 25.04.2008., 12:20-13:10
HVALA!