auditul sistemelor informatice la sirius sa
TRANSCRIPT
ACADEMIA DE STUDII ECONOMICE
FACULTATEA DE CONTABILITATE SI INFORMATICA DE GESTIUNE
AUDITUL SISTEMELOR INFORMATICE LA
SIRIUS SA
- 2007 -
Cuprins :
Cap. 1 Descrierea sistemului informatic
Cap. 2 Analiza riscurilor informatice
Cap. 3 Strategia de securitate la nivelul organizatiei
Cap. 4 Auditul unei aplicatii din sistem
Cap. 5 Raportul de audit
2
Cap. 1 Descrierea sistemului informatic
SIRIUS S.A. este o societate pe actiuni constituita conform legii 31/1990 republicata
cu capital integral privat romanesc. Este inregistrata la Registrul Comertului nr. J40 / 21109 /
1994, CUI 6502278 cu sediul social in str.Felacului nr. 10 sector 1 Bucuresti. Pricipala
activitate este productia de echipamente de telecomunicatii, cod CAEN 3220. Actionariatul
firmei este compus din persoane fizice ( 47 ) si o persoana juridica SC ORION Electronic
System SRL.
Activitatea principala este cea de proiectare, dezvoltare, productie, montaj (instalare)
si service pentru echipamente de telecomunicatii, in principal centrale telefonice de institutie
si rurale si echipamente de transmisiuni pe fir, sisteme de telecomunicatii la cererea
beneficiarilor, alte echipamente electronice, instalatii de telecomunicatii.
Sediul central al societatii este in Bucuresti, aici isi desfasoara activitatile urmatoarele
compartimente: Management, Marketing, Contabilitate, Aprovizionare, Desfacere, Service-
Reparatii.
Societatea mai are un punct de lucru in orasul Voluntari unde isi desfasoara activitatile
comparimentele Cercetare – Dezvoltare si Productie.
Sistemul informatic al firmei este format la sediul din Bucuresti dintr-o retea LAN
( Local Area Network) de tip duplex fiind formata din mai multe miniretele de tip star si
contine 4 servere , pe 2 dintre acestea sunt instalate componentele software ale aplicatiilor
de contabilitate si 27 de posturi de lucru fixe, 6 switchiuri precum si dispozitive cu functii
multiple xerox-uri si imprimante.
Reteaua, foloseste pentru accesul la internet doua conexiuni: una prin modem
RDSLINK, si alta prin fibra optica tot RDS. Serverele sunt interconectate intre ele prin
intermediul unui switch de 24 de porturi. Este o retea complexa, existand atat conexiune
directa (pe cablu) cat si wireless (fara fir), dar exista si telefonie VOIP.
Laptopurile se conecteaza la acces pointurile wireless, existand si cazuri in care se
pot conecta fizic la reteaua locala.
Cele 27 calculatoare sunt repartizate pe compartimentele de lucru. Din punct de
vedere fizic calculatoarele sunt asezate in birouri in functie de cum se afla fiecare utilizator.
Fiecare utilizator are parola de intrare pe statie, parola pe care nu o stie numai el si trebuie
3
schimbata periodic. Intretinerea retelei de calculatoare este asigurata de un administrator IT ,
angajat al societatii. Acesta asigura buna functionare a calculatoarelor, a retelei, a
imprimantelor din punct de vedere electronic si soft.
Se utilizeaza ca sistem de operare Windows XP. Datorita faptului ca este un sistem
recent acesta are incorporat firewall-ul.
Firewall-ul poate împiedica persoanele straine să intre pe computerul utilizatorului prin
Internet. Un firewall poate tine la distanţă traficul Internet cu intentii rele, de exemplu hackerii,
viermii si anumite tipuri de virusi, înainte ca acestia sa puna probleme sistemului. Utilizarea
unui firewall este importantă în special daca calculatorul este conectat în permanenta la
Internet.
4
Cap. 2 Analiza riscurilor informatice
Pentru evaluarea riscurilor la care este expus sistemul informatic se vor elabora
urmatoarele chestionare :
- chestionar pentru evaluarea riscului de securitate fizica
- chestionar pentru evaluarea riscului de comunicatie
- chestionar pentru evaluarea riscului privind intergitatea datelor
- chestionar privind riscul de acces
- chestionar privind riscul de protectie antivirus
- chestionar privind riscul de personal
- chestionar privind riscul de management al situatiilor neprevazute
Fiecare risc se va evalua cu risc mare, mediu sau scazut. Se va intocmi un raport
final privind managementul riscurilor la societatea TOPEX SA.
5
1.Chestionar pentru evaluarea riscului de securitate fizica
Nr. intrebarii
IntrebareRaspuns DA / NU
Factor de importanta
[ Wi]Ri x Wi
1
Mediul in care se desfasoara activitatea de prelucrare automata a datelor este protejat impotriva incendiilor
DA 4 0
2Raportul privind aparitia incidentelor sunt furnizate managementului
NU 3 3
3Exista sistem de protectie impotriva caderilor de tensiune
DA 3 0
4Sistemul si dotarea tehnica sunt securizate impotriva furtului
DA 3 0
5Este controlat accesul fizic in departamentul IT
DA 3 0
6 Serverele se afla in incapere separata DA 4 0
7Echipamentele de comutatie sunt protejate in mod corespunzator
DA 4 0
8Sunt securizate calculatoarele dupa terminarea programului de lucru
DA 4 0
9Sunt monitorizate echipamentele de curatenie si mentenanta
NU 3 3
10
Exista un jurnal pentru identificarea persoanelor care au avut acces la sistemul informational in afara orelor de program
NU 3 3
Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 9 / 34 = 36 / 34 = 1,0588
6
2. Chestionar pentru evaluarea riscurilor de comunicare
Nr. intrebarii
IntrebareRaspuns DA / NU
Factor de importanta
[ Wi]Ri x Wi
1Se face o identificare a calculatoarelor care lucreaza in retea
DA 2 0
2Se verifica daca doar utilizatorii cu drepturi sunt logati
NU 3 3
3Este disponibila o diagrama a retelei de calculatoare
DA 1 0
4Infrastructura retelei este evaluata la intervale regulate pentru a se evalua eventualele vulnerabilitati
DA 4 0
5Informatiile care sunt communicate prin reteaua publica (internet) sunt transmise intr-o forma criptata
NU 4 4
6Exista un jurnal in care sunt inscrise toate incidentele legate de comunicatia datelor
NU 3 3
7Conturile de utilizator temporare sunt dezactivate in timp util
DA 4 0
8Accesul utilizatorilor de la distanta este protejat de aplicatii tip FIREWALL
DA 4 0
9Se realizeaza o monitorizare continua a tuturor activitatilor efectuate in cadrul retelei
NU 2 2
10
Utilizatorii au fost instruiti privind modul de comunicatie a datelor atat in reteaua locala cat si in reteaua internet
NU 3 3
Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 15 / 32 = 60 / 32 = 1,875
7
3. Chestionar pentru evaluarea riscurilor privind integritatea datelor
Nr. intrebarii
IntrebareRaspuns DA / NU
Factor de importanta
[ Wi]Ri x Wi
1Informatiile sunt inregistrate in ordine cronologica
DA 4 0
2Lipsa sau duplicarea anumitor informatii este detectata si investIgata
DA 4 0
3Informatiile care reprezinta intrari pentru sistem sunt aprobate de catre un responsabil
DA 3 0
4Exista proceduri formale scrise de operare a unui sistem
NU 2 2
5Exista proceduri pentru realizarea copiilor de siguranta
DA 4 0
6Exista proceduri pentru controlul erorilor
NU 2 2
7Exista controale prin care sa se determine utilizarea neadecvata a sistemului
DA 2 0
8Sunt prevazute proceduri de repornire a sistemului in caz de oprire accidentala
DA 4 0
9Distributia situatiilor de iesire se face sub semnatura
NU 3 3
10Informatiile sunt clasificate in functie de importanta si gradul de secretizare
NU 4 4
Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 9 / 32 = 436 / 32 = 1,125
8
4. Chestionar privind evaluarea riscului de acces
Nr. intrebarii
IntrebareRaspuns DA / NU
Factor de importanta
[ Wi]Ri x Wi
1Atribuirea si schimbarea conturilor utilizatorilor fac obiectul unei aprobari scrise?
DA 2 0
2Accesul la date si soft respecta principiul :"trebuie sa stie?"
DA 4 0
3Toate incercarile de accesare neautorizata a sistemului sunt inregistrate, raportate si investigate?
DA 4 0
4Sistemul este configurat astfel incat sa i se refuze unui utilizator accesul la sistem dupa 3 (5) incercari esuate?
DA 2 0
5
Exista o politica scrisa care sa prevada situatiile in care au acces la resursele informationale si consultantii acesteia (terte parti)
NU 3 3
6Statiile de lucru sunt dotate cu soft care sa blocheze accesul la retea atunci cand utilizatorul nu se afla la statia sa?
NU 3 3
7Exista un management adecvat al parolelor de acces?
DA 4 0
8Drepturile de acces la resursele informationale sunt revizuite si actualizate periodic?
DA 4 0
9Este instalat un firewall care sa permita detectarea accesului neautorizat din reteaua internet?
NU 4 4
10S-a realizat un training adecvat utilizatorilor privind accesul (alegerea unei parole) la resursele informationale?
DA 2 0
Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 10 / 32 = 40 / 32 = 1,25
9
5. Chestionar privind protectia impotriva virusilor
Nr. intrebarii Intrebare
Raspuns DA / NU
Factor de importanta
[ Wi] Ri x Wi
1Toate calculatoarele din retea sau de sine statatoare au instalat un software antivirus cu licenta?
DA 4 0
2 Acest software se actualizeaza automat? DA 4 0
3
Software-ul este configurat astfel incat sa permita scanarea periodica a hard discurilor si sa interzica utilizatorilor dezactivarea acestuia?
DA 4 0
4Server-ul de email are instalat un antivirus de email?
DA 3 0
5Lucrul cu elementele de memorie externa, este controlat?
DA 4 0
6Programele freeware si shareware, fisiere downloadate, fisiere atasate la email, sunt verificate inainte de a fi activate?
DA 4 0
7Conducerea a fost atentionata cu privire la potentialele pericole pe care le implica virusii?
DA 4 0
8Utilizatorii cunosc procedurile de anuntare a aparitiei unui virus?
NU 2 2
9Exista restrictii de marime a fisierelor, permise a fi downlodate, incarcate in sistem?
DA 3 0
10Pe toate serverele este instalata aceeasi versiune de antivirus?
NU 1 1
Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 3 / 33 = 12 / 33 = 0,364
10
6. Chestionar privind evaluarea riscurilor de personal
Nr. intrebarii Intrebare
Raspuns DA / NU
Factor de importanta
[ Wi] Ri x Wi
1Angajarea personalului se face pe baza unor teste profesionale?
DA 4 4
2Se asigura personalului training-uri periodice, sau documentatie necesare pentru o documentare continua?
DA 3 0
3Se face o evaluare periodica a personalului
NU 2 2
4In momentul angajarii se face un instructaj de protectia muncii si PSI?
DA 3 0
5S-a semnat cu fiecare angajat o clauza de confidentialitate?
DA 4 0
6Exista o separare a functiilor incompatibile la nivelul sistemului informational?
DA 4 0
7
In situatia pierderii personalului cheie, exista o procedura care sa asigure continuitatea activitatii prelucrarii informatiilor in sistem?
DA 4 0
Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 6 / 24 = 24 / 24 = 1
11
7. Chestionar privind evaluarea riscului de integritate
Nr. intrebarii Intrebare
Raspuns DA / NU
Factor de importanta
[ Wi] Ri x Wi
1Informatiile sunt inregistrate in ordine cronologica?
DA 2 0
2
Analiza controalelor asupra accesului la formularele de intrare sau la ecranele de introducere a datelor certifica existenta semnaturii de autorizare?
DA 3 0
3Informatiile care reprezinta intrari pentru sistem sunt aprobate de un responsabil ?
NU 2 2
4Lipsa sau duplicarea anumitor informatii este detectata si/sau investigate?
DA 4 0
5Exista proceduri formale de utilizare a softului?
NU 3 3
6Sunt prevazute proceduri de repornire a sistemului in caz de oprire accidentala?
NU 2 2
7 Exista proceduri pentru controlul erorilor? NU 2 2
8Exista proceduri pentru realizare copiilor de siguranta?
DA 4 0
9Aceste copii de siguranta la datele din sistem sunt actualizate la sfarsitul fiecarei zile?
NU 2 2
10Distributia informatiilor rezultate din sistem se face sub semnatura?
DA 4 0
11In cazul imprimarii rapoartelor pe timpul noptii acestea sunt protejate in mod corespunzator?
DA 3 0
12Se face o verificare cu privire la distrugerea sau clasarea rapoartelor obtinute din sistem?
NU 2 2
Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 13 /33 = 52 / 33 = 1,576
8. Chestionar privind evaluarea riscului de management al situatiilor neprevazute
12
Nr. intrebarii Intrebare
Raspuns DA / NU
Factor de importanta
[ Wi] Ri x Wi
1Exista un plan de recuperare in caz de dezastre la nivelul societatii?
DA 4 0
2Acest plan de dezastre este actualizat si testat anual?
NU 2 2
3Exista un contract de asigurare al organizatiei pentru evenimente neprevazute?
DA 4 0
4Exista o locatie alternativa de punere in functiune a sistemului?
DA 3 0
5Exista un jurnal in care se consemneaza orice cadere, eveniment de dezastru al sistemului?
NU 3 3
6Angajatii sunt instruiti privind modul de actiune in caz de dezastru?
NU 3 3
7In proiectarea planului de recuperare in caz de dezastre s-a tinut cont de pierderea personalului cheie?
NU 2 2
8Se realizeaza copii de siguranta pentru softul din sistem?
DA 4 0
9Aceste copii de siguranta sunt pastrate intr-o alta locatie decat locul unde isi desfasoara activitatea organizatia?
DA 4 0
10
Managementul a fost informat asupra necesitatii de realizare a back-up-urilor, planului de recuperare in caz de dezastre?
DA4 0
Nivel risc = 4 x ∑ Ri X Wi / ∑ Wi = 4 x 10 /33 = 40 / 33 = 1,212
13
Nivelul global al riscului la nivelul firmei TOPEX S.A. este 9,846 :
Nr.Crt. Tipul riscului
Nivelul de risc
Evaluare nivel risc
1Chestionar pentru evaluarea riscului de
securitate fizica1,0588
Risc scazut
2Chestionar pentru evaluarea
riscurilor de comunicare1,8750
Risc scazut
3Chestionar pentru evaluarea riscurilor
privind integritatea datelor1,1250
Risc scazut
4Chestionar privind evaluarea riscului
de acces1,2500
Risc scazut
5Chestionar privind protectia impotriva
virusilor0,3640
Risc scazut
6Chestionar privind evaluarea riscurilor
de personal1,0000
Risc scazut
7Chestionar privind evaluarea riscului
de integritate1,5760
Risc scazut
8Chestionar privind evaluarea riscului
de management al situatiilor neprevazute1,2120
Risc scazut
14
Cap. 3 Strategia de securitate la nivelul organizatiei
Este important ca organizatiile sa constientizeze riscurile asociate cu utilizarea
tehnologiei si gestionarea informatiilor si sa abordeze pozitiv acest subiect printr-o
constientizare în rândul angajatilor a importantei securitatii informatiilor, întelegerea tipologiei
amenintarilor, riscurilor si vulnerabilitatilor specifice mediilor informatizate si aplicarea
practicilor de control
Datorita faptului ca informatia cat si accesul la informatie in timp util pentru luarea
deciziilor optime ce sa maximizeze rata profitabilitatii reprezinta o caracteristica a activitatii
economice actuale, comunicarea prin intermediul internetului este esentila ; deci trebuie sa-i
acordam atentie cuvenita, sa-i cunoastem avantajele si vulnerabilitatile specifice pentru a
putea construi o strategie de securitate optima la nivelul societatei. In deplina concordanta cu
masurile ce se impun pentru securizarea informatica in interiorul societatii.
O gestiune corespunzatoare a documentelor în format electronic face necesara
implementarea unor masuri specifice. Masurile ar trebui sa asigure protectia informatiilor
împotriva pierderii, distrugerii sau divulgarii neautorizate. Cel mai sensibil aspect este acela
de a asigura securitatea informatiei gestionata de sistemele informatice în noul context
tehnologic ; astfel este necesara o permanenta analiza si corelare a planurilor de perspectiva
privind dezvoltarea din punct de vedere economic cu suportul furnizat de sistemul
informational ce este unul dintre pilonii de baza in atingerea acestui obiectiv.
Strategia de securitate IT la nivelul societatei presupune implementareea unui set de
masuri specifice pentru protectia mediului IT ( calculatoare, retele , sisteme informationale si
baze de date ) impotriva atacurilor intentionate (spionaj, sabotaj industrial-informational, etc.)
sau a oricarui tip de distrugere accidentala respectand legislatia nationala in vigoare si
reglementarile internationale . Trebuie avut in vedere faptul ca la nivel national legislatia
incepe sa acopere din ce in ce mai mult necesarul de reglemantari in acest domeniu. La nivel
internatioanl unica societate recunoscuta ce grupeaza si certifica specialisti in domeniul
auditului sistemelor informationale este Asociatia pentru Auditul si Controlul Sistemelor
Informationale (abrevierea conform denumirii din engleza fiinf ISACA) ce elaboreaza
standardele necesare reglementarii globale a acestei activitati.
15
Obiectivul principal al unui program pentru protectia informatiilor îl reprezinta
asigurarea încrederii partenerilor de afaceri, avantajul competitiv, conformitatea cu cerintele
legale si maximizarea investitiilor
Indiferent de forma pe care o îmbraca, mijloacele prin care este memorata, transmisa
sau distribuita, informatia trebuie protejata.
ISO/IEC 17799 trateaza securitatea informatiilor prin prisma a trei elemente principale:
Confidentialitatea – informatiile sunt accesibile doar persoanelor autorizate
Integritatea – asigurarea acuratetei si completitudinii metodelor prin care se
realizeaza prelucrarea informatiilor
Disponibilitatea – utilizatorii autorizati au acces la informatii si la activele asociate
în momente oportune.
In mod practic, la nivelul unei organizatii, setul de politici specifice pentru securitatea
informaţiei poate cuprinde:
1. Politica de monitorizare a securităţii informaţiei : are ca obiectiv asigurarea unei
administrari unitare în cadrul organizatiei a accesului la informatie , (printr-o comunicare
continua intre manager si administratorul de retea definindu-se responsabilitati la nivel de
societate, department, cat si la nivelul fiecarui utilizator care este responsabil cu asigurarea
securitatii datelor pe care le manipuleaza) ;la nivelul retelei un rol important il au sistemele tip
firewall – existente – cu interfata pentru controlul traficului catre internet cat si pentru
controlul traficului catre reteau interna, blocand astfel accesul la la site-uri particulare din
internet, interzicand accesul anumitor utilizatori la anumite servere si anumite servicii,
monitorizand si inregistrand toate comunicatiile ; se verifica periodic daca starea
echipamentelor, de la serverele de retea pana la terminalul fiecarui utilizator, corespunde din
punct de vedere al uzurii fizice si morale, cu parametrii ce se impune a fi atinsi pentru ca
firma sa obtina rezultatetele asteptate ;
2. Politica de analiză şi evaluare a riscului de securitate a informaţiei : pentru ca o
baza de date (exemplu : de la compartimentul contabilitate) este folosita de mai multi
utilizatori este stabilit cine are dreptul de a accesa serverul destinat gestionarii activitatii
contabile si cine nu : serverul trebuie sa asigure accesul nelimitat la resurse al mangerului
16
contabil cat si al mangerului general si sa-l refuze altor utilizatori prin restrictii special
construite de administratorul de retea ;
3. Politica de management a riscului de securitate a informaţiei : programul are
jurnale interne ce monitorizeaza accesul la informatie ; tot aici se includ si masurile de
securitate fizica a sistemului informatic : serverele sunt in incinte securizate separate de
restul terminalelor (acces permis personalului abilitat cu intretinarea si depanarea pe baza
de chei de acces) ; accesul in sediul societatii este permis numai personalului angajat (exista
portar permanent la intrare), persoanelor ce nu sunt angajatii societatii le este permis
accesul in sediu numai insotiti de un angajat, care ii preia de la poarta, si ii insoteste pana la
compartimentul unde au solicitat accesul ;
4. Politica de acces a terţelor părţi : este permis accesul la resursele de pe pagina de
web a societatii in mod liber, insa pentru documentarea specifica anumitor produse accesul
se realizeaza prin log-are cu nume de utilizator si parola ; in vederea realizarii unor activitati
cu caracter nepermanent;
5 Politica de pregătire/perfecţionare a personalului în domeniul securităţii
informaţiei : intrucat factorul uman este esential in desfasurarea unei activitati
corespunzatoare in acest domeniu, personalul este selectat cu atentie deosebita inca din
faza de angajare prin testarea abilitatilor de lucru-operare calculator la un nivel minim cerut
de societate se prevad clauze de confidentialitate se definesc conflictele de interese
specifice, activitatea este monitorizata pe tot parcursul desfasurarii contractului; atunci cand
se instaleaza noi programe/baze de date/aplicatii informatice conforme fisei postului se face
o pregatire prealabila a personalului pentru o utilizare corespunzaoare urmand ca abilitatile
sa se formeze in timp;personalul informeaza intotdeauna administratorul de sistem (deci ii
raporteaza acestuia) orice tip de functionare defectuoasa pentru ca acesta sa o remedieze in
timp util si sa reduca la minim timpul de nefunctionare al unui terminal; accesul in sediul
societatii este permis numai personalului angajat (exista portar permanent la intrare),
persoanelor ce nu sunt angajatii societatii le este permis accesul in sediu numai insotiti de
un angajat, care ii preia de la poarta, si ii insoteste pana la compartimentul unde au solicitat
accesul ;
6. Politica de control al accesului : respecta principiul accesului prin “user
name”(nume de utilizator) si parola specifica, informatii pe care le cunoaste numai utilizatorul
17
postului de lucru(calculatorului) pentru fiecare post de lucru; accesul general prin conturi de
utilizator special definiyte de administratorul de retea;
7. Politica de management al conturilor utilizatorilor: respecta principiul “trebuie sa
stie” sau alfel spus definirea exacta a restrictiilor de acces ca loc si timp de acces autorizat
este in concordanta cu atributiile definite in fisa postului, de exemplu cel ce introduce facturile
de cumparari are drept de adaugare de noi facturi, modificare si stergere inregistrari inainte
de validarea finala ;
8. Politica de parole : parolele trebuie sa fie si sunt alcatuite din minim opt caractere :
litere, cifre si semne grafice ce trebuie astfel alese incat sa nu reprezinte un nume familiar
celui ce a creat-o[pentru a nu fi usor “ghicita” de persoanele ce incearca un acces
neautorizat] si totusi nu foarte greu de memorat pentru ca este absolut interzis a fi scrisa si
“lasata undeva la indemana oricui”. Parola are obligatia sa o modifice la un interval fix de 45
zile si sa nu o repete pentru ca va fi respinsa de sistem daca a mai fost utilizata anterior;
9. Politica de securizare a serverelor: administratorul de retea, in conformitate cu
indicatiile date de managerul general, stabileste cine are acces fizic la servere –acestea se
afla in birouri securizate, unde exista extinctoare pentru situatii de incendiu – cat si informatic
prin definirea codurilor de acces pentru grupurile de utilizatori, pentru fiecare utilizator
individual cat si pentu accesul temporar
10. Politica de securitate pentru echipamentele mobile: pentru echipamentele mobile
rolul de securitate a conectarii si comunicarii il realizeaza componenta software a firewall-ului
instalat
11. Politica de management al schimbării resurselor : atunci cand echipamentele nu
mai permit up-date –uri noile echipamente se achizitioneaza pe baza unei analize prealbile
calitate/cost si se alege un optim ; planul de dezvoltare a afacerii este baza in managementul
schimbarii resurselor informatice ce trebuie sa asigure suportul logistic – se re-evalueaza
periodic structura retelei pentru a verifica daca sustine in parametrii proiectati in dezvoltarea
planului de afaceri si se decide ,cand este cazul, schimbarea resurselor « imbatranite » sau
achizitionarea de noi resurse ;
12. Politica de back-up : copiile de siguranta : se efectueaza in sistemul dual-copy , cu o
periodicitate lunara, ale informatiilor vitale, din punct de vedere tehnic si economic si se
18
depoziteaza in o locatie diferita de cea unde se afla sistemul informatic, reprezentand un real
folos in cazuri de urgenta;
13. Politica de manipulare şi stocare a datelor : exista birouri securizate unde se
pastreaza documentele primare ce reprezinta suportul fizic al viitoarelor date ; accesul la ele
este permis numai angajatilor cu atributii in aceste domenii; in vederea stocarii in sistemele
informatice accesul la acestea este permis prin logare cu nume de utilizator si parola;
controlul accesului logic; informatia stocata prin introducerea de fiecare angajat in baze de
date specifice activitatii este usor accesibila la inceperea unei noi sesiuni – prezinta
persistenta – sau poate fi trimisa spre printare sub forma de rapoarte finale ; sensibilizarea
angajatilor la problemele de securitate IT ca politica permanenta a firmei ; tot ca o rutina a
fiecarui angajat,pentru a preveni pierderea datelor din varii cauze independente de acesta –
caderi accidentale de tensiune, avarii fizice minore, parasirea postului de lucru fara activarea
optiunii logoff, etc, - se incearca formarea deprinderii de salvare a datelor introduse la
intervele cat mai mici de timp;
14. Politica de utilizare a serviciului de e-mail :serviciul este instalat pe terminalele
utilizatorilor, permite e-mail-ul « clasic » ,in folosul activitatii curente, sistemul informatic fiind
sever configurat de administratorul de retea-in concordanta cu politica conducerii – nu
permite trecerea mesajelor neautorizate, nici a mesajelor ce ar putea « parea »autorizate dar
ale caror documente anexate ar putea prezenta risc in momentul cand ajung in casuta de e-
mail a utilzatorului ; in acest fel se creaza o protectie suplimentara (nu se realizeaza alterarea
activitatii calculatorului datorita supraincarcarii memoriei ) pe langa programele antivirus ce
functioneaza « live » (simultan cu descarcrea postei electronice) ;
15. Politica de criptografie : tinand cont ce activitatea de proiectare, cercetare –
dezvoltare ce reprezinta una dintre « bunurile de mare valoare » ale firmei – inteligenta este
nepretuita pentru ca o scanteie de geniu poate echivala cu ore si ore de munca , eu ca un
potential manager mi-as asigura toate caile existente posibil in a o proteja, inclusiv apeland la
chei de criptare in manevrarea datelor din acest domeniu sensibil, unde spionajul industrial
se dezvolta mai rapid si mai virulent decat piata programelor tip virusi ;
16. Politica de licenţe software : programele instalate sunt cumparate sub licenta
producatorului initial de pe piata specializata, asigurandu-se in acest fel respectarea
legislatiei in vigoare , cat si protectia impotriva crearii cu buna stiinta de vulnerabilitati in
sistem usor de exploatat de potentialii atacatori pentru furtul si distrugerea de informatii ;
19
17. Politica de dezvoltare software : fiind o firma specializata in proiectare si cercetare-
dezvoltare de sisteme informatice putem utiliza si « creatii » proprii sau achizitionam de pe
piata specializa, nu numai ce este mai nou in domeniu ci si ce ne este cel mai util avand
posibilitatea verificarii eficientei a ceea ce am achizitionat ; o alta latura o reprezinta
angajarea de personal specializat, continua lui perfectionare (politici de personal ) ;
18. Politica de protecţie împotriva viruşilor : sunt instalate programe antivirus F-PROT,
un antivirus pentru DOS. Scannerul de virusi poate fi utilizabil pe toate sistemele de operare
la zi si poate detecta si dezinfecta toti virusii cunoscuti de boot, toti virusii de programe si de
fisiere cat si virusii de macro, troienii si alte programe suparatoare si destructive ; printre
facilitatile incluse in F-Prot Antivirus pentru DOS se afla si un scanner heuristic care se ocupa
de virusii noi si de fisierele suspecte. F-Prot Antivirus va scana fisierele arhivate la fel de bine
ca si documentele Word si Excel.
19. Politica de detectare a intruşilor : la nivelul sistemului informatic se genereaza
automat jurnalele de acces pe baza IP – ului de utilizator individual , jurnalele de
evenimente , permitand administratorului sa detecteze orice acces ce s-a produs in intervalul
programului regulamentar de lucru zilnic (8 ore de luni pana vineri) si sa determine daca este
conform nivelului de autorizare atribuit.Ceea ce este foarte important este ca se pot verifica si
accesarile din timpul liber al personalului cat si incercarile de acces dupa ce conturile au fost
dezactivate ca urmare a incetarii activitatii in firma. De asemenea monitorizeaza si incercarile
de acces ce depasesc nivelul de autorizare creat de administratorul de retea .Pot constituii
probe in situatii de eventuale litigii daca pagubele generate in urma unui acces rauvoit reusit
creeaza asemenea evenimente.
In strategia de securitate la nivelul societatii il reprezinta existenta unui plan bine
definit de continuitate a afacerii dupa dezastre. Continuitatea sistemelor informationale in caz
de dezastre reprezinta o combinatie intre planificarea refacerii in caz de dezastre si
continuitatea operatiunilor activitatii firmei. Implica eforturi financiare, nu neglijabile, la nivelul
marilor societati.
In cazul SIRIUS S.A. ceea ce ar putea reprezenta o alternativa sunt back-up-urile
realizate periodic, rezultand ca numai un mic volum de informatie trebuie refacut,cel distrus
intre efectuarea ultimului back-up si momentul dezastrului, cu ajutorul logisticii existente la
locatie neafectata .Se poate evalua apoi impactul dezastrului si caile de reluare a activitatii,
cat si timpul necesar, in conditiile initiale.
20
Cap. 4 Auditul unei aplicatii din sistem
Pentru organizarea contabilitatii si a evidentei stocurilor societatea a achizitionat un
program specializat de la firma SIVECO ROMANIA SA, firma ocupandu-se si de distribuirea
si implementarea programului. Aceasta a pus la dispozitia utilizatorilor un manual complex de
utilizare a programului si ofera si in prezent asistenta pentru softul achizitionat. Instruirea
noilor angajati cu privire la functionarea programului si utilizarea functiilor sale se realizeaza
de catre angajatii existenti deja familiarizati cu programul.
Utilizand baza de date ORACLE , comunicare intre componentele functionale si
serverul de baze de date este realizata cu SQL*Net. Cu SQL*Netbaza de date si aplicatiile
pot sa fie localizate pe calculatoare diferite si comunica una cu cealalta la nivel de aplicatie.
La momentul implementarii nu s-a facut o departajare a drepturilor de utilizare ,
fiecare utilizator al programului avand atat drepturi de adaugare cat si drepturi de stergere si
modificare a inregistarilor.
Controlul acestei aplicatii abordeaza :
controlul datelor de intrare
controlul asupra procesarii si fisierelor de date
controlul datelor de iesire
Controlul datelor de intrare presupune:
controlul accesului la aplicatiile informatice din sistem
21
Constatari : daca utilizatorul care incearca accesarea programului daca nu este autorizat
pentru aceasta sau a tastat gresit parola , sistemul a returnat un mesaj de eroare si nu i s-a
permis accesul. Cu ajutorul numelui de user folosit se poate verifica si persoana ce a
introdus datele in sistem sau a operat modificari.
controlul asupra acuratetei datelor de intrare , pentru aceasta se vor face o
serie de teste ce urmaresc sa detecteze date incomplete, incorecte si nerezonabile.
Se vor introduce urmatoarele date eronate:
a) cod fiscal format din caractere numerice si alfabetice
b) validarea unor inregistrari incomplete
Constatari: - la introducerea unui partener nou in baza de date se observa ca sistemul
permite introducerea unui cod fiscal format atat din date numerice cat si alfabetice
22
Operatorul ce a introdus datele in sistem
- nu permite validarea unor inregistrari incomplete , sistemul returnand un mesaj
de atentionare
c) inregistrarea unei facturi avand drept data de emitere o data anterioara
perioadei curente
Constatari: - campul datei facturii permite introducerea datei conditionata de validitatea
perioadei in care se lucreaza, respectiv luna si anul calendaristic pentru care se introduce
factura. Astfel, nu este posibila introducerea unei facturi aferenta altei perioade in luna si anul
curent. Daca aceasta conditie nu este indeplinita sistemul trimite un mesaj de averizare si nu
permite continuarea operatiilor pana cand nu se introduce o data valida.
d) inregistrarea unei facturi avand data de inregistrare anterioara datei de emitere a documentului
23
Constatari: sistemul nu valideaza aceasta inregistrare pana cand nu se face corectia
adecvata
Controlul prelucrării datelor ne asigură că tranzacţiile nu au fost pierdute, adăugate,
duplicate sau modificate şi că erorile de procesare au fost identificate şi corectate în timp util.
Se vor introduce urmatoarele date eronate:
a) pentru testarea duplicitatii datelor se incearca inregistrarea a doua facturi cu
acelasi numar
24
Constatari: sistemul va emite un mesaj de atentionare spunandu-ne ca mai exista in
baza de date o factura cu acelasi numar. In cazul in care factura cu acest este primita de la
furnizori diferiti sistemul permite validarea inregistrarii in caz contrar nu va permite acesta
inregistrare .
b) Campurile „Total” si „TVA total sunt calculate automat pe baza datelor
introduse anterior in campurile „Cantitate” si „Pret”.
25
Constatari: Rubrica TVA permite ajustarea sumei de catre utilizator daca cea calculata
automat de program nu corespunde cu cea inscrisa pe factura sau daca cota de TVA nu este
corespunzatoare.
c) facturile de achizitie a materialelor si materiilor prime sunt generate automat
pe baza de NIR si se incearca o modificare sau chiar stergere a unei pozitii de pe factura
26
Buton pentru generarea automata a facturii
Constatari: daca se incearca generarea a doua facturi de aprovizionare cu materiale
avand la baza un NIR sistemul va emite un mesaj de atentionare si nu va valida aceasta
operatie si nu va permite stergerea niciunei pozitii din factura .
d) se testeaza daca sistemul permite stergerea de facturi introduse
Constatari: indiferent ca este vorba de o factura primita de la un furnizor sau ca este o
factura emisa de societate intai sistemul intreaba daca aceasta factura se doreste a fi
strearsa si daca primeste un raspuns afirmativ continua procedura de stergere a
documentului , dar daca aceasta inregistrare este una validata si contata ne avertizaeza ca
nu se poate efectua operatia dorita.
e) vizualizarea si printarea facturilor emise, cautarea facturilor dupa mai multe
criterii: data emiterii facturii, data inregistrarii facturii, numarul facturii, denumire client,
valoarea facturii
27
Controlul datelor de iesire :se urmareste corectitudinea si acuratetea datelor de
iesire, respectarea termenelor prevazute pentru obtinerea iesirilor. Iesirile sunt dirijate catre
imprimante la cererea utilizatorilor.
Se pot obtine diferite situatii :
jurnalul de vanzari pe o anumita perioada si prin compararea acestuia cu
fisa contului 4427 - TVA colectata se pot depista, in cazul in care apar diferente , operatiuni
omise la inregistrare sau inregistrate eronat.
fise detaliate ale clientilor pe anumite perioade din care sa rezulte situatia
facturilor emise si precum si a facturilor ramase neincasate.
28
tinandu-se cont de faptul ca in momentul validarii unei operatiuni trebuie sa se
aleaga dintr-o lista, schema de contare utilizata si daca aceasta lista nu este actualizata cu
noile operatiuni aparute sistemul permite inregistrarea documentului , dar nu va efectua si
contarea documentului. Pentru a nu aparea situatii in care aceste documente sa ramana
necontate sistemul ofera posibilitatea listarii acestor documente oferind astfel posibilitate
corectarii unor astfel de erori.
29
30
Cap. 5 Raportul de audit
1. Scopul si obiectivele urmarite
Obiectivul general al misiunii de audit a constat în evaluarea performantei sistemului
informatic al S.C. TOPEX SA.
Tinând cont de complexitatea problematicii abordate, sustinuta în cadrul sistemului
informatic prin numeroase aplicatii informatice, a fost urmarita cu prioritate aplicatia contabila
a unitatii.
Prezentul audit a fost efectuat in scopul:
- verificarii mediului de functionare a procedurilor de intrare, prelucrare si iesire
prevazute de programul informatic.
- verificarii cuprinderii in procedurile de prelucrare a reglementarilor in viguare si a
posilbilitatii de actualizare a acestor proceduri in functie de modificarile survenite in legislatie.
- verificarea operatiilor economice si financiare inregistrate in contabilitate astfel incat
acestea sa fie efectuate in concordanta stricta cu prevederile actelor normative care le
reglementeaza.
2 . Perioada de acoperire
Perioada auditata a fost 01.07.2007 – 31.12.2007.
3. Probe
In scopul realizarii misiunii sale de audit auditorul a folosit probe fizice, documente,
reprezentari si analize. Auditorul a verificat prin sondaj concordanta dintre documentele
existente fizic la societate si inregistrarile aferente acestora in cadrul sistemului informatic. In
verificarile sale auditorul a folosit rezultatul unor interogari ale bazei de date, prelucrari
efectuate de programul de contabilitate, inregistrari ale tranzactiilor, rezultate obtinute in
urma unor comparatii si calcule efectuate de auditor.
Auditorul a verificat de asemenea politici, proceduri si regulamente interne elaborate
de managementul societatii in cauza, gradul de instruire a personalului, documentatia
aferenta programelor, echipamentele tehnice utilizate si configuratiile acestora, existenta
licentelor de folosire pentru toate soft-urile utlizate de societate.
Conducerea societatii a pus la dispozitia societatii toate probele solicitate de auditor,
acesta considerand ca probele utlizate au fost suficiente pentru elaborarea unei concluzii.
31
4. Natura si intinderea lucrarilor efectuate
Auditarea sistemului informatic s-a facut atat din punct de vedere contabil cat si din
punct de vedere al echipamentelor folosite, configuratiilor acestora, riscurilor care ameninta
buna desfasurare a activitatii firmei.
In efectuarea auditului, auditorul a aplicat normele si standardele de audit in viguare
Concluzii:
In urma controalelor facute auditorul a constat:
- procedurile folosite corespund reglementarilor in vigoare
- exista posibilitati de actualizare a procedurilor daca apar modificari in legislatie
- eventualele erori care pot aparea in functionarea programului informatic sunt
remediate de catre o firma specializata.
- fiecare data integistrata in programul de contabilitate se regaseste in continutul
unui document la care au acces atat beneficiarii cat si organele de control.
- programul informatic asigura listele operatiunilor efectuate in contabilitate pe baza
de documente justificative numerotate in ordine cronologica, interzicandu-se inserari,
intercalari, precum si orice eliminari sau adaugari ulterioare.
- programul asigura reluarea automata in calcul a soldurilor conturilor obtinute
anterior
- programul nu permite inserari, modificari, sau eliminari de date pentru o perioada
inchisa.
- programul asigura respectarea continutului de informatii prevazut pentru toate
tipurile de formulare.
- exista un foarte mare risc de acces deoarece nu exista conturi si niveluri de acces
al utilizatorilor la informatiile si functiile programului informatic
- sistemul informatic este protejat corespunzator impotriva virusilor si a atacurilor din
exteriorul retelei
- personalul societatii este instruit corespunzator cu privire la utlizarea programului
de contabilitate.
Recomandări:
Pentru imbunatatirea performantelor si reducerea la minim a riscurilor se impune
luarea urmatoarelor masuri:
- sa se realizeze o departajare pe functii si posturi a personalului
32
- sa se efectueze salvari ale datelor din sistem periodic, mai des decat perioada
actuala care este de o luna, iar suporturile cu date sa fie pastrate in mai multe locatii din
afara firmei.
- sa se restrictioneze accesul la Internet al utilizatorilor, folosirea de dischete de
catre acestia.
33
Bibliografie :
AUDITUL SI CONTROLUL SISTEMELOR INFORMATIONALE
Pavel Nastase (coordinator )
Victoria Stanciu
Floarea Nastase
Mirela Gheorghe
Dana Boldeanu
Ali Eden
Gheorghe Pipescu
Delia Babeanu
Alexandru Gavrila
TOPEX S.A. –site-ul : www.topex.ro
Materiale informative despre : Standardul ISO / IEC 17799 si implementarea in
institutiile publice
Ministerul Comunicatilor si Tehnologiei Informatiilor
Note CURS – profesor Mirela Gheorghe
Note Seminar – profesor Mirela Gheorghe
Date extrase din documentele ce apartin firmei auditate.
Manual utilizare program SIVECO
34