SlideShare a Scribd company logo

20090311 Одит на информационните системи в държавната администрация

Nikolay Dimitrov
Nikolay Dimitrov
Education
1 of 14
Download to read offline
10ТА ЮБИЛЕЙНА НАЦИОНАЛНА КОНФЕРЕНЦИЯ ПО ЕЛЕКТРОННО УПРАВЛЕНИЕ Е-АДМИНИСТРАЦИЯТА В БЪЛГАРИЯ – ПОСТИЖЕНИЯ И ПЕРСПЕКТИВИ СОФИЯ, 11 МАРТ 2009 Г. ОДИТ НА ИНФОРМАЦИОННИТЕ СИСТЕМИ В ДЪРЖАВНАТА АДМИНИСТРАЦИЯ Николай Димитров, CISA, CIA, CCSA ISACA Sofia Chapter
Одит на информационни системи? “Процес на събиране и анализ на доказателства, за да се оцени способността на дадена информационна система да изпълни поставените организационни цели, като същевременно гарантира опазване на активите, сигурност (интегритет, поверителност и достъпност) на информацията и оптимално използване на ресурсите.”* * EDP Auditing - Conceptual Foundations and Practice, © McGraw-Hill College, 1982 Одит на ИС в държавната администрация 11 март 2009 г. 2
ЕК и стандартите за информационна сигурност Одит на ИС в държавната администрация 11 март 2009 г. 3
Информационните системи и законодателството  Регламенти на Европейската комисия  Council Regulation (EC) No 1083/2006 of 11 July 2006 laying down general provisions on the European Regional Development Fund, the European Social Fund and the Cohesion  Национални актове  Закон за електронното управление;  Наредба за общите изисквания за оперативна съвместимост и информационна сигурност; Одит на ИС в държавната администрация 11 март 2009 г. 4
Защо CobiT е интересен за одиторите и ръководството?  ІТ трябва да предоставя информацията, от която се нуждае организацията за да постигне своите цели  Набляга на ІТ процесите и собствеността върху тях  Обособява ІТ дейностите в 34 процеса, групирани в 4 домейна  Отчитайки нуждите от доверие, качество и сигурност на организацията, предоставя 7 • Ефективност информационни критерия, които • Ефикасност обобщават какво се изисква от ІТ • Достъпност • Интегритет  Поддържа над 200 детайлни • Поверителност контролни цели • Надеждност • Съответствие Одит на ИС в държавната администрация 11 март 2009 г. 5
“Пътна карта” за одит на ІТ в организацията • Определяне на ІТ одит вселената планиране АНГАЖИМЕНТИТЕ ІТ ПЛАНОВЕ ЗА • Избор на контролна рамка за ІТ дейностите • Планиране, базирано на оценка на ІТ рисковете • Оценка на по-обобщено ниво • Определяне на обхвата и общите цели на ангажимента Бизнес цели ОБХВАТ И ЦЕЛИ ІТ цели ДЕТАЙЛЕН обхват Ключови ІТ процеси и ІТ ресурси Ключови контролни цели Уточнени ключови контролни цели изпълнение ЗАКЛЮЧЕНИЕ Прецизирайте Рафинирайте Опишете Изгответе Тествайте Тествайте разбирането обхвата установените заключение и ОДИТ адекватността ефективноста за и целите на контролни препоръки за на ключовите на ключовите одитираната одит слабости отстраняване контроли контроли област ангажимента на слабостите Одит на ИС в държавната администрация 11 март 2009 г. 6
Планиране на одит на информационна система (1/2) Тестване на Разбиране за Прецизиране на Определяне на Докладване на адекватността и средата и обхвата и ефекта от заключение и ефективността системата целите слабостите препоръки на контролите  Описание на основните елементи в ІТ средата, за да бъдат идентифицирани приложимите цели и рискове за системите  Запознаване с приложимото законодателство и вътрешни правила; Ръководства за ползване и администриране на системата; Одит на ИС в държавната администрация 11 март 2009 г. 7
Планиране на одит на информационна система (2/2) Тестване на Разбиране за Определяне на Докладване на Прецизиране на адекватността и средата и ефекта от заключение и обхвата и целите ефективността системата слабостите препоръки на контролите  Описание чрез  Диаграми и описания на процеси  Обяснителни текстове към диаграмите  Попълване на въпросници  Определяне какво ще се одитира и какво няма да се покрие  Обща контролна среда, свързана с информационните системи (IT General Controls review);  Приложни контроли (Application Controls Review);  Инфраструктура (Servers, DMZ, Firewall, Router configuration reviews, etc.); Одит на ИС в държавната администрация 11 март 2009 г. 8
Изпълнение на одита (1/2) Тестване на Разбиране за Прецизиране на Определяне на Докладване на адекватността и средата и обхвата и ефекта от заключение и ефективността системата целите слабостите препоръки на контролите  Тестване за съответствие  Формиране на извадка от транзакции и/или документи в избраната област • Заявки за създаване/промяна на потребители; • Промени в конфигурацията на устройства или системи;  Оценка за степента на спазване на действащите правила;  Определяне дали е критичен броят на отклоненията и несъответствията: • Не е критичен – контролът е действал ефективно; • Критичен е – контролът не е действал ефективно и трябва да се определи размерът на последствията от това. Одит на ИС в държавната администрация 11 март 2009 г. 9
Изпълнение на одита (2/2) Тестване на Разбиране за Прецизиране на Определяне на Докладване на адекватността и средата и обхвата и ефекта от заключение и ефективността системата целите слабостите препоръки на контролите  Детайлно тестване  Преглед на права за достъп на отделни потребителски профили и съпоставяне с правомощията по длъжностни характеристики;  Анализ на лог файлове за следи от неоторизиран достъп;  Тестване интегритета и възстановимостта на архивните копия;  Проверка коректността на изчисленията • Включително и от неоторизирано променени модули. Одит на ИС в държавната администрация 11 март 2009 г. 10
Какво биха тествали одиторите? (1/2)  Адекватността на контролите за валидиране на въвежданите данни.  Необходимостта от ‘error/exception reports’, касаещи интегритета на данните.  Разработените контроли върху входящите и изходящи потоци от данни между различните системи.  Репликация и процедури за откриване на различия и несъответствия в данните в случаите, когато една и съща информация се съхранява в различни бази данни и/или системи.  Механизмите и резултатите от проследяването на дейностите в системата (audit trails) и начините за тяхното управление.  Системата трябва да позволява проследяването на дадена транзакция или информация от началото до края на нейния жизнен път в системата. Одит на ИС в държавната администрация 11 март 2009 г. 11
Какво биха тествали одиторите? (2/2)  Механизми за автентикиране на потребителите, използващи като минимум уникален идентификатор за всеки потребител и поверително ползване и съхранение на пароли.  Механизми за оторизация в приложението следва да позволяват:  Достъпване на чувствителни транзакции или данни след като правата на потребителите са проверени и допуснати от механизмите за сигурност.  Улеснено администриране на правата през модул с подходяща функционалност.  Прилагане на гъвкави правила за одобрение на отделни дейности.  Блокиране на потребителски профил при освобождаване на съответния служител или при смяна на неговата длъжност. Одит на ИС в държавната администрация 11 март 2009 г. 12
Докладване Тестване на Разбиране за Прецизиране на Определяне на Докладване на адекватността и средата и обхвата и ефекта от заключение и ефективността системата целите слабостите препоръки на контролите  Обобщение и докладване на установените слабости  Потвърждение на фактите със собствениците и ключовите потребители на системата  Изготвяне на проекто доклад към мениджмънта  Обсъждане на мерки за тяхното отстраняване с мениджмънта  Определяне на приблизителни срокове и отговорни лица  Отразяване на отговора на мениджмънта в доклада  Издаване на окончателния доклад Одит на ИС в държавната администрация 11 март 2009 г. 13
Благодаря за вниманието! Николай Димитров, CISA, CIA, CCSA Мениджър ИТ одит, DFK ANDA Consulting Ltd. е ndimitrov@dfkanda.bg t (02) 859 0122 m (089) 351 9564 w http://www.dfkanda.bg Одит на ИС в държавната администрация 11 март 2009 г. 14

Recommended

BPDM Moby2
BPDM Moby2BPDM Moby2
BPDM Moby2Moby2 Ltd.
 
20090930 Одит и анализ на уязвимостите, заплахите и рисковете
20090930 Одит и анализ на уязвимостите, заплахите и рисковете20090930 Одит и анализ на уязвимостите, заплахите и рисковете
20090930 Одит и анализ на уязвимостите, заплахите и рисковетеNikolay Dimitrov
 
20080402 Възстановяване след сривове и аварии
20080402 Възстановяване след сривове и аварии20080402 Възстановяване след сривове и аварии
20080402 Възстановяване след сривове и аварииNikolay Dimitrov
 
20100316 Непрекъснато одитиране с ACL
20100316 Непрекъснато одитиране с ACL20100316 Непрекъснато одитиране с ACL
20100316 Непрекъснато одитиране с ACLNikolay Dimitrov
 
Курс - Качество на софтуера - част 1
Курс - Качество на софтуера - част 1Курс - Качество на софтуера - част 1
Курс - Качество на софтуера - част 1Kalin Vasilev
 
Курс качество на софтуера - част 1
Курс качество на софтуера - част 1Курс качество на софтуера - част 1
Курс качество на софтуера - част 1Kalin Vasilev
 
Системи за управление на качеството
Системи за управление на качествотоСистеми за управление на качеството
Системи за управление на качествотоThe Bulgarian Association of Regional Development Agencies (BARDA)
 
Системи за управление на качеството
Системи за управление на качествотоСистеми за управление на качеството
Системи за управление на качествотоThe Bulgarian Association of Regional Development Agencies (BARDA)
 

Recommended

BPDM Moby2
BPDM Moby2BPDM Moby2
BPDM Moby2Moby2 Ltd.
 
20090930 Одит и анализ на уязвимостите, заплахите и рисковете
20090930 Одит и анализ на уязвимостите, заплахите и рисковете20090930 Одит и анализ на уязвимостите, заплахите и рисковете
20090930 Одит и анализ на уязвимостите, заплахите и рисковетеNikolay Dimitrov
 
20080402 Възстановяване след сривове и аварии
20080402 Възстановяване след сривове и аварии20080402 Възстановяване след сривове и аварии
20080402 Възстановяване след сривове и аварииNikolay Dimitrov
 
20100316 Непрекъснато одитиране с ACL
20100316 Непрекъснато одитиране с ACL20100316 Непрекъснато одитиране с ACL
20100316 Непрекъснато одитиране с ACLNikolay Dimitrov
 
Курс - Качество на софтуера - част 1
Курс - Качество на софтуера - част 1Курс - Качество на софтуера - част 1
Курс - Качество на софтуера - част 1Kalin Vasilev
 
Курс качество на софтуера - част 1
Курс качество на софтуера - част 1Курс качество на софтуера - част 1
Курс качество на софтуера - част 1Kalin Vasilev
 
Системи за управление на качеството
Системи за управление на качествотоСистеми за управление на качеството
Системи за управление на качествотоThe Bulgarian Association of Regional Development Agencies (BARDA)
 
Системи за управление на качеството
Системи за управление на качествотоСистеми за управление на качеството
Системи за управление на качествотоThe Bulgarian Association of Regional Development Agencies (BARDA)
 
Новия ISO EN БДС 9001 : 2015
Новия ISO EN БДС 9001 : 2015Новия ISO EN БДС 9001 : 2015
Новия ISO EN БДС 9001 : 2015Zbut.Eu
 
Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0
Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0
Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0robertbul
 
Successful Social Software Integration: LCTY 2011
Successful Social Software Integration: LCTY 2011Successful Social Software Integration: LCTY 2011
Successful Social Software Integration: LCTY 2011IBS Bulgaria
 
VET4SBO Level 1 module 4 - unit 2 - v0.9 bg
VET4SBO Level 1 module 4 - unit 2 - v0.9 bgVET4SBO Level 1 module 4 - unit 2 - v0.9 bg
VET4SBO Level 1 module 4 - unit 2 - v0.9 bgKarel Van Isacker
 
VET4SBO Level 3 module 2 - unit 1 - v0.9 bg
VET4SBO Level 3 module 2 - unit 1 - v0.9 bgVET4SBO Level 3 module 2 - unit 1 - v0.9 bg
VET4SBO Level 3 module 2 - unit 1 - v0.9 bgKarel Van Isacker
 
VET4SBO Level 3 module 1 - unit 1 - 0.009 bg
VET4SBO Level 3 module 1 - unit 1 - 0.009 bgVET4SBO Level 3 module 1 - unit 1 - 0.009 bg
VET4SBO Level 3 module 1 - unit 1 - 0.009 bgKarel Van Isacker
 
IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...
IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...
IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...Светла Иванова
 
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...Светла Иванова
 
VET4SBO Level 2 module 6 - unit 3 - v1.0 bg
VET4SBO Level 2 module 6 - unit 3 - v1.0 bgVET4SBO Level 2 module 6 - unit 3 - v1.0 bg
VET4SBO Level 2 module 6 - unit 3 - v1.0 bgKarel Van Isacker
 
VET4SBO Level 3 module 3 - unit 2 - v0.9 bg
VET4SBO Level 3 module 3 - unit 2 - v0.9 bgVET4SBO Level 3 module 3 - unit 2 - v0.9 bg
VET4SBO Level 3 module 3 - unit 2 - v0.9 bgKarel Van Isacker
 
SOE - Balanced Scorecard at AIIData
SOE - Balanced Scorecard at AIIDataSOE - Balanced Scorecard at AIIData
SOE - Balanced Scorecard at AIIDataGeorgi Yadkov
 
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)Lubomir Chorbadjiev
 
IO3 Module 4 - BG
IO3 Module 4 - BG IO3 Module 4 - BG
IO3 Module 4 - BG caniceconsulting
 
Usability Testing за нула време, с нула пари и нула опит
Usability Testing за нула време, с нула пари и нула опитUsability Testing за нула време, с нула пари и нула опит
Usability Testing за нула време, с нула пари и нула опитPeter Sabev
 

More Related Content

Similar to 20090311 Одит на информационните системи в държавната администрация

Новия ISO EN БДС 9001 : 2015
Новия ISO EN БДС 9001 : 2015Новия ISO EN БДС 9001 : 2015
Новия ISO EN БДС 9001 : 2015Zbut.Eu
 
Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0
Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0
Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0robertbul
 
Successful Social Software Integration: LCTY 2011
Successful Social Software Integration: LCTY 2011Successful Social Software Integration: LCTY 2011
Successful Social Software Integration: LCTY 2011IBS Bulgaria
 
VET4SBO Level 1 module 4 - unit 2 - v0.9 bg
VET4SBO Level 1 module 4 - unit 2 - v0.9 bgVET4SBO Level 1 module 4 - unit 2 - v0.9 bg
VET4SBO Level 1 module 4 - unit 2 - v0.9 bgKarel Van Isacker
 
VET4SBO Level 3 module 2 - unit 1 - v0.9 bg
VET4SBO Level 3 module 2 - unit 1 - v0.9 bgVET4SBO Level 3 module 2 - unit 1 - v0.9 bg
VET4SBO Level 3 module 2 - unit 1 - v0.9 bgKarel Van Isacker
 
VET4SBO Level 3 module 1 - unit 1 - 0.009 bg
VET4SBO Level 3 module 1 - unit 1 - 0.009 bgVET4SBO Level 3 module 1 - unit 1 - 0.009 bg
VET4SBO Level 3 module 1 - unit 1 - 0.009 bgKarel Van Isacker
 
IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...
IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...
IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...Светла Иванова
 
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...Светла Иванова
 
VET4SBO Level 2 module 6 - unit 3 - v1.0 bg
VET4SBO Level 2 module 6 - unit 3 - v1.0 bgVET4SBO Level 2 module 6 - unit 3 - v1.0 bg
VET4SBO Level 2 module 6 - unit 3 - v1.0 bgKarel Van Isacker
 
VET4SBO Level 3 module 3 - unit 2 - v0.9 bg
VET4SBO Level 3 module 3 - unit 2 - v0.9 bgVET4SBO Level 3 module 3 - unit 2 - v0.9 bg
VET4SBO Level 3 module 3 - unit 2 - v0.9 bgKarel Van Isacker
 
SOE - Balanced Scorecard at AIIData
SOE - Balanced Scorecard at AIIDataSOE - Balanced Scorecard at AIIData
SOE - Balanced Scorecard at AIIDataGeorgi Yadkov
 
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)Lubomir Chorbadjiev
 
Usability Testing за нула време, с нула пари и нула опит
Usability Testing за нула време, с нула пари и нула опитUsability Testing за нула време, с нула пари и нула опит
Usability Testing за нула време, с нула пари и нула опитPeter Sabev
 

Similar to 20090311 Одит на информационните системи в държавната администрация (14)

Новия ISO EN БДС 9001 : 2015
Новия ISO EN БДС 9001 : 2015Новия ISO EN БДС 9001 : 2015
Новия ISO EN БДС 9001 : 2015
 
Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0
Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0
Ефективно управление на автопарк (fleet management) - система eTran Manager 2.0
 
Successful Social Software Integration: LCTY 2011
Successful Social Software Integration: LCTY 2011Successful Social Software Integration: LCTY 2011
Successful Social Software Integration: LCTY 2011
 
VET4SBO Level 1 module 4 - unit 2 - v0.9 bg
VET4SBO Level 1 module 4 - unit 2 - v0.9 bgVET4SBO Level 1 module 4 - unit 2 - v0.9 bg
VET4SBO Level 1 module 4 - unit 2 - v0.9 bg
 
VET4SBO Level 3 module 2 - unit 1 - v0.9 bg
VET4SBO Level 3 module 2 - unit 1 - v0.9 bgVET4SBO Level 3 module 2 - unit 1 - v0.9 bg
VET4SBO Level 3 module 2 - unit 1 - v0.9 bg
 
VET4SBO Level 3 module 1 - unit 1 - 0.009 bg
VET4SBO Level 3 module 1 - unit 1 - 0.009 bgVET4SBO Level 3 module 1 - unit 1 - 0.009 bg
VET4SBO Level 3 module 1 - unit 1 - 0.009 bg
 
IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...
IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...
IMPROVING THE EFFECTIVENESS OF THE REGIONAL STRUCTURE OF THE NATIONAL STATIST...
 
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
ИНТЕГРИРАН ПОДХОД ЗА ОСИГУРЯВАНЕ НА СИСТЕМИТЕ ЗА УПРАВЛЕНИЕ НА КАЧЕСТВОТО (С...
 
VET4SBO Level 2 module 6 - unit 3 - v1.0 bg
VET4SBO Level 2 module 6 - unit 3 - v1.0 bgVET4SBO Level 2 module 6 - unit 3 - v1.0 bg
VET4SBO Level 2 module 6 - unit 3 - v1.0 bg
 
VET4SBO Level 3 module 3 - unit 2 - v0.9 bg
VET4SBO Level 3 module 3 - unit 2 - v0.9 bgVET4SBO Level 3 module 3 - unit 2 - v0.9 bg
VET4SBO Level 3 module 3 - unit 2 - v0.9 bg
 
SOE - Balanced Scorecard at AIIData
SOE - Balanced Scorecard at AIIDataSOE - Balanced Scorecard at AIIData
SOE - Balanced Scorecard at AIIData
 
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
 
IO3 Module 4 - BG
IO3 Module 4 - BG IO3 Module 4 - BG
IO3 Module 4 - BG
 
Usability Testing за нула време, с нула пари и нула опит
Usability Testing за нула време, с нула пари и нула опитUsability Testing за нула време, с нула пари и нула опит
Usability Testing за нула време, с нула пари и нула опит
 

20090311 Одит на информационните системи в държавната администрация

  • 1. 10ТА ЮБИЛЕЙНА НАЦИОНАЛНА КОНФЕРЕНЦИЯ ПО ЕЛЕКТРОННО УПРАВЛЕНИЕ Е-АДМИНИСТРАЦИЯТА В БЪЛГАРИЯ – ПОСТИЖЕНИЯ И ПЕРСПЕКТИВИ СОФИЯ, 11 МАРТ 2009 Г. ОДИТ НА ИНФОРМАЦИОННИТЕ СИСТЕМИ В ДЪРЖАВНАТА АДМИНИСТРАЦИЯ Николай Димитров, CISA, CIA, CCSA ISACA Sofia Chapter
  • 2. Одит на информационни системи? “Процес на събиране и анализ на доказателства, за да се оцени способността на дадена информационна система да изпълни поставените организационни цели, като същевременно гарантира опазване на активите, сигурност (интегритет, поверителност и достъпност) на информацията и оптимално използване на ресурсите.”* * EDP Auditing - Conceptual Foundations and Practice, © McGraw-Hill College, 1982 Одит на ИС в държавната администрация 11 март 2009 г. 2
  • 3. ЕК и стандартите за информационна сигурност Одит на ИС в държавната администрация 11 март 2009 г. 3
  • 4. Информационните системи и законодателството  Регламенти на Европейската комисия  Council Regulation (EC) No 1083/2006 of 11 July 2006 laying down general provisions on the European Regional Development Fund, the European Social Fund and the Cohesion  Национални актове  Закон за електронното управление;  Наредба за общите изисквания за оперативна съвместимост и информационна сигурност; Одит на ИС в държавната администрация 11 март 2009 г. 4
  • 5. Защо CobiT е интересен за одиторите и ръководството?  ІТ трябва да предоставя информацията, от която се нуждае организацията за да постигне своите цели  Набляга на ІТ процесите и собствеността върху тях  Обособява ІТ дейностите в 34 процеса, групирани в 4 домейна  Отчитайки нуждите от доверие, качество и сигурност на организацията, предоставя 7 • Ефективност информационни критерия, които • Ефикасност обобщават какво се изисква от ІТ • Достъпност • Интегритет  Поддържа над 200 детайлни • Поверителност контролни цели • Надеждност • Съответствие Одит на ИС в държавната администрация 11 март 2009 г. 5
  • 6. “Пътна карта” за одит на ІТ в организацията • Определяне на ІТ одит вселената планиране АНГАЖИМЕНТИТЕ ІТ ПЛАНОВЕ ЗА • Избор на контролна рамка за ІТ дейностите • Планиране, базирано на оценка на ІТ рисковете • Оценка на по-обобщено ниво • Определяне на обхвата и общите цели на ангажимента Бизнес цели ОБХВАТ И ЦЕЛИ ІТ цели ДЕТАЙЛЕН обхват Ключови ІТ процеси и ІТ ресурси Ключови контролни цели Уточнени ключови контролни цели изпълнение ЗАКЛЮЧЕНИЕ Прецизирайте Рафинирайте Опишете Изгответе Тествайте Тествайте разбирането обхвата установените заключение и ОДИТ адекватността ефективноста за и целите на контролни препоръки за на ключовите на ключовите одитираната одит слабости отстраняване контроли контроли област ангажимента на слабостите Одит на ИС в държавната администрация 11 март 2009 г. 6
  • 7. Планиране на одит на информационна система (1/2) Тестване на Разбиране за Прецизиране на Определяне на Докладване на адекватността и средата и обхвата и ефекта от заключение и ефективността системата целите слабостите препоръки на контролите  Описание на основните елементи в ІТ средата, за да бъдат идентифицирани приложимите цели и рискове за системите  Запознаване с приложимото законодателство и вътрешни правила; Ръководства за ползване и администриране на системата; Одит на ИС в държавната администрация 11 март 2009 г. 7
  • 8. Планиране на одит на информационна система (2/2) Тестване на Разбиране за Определяне на Докладване на Прецизиране на адекватността и средата и ефекта от заключение и обхвата и целите ефективността системата слабостите препоръки на контролите  Описание чрез  Диаграми и описания на процеси  Обяснителни текстове към диаграмите  Попълване на въпросници  Определяне какво ще се одитира и какво няма да се покрие  Обща контролна среда, свързана с информационните системи (IT General Controls review);  Приложни контроли (Application Controls Review);  Инфраструктура (Servers, DMZ, Firewall, Router configuration reviews, etc.); Одит на ИС в държавната администрация 11 март 2009 г. 8
  • 9. Изпълнение на одита (1/2) Тестване на Разбиране за Прецизиране на Определяне на Докладване на адекватността и средата и обхвата и ефекта от заключение и ефективността системата целите слабостите препоръки на контролите  Тестване за съответствие  Формиране на извадка от транзакции и/или документи в избраната област • Заявки за създаване/промяна на потребители; • Промени в конфигурацията на устройства или системи;  Оценка за степента на спазване на действащите правила;  Определяне дали е критичен броят на отклоненията и несъответствията: • Не е критичен – контролът е действал ефективно; • Критичен е – контролът не е действал ефективно и трябва да се определи размерът на последствията от това. Одит на ИС в държавната администрация 11 март 2009 г. 9
  • 10. Изпълнение на одита (2/2) Тестване на Разбиране за Прецизиране на Определяне на Докладване на адекватността и средата и обхвата и ефекта от заключение и ефективността системата целите слабостите препоръки на контролите  Детайлно тестване  Преглед на права за достъп на отделни потребителски профили и съпоставяне с правомощията по длъжностни характеристики;  Анализ на лог файлове за следи от неоторизиран достъп;  Тестване интегритета и възстановимостта на архивните копия;  Проверка коректността на изчисленията • Включително и от неоторизирано променени модули. Одит на ИС в държавната администрация 11 март 2009 г. 10
  • 11. Какво биха тествали одиторите? (1/2)  Адекватността на контролите за валидиране на въвежданите данни.  Необходимостта от ‘error/exception reports’, касаещи интегритета на данните.  Разработените контроли върху входящите и изходящи потоци от данни между различните системи.  Репликация и процедури за откриване на различия и несъответствия в данните в случаите, когато една и съща информация се съхранява в различни бази данни и/или системи.  Механизмите и резултатите от проследяването на дейностите в системата (audit trails) и начините за тяхното управление.  Системата трябва да позволява проследяването на дадена транзакция или информация от началото до края на нейния жизнен път в системата. Одит на ИС в държавната администрация 11 март 2009 г. 11
  • 12. Какво биха тествали одиторите? (2/2)  Механизми за автентикиране на потребителите, използващи като минимум уникален идентификатор за всеки потребител и поверително ползване и съхранение на пароли.  Механизми за оторизация в приложението следва да позволяват:  Достъпване на чувствителни транзакции или данни след като правата на потребителите са проверени и допуснати от механизмите за сигурност.  Улеснено администриране на правата през модул с подходяща функционалност.  Прилагане на гъвкави правила за одобрение на отделни дейности.  Блокиране на потребителски профил при освобождаване на съответния служител или при смяна на неговата длъжност. Одит на ИС в държавната администрация 11 март 2009 г. 12
  • 13. Докладване Тестване на Разбиране за Прецизиране на Определяне на Докладване на адекватността и средата и обхвата и ефекта от заключение и ефективността системата целите слабостите препоръки на контролите  Обобщение и докладване на установените слабости  Потвърждение на фактите със собствениците и ключовите потребители на системата  Изготвяне на проекто доклад към мениджмънта  Обсъждане на мерки за тяхното отстраняване с мениджмънта  Определяне на приблизителни срокове и отговорни лица  Отразяване на отговора на мениджмънта в доклада  Издаване на окончателния доклад Одит на ИС в държавната администрация 11 март 2009 г. 13
  • 14. Благодаря за вниманието! Николай Димитров, CISA, CIA, CCSA Мениджър ИТ одит, DFK ANDA Consulting Ltd. е ndimitrov@dfkanda.bg t (02) 859 0122 m (089) 351 9564 w http://www.dfkanda.bg Одит на ИС в държавната администрация 11 март 2009 г. 14