Usability Testing за нула време, с нула пари и нула опит
20090311 Одит на информационните системи в държавната администрация
1. 10ТА ЮБИЛЕЙНА НАЦИОНАЛНА КОНФЕРЕНЦИЯ ПО ЕЛЕКТРОННО УПРАВЛЕНИЕ
Е-АДМИНИСТРАЦИЯТА В БЪЛГАРИЯ – ПОСТИЖЕНИЯ И ПЕРСПЕКТИВИ
СОФИЯ, 11 МАРТ 2009 Г.
ОДИТ НА ИНФОРМАЦИОННИТЕ СИСТЕМИ В
ДЪРЖАВНАТА АДМИНИСТРАЦИЯ
Николай Димитров, CISA, CIA, CCSA
ISACA Sofia Chapter
3. ЕК и стандартите за информационна сигурност
Одит на ИС в държавната администрация 11 март 2009 г. 3
4. Информационните системи и законодателството
Регламенти на Европейската
комисия
Council Regulation (EC) No 1083/2006
of 11 July 2006 laying down general
provisions on the European Regional
Development Fund, the European
Social Fund and the Cohesion
Национални актове
Закон за електронното управление;
Наредба за общите изисквания за
оперативна съвместимост и
информационна сигурност;
Одит на ИС в държавната администрация 11 март 2009 г. 4
5. Защо CobiT е интересен за одиторите и ръководството?
ІТ трябва да предоставя
информацията, от която се нуждае
организацията за да постигне своите
цели
Набляга на ІТ процесите и
собствеността върху тях
Обособява ІТ дейностите в 34
процеса, групирани в 4 домейна
Отчитайки нуждите от доверие,
качество и сигурност на
организацията, предоставя 7 • Ефективност
информационни критерия, които • Ефикасност
обобщават какво се изисква от ІТ • Достъпност
• Интегритет
Поддържа над 200 детайлни
• Поверителност
контролни цели
• Надеждност
• Съответствие
Одит на ИС в държавната администрация 11 март 2009 г. 5
6. “Пътна карта” за одит на ІТ в организацията
• Определяне на ІТ одит вселената
планиране
АНГАЖИМЕНТИТЕ
ІТ ПЛАНОВЕ ЗА
• Избор на контролна рамка за ІТ дейностите
• Планиране, базирано на оценка на ІТ рисковете
• Оценка на по-обобщено ниво
• Определяне на обхвата и общите цели на ангажимента
Бизнес цели
ОБХВАТ И ЦЕЛИ
ІТ цели
ДЕТАЙЛЕН
обхват
Ключови ІТ процеси и ІТ ресурси
Ключови контролни цели
Уточнени ключови контролни цели
изпълнение
ЗАКЛЮЧЕНИЕ
Прецизирайте Рафинирайте Опишете Изгответе
Тествайте Тествайте
разбирането обхвата установените заключение и
ОДИТ
адекватността ефективноста
за и целите на контролни препоръки за
на ключовите на ключовите
одитираната одит слабости отстраняване
контроли контроли
област ангажимента на слабостите
Одит на ИС в държавната администрация 11 март 2009 г. 6
7. Планиране на одит на информационна система (1/2)
Тестване на
Разбиране за Прецизиране на Определяне на Докладване на
адекватността и
средата и обхвата и ефекта от заключение и
ефективността
системата целите слабостите препоръки
на контролите
Описание на основните
елементи в ІТ средата, за да
бъдат идентифицирани
приложимите цели и рискове за
системите
Запознаване с приложимото
законодателство и вътрешни
правила;
Ръководства за ползване и
администриране на системата;
Одит на ИС в държавната администрация 11 март 2009 г. 7
8. Планиране на одит на информационна система (2/2)
Тестване на
Разбиране за Определяне на Докладване на
Прецизиране на адекватността и
средата и ефекта от заключение и
обхвата и целите ефективността
системата слабостите препоръки
на контролите
Описание чрез
Диаграми и описания на процеси
Обяснителни текстове към диаграмите
Попълване на въпросници
Определяне какво ще се одитира и какво няма да се покрие
Обща контролна среда, свързана с информационните системи (IT General Controls
review);
Приложни контроли (Application Controls Review);
Инфраструктура (Servers, DMZ, Firewall, Router configuration reviews, etc.);
Одит на ИС в държавната администрация 11 март 2009 г. 8
9. Изпълнение на одита (1/2)
Тестване на
Разбиране за Прецизиране на Определяне на Докладване на
адекватността и
средата и обхвата и ефекта от заключение и
ефективността
системата целите слабостите препоръки
на контролите
Тестване за съответствие
Формиране на извадка от транзакции и/или документи в избраната област
• Заявки за създаване/промяна на потребители;
• Промени в конфигурацията на устройства или системи;
Оценка за степента на спазване на действащите правила;
Определяне дали е критичен броят на отклоненията и несъответствията:
• Не е критичен – контролът е действал ефективно;
• Критичен е – контролът не е действал ефективно и трябва да се определи размерът на
последствията от това.
Одит на ИС в държавната администрация 11 март 2009 г. 9
10. Изпълнение на одита (2/2)
Тестване на
Разбиране за Прецизиране на Определяне на Докладване на
адекватността и
средата и обхвата и ефекта от заключение и
ефективността
системата целите слабостите препоръки
на контролите
Детайлно тестване
Преглед на права за достъп на отделни потребителски профили и съпоставяне с
правомощията по длъжностни характеристики;
Анализ на лог файлове за следи от неоторизиран достъп;
Тестване интегритета и възстановимостта на архивните копия;
Проверка коректността на изчисленията
• Включително и от неоторизирано променени модули.
Одит на ИС в държавната администрация 11 март 2009 г. 10
11. Какво биха тествали одиторите? (1/2)
Адекватността на контролите за валидиране на въвежданите данни.
Необходимостта от ‘error/exception reports’, касаещи интегритета на
данните.
Разработените контроли върху входящите и изходящи потоци от данни
между различните системи.
Репликация и процедури за откриване на различия и несъответствия в
данните в случаите, когато една и съща информация се съхранява в
различни бази данни и/или системи.
Механизмите и резултатите от проследяването на дейностите в
системата (audit trails) и начините за тяхното управление.
Системата трябва да позволява проследяването на дадена транзакция или
информация от началото до края на нейния жизнен път в системата.
Одит на ИС в държавната администрация 11 март 2009 г. 11
12. Какво биха тествали одиторите? (2/2)
Механизми за автентикиране на потребителите, използващи като
минимум уникален идентификатор за всеки потребител и поверително
ползване и съхранение на пароли.
Механизми за оторизация в приложението следва да позволяват:
Достъпване на чувствителни транзакции или данни след като правата на
потребителите са проверени и допуснати от механизмите за сигурност.
Улеснено администриране на правата през модул с подходяща функционалност.
Прилагане на гъвкави правила за одобрение на отделни дейности.
Блокиране на потребителски профил при освобождаване на съответния служител
или при смяна на неговата длъжност.
Одит на ИС в държавната администрация 11 март 2009 г. 12
13. Докладване
Тестване на
Разбиране за Прецизиране на Определяне на Докладване на
адекватността и
средата и обхвата и ефекта от заключение и
ефективността
системата целите слабостите препоръки
на контролите
Обобщение и докладване на установените слабости
Потвърждение на фактите със собствениците и ключовите потребители на
системата
Изготвяне на проекто доклад към мениджмънта
Обсъждане на мерки за тяхното отстраняване с мениджмънта
Определяне на приблизителни срокове и отговорни лица
Отразяване на отговора на мениджмънта в доклада
Издаване на окончателния доклад
Одит на ИС в държавната администрация 11 март 2009 г. 13
14. Благодаря за вниманието!
Николай Димитров, CISA, CIA, CCSA
Мениджър ИТ одит, DFK ANDA Consulting Ltd.
е ndimitrov@dfkanda.bg
t (02) 859 0122
m (089) 351 9564
w http://www.dfkanda.bg
Одит на ИС в държавната администрация 11 март 2009 г. 14