AUDYT SYSTEMÓW INFORMATYCZNYCH
1. Istota audytu systemów informatycznych
Audyt systemów informatycznych dotyczy badania i oceny ich funkcjonowania,
Audyt informatyczny ma miejsce, gdy wykorzystuje się narzędzia informatyczne na potrzeby innych obszarów audytu wewnętrznego
Cel audytu SI
Celem jest dostarczenie kierownictwu jednostki sektora finansów publicznych obiektywnych ocen o systemie kontroli i zarządzania środowiskiem informatycznym.
Istota audytu SI
Audyt systemów informatycznych polega na zbieraniu dowodów określających zakres realizacji założonych celów, co do efektywnego wykorzystania zasobów środowiska informatycznego oraz sprawdzanie sprawności zarządzania ryzykiem związanym z tymi zasobami.
Dowodów wskazujących na:
właściwą ochronę majątku przez systemy informatyczne i związane z nimi zasoby,
utrzymanie integralności danych i systemów informatycznych,
dostarczanie rzetelnych i wiarygodnych informacji przez systemy informatyczne,
sposób wykorzystywania zasobów informatycznych,
stosowanie właściwych mechanizmów kontroli wewnętrznej.
Zadanie audytu SI
Zadaniem audytu systemu informatycznego jest uzyskanie zapewnienia, że ten system jest właściwie chroniony przed niepożądanymi zdarzeniami, natomiast w wypadku ich wystąpienia są one na czas wykrywane, a ich skutki bieżąco korygowane.
Charakter audytu systemów informatycznych
może być również traktowany jako odrębne przedsięwzięcie, a zarazem wspiera on często inne typy audytu (audyt finansowy, audyt operacyjny i inne),
posiada szeroki zakres przedmiotowy,
przebiega w środowisku o dużej różnorodności rozwiązań technologicznych,
wiąże się z koniecznością zapewnienia bezpieczeństwa zasobów informatycznych i właściwego przebiegu procesów przetwarzania,
dotyczy kontroli znacznej liczby transakcji i procesów, z czym łączy się potrzeba stosowania w jego trakcie narzędzi informatycznych,
ocenie są poddawane różnorodne, wysoce specjalistyczne zasoby, co często wymaga angażowania zewnętrznych ekspertów.
Zasoby informatyczne
fizycznych (komputery, nośniki pamięci),
intelektualnych (oprogramowanie wraz z dokumentacją),
kadrowych (użytkownicy, projektanci, programiści, administratorzy),
usługach i transakcjach związanych ze sprzedażą aplikacji,
usługach operatorskich i administracyjnych.
Zagrożenia spowodowane nieprawidłowym wykorzystaniem zasobów informatycznych
Obszar zagrożeń
Zagrożenia w zakresie danych dotyczące:
fizycznego dostępu do danych
Przyczyny zagrożeń
Brak lub niewłaściwe funkcjonowanie systemu ochrony budynków, systemu ochrony drzwi lub urządzeń kontrolujących ruch osobowy, co umożliwia
niekontrolowany dostęp do sprzętu i oprogramowania.
Rodzaje zagrożeń
1. Kradzież, zepsucie lub zniszczenie sprzętu i oprogramowania.
2. Modyfikacja lub utrata zasobów informacji.
Obszar zagrożeń
logiczny dostęp do danych
Przyczyny zagrożeń
Brak ochrony danych za pomocą identyfikatorów i haseł względnie danych biometrycznych
lub fizycznych identyfikatorów przechowujących certyfikaty.
2. Poznanie przez osoby nieupoważnione haseł dostępu lub kluczy umożliwiających rozszyfrowanie danych.
3. Brak ochrony antywirusowej
Rodzaje zagrożeń
1. Odczytanie, modyfikacja lub usunięcie danych przez nieupoważnione osoby.
2. Zainfekowanie oprogramowania przez wirusy, robaki, bomby logiczne itp., co uniemożliwia dostęp do danych, ich uszkodzenie lub modyfikację.
3. Dokonanie nieautoryzowanych transakcji bankowych, giełdowych przez osoby nieupoważnione.
4. Kradzież tajnych informacji o działalności jednostki.
Obszar zagrożeń
Zagrożenia w zakresie aplikacji informatycznych dotyczące:
architektury systemu
Przyczyny zagrożeń
1. Przypisanie oprogramowania do jednego użytkownika przy aplikacjach jednoużytkowych.
2. Nieprawidłowe zarządzanie kluczami dostępu.
3. Brak lub niewystarczająca ochrona pamięci, poufności i integralności danych przy aplikacjach klient-serwer.
Rodzaje zagrożeń
1. Wielokrotne wprowadzanie tych samych danych do systemu.
2. Niespójna parametryzacja systemu w ramach organizacji.
3. Wysokie wymagania w zakresie sprzętu i oprogramowania przy aplikacjach wieloużytkowych.
4. Utrudniony dostęp do zasobów programowych i danych przez osoby upoważnione.
5. Nieuprawniony dostęp do zasobów informacji i oprogramowania.
| Obszar zagrożeń | Przyczyny zagrożeń | Rodzaje zagrożeń |
|---|---|---|
Zagrożenia w zakresie aplikacji Informatycznych dotyczące: • wprowadzania danych |
1. Brak weryfikacji użytkownika na poziomie systemu operacyjnego lub aplikacji. 2. Brak mechanizmów kontrolnych typu:kontrola kolejności, kontrola powtórzeń, kontrola słownikowa, kontrola sensowności, kontrola poprawności, kontrola kompletności. |
1. Nieuprawniony dostęp do zasobów danych i oprogramowania. 2. Niekompletne i niepoprawne wprowadzane danych do systemu. 3. Redundancja (nadmiar) danych. |
| • przetwarzanie danych | Brak dodatkowych mechanizmów kontrolnych, takich jak: powtórna autoryzacja czy weryfikacja procesu przetwarzania przez drugą osobę. | 1. Nieprawidłowe mechanizmy przetwarzania danych. 2. Przetwarzanie danych przez osoby nieupoważnione. |
| Prezentacja wyników | Brak dystrybucji wyników przetwarzania lub rejestracji generowanych raportów. | 1. Dostęp osób nieupoważnionych do wyników przetwarzania. 2. Uniemożliwienie identyfikacji osób oraz czasu i miejsca dostępu do wynikowych edycji systemu. |
Zagrożenia w zakresie technologii informatycznej dotyczące: • sprzętu |
1. Zła organizacja pamięci masowej w komputerach. 2. Brak mechanizmów kontrolnych w zakresie fizycznej i logicznej integralności systemu i danych. 3. Brak systemu uprawnień dostępu do poszczeg. funkcji, zasobów programowych i danych. |
1. Wydłużony czas przetwarzania danych. 2. Przestoje pracy systemu podczas przetwarzania („zawieszanie systemu"). 3. Utrudniony dostęp do danych osób upoważnionych. |
| • oprogramowania | 4. Nieprawidłowa konfiguracja dostępu do dziennika transakcji. 5. Brak poufności przesyłanych danych. 6. Brak potwierdzenia autentyczności nadawcy danych. 7. Brak specyficznych mechanizmów kontrolnych dla np. poczty elektronicznej. 8. Brak informacji na temat nośników danych i sposobów ich opisu w bibliotece. |
4. Utrata wiarygodności przez nadawcę danych. 5. Przeładowanie skrzynki odbiorczej poczty elektronicznej. 6. Zainfekowanie komputera wirusami przez pocztę. 7. Problemy z odszukaniem danych i programów na nośnikach danych lub w bibliotekach. |
Zagrożenia związane: • ze środowiskiem |
1. Niewłaściwe pomieszczenia (wilgotna piwnica,poddasze). 2. Kable sieciowe znajdujące się zbyt blisko instalacji elektrycznych, instalacji odgromowej, kanałów wentylacyjnych. |
1. Fizyczne zniszczenie sprzętu informatycznego i nośników danych. 2. Błędy i przekłamania w przetwarzaniu. |
| • z działaniami przestępczymi | 1. Dostępność informacji o lokalizacji serwerów (informacje o umiejscowieniu pomieszczenia z serwerami na ścianach budynków). 2. Brak zabezpieczeń budynków i pomieszczeń przed niepowołanym dostępem. 3. Niewłaściwa technologia wykonania budynku, w którym są umieszczone serwery. |
1. Kradzież lub fizyczne uszkodzenie sprzętu informatycznego, oprogramowania i nośników danych. |
COBIT – standard oceny procesów informatycznych
Podział procesów informatycznych
planowanie i organizowanie,
nabywanie i wdrażanie,
dostarczanie i wspieranie,
monitorowanie.
Planowanie i organizowanie
Definiowanie planu strategicznego
Definiowanie architektury informatycznej
Definiowanie kierunku technologicznego
Definiowanie organizacji i relacji IT
Zarządzanie inwestycjami IT
Komunikowanie celów przez kierownictwo
Zarządzanie zasobami ludzkimi
Szacowanie ryzyka
Zarządzanie projektami
Zarządzanie jakością
Nabywanie i wdrażanie
Identyfikacja rozwiązań kompleksowych
Nabywanie i wdrażanie aplikacji
Nabywanie i wdrażanie infrastruktury technologicznej
Opracowywanie procedur
Opracowywanie akredytacji
Zarządzanie zmianami
Dostarczanie i wspieranie
Definiowanie zarządzania poziomem usług
Zarządzanie usługami zewnętrznymi
Zarządzanie wydajnością i wydolnością
Zapewnienie ciągłości usług
Zapewnienie bezpieczeństwa systemów
Rozpoznawanie i rozliczanie kosztów
Szkolenie użytkowników
Wspomaganie klientów
Zarządzanie infrastrukturą
Monitorowanie
Monitorowanie procesów
Ocenianie adekwatności kontroli wewnętrznej
Zapewnienie niezależnego audytu
Uzyskiwanie niezależnych zapewnień
2. Procedury audytu systemów informatycznych
1. Etap wstępny związany z przygotowaniami do przeprowadzenia audytu,
2. Właściwe badanie audytowe,
3. Opracowanie i opublikowanie raportu.
Przykładowe obiekty audytu SI
| Kryterium | Obiekty audytu |
|---|---|
| Przedmiot audytu | Zarządzanie projektem informatycznym |
| Zarządzanie ryzykiem informatycznym | |
| Zarządzanie jakością systemów informatycznych | |
| Zarządzanie umowami zewnętrznymi i wewnętrznymi | |
| Zasoby audytu | Audyt technologii |
| Audyt infrastruktury | |
| Audyt aplikacji | |
| Audyt danych | |
| Cele audytu | Audyt efektywności systemów informatycznych |
| Audyt bezpieczeństwa | |
| Audyt zgodności | |
| Audyt rzetelności | |
| Obszar audytu | Audyt projektowania systemów informatycznych |
| Audyt zarządzania projektami informatycznymi |
Identyfikacja ryzyka przy audycie informatycznym
identyfikowanie zasobów informatycznych,
określanie podatności systemu informatycznego na zagrożenia,
ocenę prawdopodobieństwa nieautoryzowanego wykorzystania zasobów,
oszacowanie ewentualnej rocznej straty,
badanie nowych sposobów oceny i kontroli ryzyka,
wyznaczenie oczekiwanej opłacalności oceny ryzyka.
Identyfikacja zagrożeń dla wybranych obszarów AI
| Obszar audytu | Zagrożenie |
|---|---|
| Projekty informatyczne | * Brak strategicznego lub operacyjnego planu w zakresie projektów informatycznych * Niejasne lub błędne założenia technologiczne, organizacyjne, kadrowe * Niejasno sformułowane potrzeby użytkowników * Przekroczony czas i budżet projektu * Brak planów zachowania ciągłości projektów * Niejasne lub błędne założenia organizacyjne * Niezrozumienie przez kadrę zarządzającą i pracowników korzyści informatycznych zastosowania rozwiązań informatycznych w jednostce * Niezgodność projektu z normami, standardami użytkowników, przepisami prawa * Brak ustaleń w zakresie rodzajów zasobów poddawanych informatyzacji * Brak polityki w zakresie praw autorskich |
| Audyt sprzętu informatycznego | * Nieudokumentowane zmiany parametrów konfiguracji komputerów * Brak lub niekompletne spisy inwentarzowe sprzętu informatycznego * Różnice inwentaryzacyjne w stanach komputerów * Parametry komputerów niedostosowane do wymagań oprogramowania używanego w jednostce * Brak planów zakupu sprzętu oraz jego modyfikacji |
| Audyt oprogramowania | * Występowanie oprogramowania niezwiązanego z pracą wykonywaną na danym stanowisku pracy (gry, gadu-gadu i inne pliki multimedialne) * Nieaktualne wersje oprogramowania (oprogramowanie przestarzałe, niezgodne z przepisami) * Przechowywanie nieaktualnych danych * Niezgodność posiadanych licencji z liczbą zainstalowanych programów * Brak programów instalacyjnych, na które jednostka posiada licencje * Brak aktualnego spisu posiadanego oprogramowania |
| Audyt bezpieczeństwa systemu | * Brak planów awaryjnych dla systemów informatycznych lub braki w ich aktualizacji * Brak ustaleń w zakresie zasobów podlegających ochronie * Brak wykazu osób odpowiedzialnych za sprawność systemu * Brak przypisania zasobów informatycznych do poszczególnych właścicieli * Brak procedur tworzenia i przechowywania kopii zapasowych |
| Audyt bezpieczeństwa systemu | * Nieustalone procedury przeprowadzania szkoleń w zakresie procedury bezpieczeństwa systemów informatycznych * Brak kontroli dostępu logicznego i fizycznego do oprogramowania i głównych urządzeń * Niezabezpieczone budynki i pomieszczenia, w których znajdują się komputery (serwery) * Brak rejestracji pobierania/zwrotu kluczy * Brak zasileń awaryjnych (UPS, agregaty prądotwórcze) * Brak atestów zamków, krat, alarmów i innych zabezpieczeń * Brak ochrony antywirusowej, zmienności haseł dostępu * Brak programów sprawdzających skuteczność stosowanych haseł, zagrożeń i zabezpieczeń * Brak wykonania procedur ochrony danych, częstotliwości wykonania kopii * Nieodpowiednio katalogowane i przechowywane nośniki danych * Brak procedur rejestracji i zakupu sprzętu oraz oprogramowania * Utrata integralności, poufności i dostępności danych * Brak właściwego zdefiniowania uprawnień (niebezpieczeństwo modyfikacji lub usuwania danych, zbyt szeroki dostęp do danych) * Brak polityki w zakresie fizycznego bezpieczeństwa systemu |
Straty z braku zarządzania ryzykiem
Utrata zasobów informacyjnych
Utrata dochodów w wyniku zaprzestania działalności
Straty wskutek nieuprawnionego transferu środków pieniężnych
Straty wskutek spadku reputacji, kar, segmentu rynku
Koszty działań naprawczych
3. Narzędzia wspomagające audyt systemów informatycznych
Podstawową grupą narzędzi są programy wspomagające techniki audytu tzw. CAAT (Computer Assisted Audit Techniques). Służą do przeprowadzania:
testów zgodności z regułami zarządzania systemami informatycznymi,
testów zgodności z zasadami zarządzania aplikacjami,
testów włamaniowych,
próbkowania,
wykrywania oszustw,
testowania szczegółów transakcji i sald,
porównywania danych w różnych plikach.
Procedura postępowania sprowadza się do:
wyznaczania rzeczowego zakresu przeprowadzanych testów odnoszących się do określonego programu audytu,
zdefiniowania niezbędnych zbiorów danych do realizacji testów,
importu danych z baz danych, które mają podlegać testowaniu,
wyboru określonych funkcji oprogramowania do przeprowadzenia testów zgodnych z celem i zakresem audytu,
prezentacji wyników analizy danych w postaci raportów.
| Faza audytu | Rodzaj programu | Program |
|---|---|---|
| Wstępna | Wspomaganie planowania audytu | MS Project |
| Programy biurowe | MS Office, MS Excel | |
| Właściwa | Komunikacyjne | MS Outlook |
| Flow Chart | Idea, Visio, Igrafx | |
| Analiza ryzyka | Risk Advisor, Risk Navigator | |
| Zarządzanie ryzykiem | Auto Audio, Audio Navigator | |
| Końcowa | Raportowanie | Crystal Report |
4. Ocena bezpieczeństwa systemów informatycznych
| Pozycja raportu | Treść poszczególnych pozycji raportu |
|---|---|
| 1. Kryteria | 1. PN-ISO/IEC 17799-2. 2. PN-13335-1. 3. Ustawa o ochronie danych osobowych. 4. Wewnętrzne procedury bezpieczeństwa systemów informatycznych. 5. Instrukcje obsługi i dokumenty gwarancyjne sprzętu. |
| 2. Ustalenia | Na podstawie wywiadu z kierownikiem Działu Informatyki oraz analizy dokumentacji ustalono, że: 1. Nie ma opracowanych procedur postępowania w przypadku zalania, wybuchu pożaru lub kradzieży w serwerowni. 2. Jednostka nie przeprowadza testów agregatów prądotwórczych. 3. Brakuje procedury i rejestru wydawania i przyjmowania kluczy do/z pomieszczenia z serwerami. 4. Nie mają atestów zamki do pomieszczeń, w których znajdują się komputery. 5. Nie testuje się planów awaryjnych. |
3. Ryzyko w kolejności ustaleń |
1. Brak szybkiej reakcji w przypadku wystąpienia zdarzeń losowych zagrażających bezpieczeństwu sys. informatycznych na serwerach ze wzgl na brak organizacji pracy. 2. W sytuacji konieczności skorzystania z agregatu może okazać się on niesprawny. 3. Trudności z ustaleniem osób, które miały dostęp do serwerów, brak bezpośrednio osób odpowiedzialnych za uszkodzenia sprzętu i niepowołany dostęp do systemu. 4. Niesprawne i szybko psujące się zamki, trudności z dostępem do pomieszczenia z serwerami. 5. Nieprawidłowe postępowanie w przypadku konieczności zastosowania planów awaryjnych. |
| 4. Rekomendacje | 1. Należy ustalić pisemne procedury postępowania w przypadku zalania, wybuchu pożaru lub kradzieży. 2. Należy ustalić terminy kontroli działania agregatów prądotwórczych. 3. Należy ustalić pisemne procedury wydawania i pobierania kluczy do pomieszczenia z serwerami oraz założyć rejestr osób korzystających z kluczy wraz z podaniem dat. 4. Należy wymienić zamki na atestowane. 5. Należy przetestować opracowane plany awaryjne. |
5. Odpowiedź kierownictwa audytowanej jednostki |
Kierownictwo jednostki zobowiązuje się zrealizować wszystkie rekomendacje do 30.06.2007 roku. |
Ocena bezpieczeństwa systemów informatycznych wykazała braki dotyczące:
braku procedur postępowania w przypadku zalania, wybuchu pożaru lub kradzieży w odniesieniu do pomieszczeń, w których znajdują się serwery,
nieprzeprowadzania w jednostce testów agregatów prądotwórczych,
braku procedur i rejestrów wydawania i przyjmowania kluczy do/z pomieszczenia z serwerami,
nieposiadania atestów przez zamki do pomieszczeń, w których znajdują się komputery,
braku testów planów awaryjnych.
W związku z tym audytor zalecił:
pisemne opracowanie procedury postępowania w przypadku zalania, wybuchu pożaru lub kradzieży,
ustalenie terminów kontroli działania agregatów prądotwórczych,
pisemne opracowanie procedury wydawania i pobierania kluczy do pomieszczenia z serwerami oraz założenie rejestru osób korzystających z kluczy wraz z podaniem dat,
wymiana zamków w drzwiach na atestowane,
przeprowadzenie testów planów awaryjnych.