Презентација од обуката ИТ Ревизија

Report
http://mk.linkedin.com/in/sasomickov
AГЕНДА
 Вовед за ИТ Ревизија
 Организација, сруктура и управување со Информативните
системи / Organization, structure and governance of IS
 ИТ Ризици - идентификација и проценка (IT Risk Assessment)
 Систем на ИТ интерни контроли (System of IT Internal Control)
 Ревизија на информациските системи: законска регулатива
и стандарди
 Работилница/Студија на случај за конкретeн ревизорски
ангaжман
Автор – Сашо Мицков (С.М). Сите права задржани.
2
Три основни постулати на
Информативниот Систем
1. Doverlivost- informacijata im e dostapna samo na onie koi{to imaat ovlasten
pristap do nea. Kompanijata e dol`na da vospostavi kontroli koi }e se
upotrebuvaat za da se za{titat informaciite od neavtoriziran pristap;
2. Integritet- za{tita na to~nosta i kompletnosta na informacijata i na metodite
na obrabotka. Kompanijata e dol`na da vospostavi kontroli koi }e se koristat
so cel da se spre~i menuvawe na infomacijata na neovlasten na~in i so
neavtorizirano rakuvawe so sistemite, koe mo`e da ja naru{i to~nosta,
kompletnosta i verodostojnosta na informacijata;
3. Raspolo`ivost- ovlastenite korisnici imaat pristap do informacijata i do
drugite pridru`ni sredstva potrebni za nejzina prezentacija, koga za toa ima
delovna potreba. Kompanijata e dol`na da vospostavi kontroli koi }e se
primenuvaat za da mo`at ovlastenite korisnici da imaat pristap do
informacijata i sistemite koga za toa imaat delovna potreba.
ИТ ЕВОЛУЦИЈА
1950 – 2010 - ……
• Data Processing
• Management Reporting
• Decision support
• Strategic and end-user support
• E-business and e-commerce
• Enterprise resource planning and Business
Intelligence
• ………
РЕВИЗИЈА
ima primarna cel da obezbedi nezavisno i objektivno
mislewe do Odborot za revizija i Vrvniot menaxment, za
upravuvaweto so rizicite, sistemot na interni kontroli i
korporativnoto upravuvawe, preku merewe i ocenuvawe
na efektivnosta na navedenite kontroli i sistemi vo
ostvaruvawe na delovnite celi.
“INTERNAL AUDIT IS
AN INDEPENDENT, OBJECTIVE ASSURANCE AND CONSULTING ACTIVITY DESIGNED TO
ADD VALUE AND IMPROVE ORGANIZATION’S OPERATION.
IT HELPS ORGANIZATION ACCOMPLISH ITS OBJECTIVE BY BRINGING A SYSTEMATIC, DISCIPLINED APPROACH
TO EVALUATE AND IMPROVE THE EFFECTIVENESS OF RISK MANAGEMENT, CONTROL AND GOVERNANCE
PROCESSES.”
SOURCE:
THE INTERNATIONAL STANDARDS FOR THE PROFESSIONAL PRACTICE OF INTERNAL AUDITING (STANDARDS); THE INSTITUTE OF INTERNAL AUDITORS
ТИПОВИ НА РЕВИЗИЈА
Статутарна
ревизија
Ревизија на
финансиски
извештаи
ИТ ревизија
Ревизија
за усогласеност
Ревизија на
системите за
внатрешна контрола
Ревизија за откривање
на
злоуптреби и измами
С.М.
6
МЕЃУНАРОДНИ СТАНДАРДИ
THE IIA
Implementation Standard 1210.A3
Внатрешните ревизори мора да имаат доволно
знаење за клучните информационо технолошки
ризици и контроли и расположивите технолошко
базирани ревизорски техники за извршување на
својата работа.
Меѓутоа, од сите внатрешни ревизори не се
очекува да имаат стручно знаење како што има
еден внатрешен ревизор чија примарна
одговорност е ИТ ревизијата.
ИТ РЕВИЗИЈА
Контрола и проценка на ефективноста и адекватноста на
системот на интерни контроли во Информативнот
Систем, нивната усогласеност со интерните политики и
цели на организацијата, како и соодветна законска
регулатива и наjдобри пракитки (ISO 27001, COBIT, ITIL/ISO
2000) со цел да обезбедат сигурни, ефективни и
ефикасни ИТ процеси усогласени со целите на
компанијата.
ИТ РЕВИЗИЈА
 Ревизија
на ИТ процеси и ИТ системи:
- безбедност на ИТ системите (мрежа, оперативен систем, база на
податоци, апликација)
- развој на апликации и водење на проекти
- овластувања (привилегии) за пристап кон ИТ ресурсите
- back up
- неовластени упади и користење на системите
- заштита од вируси и други малициозни програми
- физичка безбедност
- односи со ИТ добавувачи
- заштита на приватност
- усогласеност со законска регулатива
- План за континуитет во работењењето /Реставрација од
катастрофа
- апликативни контроли
- ........
ИТ РЕВИЗИЈА
 Почеток : 1954 година со првата ревизија на компјутерските
контроли, извршена во General Electric; извор Wikipedia
 Во доцните 60-ти е формирано професионално здружение
наречено: EDPA – Electronic Data Processing Association; Истото во
1994 е преименувано во ISACA – Information Audit & Control
Associations (www.isaca.org)
 COBIT: COntrol OBjective for Information Technology (1977 година)
ИТ РЕВИЗИЈА
ОПШТИ НАСОКИ И КОНТРОЛНИ ПОСТАПКИ
 The IIA’s International Professional Practices Framework (IPPF)
 The IIA’s Global Technology Audit Guides (GTAGs)
 ISACA’s IS Guidelines, Standards, and Procedures
 National Institute of Standards and Technology – NIST
 FDIC: FFIEC IT Examination Handbook
 The American Institute of Certified Public Accountants (AICPA)
Statement on Auditing Standards (SAS) 94 Internal Control in a Financial
Statement Audit”
 Други специфични стандарди и најдобри практики – ITIL (ISO 20000),
ISO 27001..........
ИТ РЕВИЗИЈА
КОНКРЕТНИ КОНТРОЛНИ ПОСТАПКИ
 Специјализирани организации, здружениа, web портали - SANS,
NIST, AuditNet, FFIEC, OWASP FISMA, ENISA EU …… КОИ СЕ ПОВЕЌЕ
ТЕХНИЧКИ ОРИЕНТИРАНИ НО НЕ СЕ ОДНЕСУВААТ НА КОНКРЕТЕН
ИНФРОМАТИЧКИ СИСТЕМ
 Специјализирани компании / произведувачи на конкретни софтверски и
хардверски информатички решениа (Microsoft, CISCO, Oracle, Symantec,
HP, IBM, ……….) – КОИ СЕ ПОВЕЌЕ ТЕХНИЧКИ ОРИЕНТИРАНИ И СЕ
ОДНЕСУВААТ НА КОНКРЕТЕН ИНФРОМАТИЧКИ СИСТЕМ – база на
податоци, оперативен систем, firewall……
ПРОФЕСИОНАЛНИ
КВАЛИФИКАЦИИ
 ПОЗНАВАЊЕ НА ИНФОРМАТИЧКАТА ТЕХНОЛОГИЈА И
ПРOЦЕСИТЕ ВО ИНФОРМАТИВНИТЕ СИСТЕМИ
 СЕРТИФИКАТИ
 CIA
 CISA
 CISSP или CISM
 Специфични сертификати за одредени производи (vendor
certificate): Microsoft, Linux, CISCO, ORACLE, SAP.......
Пожелно, но не е неопходно !
ВАЖНО: (ИТ) РЕВИЗОРОТ ТРЕБА ДА ОБЕЗБЕДИ РАЗУМНО
УВЕРУВАЊЕ ВО ВРСКА СО АДЕКВАТНОСТА И ЕФЕКТИВНОСТА
НА СИСТЕМОТ НА ИНТЕРНИ КОНТРОЛИ
С.М.
13
ПРОФЕСИОНАЛНИ КОДЕКСИ
С.М.
14
ФАЗИ НА ИЗВЕДУВАЊЕ НА
(ИТ) РЕВИЗИЈА
Фаза I
Планирање и изработка
на програма за ревизија
Фаза III
Издавање
на извештај
Фаза IV
Мониторинг
Изведување на ревизијата
Фаза II
интервјуа, обсервација,
преглед на процедури,
Тестирање, проверка на
системски
конфигурации и посатвенвост
С.М.
15
СЕКОЈ БИЗНИС ДЕНЕС Е ЦЕЛОСНО
ЗАВИСЕН ОД ИТ
Време на испорака – побрзо
Сигурност максимална
Чинење на сервис – поефтино
Поддршка на бизнис
– максимална
Ризици - контролирани
Квалитет на сервиси – подобра
С.М.
16
ИТ – ИТК - ИС
CIO –
Chief Information Officer
ТЕХНОЛОГИЈА
ИНФОРМАЦИОНЕН
СИСТЕМ
ЧОВЕЧКИ
РЕСУРСИ
CTO – Chief Technology Officer
ОРГАНИЗАЦИЈА
ЕЛЕМЕНТИ НА ИС
- РАЗБИРАЊЕ НА ПРОЦЕСОТ
 Софтвер
Бизнис
поглед
Апликации
База на податоци
Оперативен Систем
Мрежни сервиси
 Хардвер
Периферни уреди
Персонални компјутери
Сервери
Мрежни уреди
ИТ поглед
С.М.
18
?
ПРИМАРНАТА причина поради која ИТ ревизорот
треба да изврши прелиминарно истражување во
почетната фаза на планирање на ревизорскиот
ангажман е :
A. Разбирање на процесот.
B. Поради усогласеност со ревизорските
стандарди
C. Идентификација на контролното опкружување
D. Разработка на план за тестирање
ТЕХНИЧКИ ДИЈАГРАМ НА ИС
С.М.
20
?
ИТ Ревизорот открил дека не сите мрежни уреди кои се дел од
офпатот на ревизорскиот ангажман се вклучени во мрежниот
дијаграм на компанијата. Менаџерот на ИТ службата има
објаснување дека во моментот се прави ажурирање на овој
дијаграм и во тек е нејзиното финализирање.
ИТ Ревизорот треба ПРВО:
A. Да изврши промeна на опфатот на ревизијата со тоа што ќе ги
исклучи уредите кои не се внесени во мрежниот дијагарам
B. Да изврши процнека на критичноста и влијанието на
ревизорските цели во однос на уредите кои не се вклучени во
мрежниот дијаграм
C. Да утврди недостаток во финалниот извештај дека мрежниот
дијаграм не е ажуриран и комплетен
D. Да предложи план за последователна ревизија која ќе ги
опфати и недокументираните мрежни уреди
ЕЛЕМЕНТИ НА КОМПЈУТЕРСКАТА
МРЕЖА
 Мрежни уреди за поврзување (кабли, хабови, свичеви,
рутери, модеми)
 Начин на поврзување: wire vs wireless
 Огнени ѕидови за заштита - Security Firewalls: права на
пристап, филтрирање на тип на податоци/сервиси
 Детекција и Превенција од напад - Intrusion prevention
and detection systems
 Мрежни сервиси – FTP, WEB, E-mail, File Sharing, Chat,
Database, VoIP……… (видливи за крајниот корисник)
С.М.
22
МРЕЖА / КОМУНИКАЦИИ
Според физичката поставеност и користена
технологија за поврзување
Локална мрежа (LAN)
Географски дисперзирана мрежа (WAN)
Метро локална мрежа (МAN)
Далечинско најавување – Remote Access
С.М.
23
ЕЛЕМЕНТИ НА МРЕЖАТА
ПОВРЗУВАЊЕ
НА ДВА
КОМПЈУТЕРИ
ПОВРЗУВАЊЕ
НА ПОВЕЌЕ
КОМПЈУТЕРИ
ПОВРЗУВАЊЕ НА
ПОВЕЌЕ ЛОКАЛНИ
МРЕЖИ
FIREWALL –
КОНТРОЛА НА МРЕЖНИОТ СООБРАЌАЈ
Пример:
Забрана за пристап на вработените до одредени сајтови на
Интернет (facebook, gmail, hotmail….) или
Забрана за користење на одредени сервиси (Skype)
TCP/IP ПРОТОКОЛ
TCP/IP модел понекогаш се нарекува Интернет модел или DoD модел,
обезбедува крај-крај поврзување и конкретизирање на тоа како треба да
се форматирани податоците, адресирани, пренесени, насочени и
примени на дестинацијата.
Секој компјутер /уред во (Интернет) мрежата еднозначно се
идентифицира со својата IP адреса и TCP “порта” за користење на
одреден сервис.
Постои листа на преддефинирани порти зависно од типот на сервисот
како на пример: WWW – 80, E-mail (25/110), Telnet 21, FTP 23......
С.М.
26
КОНТРОЛА И ПРОВЕРКА НА
ПОДАТОЦИТЕ –
“СКЕНИРАЊЕ НА МРЕЖАТА”
?
Што од следното би требало НАЈМНОГУ да го
загрижи ИТ ревизорот?
A. Недостаток од извештаи за случените
/извршени напади на мрежата
B. Недостаток во процесот на известување за
можните напади на мрежата
C. Недостаток на практика за периодичен преглед
на логичкиот пристап и правата на корисниците
во компјутерската мрежа
D. Недостаток на процес за известување до
јавноста за нападите и слабостите во
компјутерската мрежа
Типови на компјутери
 Хостови - Mainframe / Host
 Тeрминали (“dump terminal”, “thin client”)
 Персонални Компјутери - Personal computers
 Работни станици - Workstation
 Сервери - Servers
 Мобилни уреди -smart phones, personal digital assistant,
handheld computers…
 Вградени компјутери /контролори - Embedded computers
 “Cloud Computing” – дисперзија/дислокација на ИТ
инфрастуктурата односно апликациите и податоците
29
С.М.
СОФТВЕР
 Системски софтвер – оперативни системи
Бази на податоци
Апликативен софтвер – кориснички програми
Алатки и помошни програми
 Програмски јазици и развојни околини
30
С.М.
ОПЕРАТИВНИ СИСТЕМИ
Оперативниот систем ( кој обично се скратува како OС) е
посредник помеѓу хардверот и корисникот/апликациите;
ОС е одговорен за управувањето и координирањето на
активностите на корисникот и за делењето на ресурсите на
компјутерот.
Оперативниот систем работи како хост за апликациите за
пресметки кои се извршуваат на машината.
Како хост, една од целите на оперативниот систем е да ракува
со операциите на хардверот.
С.М.
31
БАЗА НА ПОДАТОЦИ
База на податоци е структуиран/форматиран
збир од меѓусебно поврзани податоци,
меморирани независно од програмите кои се
користат, со контролиран пристап за додавање,
читање или нивно модифицирање.
Oracle, МS Access, MS SQL, MySQL , Sybase, Informix,……
С.М.
32
БАЗА НА ПОДАТОЦИ
Најчест модел:
Релационен модел на
бази на податоци
 Табелите се основа за целата база на податоци и тие ги содржат
сите податоци.
 Табелите содржат записи (редови од табела) и полиња (колони) од
табелата.
С.М.
33
?
Како се одразува правото на директен пристап на
корисниците до базата на податоци на нивото на оперативен
(ИТ) ризик ?
A. Ризикот од неавторизиран пристап се зголемува, но
ризикот од непосакувани/неавторизирани промени во
базата се намалува
B. Ризикот од неавторизиран пристап, и ризикот од
непосакувани/неавторизирани промени во базата се
зголемува
C. Ризикот од неавторизиран пристап се намалува, но
ризикот од непосакувани/неавторизирани промени во
базата се зголемува
D. Ризикот од неавторизиран пристап се намалува, но
ризикот од непосакувани/неавторизирани промени во
базата се зголемува
АПЛИКАТИВНИ СИСТЕМИ
 ERP (aнгл. Enterprise Resource Planning – Планирање на
бизнис ресурси) се бизнис информациони системи т.е
комерцијaлни апликативни системи наменети за подршка на
работењeто во организациите. Опфаќаат стандардни бизнис
процеси во секоја организација како што се материјалното
работење, сметководство, кадрово, плати, набавки, наплата
и слично.
 Овие апликативни системи може да се прилагодат и да
извршуваат специфични функции за одредени типови на
организации/индустрии како што се банки, осигурителни
друштва, телеком, здравство, јавна администрација..........
SAP ,ORACLE, People Soft ,BAAN, Microsoft Dynamics NAV
(Navision), .....
С.М.
35
АПЛИКАТИВНИ СИСТЕМИ
Клучни контроли
 Влезни контроли - проверка при внес на податоците
 Излезни контроли - извештаи
 Пренос на податоци /усогласување помеѓу системи (Batch controls)
 Сегрегација на должности
 Одржување на апликативниот систем
 Право на користење (лиценци)
 Право на функционални промени (source code)
 Тренинг и едукација за користење
 Проверка /тестирање на грешки (bugs, backdoors)
С.М.
36
ЕЛЕМЕНТИ НА ИС
- ОРГАНИЗАЦИЈА
Структура и организација на ИТ/ИТК службата /
организациона единица
 Политики и процедури
 Водење на ИТ Проекти
 Надворешни добавувачи
 ИТ Набавки
 Поддршка на корисниците
С.М.
37
ОРГАНИЗАЦИЈА НА ИТ
Генерално постајат два пристапа: централизиран и децентрализиран.
 Во централизираниот пристап постои една служба/организациона едница за ИТ која
директно одговара на извршниот менаџмент во организацијата.
Генерално сите набавки, инсталации, одржување на системите и развојот е координиран централно и се
изведува на ниво на целата организација.
 Во децентрализираниот пристап ИТ е дисперзиран во повеќе организациони едници во
рамките на организацијата, како специјализирани тимови кои работат во поединечните
служби како што е кадрово, сметководство, набавки, плати, маркетинг......
 Посебен пристап е таканреченииот: Проектно ориентирана хиерархија –
вообичаено е на времена основа, додека трае одреден проект.
С.М.
38
TИПИЧНА ИТ ОРГАНИЗАЦИОНА ШЕМА
С.М.
39
С.М.
40
?
Примарната одогворност на ИТ ревизорот во однос
на несоодветната сегрегација на должности е:
A. Да форсира имплементација на адекаватна
сегрегација на должности
B. Да го запознае менаџментот за ризикот кој
произлегува од несоодветната сегрегација.
C. Да учествува во дефиницијата на улогите и
одговорностите на вработените со цел да се
воспостави соодветна сегрегација на должности
D. Едноставно да ги докунтоера утврдените
недостатоци кои се однесуваат на
сегрегацијата на должности
ПОЛИТИКИ, СТАНДАРДИ, УПАТСТВА И
ПРОЦЕДУРИ
С.М.
42
СТАНДАРДИ, УПАТСТВА И ПРОЦЕДУРИ
 Политиката е почетната точка (уставот) за функционирање
на ИТ, го дава тонот и карактерот на поставеност и
очекувања од ИТ системите
 Стандардите ги дефинираат активностите, претставени како
правила и ограничувања, со кои ќе се обезбеди
постигнување на дефинираните цели со политиката за
информативна сигурност.
 Упатствата / Процедури содржат подетални и оперативни
чекори за користење на информатичките системи
С.М.
43
СТАНДАРДИ, УПАТСТВА И ПРОЦЕДУРИ
Пример:
- Политика е да се прави заштита на податоците (backup)
тогаш процедурите/упатствата треба детално да го
разработат самиот процес на правење на заштитни копии динамика, опфат, одговорностите и слично
- Политика за користење на Интерент односно дефинирање
на стандарден Интернет Прелистувач - Internet Explorer,
тогаш процедурата треба да опише како ќе се конфигурира,
дали ќе има ограничувања во пристапот и слично
С.М.
44
?
При изведување на ревизорскиот нагажман за ИТ
Сигурноста, ИТ ревизорот утврдил дека
процедурите за информативна сигурност не се
документирани. ИТ Ревизорот треба:
A.
B.
C.
D.
Да креира такви процедура
Да го прекине резиворскиот ангажман
Да спроведе тест на усогласеност
Да ги процени и идентифкува постапките и
тековни практики кои се однесуваат на
информативната сигурност
ВОДЕЊЕ НА ПРОЕКТИ
Ефективно управување со проектите е клучен фактор за добро
управувани ИТ операции и успешно следење на конфигурациите.
Генерално во секој проект постојат фази како што се:
– започнување,
– планирање,
– извршување,
– контрола и
– затворање на проектот, а крајните корисници обука за промените.
Менаџментот треба да ја користи оваа техника за да ги контролира
проектите кои се од голема важност и кои може да предизвикаат
висок оперативен ризик (надградба и развој на системите, конверзија
на податоците од стар систем на нов, воведување на нови
инфраструктурни компоненти (нови сервери), воведување нови типови
продукти и сервиси, како и подобрување на одредени банкарски
апликации или сервиси и др.)
С.М.
46
ИТ ПЛАНИРАЊЕ
 Стратешки ИТ планови
Стартешките ИТ планови треба да се фокусираат на период од
три до пет години и треба да се усогласат со деловната
долгорочна стратегија на организацијата (мисија / визија)
 Оперативни ИТ планови
Оперативните ИТ планови треба логички да произлегуваат од
стартешкиот ИТ план. Тие треба да содржат детален опис и
дефинирање на поттребните ресурси (технлогоија, буџет и луѓе)
за постигнување на целите и барањата на организацијата.
С.М.
47
УПРАВУВАЊЕ СО ИТ ОБЕЗБЕДУВАЧИ
/ДРУШТВО ЗА ПОМОШНИ УСЛУГИ
 Организацијата треба да ги дефинираат условите за работа со
обезбедувачите на ИТ сервиси преку Дефинирање на единствени принципи
на избор на обезбедувачи, дефинирање и следење на ризиците поврзано со
нивното работење.
 Договорите со обезбедувачот на ИТ сервиси да имаат вградени заштитни
механизми за имплементација на политиката за информативна сигурност;
 Дефинирање на прифатливо /очекувано ниво на сервис (Service Level
Agreement)
 Да се дефинира обврска за неоткривање на информациите и чување на
деловна тајна и на соодветните лица од обезбедувачот на ИТ сервиси кои
имаат пристап до информативниот систем на организацијата (на пр.:
лицата кои имаат пристап од страна на обезбедувач на ИТ сервиси треба да
имаат потпишана изјава за прифатливо користење на информативниот
систем).
С.М.
48
РИЗИК !!!!
Ризик преставува веројатност да се случи одредена
активност или настан кој ќе има директно негативно
влијание врз добивката и/или расположивоста на
средствата односно да предизвика пречка за
остварување на зацртаните цели и остварувања на
организацијата/компанијата.
С.М.
49
РИЗИЦИ
Материјален
Audit Process
Кредитен
Ликвидоносен
Валутен
Risk
Пазарен
Стратегиски
Оперативен
Internal Control
С.М.
50
(ИТ) РИЗИК
Заканите по информативниот систем кои ги користат
слабостите на ИТ средствата за да предизвикаат
нарушување на интегритетот, доверливоста и
достапноста на процесите и сервисите во
компанијата.
ВАЖНО
Се менуваат динамично и фрекфентно
Многу лесно се акумилираат и ескалираат
кумулативно на ниво на цела организација
С.М.
51
ИТ РЕВИЗИЈА - ПРОЦЕС
РАЗБИРАЊЕ
НА БИЗНИС
ПРОЦЕСИ
МАПИРАЊЕ
СО
ИТ ПРОЦЕСИ
ИДЕНТИФИКА
ЦИЈА НА ИТ
РЕСУРСИ
ПРОЦЕНКА
НА (ИТ)
РИЗИЦИ
ИЗРАБОТКА
НА ПЛАН
ИЗРАБОТКА
НА
ПРОГРАМА
2120 – Risk Management
The Internal Audit activity must evaluate the effectiveness and contribute to
the improvement of the risk management processes.
The IIA Standard
УПРАВУВАЊЕ СО (ИТ) РИЗИЦИТЕ
(1)
 Идентификација на процесите во компанијата
(маркетинг, кадрово, плати, производство,
сметководоство, администрација......)
 Идентификација на ИТ средствата кои се користат во
наведените процеси
 Дефинирање на регистар на ризици (закани и ранливост)
 Мапирање на ризиците и информативните средства
УПРАВУВАЊЕ СО (ИТ) РИЗИЦИТЕ
(2)
 Рангирање на ризици (влијание на ризиците) Квантитативна и квалитативна анализа
 Дефинирање на Политика за Управување со ризиците
- избегнување
- прифаќање
- намалување (Резидуален ризик)
- осигурување/трансфер
 Имплементација на контроли
ИДЕНТИФИКАЦИЈА НА ИНФОРМАТИВНИТЕ
СРЕДСТВА
 Сервери и хост системи
 Мрежни уреди (локална мрежа)
 Телекомуникации
 Локални ПЦ (десктоп) и лаптоп (преносни компјутери)
 Софтверски средства - апликации, системски програми, развојни алатки,
бази на податоци
 Периферни уреди (уреди за непрекинато напјување со електрична
енергија, печатари, магнетни медиуми и други мемориски уреди)
 АТМ / POS / Tелефонски централи ...............
 Документација
С.М.
55
ИДЕНТИФИКАЦИЈА НА ЗАКАНИ
Прекин на електричната струја – прекин на редовното снабдување со
електрична струја
 Случајни грешки – несоoдветното ракување со информативното средство
може да доведе до нарушување на интегритетот, достапноста и
доверливоста на информацијата која са наоѓа во самото средство
 Постоење на таканаречени “malicious code” програми – како најпознат
престваник на оваа група се комјутерските вируси како и: worms, logical bomb,
spyware, adwere….
 Несоодветен систем за управување со корисниците на компјутерскиот
систем – не посотење на јасни процедури за креирање на косинисици,
дефинирање на нивото на привилегија, недостаток на систем за
мониторирање на нивните активности
 Природни катстрофи – закани од типот на земјотрес, поплава, силен
ветер, гром
 Неавторизиран пристап од надврешни лица – недостаток од соодветен
систем за заштита (огнени ѕидови, системи за детекција на напад и слично
 Кражба или физичко оштетување на средставата – не соодветната
физичка заштита на информативното средство го изложува истотото на
потеницијални напади
 Недостаток на знаење – несоодветното знаење може да доведе до
С.М.
56
сериозни нарушувања
РЕГИСТАР НА РИЗИЦИ
Информативно
средство
Закана
Слабост
Ризик
Сервер
Пожар
Одсуство на систем
за гаснење на
пожарот – отрвоне
гас
Недостапност на
системот –
стопирање на
процесите
Персонален
компјутер
Малицозни програми
(вируси, “тројанци”,
worm)
Ненавремена
надградба – udpate
на антовирсниот
систем
Намалаување на
ефикасноста на
процесите
Комуникациска
линија
Прислушкување
Одсуство на систем
за енкрпиција
“шифрирање”
Нарушување на
доверливоста на
сензитивни
информации
Апликација
Грешки во
програмирање
Одсуство на деволно
тестирање
Погрешни пресметки
.................
Забелешка : Секоја организација треба да направи своја специфична листа на ИТ Ризици
С.М.
57
АНАЛИЗА НА ВЛИЈАНИЕТО НА ПОЈАВА НА
ЗАКАНИ И СЛАБОСТИ
С.М.
58
РАНГИРАЊЕ НА РИЗИЦИТЕ
РИЗИК
Веројатност дека потенцијален настан,
акиција и непревземање на акција, може
негативно да влијае на оставарување на
деловните цели на ораганизацијата.
РИЗИК = Веројатност x
Влијание
 Веројатност: можност да се случи одреден настан во
предифиниран временски период (на пример 3 години)
Сигурно (дневно до дво-неделно)
Можно (месечно до полугодишно)
Ретко (годишно)
 Влијание : потенцијален ефект од настанот.
Атрибути кои влијаат на проценка на ризикот (Risk
Impact) : Финанасиска загуба,комплексност за
реставрација, опфат на ризикот (локален, дисперзиран)
.....
С.М.
59
Оценување на ризици
С.М.
60
KЛАСИФИКАЦИЈА НА РИЗИЦИ
Информативно
средство
Ризик
Веројатност
Влијание
Класификација
на ризици
Сервер
Недостапност
на системот –
стопирање на
процесите
Средно
Високо
Високо
Персонален компјутер
Намалаување
на
ефикасноста
на процесите
Ниско
Ниско
Ниско
Комуникациска линија
Нарушување на
доверливоста
на сензитивни
информации
Средно
Средно
Среден
Апликација
Погрешни
пресметки
Ниско
Високо
Среден
.................
ЦИКЛУС НА ИНТЕРНА РЕВИЗИЈА
Матрица на
ризици и
ревизии
Оценување
на ризици
Мониторинг
Циклус на
интерна ревизија
Известување
Извршување
на ревизорски
ангажман
Годишен план
за ревизија
Планирање на
ревизорски
ангажман
ИТ РЕВИЗИЈА
Ревизија на информативниот систем, подразбира проценка
на системот на интерни контрoли дизaјнирани и
воспоставени со цел да се обезбеди сигурност, ефикасност
и достапност на процесите во информативниот систем
односно неговите компоненти
(мрежа, сервери, апликаци и бази на податоци).
2130 – Control
The Internal Audit activity must assist the organization in maintaining
effective controls by evaluating their effectiveness and efficiency and by
promoting continuous improvement.
The IIA Standard
С.М.
63
ЦЕЛИ
 Точност, комплетност и навременост на
финасиското известување
 Ефективност и ефикасност на операциите и
процесите
 Усогласеност со законска регулатива и
прописи
ИТ КОНТРОЛИ
СПЕЦИФИКИ
 Контролното опкружување се состои од практики/акции,
политики/процедури и механизми
 Контролните активности треба да бидат дизајнирани и
имплементирани на начин кој овозможува идентификуваните
ризици да бидат адекватно адресирани (најчесто cost – benefit)
 Контролните активности треба да бидат дел од секојдневните
операции и активности
 ИТ контролите најчесто се автоматизирани (односно системски
/ технички)
С.М.
65
СИСТЕМ НА ИНТЕРНИ КОНТРОЛИ
С.М.
66
СИСТЕМ НА ИНТЕРНИ КОНТРОЛИ
поделба на контролите
Административни
Логички / Технички
Физички
Entity Level Control
Business Process Control
Computer Control (CC)
General Computer Control
Application Level Control
Мануелни
Автоматски
Превентивни
Детективни
Корективни
С.М.
67
КОНТРОЛИ (1)
С.М.
68
КОНТРОЛИ (2)
Примери:
Ревизорска трага (Audit trails) е ......
Сегрегација на должности е ....
Сензори и аларми се ...............
С.М.
Договори за доверливост со вработените
се ....
69
ИТ КОНТРОЛИ
 Генералните контроли се однесуваат на целата инфраструктура и
oрганизацијата
на
клучните
и
базични
процеси
како
основа
за
функционирање на информативниот систем како што се комуникациите и
мрежата, управување со корисниците, сигурност и заштита на податоците,
развој на план за континуитет во работењето , односи со добавувачи и
слично.
 Апликативните контроли се специфични контроли кои се однесуваат на
конкретни апликативни решенија и тоа при: внесот, обработката и
излезот/приказот на резултатите.
С.М.
70
IT Concerns and Issues
Computer
Controls
General
Controls
Физички контроли
• Рестриктивен влез Логички пристап
–
• Камери
Access Controls
• Чувари
• Против пожарни
Логови и
системи
мониторинг на
• UPS
настани
Заштитни копии Ваckup
• Data Backups • Restore Procedures
• Offsite Storage
ИТ Обнова од катастрофа
Развој на програми Водење на проекти
• Барање за развој
• Програмирање
• Тестирање
• Имплементација
•Одржување
Сигурност на
информативниот систем
Односи со надворешни добавувачи
С.М.
71
IT Concerns and Issues
Усогласување на
системите
• Интерфејси
• Batch processing
Computer
Controls
Application
Controls
Цел
Влезни контроли
• Data Entry Controls
• System Edits
• Segregation of Duties
• Transaction Authorization
Извршување на трансакции
• Audit Trails
• Interface Controls
• Control Totals
 Комплетност
 Точност
 Навременост
Излезни контроли
• Reconciliation
• Distribution
• Access
С.М.
72
АПЛИКАТИВНА КОНТРОЛА ВЛЕЗ
СПЕЦИЈАЛИЗИРАН СОФТВЕР
COMPUTER-ASSISTED-AUDIT TECHNIQUES (CAAT)
 Масовни обработки на големи количини на податоци,
пример рекреирање на главна книга
 Сложени проверки за рекалкулација, пример
пресметка на камата
 Филтрирање и пребарување на податоци според
одреден критериум
 Поддршка на различни формати на податоци
 Лесно користење
 Поставување на сопствени критериуми / правила
Пример: ACL - Audit Command Language
IDEA - Interactive Data Extraction and Analysis
С.М.
74
ЗАКОНСКА РЕГУЛАТИВА /
НАЈДОБРИ ПРАКТИКИ
Законска регулатива
Локална
Меѓународна
Стандарди / најдобри практики
COBIT
ISO 27001
ITIL
С.М.
75
ЗАКОНСКА РЕГУЛАТИВА ВО Р.М.
 34/01;06/02 – Закон за податоци во електронски облик;електронски
потпис
 2003/ 2008 – Одлука за дефинирање на сигурност на
Информативниот систем во Банките
 Олдука за управувње со ризици, НБРМ 2011
 82/19 Ноември 2004 – Уредба за класификации на информациите
 16/11 Март 2005 – Индустриска и информатичка безбедност
 7/05/2010 - Закон за заштита на личните податоци
 2005/09 - Закон за спречување на перење на пари
 Кривичен закон на РМ
 Закон за јавна внатрешна финансиска контрола / Закон за ревизија
 Закон за авторски и сродни права
 Закон за електронски комуникации
С.М.
76
ЗАКОН ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ
ЗАКОН ЗА ЗАШТИТА НА ЛИЧНИ ПОДАТОЦИ
(Сл.весник на РМ бр.7/05, 103/08 и 124/10)
П Р А В И Л Н И К ЗА ТЕХНИЧКИТЕ И ОРГАНИЗАЦИСКИТЕ МЕРКИ ЗА
ОБЕЗБЕДУВАЊЕ ТАЈНОСТ И ЗАШТИТА НА ОБРАБОТКАТА НА ЛИЧНИТЕ
ПОДАТОЦИ
Контрола на информацискиот систем и информатичката
инфраструктура
Член 25
(1) Информацискиот систем и информатичката инфраструктура на
контролорот задолжително подлежат на внатрешна и надворешна
контрола со цел да се провери дали постапките и упатствата
содржани во документацијата за технички и организациски мерки
се применуваат и се во согласност со прописите за заштита на
личните податоци.
С.М.
77
МЕЃУНАРОДНИ ЗАКОНИ /
ПРЕПОРАКИ
 SOX
 HIPAA
 Basel II
 GLBA
 Тhe Digital Millenium Copyright Act (DMCA)
 FISMA - Federal Information Security Management Act of 2002
 Computer Fraud and Abuse Act (18 USC 1030)
 Electronic Communications Privacy Act 18 USC 2510; 18 USC 2701
 EU Directives (Privacy Protection)
 Organization for Economic Co-operation and Development's (OECD)
- Guidelines for the Security of Information Systems
С.М.
78
ISACA СТАНДАРДИ /
ПРЕПОРАКИ
Стандардите дефинираат задолжителни
барања за ИТ ревизијата и извештаите
Прирачници за примена на стандардите
Процедури нудат примери за следње на
конкретен ревизорски ангажман
С.М.
79
ISACA IS AUDITING STANDRDS
 S1
Audit Charter
 S2
Independence
 S3
Professional Ethics and Standards
 S4
Professional Competence
 S5
Planning
 S6
Performance of Audit Work
 S7
Reporting
 S8
Follow-up Activities
 S9
Irregularities and Illegal Acts
 S10 IT Governance
 S11 Use of Risk Assessment in Audit Planning
 S12
Audit Materiality
 S13
Using the Work of Other Experts
 S14
Audit Evidence
С.М.
80
GLOBAL TECHNOLOGY AUDIT GUIDES
(GTAG®) - THE IIA
PG GTAG-15: Information Security Governance
PG GTAG-14: Auditing User-developed Applications
PG GTAG-13: Fraud Prevention and Detection in an Automated World
PG GTAG-12: Auditing IT Projects
PG GTAG-11: Developing the IT Audit Plan
PG GTAG-10: Business Continuity Management
PG GTAG-9: Identity and Access Management
PG GTAG-8: Auditing Application Controls
PG GTAG-7: Information Technology Outsourcing
PG GTAG-6: Managing and Auditing IT Vulnerabilities
PG GTAG-5: Managing and Auditing Privacy Risks
PG GTAG-4: Management of IT Auditing
PG GTAG-3: Continuous Auditing: Implications for Assurance, Monitoring, and
Risk Assessment
PG GTAG-2: Change and Patch Management Controls: Critical for
Organizational Success
PG GTAG-1: Information Technology Controls
С.М.
81
ИТ СТАНДАРДИ / ПРЕПОРАКИ
• ITIL – дефинирање на сервисите и процесите во рамките на ИТ во
нивниот животен век: дизајн, испорака, следење на метрика за
исполнетост и континуирана надградба; (ISO 20000).
• CobiT – работна рамка и методологија за управување
/менаџирање на ИТ, односно усогласување на бизнис целите со ИТ
процесите и контролните постапки.
• BS 17799 / ISO 27001 – стандард за воспоставување на систем
за управување со сигурноста на информативните системи
С.М.
82
БЕНЕФИТ ОД ИМПЛЕМЕНТАЦИЈА
НА COBIT
• Better alignment based upon a business focus
• An understandable view of IT for management
• Clear ownership and responsibilities
• General acceptability with third parties and
regulators
• Shared understanding among all stakeholders
based on a common language
• Fulfillment of the COSO requirements for the IT
control environment
С.М.
84
ПРИМЕР !
COBIT
С.М.
85
ИНТЕРНЕТ ЛИНКОВИ
 www.theiia.com – The Institute of Internal Auditors
 www.isaca.org - The Information Systems Audit and Control Association
(ISACA)
 www.auditnet.org – Portal for Audit
 www.isc2.org – The International Information Systems Security Certification
Consortium (CISSP - Certified Information Systems Security Professional)
 www.issa.org – Information Systems Security Association
 www.sans.org – SysAdmin; Audit; Network; Security
 www.itgeneralcontrols.com/sas-94-it-audit-and-it-internal-control
 www.nist.gov - USA, National Institute of Standards and Technology
 www.enisa.europa.eu/ENISA - Securing Europe's Information Society
 www.sigurnost.info – Портал за информациска сигурност
С.М.
86
ИНТЕРНЕТ ЛИНКОВИ
 www.nbrm.gov.mk - циркулар за сигурност на
информативниот систем на банките
 www.dzr.gov.mk - Државен завод за ревизија
 www.iorrm.org.mk – Инстут за овластени ревизори
 www.aiam.org.mk – Здружение на внатрешни ревизори
 www.dzlp.mk - Дирекција за заштита на лични податоци
 www.usppft.gov.mk - Управа за спречување на перење на
пари
С.М.
87
ДИСКУСИЈА
СТУДИЈА НА СЛУЧАЈ
БЛАГОДАРАМ НА ВНИМАНИЕТО
Мицков Сашо
[email protected]
http://www.linkedin.com/in/sasomickov
www.aiam.org.mk

similar documents