revizija informacijskog sustava · 2013-01-05 · picalo (open source) i ms ima (će imati) konja...

Revizija informacijskog sustava

Dalibor Uremović

Zavod za ispitivanje kvalitete d.o.o.

Sponzori

Preduvjeti

Nema...

Sadržaj predavanja

Informacijska sigurnost

Prvi pisani trag iz područja informacijske

sigurnosti?

Brdo standarda, smjernica, okosnica, ...

BS 25999 ISO 27001

ISO 27002

COBIT

ITIL

COSO

ISO 20000

ISO 24760

SOX

BASEL II

ISO 15408

Informacijska imovina

poslovna dokumentacija,

ugovori s poslovnim partnerima,

dokumentacija o poslovnim rezultatima,

radne procedure i upute,

baze podataka,

datoteke,

aplikacijska, sistemska i komunikacijska programska oprema,

razvojni alati,

korisnička upute,

materijali za izobrazbu,

planovi kontinuiteta poslovanja,

informacije o zaposlenicima i korisnicima,

imidž tvrtke,

informacije o uslugama,

itd....

Regulatorski zahtjevi

Odluka o primjerenom upravljanju informacijskim sustavom (srpanj 2007.)

članci 16. i 17. Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te usvajanje metodologije za provođenje revizije

informacijskog sustava

Što je revizija?

Vrednovanje uspostavljenih kontrolnih

mehanizama i procedura odnosno ocjena

usklađenosti s “dobrom praksom”,

standardima i metodama

Zašto revizija?

Zakonski, ugovorni ili regulatorni zahtjevi

Prepoznavanje uspješnosti implementiranog

sustava prema postavljenim ciljevima

Vrednovanje IS-a prema najboljim svjetskim

praksama

Sprječavanje ili smanjenje odgovarajućih rizika

Podizanje svjesnosti o primjerenom upravljanju

IS-om (uvid u funkcioniranje IS-a)

Miran san

Područja revizije

Kako se izvodi revizija (1)

Upute za provođenje revizije

- ISO 19011 smjernice za revizore sustava kvalitete i okoliša

- CobiT -> “Audit guidelines” od ISACA-e -> CISA

- ISO -> ISO 27007 smjernice za reviziju ISMS-a

- ITIL -> Continual Service Improvement (reporting, measurement)

Kako se izvodi revizija (2)

DA/NE pitalice

Kontrolne liste

Razgovor i promatranje implementacije

Uzimanje uzorka (eng. sampling)

CAAT alati/tehnike

Kako se izvodi revizija (3)

Organizacijske

mjere zaštite

Tehničke

mjere zaštite

CAAT alati/tehnike

eng. Computer Assisted Auditing Techniques/Tools

računalno podržani revizijski alati

uporaba statističkih i matematičkih funkcija

specijalizirane tehnike analize podataka slučajno generiranje uzoraka

devijacije

medijani, srednje vrijednosti, trendovi

raslojavanje podataka

otkrivanje praznina

sumnjivi uzorci u podacima

otkrivanje if-then pravila

pronalaženje sumnjivih veza među podacima

CAAT alati/tehnike

Excel

MS Access

ACL

IDEA

....

Picalo (open source)

i MS ima (će imati) konja za utrku...

ACE tim (Application Consulting & Engineering)

sustav upravljanja sigurnosnim

atributima u životnom ciklusu

razvoja aplikacija

pisanje sigurnosnog koda

vrednovanje stanja sustava s

željenim politikama,

procedurama, standardima, ...

TCM Spider - screenshot

Top 5 najrizičnijih područja

Upravljanje konfiguracijama

postavke sustava

pradenje izmjena tijekom vremena

odgovornosti i ovlaštenja

početna konfiguracija

godišnji odmori i bolovanja

reinstalacije

Rizici

Izvješća o riziku

Izračunavanje rizika

Pregled izračunatog

rizika

Procjena rizika

Inicijalizacija

procesa

procjene

Identifikacija i

vrednovanje

imovine

Identifikacija i

vrednovanje

prijetnja i

ranjivosti

Obrada

rizika

Upravljanje promjenama

Razvoj Testiranje Produkcija

Organizacija inf. sigurnosti

Što ovdje nije u redu?

Razina svijesti o inf. sigurnosti

obuka i podizanje svijesti

Ljudi će:

zapisivati svoje lozinke izabrati lako prepoznatljive lozinke redi drugima svoje lozinke ako ih se pita ugasiti lokalni antivirusni program odgovoriti na upit ne provjeravajudi pošiljatelja (mail, telefon, ...) prenositi osjetljive podatke na privatnim usb, pda, ... osloniti se na druge otvoriti vrata drugima radi pristojnosti razvijati i testirati na produkcijskim serverima .......

Ispunite upitnike i osvojite nagrade

Petak: Microsoft Office Professional 2007

Povezani sadržaji

Neprekinuto poslovanje i oporavak od nepogode (BC/DR)

Poslovne primjene

Goran Pizent, Mobilnet

Hotel Grand, dvorana Lavanda

Petak, 25.04.2008., 10:00-10:50

CASE: WinDays Network 2008 Poslovne primjene

Ivica Ivančić, Infinitas Grupa d.o.o.

Hotel Grand, dvorana Mimoza

Petak, 25.04.2008., 12:20-13:10

dalibor.uremovic@zik.hr

HVALA!