Revizija informacijskog sustava · Informacijska sigurnost Prvi pisani trag iz područja...
Transcript of Revizija informacijskog sustava · Informacijska sigurnost Prvi pisani trag iz područja...
-
Revizija informacijskog sustava
Dalibor Uremović
Zavod za ispitivanje kvalitete d.o.o.
-
Sponzori
-
Preduvjeti
Nema...
-
Sadržaj predavanja
-
Informacijska sigurnost
Prvi pisani trag iz područja informacijske
sigurnosti?
-
Brdo standarda, smjernica, okosnica, ...
BS 25999 ISO 27001
ISO 27002
COBIT
ITIL
COSO
ISO 20000
ISO 24760
SOX
BASEL II
ISO 15408
-
Informacijska imovina
poslovna dokumentacija,
ugovori s poslovnim partnerima,
dokumentacija o poslovnim rezultatima,
radne procedure i upute,
baze podataka,
datoteke,
aplikacijska, sistemska i komunikacijska programska oprema,
razvojni alati,
korisnička upute,
materijali za izobrazbu,
planovi kontinuiteta poslovanja,
informacije o zaposlenicima i korisnicima,
imidž tvrtke,
informacije o uslugama,
itd....
-
Regulatorski zahtjevi
Odluka o primjerenom upravljanju informacijskim sustavom (srpanj 2007.)
članci 16. i 17. Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te usvajanje metodologije za provođenje revizije
informacijskog sustava
-
Što je revizija?
Vrednovanje uspostavljenih kontrolnih
mehanizama i procedura odnosno ocjena
usklađenosti s “dobrom praksom”,
standardima i metodama
-
Zašto revizija?
Zakonski, ugovorni ili regulatorni zahtjevi
Prepoznavanje uspješnosti implementiranog
sustava prema postavljenim ciljevima
Vrednovanje IS-a prema najboljim svjetskim
praksama
Sprječavanje ili smanjenje odgovarajućih rizika
Podizanje svjesnosti o primjerenom upravljanju
IS-om (uvid u funkcioniranje IS-a)
Miran san
-
Područja revizije
-
Kako se izvodi revizija (1)
Upute za provođenje revizije
- ISO 19011 smjernice za revizore sustava kvalitete i okoliša
- CobiT -> “Audit guidelines” od ISACA-e -> CISA
- ISO -> ISO 27007 smjernice za reviziju ISMS-a
- ITIL -> Continual Service Improvement (reporting, measurement)
-
Kako se izvodi revizija (2)
DA/NE pitalice
Kontrolne liste
Razgovor i promatranje implementacije
Uzimanje uzorka (eng. sampling)
CAAT alati/tehnike
-
Kako se izvodi revizija (3)
Organizacijske
mjere zaštite
Tehničke
mjere zaštite
-
CAAT alati/tehnike
eng. Computer Assisted Auditing Techniques/Tools
računalno podržani revizijski alati
uporaba statističkih i matematičkih funkcija
specijalizirane tehnike analize podataka slučajno generiranje uzoraka
devijacije
medijani, srednje vrijednosti, trendovi
raslojavanje podataka
otkrivanje praznina
sumnjivi uzorci u podacima
otkrivanje if-then pravila
pronalaženje sumnjivih veza među podacima
-
CAAT alati/tehnike
Excel
MS Access
ACL
IDEA
....
Picalo (open source)
-
i MS ima (će imati) konja za utrku...
ACE tim (Application Consulting & Engineering)
sustav upravljanja sigurnosnim
atributima u životnom ciklusu
razvoja aplikacija
pisanje sigurnosnog koda
vrednovanje stanja sustava s
željenim politikama,
procedurama, standardima, ...
-
TCM Spider - screenshot
-
Top 5 najrizičnijih područja
-
Upravljanje konfiguracijama
postavke sustava
pradenje izmjena tijekom vremena
odgovornosti i ovlaštenja
početna konfiguracija
godišnji odmori i bolovanja
reinstalacije
-
Rizici
Izvješća o riziku
Izračunavanje rizika
Pregled izračunatog
rizika
Procjena rizika
Inicijalizacija
procesa
procjene
Identifikacija i
vrednovanje
imovine
Identifikacija i
vrednovanje
prijetnja i
ranjivosti
Obrada
rizika
-
Upravljanje promjenama
Razvoj Testiranje Produkcija
-
Organizacija inf. sigurnosti
Što ovdje nije u redu?
-
Razina svijesti o inf. sigurnosti
obuka i podizanje svijesti
Ljudi će:
zapisivati svoje lozinke izabrati lako prepoznatljive lozinke redi drugima svoje lozinke ako ih se pita ugasiti lokalni antivirusni program odgovoriti na upit ne provjeravajudi pošiljatelja (mail, telefon, ...) prenositi osjetljive podatke na privatnim usb, pda, ... osloniti se na druge otvoriti vrata drugima radi pristojnosti razvijati i testirati na produkcijskim serverima .......
-
Ispunite upitnike i osvojite nagrade
Petak: Microsoft Office Professional 2007
-
Povezani sadržaji
Neprekinuto poslovanje i oporavak od nepogode (BC/DR)
Poslovne primjene
Goran Pizent, Mobilnet
Hotel Grand, dvorana Lavanda
Petak, 25.04.2008., 10:00-10:50
CASE: WinDays Network 2008 Poslovne primjene
Ivica Ivančić, Infinitas Grupa d.o.o.
Hotel Grand, dvorana Mimoza
Petak, 25.04.2008., 12:20-13:10
-
HVALA!