REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za...
Transcript of REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za...
![Page 1: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/1.jpg)
1
REVIZIJA INFORMACIONIH SISTEMA
![Page 2: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/2.jpg)
Tipovi Revizije 2
1. Operativna revizija
2. Revizija podobnosti poslovnog sistema
3. Finansijska revizija
4. Revizija IS-a
5. Inspekciona revizija
6. Revizija administrativnih internih kontrola
![Page 3: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/3.jpg)
Revizorski pristup 3
Revizorski pristup se sastoji iz sljedećih faza:
1. Kreiranje opšteg plana revizije i identifikovanje značajnih revizorskih oblasti
2. Razumevanje i procjena značajnih izvora informacije
3. Procjena rizika
4. Definisanje i primjena revizorskog pristupa
5. Donošenje opštih revizorskih zaključaka
![Page 4: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/4.jpg)
Ciljevi revizije IS-a 4
Osnovni cilj revizije IS-a je da proceni i da mišljenje ili preporuke o tome da li je sigurnost IS-a u saglasnosti sa specifičnostima poslovnog sistema i sa aktuelnim standardima.
...
![Page 5: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/5.jpg)
Revizija i informacioni sistemi 5
Treba razlikovati dva vida revizije:
Revizija podržana informacionim sistemima
Uticaj na strukturu samih IS (’udice’ [hooks])
Posebni programski paketi (npr. ACL – Audit Command Language)
Revizija informacionih sistema
![Page 6: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/6.jpg)
Segmenti i standardi revizije 6
Osnovni segmenti revizije IS-a su:
Upravljanje promjenama
Razvoj, akvizicija i implementacija
Sigurnost sistema
Računarske operacije
![Page 7: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/7.jpg)
Upravljanje promenama 7
Pod rizikom upravljanja promjenama podrazumjevamo:
Neovlašćenu implemntaciju promena (krađa, gubitak podataka)
Implementaciju netestiranih promena (pad sistema, gubitak podataka)
Promene nisu implementirane na vreme
Nepostojanje određenog nivoa sigurnosti
Neodgovarajuće održavanje dokumentacije
![Page 8: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/8.jpg)
Upravljanje promenama 8
Prilikom revizije načina upravljanja promjenama potrebno je utvrditi da li su definisani i dokumentovani sljedeći segmenti:
Tipovi promjena
Traženi elementi promjena
Ovlašćenja za obavljanje promjena
Test procedure
Sve promjene
Potpisane procedure
Pojava I korekcija grešaka i pobiljšanje funkcionalnosti
![Page 9: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/9.jpg)
Revizija razvoja, akvizicije i implementacije IS
Dugoročna strategija IS-a (mora pratiti razvoj tehnologije)
Uključivanje korisnika
Kontrolne tačke
Nadzor budžeta i vremena
Testiranje i potpisivanje procedura
Edukacija
Dokumentovanje
Finalnno prihvatanje
Migracija podataka
Implementacija
Postimplementacioni nadzor
9
![Page 10: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/10.jpg)
Revizija sigurnosti sistema
Neadekvatna kontrola promjene podataka
Neusklađenost s propisima
Otkrivanje podataka
Gubitak integriteta podataka
10
![Page 11: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/11.jpg)
Standardi revizije
ISACA (Information System Audit and Control Assotiation)
Standardi
Minimalni nivo prihvatljivih performansi
Upravljanje i profesionalno obavljanje aktivnosti
Sertifikovanje revizora (CISA – Certified Informacion System Auditor)
Uputstva (vodič za primjenu standrda)
Procedure (informacija kako da se standardi primjene)
11
![Page 12: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/12.jpg)
Standardi revizije informacionih sistema
Upravljanje informacionim sistemima po COBIT metologiji
Standard za informacionu bezbjednost BS 7799
ISO standardi za informacionu bezbjednost
BSI – Bundesamt für Sicherheit in der Informationstechnik
Evropska komisije dokumentom broj 465/2005 od
22.03.2005. godine zahtijeva se od agencija platnog prometa
da bezbjednost svojih informacionih sistema zasnivaju na
jednom od navedenih standarda.
![Page 13: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/13.jpg)
Upravljanje informacionim sistemima po COBIT metodologiji
COBIT paket se sastoji od šest publikacija:
Pregled namijenjen menadžerima
COBIT radni okvir objašnjava kako COBIT organizira ciljeve upravljanja. Radni okvir definiše
koji od informacionih kriterija (pouzdanost, integritet, efikasnost i dr.) najbolje utiču na resurse
(ljude, aplikacije, tehnologiju, infrastrukturu i dr.) i potpomažu poslovne procese.
Ciljevi kontrola opisuju četiri osnovne domene, 34 procesa i 318 ciljeva kontrola, kao i dobru
praksu upravljanja aktivnostima u informacionim sistemima.
Vodič za provođenje revizije daje sugestiju za način provođenja stvarnih aktivnosti koje
korenspondiraju sa definisanim procesima.
Set alata za uspješnu implementaciju COBIT-a objašnjava kako su određene organizacije
primijenile COBIT u svojim radnim okolinama, te daje preporuke kako brzo i uspješno
implementirati COBIT procese.
Menadžment smjernice identifikuju ključne indikatore cilja, ključne indikatore učinaka te
pridružene modele zrelosti za upravljanje informacionim tehnologijama.
![Page 14: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/14.jpg)
Upravljanje informacionim sistemima po COBIT metodologiji
COBIT publikacije govore o radnom okviru koji ima struktura koja se sastoji od tri
nivoa. Najviši nivo čine četiri osnovne domene (eng. high-level control):
Planiranje i organizovanje
Nabavka i implementacija Isporuka i
podrška
Nadgledanje i evaluacija
IT resursi
Informacije
COBIT radni okvir
![Page 15: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/15.jpg)
Upravljanje informacionim sistemima po COBIT metodologiji
Planiranje i organizovanje:
PO1 - Strateško planiranje
PO2 – Definisanje informatičke arhitekture
PO3 – Određivanje tehnoloških smjernica
PO4 – Organizacija i odnosi u IS
PO5 – Upravljanje investicijama i troškovima
PO6 – Upravljanje komunikacijom
PO7 – Upravljanje ljudskim resursima
PO8 – Zadovoljavanje spoljnjih zahtjeva
PO9 – Procjena rizika
PO10 - Upravljanje projektima
PO11 - Upravljanje kvalitetom
Nabavka i implementacija:
AI1 - Identifikacija mogućih rješenja
AI2 - Nabavka i održavanje aplikativnih rješenja
AI3 - Nabavka i održavanje teh- infrastrukture
AI4 - Dokumentacija razvoja i održavanja
AI5 - Instalacija i akreditacija sistema
AI6 - Upravljanje promjenama
Isporuka i podrška:
DS1 - Definisanje i upravljanje kvalitetom usluga
DS2 - Upravljanje spoljnjim uslugama
DS3 - Upravljanje proizvodnjom i kapacitetima
DS4 - Osiguranje kontinuiteta usluga
DS5 - Bezbjednost sistema
DS6 - Idenifikacija i lokacija troškova
DS7 - Edukacija korisnika
DS8 - Podrška korisnicima
DS9 - Upravljanje konfiguracijom
DS10 - Upravljanje incidentima
DS11 - Upravljanje podacima
DS12 - Upravljanje pomoćnom opremom
DS13 - Upravljanje obradama
Nadgledanje i evaluacija:
ME1 - Nadzor nad informacionim procesima
ME2 - Procjena uspješnosti unutrašnje kontrole
ME3 - Stvaranje povjerenja zainteresovanih strana
ME4 - Nezavisna revizija
![Page 16: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/16.jpg)
Upravljanje informacionim sistemima po COBIT metodologiji
0 – Neimplementiran – upravljanje procesom nije uopšte prisutno i ne postoje jasni pokazatelji bilo
kakvog vladanja informacionim tehnologijama.
1 – Početni nivo – procesi se posmatraju ad hoc i neorganizovano. Postoje naznake da je organizacija
prepoznala postojanje problema upravljanja informacionim tehnologijama.
2 – Ponavljajući – proces se odvija regularno.To znači da se procesi ponašaju na očekivani način, pri
čemu definisane procedure obavljaju različiti zaposlenici. U načelu organizacija je svjesna problematike
vladanja informacionim tehnologijama ali procedure nisu formalno dokumentovane.
3 - Definisan – procesi su dokumentovani i uspostavljena je komunikacija. Ovakva ocjena podrazumijeva
da su procedure standardizovane i dokumentovane, a njihova djelotvornost se periodično mjeri.
4 – Upravljan – procesi se nadziru i mjere. Organizacije su uspostavile sistem nadzora i mjerenja efekata
preduzetih aktivnosti. Značajan broj kontrola je automatizovan i vrši se njihovo redovno preispitivanje.
Postoji potpuno razumijevanje problematike upravljanja na svim nivoima. Informacioni procesi su
usklađeni sa poslovnim ciljevima i strategijom informacionog sistema.
5 – Optimalan – uključene su i automatizovane najbolje prakse. U ovakvim organizacijama je
implementiran cjeloviti program upravljanja rizicima. Edukacija i uvježbavanje je ispunjeno najboljim
tehnikama. Procesi se kontinuirano poboljšavaju u skladu sa najboljim poznatim praksama, pri čemu se
vrši upoređivanje i mjerenje sa drugim organizacijama.
Mjerenje perfomansi
COBIT nema ugrađen proces certifikacije. Umjesto formalne certifikacije, nudi se model zrelosti
(eng. Maturity Model). Model zrelosti definiše način mjerenja i ciljeve do kojih se dolazi
mjerenjem perfomansi informacionih procesa, pri tome se koristi skala između 0 i 5, pri čemu je:
![Page 17: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/17.jpg)
Standard za informacionu bezbjednost BS 7799
"Plan" – planiranje i uspostavljanje sistema
"Do" - upotreba sistema
"Check“ - praćenje i revizije sistema
"Act“ - unapređenje sistema
Check
Plan
Do Act
PDCA ciklus
U fazi planiranja potrebno je:
usvojiti politiku bezbjednosti informacija,
definisati područje primjene sistema bezbjednosti,
odrediti strukturu organizacije bezbjednosti,
izvršiti procjenu rizika,
planirati kontrole bezbjednosti, i
kreirati izjave o usklađenosti.
U fazi upotrebe sistema potrebno je:
upravljati rizicima bezbjednosti,
implementirati kontrole bezbjednosti,
edukovati zaposlene i
otkrivati incidente bezbjednosti.
U fazi praćenja i revizije potrebno je:
provjeravati efikasnost sistema bezbjednosti,
provoditi internu reviziju sistema, i
vršiti pregled sistema od strane poslovodstva.
U fazi unapređenja sistema potrebno je:
analizirati neusaglašenosti;
provesti preventivne i korektivne mjere;
informisati o sistemu unutar organizacije.
Namjena upotrebe standarda BS 7799 je uspostavljanje određenog nivoa bezbjednosti
programske i tehničke opreme, informacija i informacionih sistema te preduzimanje potrebnih
aktivnosti koje sprečavaju ili umanjuju efekte incidenata bezbjednosti, uspostavljanje efikasnog,
dokumentovanog, transparentnog sistema bezbjednosti informacija, interne kontrole sistema
bezbjednosti i certikacijski pregled sistema bezbjednosti.
![Page 18: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/18.jpg)
Standard za informacionu bezbjednost BS 7799
Organizaciona struktura sistema bezbjednosti
Reagovanje na incidente
bezbjednosti
Sistem upravljanja
bezbjednošću informacija
Glavni službenik za
bezbjednost informacija
Poslovodstvo za upravljanje
bezbjednošću
Pregled sistema od
strane poslovodstva
Planiranje neprekinutosti
poslovanja
Tim za oporavak od
kriznih situacija
Odbor za kontrolu promjena
Održavanje bezbjednosti
Tim za rukovanje
incidentima bezbjednosti
Vanjski partneri
![Page 19: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/19.jpg)
ISO standardi za informacionu bezbjednost
ISO 27000 – će biti rječnik termina koji se koriste, ili će se koristiti u ostalim standardima ove serije;
ISO 27002 - će predstavljati nadopunjeni postojeći standard ISO 17799 iz 2005. godine;
ISO 27003 – će sadržavati uputstva za implementaciju standarda ove serije;
ISO 27004 – će definisati način mjerenja uspješnosti implemenatcije pojedinih normi;
ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS
7799-3 objavljenom 2006. godine.
ISO 27006 – iako nije precizno definisan njegov sadržaj, vjerovatno će se baviti problemom obnavljanja
i nastavka poslovanja nakon incidenata.
Razvoj ISO 17799 i 27001 standarda
Na osnovu informacija objavljenih iz međunarodne organizacije za standardizaciju, serija standarda 27000,
pored ISO 27001, će biti dopunjena standardima:
![Page 20: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/20.jpg)
ISO standardi za informacionu bezbjednost
Procjena rizika – analiza i procjena rizika;
Politika bezbjednosti - krovni dokument definisan od strane menadžmenta;
Organizovanje informacione bezbjednosti – način organizacije provođenja politike bezbjednosti;
Upravljanje resursima – određivanje i klasifikacija sredstava koji su bitni za informacionu bezbjednost;
Bezbjednost i ljudski resursi – upravljanje aspektima bezbjednosti vezanim za zaposlene, njihov raspored i napuštanje organizacije;
Fizička bezbjednost – fizička zaštita informacionog sistema;
Upravljanje komunikacijama i operacijama – upravljanje bezbjednošću tehničkih komponenti informacionog sistema i mreža;
Kontrola pristupa – upravljanje pristupom računarskim mrežama, aplikacijama i podacima;
Nabavka, razvoj i održavanje informacionog sistema – upravljanje bezbjednošću u životnom ciklusu informacionog sistema;
Upravljanje incidentima informacionog sistema – ponašanje u slučaju dešavanja incidenata bezbjednosti;
Upravljanje poslovnim kontinuitetom – sprečavanje prekida poslovnih aktivnosti i zaštita kritičnih poslovnih procesa;
Usaglašenost - usklađenost sa zakonskim i drugim propisima.
ISO/IEC 17799 sadrži 11 domena kontrola bezbjednosti, koje skupa sadrže 39 osnovnih
kategorija bezbjednosti i jednu uvodnu domenu koja definiše procjenu rizika. Domene
definisane ovim standardom su:
![Page 21: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/21.jpg)
Profesionalni odnos
Revizor IS mora imati raznovrsna znanja
Revizor IS mora imati iskustvo i treninge
Revizor IS mora razumjeti poslovanje klijenta
Revizor mora imati sertifikat za revizora IS (CISA)
Revizor ima visoke etičke standarde (latinska riječ auditor – onaj ko sluša žalbe i donosi pravedne odluke)
Revizor mora imati povjerenje klijenta
Revizor mora imati profesionalni odnos da bi uradio visoko kvalitetnu analizu IS
21
![Page 22: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/22.jpg)
Model rizika kao revizorski pristup
Upravljanje rizikom se odnosi na:
Identifikaciju klasičnih
Procenjivanje njihovog uticaja
Način upravljanja sa svakim identifikovanim rizikom
Permanentni monitoring i izveštavanje
Sve se ovo radi da bi se spriječile opasnosti.
22
![Page 23: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/23.jpg)
Model rizika kao revizorski pristup
Koristi od upravljanja rizikom i internih kontrola:
Velika vjerovatnoća ostvarivanja postavljenih ciljeva
Promjene u poslovnom sistemu u pravcu boljeg poslovanja
Dobra baza za postojeću strategiju
Malo neočekivanih i neželjenih iznenađenja
Akcenat na važne stvari i na njihovo pravilno funkcionisanje
23
![Page 24: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/24.jpg)
Rizik definicija
Rizik je postojanje mogućnosti nastanka postupka ili događaja, koji bi imao negativan uticaj na poslovni sistem.
Rizik je potencijal ili mogućnost da ispoljena prijetnja ili mogućnost da ispoljena prijetnja iskoristi slabost sredstava ili grupe sredstava, izazivajući gubitak ili oštećenje sredstava.
24
![Page 25: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/25.jpg)
Model rizika – operativni rizici
U pravcu procjene rizika , revizor
Inherentni rizik
(rizik vezan za događaje u odsustvu specifičnih kontrola)
Rizik kontrola poslovnog sistema
(rizik pojave materijalne greške, koja neće biti spriječena ili detektovana internom kontrolom)
Rizik detekcije
(rizik da procedura valjanosti neće detektovati grešku koja može biti materijalna, velik za pojavu prekida bezbjednosti IS, a mali za oporavak od nepogoda)
25
![Page 26: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/26.jpg)
Inherentni rizik
U pravcu procjene rizika, revizor za IS razmatra
Integritet rukovodioca IS, njegovo znanje i iskustvo
Da li postoji pritisak na njega da prikrije informacije
Prirodu organizacije poslovanja i poslovnog sistema
Faktore koji utiču na djelatnost poslovnog sistema
Stepen uticaja trećih lica na kontrolu sistema koji se revidira
Zaključke od revizije iz predhodne godine
26
![Page 27: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/27.jpg)
Inherentni rizik
Revizor za IS mora obratiti pažnju na
Uključivanje u kompleksnost sistema i sprovođenje adekvatnih procedura
Nivo potrebnih manualnih intervencija
Sklonost gubitku ili otuđenju dobara, kontrolisanih od strane IS (skladište, plate)
Vjerovatnoća ostvarenja najboljeg poslovanja, u periodu revizije
Iskustvo, integritet i znanje menadžera i osoblja IS koji su uključeni u kontrolu
27
![Page 28: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/28.jpg)
Procene rizika
Rizik se najčešće procjenjuje kombinujući efekte i verovatnoću nastanka određenog događaja.
Posebnu važnost treba obratiti na:
Inherentni rizik
(rizik vezan za događaje u odsustvu specifičnih kontrola)
Rezidualni rizik
(rizik vezan za događaje u situaciji postojanja kontrola koje imaju za cilj smanjenje verovatnoće nastanka istog)
28
![Page 29: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/29.jpg)
Period revizije IS-a
Fiksne
1. Kalendarska godina
2. Dvanaestomjesečni period
3. Šestomjesečne
4. Osanaestomjesečne
Vezane za jedan posao (ili završetak neke faze projekta)
29
![Page 30: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/30.jpg)
Revizor IS radi procjenu raznih rizika i šta treba da bude predmet dalje revizije
Korist od procjene nivoa rizika su
Da se revizorski resursi efektivno raspodjele
Obezbjeđuje realno prezentovanje informacija sa svih nivoa upravljanja IS
Efektivno upravljanje revizijom IS.
30
![Page 31: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/31.jpg)
Potrebno je prikupljati informacije da bi se procjenio inherentni rizik
Način prikupljanja informacija
Intervjuisanje viših menadžera
Slanje forme upitnika menadžerima
Pregled zadnjih izvještaja iz IS
Praćenje procesa izrade budžeta
Informacije od predhodnih eksternih revizora
Informacije prikupljene od drugih izvora van firme
Sve ostale specifične metode koje će dati korisne informacije.
31
![Page 32: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/32.jpg)
6. Programi revizije IS-a
1. Kontrolno okruženje IS-a
2. Generalni programi revizije IS-a
3. Evaluacija kontrola kritičnih aplikacija
32
![Page 33: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/33.jpg)
Kontrolno okruženje IS-a
Kontrolno okruženje IS su komponente i procedure koje se odnose na kompjuterizovane operacije, ali koje nisu u direktnoj vezi sa IS.
Područja kontrolnog okruženja IS:
- Upravljanje sigurnošću
- Sprečavanje ilegalnog pristupa i
- Upravljanje sistemom (razvoj i održavanje)
33
![Page 34: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/34.jpg)
Kontrolno okruženje IS-a
Softver za registrovanje neautorizovanom pristupu sistemu
Odmah se odbija pristup neautorizovani pristup (preporuka)
Neko vreme se zadržava registracija neautorizovanog pristupa
Pošelje se poruka neautorizovanom korisniku, stupa se u kontakt i traži razlog ulaska u sistem.
34
![Page 35: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/35.jpg)
Kontrolno okruženje IS-a
Treba voditi računa o integritetu informacija.
Identifikacija korisnika putem lozinki, kartica ili biometrije.
Definisanje korisničkih prava, koja se moraju revidirati periodično.
Menadžer IS vrši delegiranje prava odgovornim osobama:
- Regulisanje pitanja sigurnosti
- Podešavanje parametara sistema
- Održavanje sistema i
- Korišćenje pojedinih podataka i sistema kao cjeline
35
![Page 36: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/36.jpg)
6.2. Generalni programi revizije IS-a
Revizor IS mora da procjeni i identifikuje sve rizike i da pravilo usmjeri dalji rad IS.
Mora da procjeni koji su dokazi tačni, integralni i valjani.
Kontrola IS se sastoji od:
- Vrednovanje opštih kontrola IS (ne uključujući nabavku, razvoj i održavanje softvera)
- Procena pouzdanosti kontrola aplikacije
36
![Page 37: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/37.jpg)
Generalni programi revizije IS-a
Po završetku revizije revizor mora da potvrdi da su podaci na osnovu kojih radi procjenu:
- Pouzdani
- Nepouzdani ili
- Da nije moguće utvrditi pouzdanost podataka.
37
![Page 38: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/38.jpg)
Generalni programi revizije IS-a
Po završetku vrednovanja generalnih kontrola revizor sačinjava izvještaj:
- Koje interne kontrole postižu ciljeve.
- Gdje postoje značajne slabosti internih kontrola.
- Koje su potencijalni rizici zbog slabosti internih kontrola.
- Predlog mjera za otklanjanje slabosti internih kontrola.
38
![Page 39: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/39.jpg)
Generalni programi revizije IS-a
1. Nalozi u proceni rizika i revizorski dokaz
2. Preliminarne procedure, prethodna revizija i revizorski nalazi
3. Informaciono tehnološki procesi
4. Kontinuitet poslovnih aktivnosti
5. Bezbedan logički pristup
6. Fizička sigurnost i zaštita resursa
7. Budžet sektora za informacione resurse
39
![Page 40: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/40.jpg)
Generalni programi revizije IS-a
1. Nalozi u proceni rizika i revizorski dokaz
2. Preliminarne procedure, prethodna revizija i revizorski nalazi
3. Informaciono tehnološki procesi
4. Kontinuitet poslovnih aktivnosti
5. Bezbjedan logički pristup
6. Fizička sigurnost i zaštita resursa
7. Budžet sektora za informacione resurse
40
![Page 41: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/41.jpg)
Nalozi u proceni rizika i revizorski dokaz
Nivo obima ispitivanja pojedinih revizorskih područja zavisi od procjene rizika.
Loša procjena rizika dovodi do:
1. Neće biti vremena da se revizor usmjeri na glavna revizorska područja ili će izostaviti neke bitne stvari.
2. Efikasnost i efektivnost revizije je smanjena.
41
![Page 42: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/42.jpg)
Nalozi u proceni rizika i revizorski dokaz
Nakon preliminarne procjene rizika revizor kreira tipove revizorskih dikaza.
1. Observacioni procesi i verifikacija postojanja fizičkih predmeta.
2. Dokumentovani revizorski dokazi.
3. Prikazi i prezentacije
4. Analize
42
![Page 43: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/43.jpg)
Nalozi u proceni rizika i revizorski dokaz
Dokumentovani revizorski dokazi su zabilježeni na papiru ili nekom drugom mediju :
1. Rezultati izvedenih podataka
2. Zapis o transakcijama
3. Programski listing
4. Faktura
5. Kontrolni logovi u bazi podataka
6. Dokumentacija koja prati sistemski razvoj IS
43
![Page 44: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/44.jpg)
Nalozi u proceni rizika i revizorski dokaz
Prikazi i prezentacije
1. Pisane politike i procedure.
2. Sistemski prikazi i grafikoni.
3. Pisani ili usmeni izvještaji zapisani u bilo kom obliku
44
![Page 45: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/45.jpg)
Nalozi u proceni rizika i revizorski dokaz
Procedure za prikupljanje dokaza
1. Ispitivanje
2. Opservacija
3. Inspekcija
4. Konfirmacija
5. Ponovno obavljanje ili simulacija
6. Monitoring
45
![Page 46: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/46.jpg)
Preliminarne procedure, prethodna revizija i revizorski nalazi
1. Prikupljanje informacija i razumjevanje poslovanja
2. Ispitivanje valjanosti organizacije procedura poslovnog sistema
Upoznavanje sa strukturom osoblja u sektoru IT
Lista osnovne opreme (Hardware).
Lista aplikacija (Software)
Analiza predhodnog revizorskog izvještaja (ako postoji)
46
![Page 47: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/47.jpg)
Nakon preliminarne ocene IS slijedi intervuju sa
menadžmentom sektora za IT i menadžmentom cijele firme i analizira se:
1. Da li menadžment sektora IT kreira kratkoročne i dugoročne planove razvoja IS?
2. Da li postoje operativni standardi u vidu pisanih procedura, koje se odnose na sigurnost IS
3. Kakva je alokacija informacionih resursa (hardver, softver, mreža, organizacija)?
4. Određivanje statusa glavnih projekata?
5. Budžet IS i tekući troškovi?
6. Da li postoji neka procjena o rezultatu ili doprinosu sektora za IT za poslovanje cijele firme?
7. Da li postoje neki korisnički komentari ili žalbe u pisanom obliku?
47
![Page 48: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/48.jpg)
Informaciono tehnološki procesi
Nakon osnovnih pripremnih radnji slijedi faza detaljnog razumjevanja poslovanja firme.
Da li postoje kontrole koje omogućuju nesmetan rad IS?
Da li su planirane ili su u toku promene u IS? Onda se one prvo testiraju.
Pribavljanje kopija dokumenata ili fajlovi koje je kreirao projektant IS.
Prikupljaju se standardi po kojima je projektovan IS.
Životni ciklus razvoja IS.
48
![Page 49: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/49.jpg)
Kontinuitet poslovnih aktivnosti
Opis aktivnosti u slučaju nesvakidašnjih događaja i plan oporavka u slučaju nepogode. Pravljenje rezervne kopije slijedećih komponenti IS:
1. Operativni sistem
2. Aplikacije
3. Master fajlove
4. Transakcione fajlove
5. Ostali programi neophodni za skladištenje podataka na alternativnu lokaciju i koji medijum
49
![Page 50: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/50.jpg)
Kontinuitet poslovnih aktivnosti
Povremeno treba testirati da li su rezervne kopije funkcionalne i vrijeme za koje im se može pristupiti.
50
![Page 51: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/51.jpg)
Bezbjedan logički pristup
Korisnici IS moraju biti precizno identifikovani i svakom dodjeljena autorska prava.
Moraju da se prate i zapisuju logovanja svakog korisnika, a posebno pristup osjetljivim (bitnim) podacima.
Moraju biti pisane procedure za opis dodavanja novih korisnika ili dodjelu novih prava starim.
Definisanje prekida radnog odnosa u IS.
Identifikovati korisnike koji imaju neograničen pristup svim fajlovima u IS (programeri).
51
![Page 52: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/52.jpg)
Bezbjedan logički pristup
Politika lozinki i njihova promjena.
Da li postoji daljinski pristup (remote access) IS?
Mjere koje preduzima sistem administrator po pitanju sigurnosti.
Da li postoji Fireewoll?
Da li postoji antivirus program (licenciran)?
Revizor pokreće antivirus program, kako bi utvrdio da li postoji neki zaraženi fajl.
52
![Page 53: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/53.jpg)
Fizička sigurnost i zaštita resursa
Fizička zaštita hardvera i softvera od krađe i oštećenja i moraju u procedurama biti određene lokacije:
1. Servera
2. Napajanja el. Energijom i osigurača
3. UPS-a
4. Komunikacione opreme
5. Kompjuterskog skladišta i skladišta rezervnih dijelova
6. Medijuma na kojima se nalaze rezervne kopije
Mora se tačno znati ko ima pravo pristupa ovim lokacijama.
53
![Page 54: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/54.jpg)
Fizička sigurnost i zaštita resursa
Treba postojati garantni list za kupljenu opremu IS.
Treba imati polisu osiguranja za opremu IS.
54
![Page 55: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/55.jpg)
Fizička sigurnost i zaštita resursa
Revizor u razgovoru sa menadžerom IS treba da nastoji da ispita sve eventualne greške koje se odnose:
1. Prisustvo detektora za dim, temperaturu i vlagu.
2. Prisustvo protivpožarne opreme i da zaposleni znaju da rukuju ovom opremom.
3. Redovna inspekcija protivpožarne opreme (datum).
4. Rezervno napajanja el. energijom, UPS.
5. Na vidnom mjestu prekidač za isključenje el. Energije.
6. Plan evakuacije sa uputstvima.
7. Postojanje pravila kućnog reda u pisanom obliku.
55
![Page 56: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/56.jpg)
Budžet sektora za informacione resurse
Ovo je sektor koji zahtjeva stalnu modernizaciju.
Budžet zavisi od značaja za poslovanje preduzeća.
Da li firma želi da dalje ulaže u razvoj IS?
Aktuelni troškovi treba da se uklapaju u budžet.
56
![Page 57: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/57.jpg)
Budžet sektora za informacione resurse
Svaka budžetska stavka treba da se opravda:
1. Da li za svaki poseban dio hardvera, softvera, komunikacione opreme planiraju posebni troškovi ili su svi grupa i jedna stavka u budžetu?
2. Da nije premalo ni previše uloženo u IS?
3. Da ne postoji dupliranje informacionih resursa?
4. Da li su važeći ugovori?
5. Ako su stavke u budžetu razvrstane u kategorije, onda ih tako mora pregledati i revizor.
57
![Page 58: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/58.jpg)
6.3. Evaluacija kontrola kritičnih aplikacija
Kontrole aplikacija mogu biti
1. Manuelne ili
2. programske
Cilj je da se utvrdi tačnost svih transakcija za vrijeme korišćenja aplikacije.
Svaka aplikacija treba da bude dokumentovana.
58
![Page 59: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/59.jpg)
Evaluacija kontrola kritičnih aplikacija
1. Revizija organizacije i dokmentacije aplikacije
2. Kontrola ulaznih podataka
3. Kontrola funkcionisanja aplikacije
4. Kontrola prenosa podataka
5. Kontrola matičnih podataka
6. Kontrola rezutata aplikacije
59
![Page 60: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/60.jpg)
Revizija organizacije i dokmentacije aplikacije
Prvo se ispituje:
- vlasništvo nad aplikacijom
- Podaci koji su proizvod aplikacije
- Upravljanje aplikacijom i
- Održavanje aplikacije (ugovori/sporazumi)
- Mora se od softverske kuće koja je napravila softver dobiti garancija na pravo posjedovanja izvornog koda u slučaju bankrota softverske kuće!
60
![Page 61: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/61.jpg)
Kontrola ulaznih podataka
Već rečeno kod bezbjednog logičkog pristupa.
Za adekvatan unos podataka su bitna pitanja:
- Da li su pojedini dijelovi i svi ulazni podaci odobreni?
- Da li su tačno unijeti podaci i da li je narušena njihova integralnost?
61
![Page 62: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/62.jpg)
Kontrola ulaznih podataka
Politika odobravanja ulaznih podataka
1. Samo ovlaštene osobe mogu unositi podatke
2. Podatke treba unositi samo sa ovjerenih dokumenata, a to vrši onaj ko unosi ili druga kontrolna osoba
3. Ulazni podaci koji se prenose elektronskim putem ili preko magnetnih medija se posebno kontrolišu.
4. Sumu elektronskog prenosa, se provjerava preko sume pošiljaoca.
5. Logičke kontrole treba da spriječe dalju obradu podataka koji su formalno ispravni ali nisu logični.
62
![Page 63: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/63.jpg)
Kontrola ulaznih podataka
Za tačnost i integralnost unijetih podataka provjeriti
1. Raditi kontrolne sume među rezultata, ručno ili automatski.
2. Formalna ispravnost pojedinih podataka.
3. Za osjetljive podatke se koriste složene šifre.
4. Zbir unesenih stavki se provjerava po datumima.
5. Za unos šifri treba biti provjera po kontrolnom broju za poznati algoritam
6. Ažuriranje matičnih podataka mora imati posebno odobrenje.
7. Da se čuvaju dokumenti u kojima je došlo greške pri obradi.
63
![Page 64: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/64.jpg)
Kontrola funkcionisanja aplikacije
Cilj obezbjeđivanje računske tačnosti i obrade svih transakcija, pravilno knjiženje i zapis rezultata
1. Kontrola sume unosa
2. Program generiše podatke, a korisnik ih upoređuje sa očekivanim
3. Izvršene sve transakcije u cjelini ili se sve odbacuju i rade ponovo
4. Pri kontroli treba koristiti podatke iz različitih datoteka i različitih vremenskih perioda
64
![Page 65: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/65.jpg)
Kontrola funkcionisanja aplikacije
Provjera da li se rade vanredne provjere tačnosti rezultata
1. Da li postoji termin vanrednih provjera?
2. Da li postoje postupci za provjeru vanrednih obrada?
3. Ako postoje alati za upiti, moraju postojati kontrole koje daju pripremljene odgovore na njih.
65
![Page 66: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/66.jpg)
Kontrola prenosa podataka
Cilj je zadovoljiti integritet i otkrivanje podataka pri prenosu, a koriste se kontrole:
1. Kontrola na kontrolni broj šifre i kontrolne sume
2. Digitalni potpis
3. Tehnika kodiranaja podataka
4. Tehnika lozinki
5. Poruke i transakcije treba označavati rednim brojem
6. Primalac (mašina ili čovjek) treba odah da pošalje obavještenje da su podaci primljeni
66
![Page 67: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/67.jpg)
Kontrola matičnih podataka
U svakoj aplikaciji postoje podaci koji su stalni i od kojih zavise ostali proračuni, a moraju se raditi kontrole:
1. Provjeru ovih podataka stalno radi administrator baze podataka ili odgovarajući korisnik
2. Za praćenje stanja ovih podataka treba koristiti kontrolne sume
3. Kontrola datuma nastanka datoteke
4. Korisnik treba povremeno da provjerava štampanje ovih matičnih podataka.
67
![Page 68: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/68.jpg)
Kontrola rezutata aplikacije je posljednja kontrola na papiru, ekranu ili nekom mediju
1. Program treba da provjerava ispravnost i ograničenja. Ako se greška otkrije mora se poslati poruka upozorenja. Mora biti uputstvo za ispravku greški.
2. Moraju postojati postupci koji garantuju razuman nivo provjere ispisa obrade.
3. Izvještaji treba da sadrže zbir stavki koje korisnik upoređuje sa kontrolnim sumama.
68
![Page 69: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/69.jpg)
Kontrola rezutata aplikacije je i provjera da li rezultate dobijajaju samo oni kojima su namjenjeni
1. Da li se rezultati aplikacije čuvaju pod nadzorom i dostavljaju korisnicima uz odgovarajuće mjere zaštite i privatnosti?
2. Da li se popis poštanskih adresa za dostavu rezultata redovno kontroliše, a nepotrebne i netačne brišu?
3. Da li program ispisuje više kopija nego korisnika rezultata?
4. Da li pravila opšte zaštite štite računar i štampače na kojima se prikazuju rezultati?
5. Da li se svaki rezultat aplikacije označava?
6. Da li se obrasci koji su osjetljivi, unovčivi ili prenose prava, posebno evidentiraju i štite?
69
![Page 70: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/70.jpg)
R E Z I M E
Osnovni proizvod revizije je mišljenje.
Rizik je osnova revizije.
Nove informacione tehnologije, nameću potrebu da se revizija radi uz softverske alate.
Revizorska kuća treba da se pažljivo izabere.
Kvalitetni revizori povećavaju ukupnu vrijednost IS.
70
![Page 71: REVIZIJA INFORMACIONIH SISTEMA · 2020. 12. 29. · ISO 27005 – će biti novi standard za upravljanje rizikom. Zasnivat će se na britanskom standardu BS 7799-3 objavljenom 2006.](https://reader035.fdocument.pub/reader035/viewer/2022081411/60b325d49648b324be41ed18/html5/thumbnails/71.jpg)
Hvala na pažnji!
71