140 likes | 278 Views
Provedba analitičkih testova sigurnosti informacijskog sustava. Prof.dr.sc. Mario Spremić, dipl.inž, CGEIT. Partneri. Medijski pokrovitelji. Sadržaj predavanja. Revizija sigurnosti IS-a Regulativa i norme Tijek provedbe revizije sigurnosti IS-a Provedba analitičkih testova
E N D
Provedba analitičkih testova sigurnosti informacijskog sustava Prof.dr.sc. Mario Spremić, dipl.inž, CGEIT
Partneri Medijski pokrovitelji
Sadržaj predavanja • Revizija sigurnosti IS-a • Regulativa i norme • Tijek provedbe revizije sigurnosti IS-a • Provedba analitičkih testova • Vrednovanje dokaza i procjena rizika
www.efzg.hr/mspremic mspremic@efzg.hr • Prof.dr.sc. Mario Spremić, CGEIT • B.Sc – PMF, Matematika, dipl.inž. mat, M.Sc. - ‘Informatički management’, Ph.D. Ekonomski fakultet Zagreb • Autor ili koautor 10 knjiga i preko 150 znanstvenih i stručnih radova • Voditelj FBA – CIO Akademije (www.efzg.hr/cio) • CGEIT (Certificate in Governance of Enterprise IT) • ISACA član, IIA član • Prethodno radno iskustvo: sistem analitičar, voditelj projekata • Projekti u HR i SLO, veći broj revizija IS-a • područja: Poslovna strategija / strategija informatike, Korporativno upravljanje informatikom (IT Governance), Revizija informacijskih sustava, Sigurnost IS-a, Business Continuity, IS Risk Management ..(banke, osiguranje, hotelska industrija, maloprodaja, informatika, ….) • Metodologije: CobiT, ISO 27000, ITIL, SoX, …
Mjerenje i vrednovanje (revizija) kvalitete IS-a • Kvaliteta informacijskih sustavapredstavlja relativnu kategoriju kojom se mjeri odstupanje njegove realne funkcije za idealnom • Što je odstupanje (zaostajanje) realne funkcije sustava za idealnom manje, sustav je kvalitetniji, i obratno • Zakon minimuma kvalitete IS-a: kvaliteta IS-a jednaka je umnošku razina kvalitete svake pojedine komponente • K(I) = K(H) x K(S) x K(L) x K(N) x K(O) x K(D)
Revizija informacijskih sustava • Revizija informacijskih sustava (engl. Information System Audit) - proces provjere rizika, odnosno uspješnosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti, raspoloživosti i pouzdanosti • Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje • ‘Alternativna' definicije revizije informacijskih sustava - procjena rizika (razine kvalitete) informacijskih sustava u skladu s potrebama poslovanja
Provjera funkcionalnosti IS-a – funkcioniraju li svi dijelovi IS-a (hardware, software, netware, orgware, lifeware, dataware) na ispravan i propisan način i provode li se temeljne poslovne transakcije u skladu s očekivanjima Provjera pouzdanosti IS-a – jesu li svi dijelovi sustava i cjelina pouzdani za korištenje, odnosno izlaže li njihova uporaba korisnike, vlasnike, itd. nekom riziku Provjera sigurnosti IS-a – postoje li i koja je razina sigurnosnih rizika uporabe IS-a i kakav je njihov učinak na poslovanje Provjera djelotvornosti i učinkovitosti IS-a – mogu li se IS-i koristiti na efikasniji, jeftiniji ili učinkovitiji način? Postoje li načini poboljšanja isplativosti ulaganja u informatiku, koliko su djelotvorni IS-i obzirom na potrebe poslovanja Provjera kvalitete upravljanja IS-om i njihovu utjecaju na poslovanje – u kojoj su mjeri organizacijske i upravljačke metode i tehnike koje se koriste pri upravljanju IS-om Provjera usklađenosti (regulatorna revizija) – je li uporaba IS-a i svih njegovih dijelova u skladu s važećom regulativom, normama i stručnim standardima Područja provedbe revizije IS-a 7
provjeriti trenutno stanje, tj. utvrditi razinu zrelosti upravljanja IS-om = provjeriti (testirati)učinkovitost kontrola otkriti potencijalno rizična područja i procijeniti razinu (sigurnosnog) rizika kojim je poslovanje izloženo temeljem intenzivne primjene informacijskih sustava dati preporuke menadžmentu koje mjere poduzeti da se učinak uočenih rizika smanji ili ukloni i unaprijediti poslovnu praksu po tom pitanju Osnovni ciljevi revizije (sigurnosti) IS-a 8
Regulativa (HNB – Odluka o primjerenom ….) Upravljanje sigurnošću IS-a Upravljanje rizikom koji vezan uz IS Logičke kontrole pristupa Upravljanje imovinom IS-a Upravljanje operativnim i sistemskim zapisima Upravljanje pričuvnom pohranom Upravljanje odnosima s pružateljima usluga Upravljanje odnosa s dobavljačima opreme Upravljanje razvojem IS-a Upravljanje fizičkom sigurnošću • Upravljanje lozinkama • Upravljanje promjenama • Upravljanje kontinuitetom poslovanja • Upravljanje incidentima i problemima • Primjena internih akata vezanih uz IS 9 9
Norme, standardi i okviri revizije IS-a COBIT krovni okvir (34 procesa, 318 detaljnih kontrola) Prema područjima provjererazlikujemo sljedeće izvedene standarde upravljanje razvojem IS-a (CMMI, TickIT,...), upravljanje informatičkim uslugama (ITIL) upravljanje ulaganjima u informatiku (Val IT) upravljanje rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005) upravljanje sigurnošću IS-a (ISO 27000, NIST, SANS, IS3) upravljanje projektima (Prince 2, PMBOK) upravljanje kontinuitetom poslovanja (BS 25999), …. 10 10
Koraci provedbe revizije IS-a Pregled – ‘snimka stanja’ informatike ili odabranog područja provjere (revizije) Određivanje prioriteta rada (određivanje objekta revizije IS-a i ciljeva kontrole) Detaljan pregled objekta revizije IS-a i testiranje kontrola (detaljni analitički testovi) Prikupljanje dokaza i procjena poslovnih rizika Preporuke i izvještaj revizora IS-a 11
Primjeri analitičkih testova sigurnosti IS-a Ovlasti korisnika baze, ključnih aplikacija, OS-a (1, 2, 3 Sistemske postavke OS-a, baze (AS/400, 1, 2, 3) ‘Password policy’ (1, 2, 2, 3, 4, Pristup i ovlasti rada sa sistemskim skriptama, zapisima (1, 2 Pristupi ‘produkcijskoj’ aplikaciji i bazi (IP adrese, korisnici, ….) Razvojno, testno, produkcijsko okruženje ‘remote access’ na produkciju Postavke ključnih dijelova mreže (FW, routeri, VPN, DMZ, NTP), log testovi, nadzor mreže, ….. Penetracijski testovi, test otvorenih portova, IDS, …. 12
Vrednovanje dokaza i procjena rizika • Dokazi (organizacijski, tehnički, fizički, elektronički, opažanje, testovi, simulacija, …..) • Čuvanje i pohranjivanje dokaza • Procjena razine rizika i objašnjenje ‘poslovne’ vrijednosti • Pisanje i prezentacija izvještaja revizora IS-a Upravi • Usuglašavanje izvještaja • Preporuke za poboljšanje prakse
Hvala. Prof.dr.sc. Mario Spremić Ekonomski fakultet Zagreb mspremic@efzg.hr