Скачать презентацию Навчання з ІТ-аудиту Київ вересень 2015 Манфред ван Скачать презентацию Навчання з ІТ-аудиту Київ вересень 2015 Манфред ван

a4636ebfdc8f4e8e25546c8df0d7d618.ppt

  • Количество слайдов: 68

Навчання з ІТ-аудиту Київ, вересень 2015 Манфред ван Кестерен Джерард ван ден Берг Навчання з ІТ-аудиту Київ, вересень 2015 Манфред ван Кестерен Джерард ван ден Берг

Порядок денний • • • 2 Управління ІТ • Об'єкти аудиту в ІТ-управлінні • Порядок денний • • • 2 Управління ІТ • Об'єкти аудиту в ІТ-управлінні • ІТ-департамент • IT процеси і процедури Рамки ІТ-аудиту • COBIT, ITIL, ASL, Bi. SL, Prince 2 Цілі ІТ заходів контролю • Конфіденційність, чесність, наявність IT ризики Модель ІТ-контролю • Розподіл обов'язків • Ручні заходи контролю • Заходи контролю на рівні прикладної програми • Загальні ІТ-заходи контролю

IT Управління прикладною програмою Функціональне ІТ управління Приймальне тестування користувачем Управління вимогами Управління контрактом IT Управління прикладною програмою Функціональне ІТ управління Приймальне тестування користувачем Управління вимогами Управління контрактом Управління на рівні обслуговування Рамки, що застосовуються: Bi. SL COBIT 3 Управління змінами Управління наявністю Управління безперервністю Управління спроможністю Управління конфігурацією Технічне ІТуправління Мережеві операції Інцидент Проблема ІТ-операції Рамки, що застосовуються: ASL COBIT Рамки, що застосовуються: ITIL COBIT

Об'єкти аудиту в ІТ-управлінні (I) 4. Організація (відділення, корпоративне управління, завдання) 3. Процеси (управління Об'єкти аудиту в ІТ-управлінні (I) 4. Організація (відділення, корпоративне управління, завдання) 3. Процеси (управління постачальниками, технічна підтримка, тощо) 2. Прикладні програми (SAP, Windows, проектне програмне забезпечення, тощо) 1. Інфраструктура (бази даних, міжмережевий екран, тощо) Більшість ризиків у ІТ мають місце на 1 і 2 рівні! Більшість проблем на 3 і 4 рівні.

Об'єкти аудиту в ІТ-управлінні (II) Корпоративний рівень Стратегічний рівень Рівні Види контролю Бізнес-рівень Заходи Об'єкти аудиту в ІТ-управлінні (II) Корпоративний рівень Стратегічний рівень Рівні Види контролю Бізнес-рівень Заходи контролю щодо користувача Рівень користувача Тактичний рівень Прикладний рівень Системний рівень Операційний рівень Мережевий рівень Фізичний рівень УПРАВЛІННЯ ІТ-СЛУЖБОЮ 5 Рівень безпеки Проміжний рівень Заходи контролю щодо прикладної програми Загальні заходи ІТконтролю

IT-департамент • • 6 Мережеві інженери Адміністратори бази даних Оператори служби підтримки Адміністратори Windows IT-департамент • • 6 Мережеві інженери Адміністратори бази даних Оператори служби підтримки Адміністратори Windows Розробники Тестери Працівник з безпеки

IT процеси і процедури ІТ-департамент відповідає за виконання низки ІТ процесів і процедур. q IT процеси і процедури ІТ-департамент відповідає за виконання низки ІТ процесів і процедур. q Працівник: “Мій аккаунт заблоковано” q Виявлено підозрілу мережеву діяльність у файлі входу на міжмережевий екран q Запущено новий веб-сайт. q Працівника перевели із відділу закупівель у відділ продаж 7 Управління інцидентами Управління безпекою Управління змінами Управління випуском Управління доступом Вимога виконання

Загальні ІТ спостереження Зрозуміти ІТ середовище на рівні установи: • Визначити важливі прикладні програми Загальні ІТ спостереження Зрозуміти ІТ середовище на рівні установи: • Визначити важливі прикладні програми та інфраструктуру Ціль: • Зв’язок між важливими процесами і прикладними програмами • Зв’язок між прикладними програмами та інфраструктурою

Рамки аудиту (критерії) в ІТ-аудиті • • Cob. IT (забезпечує нормами/стандартами на основі найкращих Рамки аудиту (критерії) в ІТ-аудиті • • Cob. IT (забезпечує нормами/стандартами на основі найкращих практик належного ІТ-управління) ITIL (управління ІТ-службою) Prince 2 (управління проектом) ASL (Бібліотека прикладних послуг) Bi. SL (Бібліотека послуг бізнес-інформації) ISO 27001 (Безпека інформації) Найкращі практики провайдера програмного забезпечення Тощо. Залежно від об'єкту (цілі) аудиту пристосовуються стандарти/посилання!

Cobit 4. 0 Cobit 4. 0

Bi. SL Bi. SL

Bi. SL отож визначає три процеси у кластері управління користуванням (див. також Додаток 5): Bi. SL отож визначає три процеси у кластері управління користуванням (див. також Додаток 5): • підтримка кінцевого користувача – щоденний контактний пункт для користувачів у випадку запитань, скарг або проблем. • управління бізнес-даними – здебільшого забезпечує якість даних в інформаційному забезпеченні • управління операційними постачальниками – (операційне) управління автоматизованим інформаційними забезпеченням Щоденна підтримка і обслуговування

Ми визначаємо чотири процеси у кластері управління функціональністю. Два з них спрямовані на дизайн Ми визначаємо чотири процеси у кластері управління функціональністю. Два з них спрямовані на дизайн (бажану зміну) інформаційного забезпечення, а два – спрямовані на підготовку/реалізацію зміни. Ці чотири процеси такі: • Уточнення вимог до інформації – дизайн автоматизованого інформаційного забезпечення або зміни в інформаційному забезпеченні • Дизайн неавтоматизованих інформаційних систем – дизайн неавтоматизованого інформаційного забезпечення і засоби для цього. • Огляд і тестування – підтвердження рішення та реалізація (зміненого) інформаційного забезпечення. • Підготовка до переходу – підготовка до реалізації інформаційного забезпечення та бажаних змін в організації користувача. Зміни, час від часу

Що (зміст/ функціональність) Скільки (витрати і вигоди) Хто, коли (час/ спроможність) Як, чим (постачання) Що (зміст/ функціональність) Скільки (витрати і вигоди) Хто, коли (час/ спроможність) Як, чим (постачання) Управ ління • Планування і управління ресурсами означає мати справу з питаннями часових та людських ресурсів для управління інформаційним забезпеченням та внесенням змін в інформаційне забезпечення. • Фінансове управління означає мати справу з витратами і вигодами інформаційного забезпечення та пов'язаних з ним інвестицій • Планування і управління ресурсами Фінансове управління Управління запитами Управління контрактами • Управління запитами покриває якість інформаційного забезпечення та підтримку інформаційного забезпечення, включаючи пов'язану з цим потребу у змінах чи покращеннях • Управління контрактами регулює контроль ІТ-провайдерів, разом із договорами щодо послуг і продуктів, які треба надати.

В рамках кластеру інформаційна стратегія наводиться бачення майбутнього інформаційного забезпечення. У ньому описується, яку В рамках кластеру інформаційна стратегія наводиться бачення майбутнього інформаційного забезпечення. У ньому описується, яку форму матиме інформаційне забезпечення (інформаційні процеси, інформаційні системи та будь-які технології) через три - п'ять роківю Цей кластер пов’язаний зі змістом інформаційного забезпечення і тим, як воно організоване. Цей кінцевий продукт також часто називається інформаційною політикою. Майбутнє змісту

Ціль кластеру І-організаційної стратегії полягає в тому, щоб створити і узгодити організацію інформаційного забезпечення Ціль кластеру І-організаційної стратегії полягає в тому, щоб створити і узгодити організацію інформаційного забезпечення та визначити стратегію, як цього досягти. Майбутнє організації

Управління (IT-)проектом Досвід щодо управління ІТ-проектом Чому управління ІТ-проектом таке складне? Управління (IT-)проектом Досвід щодо управління ІТ-проектом Чому управління ІТ-проектом таке складне?

Управління (IT-)проектом Many possible failures: • Неадекватно підготовлені керівники проекту – Неадекватний процес і/або Управління (IT-)проектом Many possible failures: • Неадекватно підготовлені керівники проекту – Неадекватний процес і/або погане планування, що призводить, напр. , до слабких вимог – Неефективний спосіб документувати та відстежувати прогрес – Неконтрольовані зміни – Невміння визначати очікування і управляти ними • Слабке керівництво на будь-якому рівні – Ігнорують попереджувальні знаки проекту • • Брак кваліфікованих ресурсів Неточний розрахунок витрат Брак комунікації на будь-якому рівні Пріоритети, що змагаються між собою (людські ресурси/фінансування)

Управління (IT-)проектом Висновок: Необхідний досвід і компетенція. Дуже хороший процес У державному секторі Нідерландів Управління (IT-)проектом Висновок: Необхідний досвід і компетенція. Дуже хороший процес У державному секторі Нідерландів допомагає PRINCE 2. – “Проекти у контрольованих середовищах” (“PRojects IN Controlled Environments”).

PRINCE 2 PRINCE 2

PRINCE 2 Він не магічний Він не є гарантією успіху, своєчасності, дотримання бюджету і PRINCE 2 Він не магічний Він не є гарантією успіху, своєчасності, дотримання бюджету і досягнення належної якості Ніщо це не гарантує. . .

PRINCE 2 Якщо правильно використовувати PRINCE 2: • Ви нічого не залишаєте випадковості • PRINCE 2 Якщо правильно використовувати PRINCE 2: • Ви нічого не залишаєте випадковості • Ви знаєте процеси, внески і результати, а також проміжні ланки • Ви знаєте етапи проекту • Ви можете використовувати цей інструмент для будьякого проекту Занадто об'ємний для малого проекту, однак ви можете пристосувати PRINCE 2 для потреб вашого проекту

Approval PID Approval PID

Цілі ІТ-заходів контролю ІТ-заходи контролю розроблені для досягнення цілей контролю, пов'язаних з вимогами Безпеки Цілі ІТ-заходів контролю ІТ-заходи контролю розроблені для досягнення цілей контролю, пов'язаних з вимогами Безпеки інформації. Ключові цілі, які часто називають C-I-A, можна відобразити наступним чином: Конфіденційність: Захищає вразливу інформацію від перегляду неавторизованими користувачами. Приклади: - Фінансові дані - Номери кредиток - Номер соцстрахування Примітка: Ця ціль прямо пов'язана із внутрішніми і зовнішніми вимогами C щодо Приватності and I Незалежність: Захищає незалежність вирішальних ІТ-ресурсів, таких як: - апаратне забезпечення - програмне забезпечення - сховища даних Наявність: Забезпечує, щоб вирішальні ІТ-ресурси (такі як, апаратне і програмне забезпечення, дані) були доступними у потрібний час. A

Однак, також Вимоги щодо безпеки інформації мають негативну кореляцію з іншими вимогами до комп'ютерних Однак, також Вимоги щодо безпеки інформації мають негативну кореляцію з іншими вимогами до комп'ютерних програм. Функціональність: Функції, які входять у комп'ютерну програму. F Легкість використання: Придатність до використання комп'ютерної програми. Безпека Рівень заходів безпеки, запроваджений в комп'ютерній програмі S E

ІТ-ризики IT середовища, IT-системи і IT-організації можуть бути дуже складними Обережно визначайте обсяг ІТ-аудиту: ІТ-ризики IT середовища, IT-системи і IT-організації можуть бути дуже складними Обережно визначайте обсяг ІТ-аудиту: • Об'єкти аудиту • Чи будете ви проводити аудит дизайну, наявності чи операційної ефективності заходів контролю? Узгодьте це з клієнтом! 30

Практичний приклад визначення обсягу 31 Практичний приклад визначення обсягу 31

ІТ ризики Після визначення обсягу вам треба визначити Робочу програму ІТаудиту на основі: Цілей ІТ ризики Після визначення обсягу вам треба визначити Робочу програму ІТаудиту на основі: Цілей аудиту Об'єктів аудиту Ризиків Відповідні рамки Як ви визначите ризики? 32

33 33

ІТ ризики • • 34 Визначення обсягу вашого ІТ-аудиту “Розуміння бізнесу” Визначення і оцінка ІТ ризики • • 34 Визначення обсягу вашого ІТ-аудиту “Розуміння бізнесу” Визначення і оцінка усіх ризиків, про які ви можете подумати Класифікація ризиків на високі, середні і низькі Визначення, чого можна досягнути в часових та бюджетних рамках Вибір заходів контролю, які ви очікуєте в ІТ-організації та ІТсистемі від міжнародних рамкових основ, напр. , ISO 27001: 2013 та ISO 27002: 2013 Побудова ваших рамкових основ Обговорення з клієнтом

Інформаційна система Інформаційна система

Огляд ІТ заходів контролю Коли йдеться про ІТ заходи контролю, фактично можна говорити про Огляд ІТ заходів контролю Коли йдеться про ІТ заходи контролю, фактично можна говорити про дві категорії. Контрольні заходи щодо прикладних програм (AC), які включені у “стандартні” бізнес процеси (напр. закупівлі, доходи тощо) і розроблені з метою автоматизації функції контролю, тоді як загальні заходи контролю (ITGC) забезпечують підтримку вимог контролю в межах стандартних ІТ процесах підтримки. Аудитори тестують заходів контролю дизайн і операційну ефективність

Класифікація заходів контролю (ЗК) Ручні Заходи контролю (Виключно) Ручні ЗК Автоматизовані заходи контролю IT- Класифікація заходів контролю (ЗК) Ручні Заходи контролю (Виключно) Ручні ЗК Автоматизовані заходи контролю IT- залежні Ручні ЗК Заходи контролю щодо прикладних програм Загальні ІТ-заходи контролю Заходи контролю на рівні організації

Чому важливо проводити аудит ІТ заходів контролю? • • У наш час багато організацій Чому важливо проводити аудит ІТ заходів контролю? • • У наш час багато організацій сильно залежать від ІТ; Залучені сторони хочуть мати незалежні гарантії; Очікується, що внутрішні аудитори проводитимуть оцінку ІТ заходів контролю; ІТ заходи контролю впливають на надійність електронних доказів аудиту.

Інформаційна система Інформаційна система

Розподіл обов'язків (РО) Актуальний погляд на права доступу користувача визначальний для виявлення можливих конфліктів Розподіл обов'язків (РО) Актуальний погляд на права доступу користувача визначальний для виявлення можливих конфліктів РО 40

Інформаційна система Інформаційна система

Автоматизовані проти ручних заходів контролю ІТ-залежні ручні Ручні Автоматизовані Автоматизовані проти ручних заходів контролю ІТ-залежні ручні Ручні Автоматизовані

Автоматизовані проти ручних заходів контролю (продовж. ) Інструменти контролю Автоматизований компонент Ручний компонент • Автоматизовані проти ручних заходів контролю (продовж. ) Інструменти контролю Автоматизований компонент Ручний компонент • Авторизація: Підтвердження проведення трансакцій відповідно до загальноприйнятих управлінських або особливих політик та процедур • Онлайнова передача та підтвердження про затвердження • Ручна форма затвердження, що передбачає особистий підпис • Звіт про Виключення: підготовка звіту з метою моніторингу чогось; результати відображаються у рішенні • Автоматизовані заходи контролю вживаються у випадку виявлення виключень в ході обробки даних • Перегляд та своєчасне рішення щодо виключень • Контроль інтерфейсу: повна та правильна передача даних між системами • Автоматизований моніторинг передачі даних та коригування помилки • Перегляд та своєчасне прийняття рішення у випадку виключення

Автоматизовані проти ручних заходів контролю (продовж. ) Інструменти контролю Автоматизований компонент Ручний компонент • Автоматизовані проти ручних заходів контролю (продовж. ) Інструменти контролю Автоматизований компонент Ручний компонент • Розподіл обов'язків: розподіл обов'язків та відповідальності за авторизацію операцій, реєстрацію операцій та збереження • Доступ до системи у відповідності до рівня відповідальності • Належний розподіл відповідальності • Доступ до системи: Обмеження користувачів, що мають доступ до інформаційної системи – середовище процесу, що визначає права доступу до системи • Ідентифікація та перелік осіб , що мають доступ • Параметри доступу до системи обмежуються рівнем відповідальності • Підтвердження авторизації • Періодичний огляд та відстеження користувачів та рівня їх доступу

IT-залежні, ручні заходи контролю • ● Контроль здійснюється особою, що довіряє автоматизованому продукту; ● IT-залежні, ручні заходи контролю • ● Контроль здійснюється особою, що довіряє автоматизованому продукту; ● В основному виявляючі заходи контролю, що залежать від інформації, зібраної комп'ютером чи від функціональності системи; §● Приклад: щорічний перегляд керівництвом звітів про виключення та відстеження основних виключень. Оскільки керівництво покладається на комп'ютеризовані звіти щодо виявлених виключень, необхідно переконатися, що існують відповідні заходи контролю, що забезпечать повноту та правильність звітів про виключні ситуації

IT-залежні, ручні заходи контролю (продовж. ) Види ІТ – залежних заходів контролю • ● IT-залежні, ручні заходи контролю (продовж. ) Види ІТ – залежних заходів контролю • ● Узагальнені системні стандартні звіти Звіти за запитом/спеціальні звіти Тестування припущень • • Для чого звіт використовується? Як використовується у контролі? Повнота, правильність, незалежність та існування Перегляд розрахунків

Інформаційна система Інформаційна система

Контрольні заходи на рівні прикладної програми – це системні заходи контролю в межах стандартних Контрольні заходи на рівні прикладної програми – це системні заходи контролю в межах стандартних бізнес-процесів, які спрямовані на посилення конкретних практичних вимог. Такі контрольні заходи по своїй суті як правило носять попереджувальний характер. Приклади включають: - Контроль логічного доступу - Внесення даних / заповнення полів, що перевіряються (наприклад, перевірка даних номеру кредитної картки) - Правила документообігу (напр. електронний обіг та передача вимог закупівлі) - Поля, що є обов'язковими, виходячи із попередньо визначених показників (напр. цінова інформація) - Передбачені робочі кроки, що попередньо визначають статус переходу (напр. відкрити > переглянути > закрити) - Автоматизовані аудиторські записи - Автоматизовані розрахунки Приклад перебігу процесу – адміністрування оплати рахунків – Майстер Постачальника Покупець Подає Інформацію про постачальника A/P Клерк Менеджер ERP Система Сфера застосування контролю Підтвер джує і нформацію Оновлення Постача льника Оновлює інформацію Активізація змін Схвалює зміни Майс тер. Постачальника

Приклади процесу ● Реєстраційний документ про закупівлі затверджується онлайн, на основі затверджених керівництвом лімітів; Приклади процесу ● Реєстраційний документ про закупівлі затверджується онлайн, на основі затверджених керівництвом лімітів; ● Накази про закупівлю формуються лише для затверджених Реєстраційних документів про закупівлю ● Рахунки оплачуються лише після трьохрівневого підтвердження відповідності Наказу про закупівлю та Накладної про отримані товари/ Запису про доставку. ● Працівнику не дозволяється подавати рахунок та схвалювати цей самий рахунок.

Тестування заходів контролю на рівні прикладної програми Особливу увагу звертаємо на наступні компоненти заходів Тестування заходів контролю на рівні прикладної програми Особливу увагу звертаємо на наступні компоненти заходів контролю на рівні прикладної програми: Параметри конфігурації та автоматизовані заходи контролю користувачів; • Заходи контролю щодо основних даних та доступ; • Анулювання контролю; • Розподіл обов'язків та функціональний доступ; • Контроль інтерфейсу •

Тестування заходів контролю на рівні прикладної програми (прод. ) Як тестувати: • Залежно від Тестування заходів контролю на рівні прикладної програми (прод. ) Як тестувати: • Залежно від виду прикладної програми • Залежно від того, чи прикладна програма «з полиці» , чи адаптована Основні кроки тестування: • Підтвердження параметрів конфігурації; • Проведення тестування через програмний модуль; • Тестування безпеки доступу до функцій конфігурації / параметрів; • Тестування управління змінами.

Інформаційна система Інформаційна система

Загальні ІТ-заходи контролю (ITGC) – Визначення • За визначенням “Загальні ІТ-заходи контролю (ITGC) – Загальні ІТ-заходи контролю (ITGC) – Визначення • За визначенням “Загальні ІТ-заходи контролю (ITGC) – це заходи контролю, які застосовуються до усіх компонентів, процесів і даних системи для даної організації або середовища інформаційних технологій (ІТ). Цілі ITGCs полягають у забезпеченні належного розвитку і застосування прикладних програм, а також незалежності програми, файлів даних і компютерних операцій. ”; § Це процеси, які використовує ІТ функція для управління та контролю ІТ середовища (люди, процеси, технології); § Загальні контрольні заходи ІТ забезпечують впевненість, що ІТ процеси функціонують послідовно в часі.

Найвідоміші загальні ІТ-заходи контролю 1. Управління доступом (ACC) 2. Управління змінами (CHA) 8. Управління Найвідоміші загальні ІТ-заходи контролю 1. Управління доступом (ACC) 2. Управління змінами (CHA) 8. Управління інфраструктурою (INF) 9. Управління наявністю (AVA) 3. Управління ІТ операціями (OPS) 10. Управління безперервністю (CTY) 4. Управління інцидентами (INC) 11. Управління конфігурацією (CON) 5. Управління проблемами (PRO) 12. Управління спроможністю (CAP) 6. Управління рівнем обслуговування (SLM) 7. Управління постачальниками (SUP) 13. Управління безпекою (SEC)

ІТ-функція - IT Управління прикладною програмою Функціональне ІТ управління Приймальне тестування користувачем Управління вимогами ІТ-функція - IT Управління прикладною програмою Функціональне ІТ управління Приймальне тестування користувачем Управління вимогами Управління контрактом Управління на рівні обслуговування Рамки, що застосовуються: Bi. SL COBIT 55 Управління змінами Управління наявністю Управління безперервністю Управління спроможністю Управління конфігурацією Технічне ІТуправління Мережеві операції Інцидент Проблема ІТ-операції Рамки, що застосовуються: ASL COBIT Рамки, що застосовуються: ITIL COBIT

Тестування загальних ІТ-заходів контролю • • Як набути упевненості, що ці заходи контролю функціонували Тестування загальних ІТ-заходів контролю • • Як набути упевненості, що ці заходи контролю функціонували послідовним і надійним способом протягом фінансового року, і чи в тому, що вони продовжать так функціонувати? Аудитори оцінюють і тестують загальні ІТ-заходи контролю. Ціль: Оцінити дизайн і операційну ефективність заходів контролю. q Ефективність дизайну: ü Документування загальних ІТ-заходів контролю. ü Проходження через загальні ІТ-заходи контролю або запит і спостереження. ü Оцінка будь-яких недоліків дизайну. q Операційна ефективність: ü Тестування заходів контролю. ü Оцінка будь-яких операційних недоліків. •

Ключові загальні ІТ-заходи контролю 1. Управління доступом (ACC) 2. Управління змінами (CHA) 3. Управління Ключові загальні ІТ-заходи контролю 1. Управління доступом (ACC) 2. Управління змінами (CHA) 3. Управління ІТ-операціями (OPS)

Управління доступом (ACC) • Механізми контролю безпеки; • Потужна система або Ідентифікація даних користувачів; Управління доступом (ACC) • Механізми контролю безпеки; • Потужна система або Ідентифікація даних користувачів; • Процедури контролю безпеки;

Управління доступом —Механізми контролю безпеки Ціль: Визначити, що логічний і фізичний доступ до ІТ Управління доступом —Механізми контролю безпеки Ціль: Визначити, що логічний і фізичний доступ до ІТ комп'ютерних ресурсів належним чином обмежений. Ключові елементи контролю та ідеї для тестування: • Доступ до комп'ютерних засобів фізично забезпечено і обмежено авторизованими особами. • Унікальні дані ідентифікації користувачів використовуються для забезпечення індивідуальної відповідальності • Надійні і складні вимоги до паролів • Ефективні механізми входу та заходи з управлінського огляду запроваджено

Управління доступом- Контрольні заходи логічного доступу n n n Доступ – це можливість здійснювати Управління доступом- Контрольні заходи логічного доступу n n n Доступ – це можливість здійснювати будь-які дії із комп'ютерними ресурсами (напр. використовувати, змінювати, переглядати тощо); Контроль доступу – це засіб для надання можливості входу або в певний спосіб обмеженість доступу (як правило через фізичні та системні заходи контролю); Контрольні заходи логічного доступу можуть визначати не лише хто, але і що (наприклад, у випадку процесу) має доступ до ресурсу системи, а й також вид дозволеного доступу.

Управління доступом – Типові тести контрольних заходів логічного доступу § Визначити множину нових або Управління доступом – Типові тести контрольних заходів логічного доступу § Визначити множину нових або існуючих користувачів та зробити вибірку; § Перевірити чи доступ авторизований/відповідний ролі; § Визначити множину користувачів, що залишили установу в ході періоду аудиту та зробити вибірку; § Оцінити, чи був втрачений, обмежений або скасований доступ q Joiners, Movers & Leavers

Управління змінами – Авторизовані зміни і відповідні процедури • Ціль: Визначити, що контрольні заходи Управління змінами – Авторизовані зміни і відповідні процедури • Ціль: Визначити, що контрольні заходи запроваджено, щоб гарантувати належну авторизацію змін у системах/прикладних програмах відповідним рівнем керівництва. • Ключові елементи контролю та ідеї для тестування: Організація запровадила формальний процес управління змінами. Усі запити на зміни у системах/прикладних програмах формально документуються Аудиторський слід змін можна відстежити і співвіднести до первинних запитів. § § §

Управління змінами – Тестування змін програми • Ціль: визначити, що контрольні заходи запроваджено, щоб Управління змінами – Тестування змін програми • Ціль: визначити, що контрольні заходи запроваджено, щоб гарантувати тестування, підтвердження і схвалення змін до прикладних програм і систем до запуску у виробництво. Ключові елементи контролю та ідеї для тестування: • Запроваджено окреме від виробництва середовище тестування • Тільки обмежена кількість осіб повинна вносити зміни у виробництво. •

Управління ІТ-операціями (OPS) Резервне копіювання/відновлення • Тестування відновлення з резервного копіювання; • Доступ до Управління ІТ-операціями (OPS) Резервне копіювання/відновлення • Тестування відновлення з резервного копіювання; • Доступ до засобів резервного копіювання і збереження поза основною базою; • Управління проблемами. •

Управління ІТ-операціями (OPS) — Резервне копіювання/відновлення • Ціль: • Визначити, що керівництво запровадило належні Управління ІТ-операціями (OPS) — Резервне копіювання/відновлення • Ціль: • Визначити, що керівництво запровадило належні процедури резервного копіювання і відновлення, щоб дані, операції і програми можна було відновити. • Ключові елементи контролю та ідеї для тестування: • Відповідальність за проведення резервного копіювання покладена на персонал з ІТ-операцій; • Графік резервного копіювання та вимоги до збереження програм/даних офіційно визначені і запроваджені; • Резервні копії відправляються за межі основної бази у просторово і фізично надійні місця, звідки їх можна своєчасно дістати, якщо виникне потреба.

Управління ІТ-операціями (OPS) — Доступ до засобів резервного копіювання / збереження поза основною базою Управління ІТ-операціями (OPS) — Доступ до засобів резервного копіювання / збереження поза основною базою • Ціль: • Визначити, що запроваджено належні заходи контролю для засобів резервного копіювання систем і прикладних програм, включаючи також те, що тільки уповноважені особи мають доступ до записів та сховища записів. • Ключові елементи контролю та ідеї для тестування: • Засоби резервного копіювання обслуговуються на місці і віддалено, а сама база захищена від недозволеного доступу. • Використання фізичних і логічних заходів контролю щодо доступу до даних запобігає отримати доступ до резервних даних неуповноваженим користувачам.

Управління ІТ-операціями (OPS) — Управління проблемами • Ціль: З'ясувати, що керівництво визначило і запровадило, Управління ІТ-операціями (OPS) — Управління проблемами • Ціль: З'ясувати, що керівництво визначило і запровадило, своєчасно, процедури управління проблемами, щоб записувати, аналізувати і вирішувати інциденти, проблеми і помилки у системах і прикладних програмах. • Ключові елементи контролю та ідеї для тестування: • Існує формальний моніторинг середовища виробництва. • Записи і звітування про усі інциденти на виробництві відстежуються до відповідного вирішення. • Усі встановлені інциденти/провали користувачів повідомляються, записуються та розслідуються до їх вирішення.

Чи є запитання? Дякуємо за увагу! Чи є запитання? Дякуємо за увагу!