Provedba analitičkih testova sigurnosti informacijskog sustava Prof dr

Provedba analitičkih testova sigurnosti informacijskog sustava Prof. dr. sc. Mario Spremić, dipl. inž, CGEIT

Partneri Medijski pokrovitelji

Sadržaj predavanja • Revizija sigurnosti IS-a • Regulativa i norme • Tijek provedbe revizije sigurnosti IS-a • Provedba analitičkih testova • Vrednovanje dokaza i procjena rizika

www. efzg. hr/mspremic@efzg. hr Prof. dr. sc. Mario Spremić, CGEIT - B. Sc – PMF, Matematika, dipl. inž. mat, M. Sc. - ‘Informatički management’, Ph. D. Ekonomski fakultet Zagreb - Autor ili koautor 10 knjiga i preko 150 znanstvenih i stručnih radova - Voditelj FBA – CIO Akademije (www. efzg. hr/cio) - CGEIT (Certificate in Governance of Enterprise IT) - ISACA član, IIA član - Prethodno radno iskustvo: sistem analitičar, voditelj projekata - Projekti u HR i SLO, veći broj revizija IS-a - područja: Poslovna strategija / strategija informatike, Korporativno upravljanje informatikom (IT Governance), Revizija informacijskih sustava, Sigurnost IS-a, Business Continuity, IS Risk Management. . (banke, osiguranje, hotelska

Mjerenje i vrednovanje (revizija) kvalitete IS-a • Kvaliteta informacijskih sustava predstavlja relativnu kategoriju kojom se mjeri odstupanje njegove realne funkcije za idealnom • Što je odstupanje (zaostajanje) realne funkcije sustava za idealnom manje, sustav je kvalitetniji, i obratno • Zakon minimuma kvalitete IS-a: kvaliteta IS-a jednaka je umnošku razina kvalitete svake pojedine komponente • K(I) = K(H) x K(S) x K(L) x K(N) x K(O) x K(D)

Revizija informacijskih sustava • Revizija informacijskih sustava (engl. Information System Audit) - proces provjere rizika, odnosno uspješnosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti, raspoloživosti i pouzdanosti • Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje • ‘Alternativna' definicije revizije informacijskih sustava - procjena rizika (razine kvalitete) informacijskih sustava u skladu s potrebama

• Područja provedbe revizije ISa Provjera funkcionalnosti IS-a – funkcioniraju li svi dijelovi IS-a (hardware, software, netware, orgware, lifeware, dataware) na ispravan i propisan način i provode li se temeljne poslovne transakcije u skladu s očekivanjima • Provjera pouzdanosti IS-a – jesu li svi dijelovi sustava i cjelina pouzdani za korištenje, odnosno izlaže li njihova uporaba korisnike, vlasnike, itd. nekom riziku • Provjera sigurnosti IS-a – postoje li i koja je razina sigurnosnih rizika uporabe IS-a i kakav je njihov učinak na poslovanje • Provjera djelotvornosti i učinkovitosti IS-a – mogu li se IS-i koristiti na efikasniji, jeftiniji ili učinkovitiji način? Postoje li načini poboljšanja isplativosti ulaganja u informatiku, koliko su djelotvorni IS-i obzirom na potrebe poslovanja 7 • Provjera kvalitete upravljanja IS-om i njihovu utjecaju na poslovanje – u kojoj su mjeri organizacijske i upravljačke metode i tehnike koje se

Osnovni ciljevi revizije (sigurnosti) IS-a • provjeriti trenutno stanje, tj. utvrditi razinu zrelosti upravljanja IS-om = provjeriti (testirati) učinkovitost kontrola • otkriti potencijalno rizična područja i procijeniti razinu (sigurnosnog) rizika kojim je poslovanje izloženo temeljem intenzivne primjene informacijskih sustava • dati preporuke menadžmentu koje mjere poduzeti da se učinak uočenih rizika smanji ili ukloni i unaprijediti poslovnu praksu po tom pitanju 8

Regulativa (HNB – Odluka o primjerenom …. ) • Upravljanje sigurnošću IS-a • Upravljanje rizikom koji vezan uz IS • Logičke kontrole pristupa • Upravljanje imovinom IS-a • Upravljanje operativnim i sistemskim zapisima • Upravljanje pričuvnom pohranom • Upravljanje odnosima s pružateljima usluga • Upravljanje odnosa s dobavljačima opreme • Upravljanje razvojem IS-a • Upravljanje fizičkom • Upravljanje lozinkama • Upravljanje promjenama • Upravljanje kontinuitetom poslovanja • Upravljanje incidentima i problemima • Primjena internih akata vezanih uz IS 9

Norme, standardi i okviri revizije IS-a • COBIT krovni okvir (34 procesa, 318 detaljnih kontrola) • Prema područjima provjere razlikujemo sljedeće izvedene standarde – upravljanje razvojem IS-a (CMMI, Tick. IT, . . . ), – upravljanje informatičkim uslugama (ITIL) – upravljanje ulaganjima u informatiku (Val IT) – upravljanje rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005) – upravljanje sigurnošću IS-a (ISO 27000, NIST, SANS, IS 3) – upravljanje projektima (Prince 2, PMBOK) – upravljanje kontinuitetom poslovanja (BS 25999), …. 10

Koraci provedbe revizije IS-a • Pregled – ‘snimka stanja’ informatike ili odabranog područja provjere (revizije) • Određivanje prioriteta rada (određivanje objekta revizije IS-a i ciljeva kontrole) • Detaljan pregled objekta revizije IS-a i testiranje kontrola (detaljni analitički testovi) • Prikupljanje dokaza i procjena poslovnih rizika • Preporuke i izvještaj revizora IS-a 11

Primjeri analitičkih testova sigurnosti IS-a • • • Ovlasti korisnika baze, ključnih aplikacija, OS-a (1, 2, 3 Sistemske postavke OS-a, baze (AS/400, 1, 2, 3) ‘Password policy’ (1, 2, 2, 3, 4, Pristup i ovlasti rada sa sistemskim skriptama, zapisima (1, 2 Pristupi ‘produkcijskoj’ aplikaciji i bazi (IP adrese, korisnici, …. ) Razvojno, testno, produkcijsko okruženje ‘remote access’ na produkciju Postavke ključnih dijelova mreže (FW, routeri, VPN, DMZ, NTP), log testovi, nadzor mreže, …. . Penetracijski testovi, test otvorenih portova, IDS, …. 12

Vrednovanje dokaza i procjena rizika • Dokazi (organizacijski, tehnički, fizički, elektronički, opažanje, testovi, simulacija, …. . ) • Čuvanje i pohranjivanje dokaza • Procjena razine rizika i objašnjenje ‘poslovne’ vrijednosti • Pisanje i prezentacija izvještaja revizora IS-a Upravi • Usuglašavanje izvještaja • Preporuke za poboljšanje prakse

Hvala. Prof. dr. sc. Mario Spremić Ekonomski fakultet Zagreb mspremic@efzg. hr