Provedba analitičkih testova sigurnosti informacijskog sustava

Slides:



Advertisements
Similar presentations
Visa MasterCard incoming / outgoing Aplikacija VMC
Advertisements

22/10/20081 Poslovanje i sigurnost 2008 Business and security 2008 AKTUALNOSTI INFORMACIJSKE SIGURNOSTI U HRVATSKOM OKRUžENJU mag.oec.Saša Aksentijević,univ.spec.
1 Holcim (Hrvatska) d.o.o Holcimova Mahovina.
Rješenje za izradu obiteljskog stabla
Primjena IT u financijskom izvještavanju
Google Analytics Analitika turističkih web stranica
Analiza znanstvene produkcije u kliničkim i temeljnim znanostima na Medicinskom fakultetu Sveučilišta u Splitu: Ured za znanost.
Korporativno upravljanje informatikom i IT revizija
Lekcija: Američki bankarski sistem
Provisioning Windowsa 10 na IoT, mobilnim i desktop uređajima
Damir Zec Pomorski fakultet u Rijeci
Programi zasnovani na prozorima
Kako provesti reviziju informacijskih sustava – regulativa i metode
SVEUČILIŠTE U ZAGREBU FAKULTET ORGANIZACIJE I INFORMATIKE
OPERACIJSKI SUSTAVI.
E-UČENJE Ivana Matišić, 907 Ivana Šimić, 875.
Informacijski sustavi
Poslovni informacioni sistemi
Pomoć informatičkih i računalnih stručnjaka u provedbi revizije
Stručno savjetovanje ovlaštenih revizora Zagreb, prosinca 2008
Otkucaji srca Internet ekonomije Mladen Tabak, Cisco Systems IT Committee Chairman, American Chamber of Commerce in Croatia Hrvatski dani Interneta 2002,
SMJERNICE ZA PRIMJENU ISO 9001:2015
Pristup podacima Uvod Nikola Vlahović.
CheckBox RadioButton RadioGroup
CARNetova KORISNIČKA KONFERENCIJA
Program za upravljanje projektima
Procjena i financijsko vrednovanje ICT rizika i njihov utjecaj na poslovanje ICTI 2009, 23. listopad Prof.dr.sc. Mario Spremić, CGEIT Ekonomski.
Kako provesti reviziju informacijskih sustava – regulativa i metode
Provedba analitičkih testova sigurnosti informacijskog sustava
Projekat podrške ekonomskom razvoju Srbije April godine
Međunarodni sustavi ovjere upravljanja projektima – PMI
Armin Teskeredzic Zagreb, Hrvatska,
Stanko Cerin Ostendo Consulting
CMJ Vam odgovara na kliničko pitanje
Međunarodni sustavi ovjere upravljanja projektima – I dio
FSB Zagreb, dvorana F, Ivana Lučića 5
Upravljanje marketingom u bankarstvu
M-datoteke.
Model osiguranja kvalitete Sveučilišta u Mostaru
Sajt „MS u školi abc tutorijali”
Internet FTP usluga.
Sigurnosni trendovi u financijskom sektoru i upravljanje IT rizicima
STUDIJE NA DALJINU U REPUBLICI SRBIJI
AMM SISTEM Opseg PLC komunikacije 72kHz±1.2kHz
Virtualizacija poslovnih procesa metodom „Swimlane“ dijagrama
Hrvatski kvalifikacijski okvir
Hrvatski kvalifikacijski okvir
Porezni izdaci i efikasnost poreza na dodanu vrijednost Hrvatske
Voditeljica Samostalnog odjela za unutarnju reviziju
Međunarodni sustavi ovjere upravljanja projektima – I dio
Analiza varijance prof. dr. sc. Nikola Šakić.
Sustavi za pracenje i vođenje procesa STATEFUL INSPECTION FIREWALL
5. Baze podataka Postavke MS Accessa.
BLOOMOVA TAKSONOMIJA I
Skup instrukcija procesora
Fakultet elektrotehnike i računarstva
IP Telefonija u službi željezničkog prometa Miroslav Martinčić Ericsson Nikola Tesla d.d. 6. međunarodno savjetovanje HDŽI-a Zagreb,
Analiza varijance prof. dr. sc. Nikola Šakić.
VODIČ DOBRE HIGIJENSKE PRAKSE
S.W.O.T. Zagreb, 27. I
MODUL 5: PRIJENOS ZNANJA
Online pripreme za državnu maturu iz informatike
7. Baze podataka Postavke MS Accessa.
integracija velike količine podataka u HADOOP ekosustav
Dvostruka autentifikacija
Analiza varijance prof. dr. sc. Nikola Šakić.
Primjena COSO-a na modelu triju linija obrane
8. SEMINAR UNUTARNJIH REVIZORA U JAVNOM SEKTORU
Rekapitulacija / Zaključak
Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture
Presentation transcript:

Provedba analitičkih testova sigurnosti informacijskog sustava Prof.dr.sc. Mario Spremić, dipl.inž, CGEIT

Partneri Medijski pokrovitelji

Sadržaj predavanja Revizija sigurnosti IS-a Regulativa i norme Tijek provedbe revizije sigurnosti IS-a Provedba analitičkih testova Vrednovanje dokaza i procjena rizika

Prof.dr.sc. Mario Spremić, CGEIT www.efzg.hr/mspremic mspremic@efzg.hr Prof.dr.sc. Mario Spremić, CGEIT B.Sc – PMF, Matematika, dipl.inž. mat, M.Sc. - ‘Informatički management’, Ph.D. Ekonomski fakultet Zagreb Autor ili koautor 10 knjiga i preko 150 znanstvenih i stručnih radova Voditelj FBA – CIO Akademije (www.efzg.hr/cio) CGEIT (Certificate in Governance of Enterprise IT) ISACA član, IIA član Prethodno radno iskustvo: sistem analitičar, voditelj projekata Projekti u HR i SLO, veći broj revizija IS-a područja: Poslovna strategija / strategija informatike, Korporativno upravljanje informatikom (IT Governance), Revizija informacijskih sustava, Sigurnost IS-a, Business Continuity, IS Risk Management ..(banke, osiguranje, hotelska industrija, maloprodaja, informatika, ….) Metodologije: CobiT, ISO 27000, ITIL, SoX, …

Mjerenje i vrednovanje (revizija) kvalitete IS-a Kvaliteta informacijskih sustava predstavlja relativnu kategoriju kojom se mjeri odstupanje njegove realne funkcije za idealnom Što je odstupanje (zaostajanje) realne funkcije sustava za idealnom manje, sustav je kvalitetniji, i obratno Zakon minimuma kvalitete IS-a: kvaliteta IS-a jednaka je umnošku razina kvalitete svake pojedine komponente K(I) = K(H) x K(S) x K(L) x K(N) x K(O) x K(D)

Revizija informacijskih sustava Revizija informacijskih sustava (engl. Information System Audit) - proces provjere rizika, odnosno uspješnosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti, raspoloživosti i pouzdanosti Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje ‘Alternativna' definicije revizije informacijskih sustava - procjena rizika (razine kvalitete) informacijskih sustava u skladu s potrebama poslovanja

Područja provedbe revizije IS-a Provjera funkcionalnosti IS-a – funkcioniraju li svi dijelovi IS-a (hardware, software, netware, orgware, lifeware, dataware) na ispravan i propisan način i provode li se temeljne poslovne transakcije u skladu s očekivanjima Provjera pouzdanosti IS-a – jesu li svi dijelovi sustava i cjelina pouzdani za korištenje, odnosno izlaže li njihova uporaba korisnike, vlasnike, itd. nekom riziku Provjera sigurnosti IS-a – postoje li i koja je razina sigurnosnih rizika uporabe IS-a i kakav je njihov učinak na poslovanje Provjera djelotvornosti i učinkovitosti IS-a – mogu li se IS-i koristiti na efikasniji, jeftiniji ili učinkovitiji način? Postoje li načini poboljšanja isplativosti ulaganja u informatiku, koliko su djelotvorni IS-i obzirom na potrebe poslovanja Provjera kvalitete upravljanja IS-om i njihovu utjecaju na poslovanje – u kojoj su mjeri organizacijske i upravljačke metode i tehnike koje se koriste pri upravljanju IS-om Provjera usklađenosti (regulatorna revizija) – je li uporaba IS-a i svih njegovih dijelova u skladu s važećom regulativom, normama i stručnim standardima 7

Osnovni ciljevi revizije (sigurnosti) IS-a provjeriti trenutno stanje, tj. utvrditi razinu zrelosti upravljanja IS-om = provjeriti (testirati) učinkovitost kontrola otkriti potencijalno rizična područja i procijeniti razinu (sigurnosnog) rizika kojim je poslovanje izloženo temeljem intenzivne primjene informacijskih sustava dati preporuke menadžmentu koje mjere poduzeti da se učinak uočenih rizika smanji ili ukloni i unaprijediti poslovnu praksu po tom pitanju 8

Regulativa (HNB – Odluka o primjerenom ….) Upravljanje lozinkama Upravljanje promjenama Upravljanje kontinuitetom poslovanja Upravljanje incidentima i problemima Primjena internih akata vezanih uz IS Upravljanje sigurnošću IS-a Upravljanje rizikom koji vezan uz IS Logičke kontrole pristupa Upravljanje imovinom IS-a Upravljanje operativnim i sistemskim zapisima Upravljanje pričuvnom pohranom Upravljanje odnosima s pružateljima usluga Upravljanje odnosa s dobavljačima opreme Upravljanje razvojem IS-a Upravljanje fizičkom sigurnošću 9 9

Norme, standardi i okviri revizije IS-a COBIT krovni okvir (34 procesa, 318 detaljnih kontrola) Prema područjima provjere razlikujemo sljedeće izvedene standarde upravljanje razvojem IS-a (CMMI, TickIT,...), upravljanje informatičkim uslugama (ITIL) upravljanje ulaganjima u informatiku (Val IT) upravljanje rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005) upravljanje sigurnošću IS-a (ISO 27000, NIST, SANS, IS3) upravljanje projektima (Prince 2, PMBOK) upravljanje kontinuitetom poslovanja (BS 25999), …. 10 10

Koraci provedbe revizije IS-a Pregled – ‘snimka stanja’ informatike ili odabranog područja provjere (revizije) Određivanje prioriteta rada (određivanje objekta revizije IS-a i ciljeva kontrole) Detaljan pregled objekta revizije IS-a i testiranje kontrola (detaljni analitički testovi) Prikupljanje dokaza i procjena poslovnih rizika Preporuke i izvještaj revizora IS-a 11

Primjeri analitičkih testova sigurnosti IS-a Ovlasti korisnika baze, ključnih aplikacija, OS-a (1, 2, 3 Sistemske postavke OS-a, baze (AS/400, 1, 2, 3) ‘Password policy’ (1, 2, 2, 3, 4, Pristup i ovlasti rada sa sistemskim skriptama, zapisima (1, 2 Pristupi ‘produkcijskoj’ aplikaciji i bazi (IP adrese, korisnici, ….) Razvojno, testno, produkcijsko okruženje ‘remote access’ na produkciju Postavke ključnih dijelova mreže (FW, routeri, VPN, DMZ, NTP), log testovi, nadzor mreže, ….. Penetracijski testovi, test otvorenih portova, IDS, …. 12

Vrednovanje dokaza i procjena rizika Dokazi (organizacijski, tehnički, fizički, elektronički, opažanje, testovi, simulacija, …..) Čuvanje i pohranjivanje dokaza Procjena razine rizika i objašnjenje ‘poslovne’ vrijednosti Pisanje i prezentacija izvještaja revizora IS-a Upravi Usuglašavanje izvještaja Preporuke za poboljšanje prakse

Hvala. Prof.dr.sc. Mario Spremić Ekonomski fakultet Zagreb mspremic@efzg.hr

Feedback: Privacy Policy Feedback
Do Not Sell My Personal Information
About project: SlidePlayer Terms of Service

© 2025 SlidePlayer.com. Inc. All rights reserved.