Presentation is loading. Please wait.

Presentation is loading. Please wait.

Provedba analitičkih testova sigurnosti informacijskog sustava

Published byAlma Wetzel Modified over 6 years ago

Similar presentations

Presentation on theme: "Provedba analitičkih testova sigurnosti informacijskog sustava"— Presentation transcript:

1 Provedba analitičkih testova sigurnosti informacijskog sustava
Prof.dr.sc. Mario Spremić, dipl.inž, CGEIT

2 Partneri Medijski pokrovitelji

3 Sadržaj predavanja Revizija sigurnosti IS-a Regulativa i norme Tijek provedbe revizije sigurnosti IS-a Provedba analitičkih testova Vrednovanje dokaza i procjena rizika

4 Prof.dr.sc. Mario Spremić, CGEIT
Prof.dr.sc. Mario Spremić, CGEIT B.Sc – PMF, Matematika, dipl.inž. mat, M.Sc. - ‘Informatički management’, Ph.D. Ekonomski fakultet Zagreb Autor ili koautor 10 knjiga i preko 150 znanstvenih i stručnih radova Voditelj FBA – CIO Akademije ( CGEIT (Certificate in Governance of Enterprise IT) ISACA član, IIA član Prethodno radno iskustvo: sistem analitičar, voditelj projekata Projekti u HR i SLO, veći broj revizija IS-a područja: Poslovna strategija / strategija informatike, Korporativno upravljanje informatikom (IT Governance), Revizija informacijskih sustava, Sigurnost IS-a, Business Continuity, IS Risk Management ..(banke, osiguranje, hotelska industrija, maloprodaja, informatika, ….) Metodologije: CobiT, ISO 27000, ITIL, SoX, …

5 Mjerenje i vrednovanje (revizija) kvalitete IS-a
Kvaliteta informacijskih sustava predstavlja relativnu kategoriju kojom se mjeri odstupanje njegove realne funkcije za idealnom Što je odstupanje (zaostajanje) realne funkcije sustava za idealnom manje, sustav je kvalitetniji, i obratno Zakon minimuma kvalitete IS-a: kvaliteta IS-a jednaka je umnošku razina kvalitete svake pojedine komponente K(I) = K(H) x K(S) x K(L) x K(N) x K(O) x K(D)

6 Revizija informacijskih sustava
Revizija informacijskih sustava (engl. Information System Audit) - proces provjere rizika, odnosno uspješnosti IS-a obzirom na zahtjeve poslovanja, postupak analize i provjere njihove točnosti, učinkovitosti, djelotvornosti, raspoloživosti i pouzdanosti Radi se o skupu složenih menadžerskih, revizorskih i tehnoloških aktivnosti kojima se pregledavaju (provjeravaju) učinci, ali i rizici uporabe informacijskih sustava i u konačnici ocjenjuje njihov utjecaj na poslovanje ‘Alternativna' definicije revizije informacijskih sustava - procjena rizika (razine kvalitete) informacijskih sustava u skladu s potrebama poslovanja

7 Područja provedbe revizije IS-a
Provjera funkcionalnosti IS-a – funkcioniraju li svi dijelovi IS-a (hardware, software, netware, orgware, lifeware, dataware) na ispravan i propisan način i provode li se temeljne poslovne transakcije u skladu s očekivanjima Provjera pouzdanosti IS-a – jesu li svi dijelovi sustava i cjelina pouzdani za korištenje, odnosno izlaže li njihova uporaba korisnike, vlasnike, itd. nekom riziku Provjera sigurnosti IS-a – postoje li i koja je razina sigurnosnih rizika uporabe IS-a i kakav je njihov učinak na poslovanje Provjera djelotvornosti i učinkovitosti IS-a – mogu li se IS-i koristiti na efikasniji, jeftiniji ili učinkovitiji način? Postoje li načini poboljšanja isplativosti ulaganja u informatiku, koliko su djelotvorni IS-i obzirom na potrebe poslovanja Provjera kvalitete upravljanja IS-om i njihovu utjecaju na poslovanje – u kojoj su mjeri organizacijske i upravljačke metode i tehnike koje se koriste pri upravljanju IS-om Provjera usklađenosti (regulatorna revizija) – je li uporaba IS-a i svih njegovih dijelova u skladu s važećom regulativom, normama i stručnim standardima 7

8 Osnovni ciljevi revizije (sigurnosti) IS-a
provjeriti trenutno stanje, tj. utvrditi razinu zrelosti upravljanja IS-om = provjeriti (testirati) učinkovitost kontrola otkriti potencijalno rizična područja i procijeniti razinu (sigurnosnog) rizika kojim je poslovanje izloženo temeljem intenzivne primjene informacijskih sustava dati preporuke menadžmentu koje mjere poduzeti da se učinak uočenih rizika smanji ili ukloni i unaprijediti poslovnu praksu po tom pitanju 8

9 Regulativa (HNB – Odluka o primjerenom ….)
Upravljanje lozinkama Upravljanje promjenama Upravljanje kontinuitetom poslovanja Upravljanje incidentima i problemima Primjena internih akata vezanih uz IS Upravljanje sigurnošću IS-a Upravljanje rizikom koji vezan uz IS Logičke kontrole pristupa Upravljanje imovinom IS-a Upravljanje operativnim i sistemskim zapisima Upravljanje pričuvnom pohranom Upravljanje odnosima s pružateljima usluga Upravljanje odnosa s dobavljačima opreme Upravljanje razvojem IS-a Upravljanje fizičkom sigurnošću 9 9

10 Norme, standardi i okviri revizije IS-a
COBIT krovni okvir (34 procesa, 318 detaljnih kontrola) Prema područjima provjere razlikujemo sljedeće izvedene standarde upravljanje razvojem IS-a (CMMI, TickIT,...), upravljanje informatičkim uslugama (ITIL) upravljanje ulaganjima u informatiku (Val IT) upravljanje rizicima (Risk IT, MEHARI, PCI DSS, Basel II, ISO 27005) upravljanje sigurnošću IS-a (ISO 27000, NIST, SANS, IS3) upravljanje projektima (Prince 2, PMBOK) upravljanje kontinuitetom poslovanja (BS 25999), …. 10 10

11 Koraci provedbe revizije IS-a
Pregled – ‘snimka stanja’ informatike ili odabranog područja provjere (revizije) Određivanje prioriteta rada (određivanje objekta revizije IS-a i ciljeva kontrole) Detaljan pregled objekta revizije IS-a i testiranje kontrola (detaljni analitički testovi) Prikupljanje dokaza i procjena poslovnih rizika Preporuke i izvještaj revizora IS-a 11

12 Primjeri analitičkih testova sigurnosti IS-a
Ovlasti korisnika baze, ključnih aplikacija, OS-a (1, 2, 3 Sistemske postavke OS-a, baze (AS/400, 1, 2, 3) ‘Password policy’ (1, 2, 2, 3, 4, Pristup i ovlasti rada sa sistemskim skriptama, zapisima (1, 2 Pristupi ‘produkcijskoj’ aplikaciji i bazi (IP adrese, korisnici, ….) Razvojno, testno, produkcijsko okruženje ‘remote access’ na produkciju Postavke ključnih dijelova mreže (FW, routeri, VPN, DMZ, NTP), log testovi, nadzor mreže, ….. Penetracijski testovi, test otvorenih portova, IDS, …. 12

13 Vrednovanje dokaza i procjena rizika
Dokazi (organizacijski, tehnički, fizički, elektronički, opažanje, testovi, simulacija, …..) Čuvanje i pohranjivanje dokaza Procjena razine rizika i objašnjenje ‘poslovne’ vrijednosti Pisanje i prezentacija izvještaja revizora IS-a Upravi Usuglašavanje izvještaja Preporuke za poboljšanje prakse

14 Hvala. Prof.dr.sc. Mario Spremić Ekonomski fakultet Zagreb

Download ppt "Provedba analitičkih testova sigurnosti informacijskog sustava"

Similar presentations

Visa MasterCard incoming / outgoing Aplikacija VMC

Visa MasterCard incoming / outgoing Aplikacija VMC
22/10/20081 Poslovanje i sigurnost 2008 Business and security 2008 AKTUALNOSTI INFORMACIJSKE SIGURNOSTI U HRVATSKOM OKRUžENJU mag.oec.Saša Aksentijević,univ.spec.

22/10/20081 Poslovanje i sigurnost 2008 Business and security 2008 AKTUALNOSTI INFORMACIJSKE SIGURNOSTI U HRVATSKOM OKRUžENJU mag.oec.Saša Aksentijević,univ.spec.
1 Holcim (Hrvatska) d.o.o. 01.06.2011. Holcimova Mahovina.

1 Holcim (Hrvatska) d.o.o Holcimova Mahovina.
Rješenje za izradu obiteljskog stabla

Rješenje za izradu obiteljskog stabla
Primjena IT u financijskom izvještavanju

Primjena IT u financijskom izvještavanju
Google Analytics Analitika turističkih web stranica

Google Analytics Analitika turističkih web stranica
Analiza znanstvene produkcije u kliničkim i temeljnim znanostima na Medicinskom fakultetu Sveučilišta u Splitu: 2009. Ured za znanost.

Analiza znanstvene produkcije u kliničkim i temeljnim znanostima na Medicinskom fakultetu Sveučilišta u Splitu: Ured za znanost.
Korporativno upravljanje informatikom i IT revizija

Korporativno upravljanje informatikom i IT revizija
Lekcija: Američki bankarski sistem

Lekcija: Američki bankarski sistem
Provisioning Windowsa 10 na IoT, mobilnim i desktop uređajima

Provisioning Windowsa 10 na IoT, mobilnim i desktop uređajima
Damir Zec Pomorski fakultet u Rijeci

Damir Zec Pomorski fakultet u Rijeci
Programi zasnovani na prozorima

Programi zasnovani na prozorima
Kako provesti reviziju informacijskih sustava – regulativa i metode

Kako provesti reviziju informacijskih sustava – regulativa i metode
SVEUČILIŠTE U ZAGREBU FAKULTET ORGANIZACIJE I INFORMATIKE

SVEUČILIŠTE U ZAGREBU FAKULTET ORGANIZACIJE I INFORMATIKE
OPERACIJSKI SUSTAVI.

OPERACIJSKI SUSTAVI.
E-UČENJE Ivana Matišić, 907 Ivana Šimić, 875.

E-UČENJE Ivana Matišić, 907 Ivana Šimić, 875.
Informacijski sustavi

Informacijski sustavi
Poslovni informacioni sistemi

Poslovni informacioni sistemi
Pomoć informatičkih i računalnih stručnjaka u provedbi revizije

Pomoć informatičkih i računalnih stručnjaka u provedbi revizije
Stručno savjetovanje ovlaštenih revizora Zagreb, prosinca 2008

Stručno savjetovanje ovlaštenih revizora Zagreb, prosinca 2008

Similar presentations

Ads by Google