Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja...
Transcript of Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja...
![Page 1: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/1.jpg)
Revizija informacijskog sustava
Dalibor Uremović
Zavod za ispitivanje kvalitete d.o.o.
![Page 2: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/2.jpg)
Sponzori
![Page 3: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/3.jpg)
![Page 4: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/4.jpg)
Preduvjeti
Nema...
![Page 5: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/5.jpg)
Sadržaj predavanja
![Page 6: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/6.jpg)
Informacijska sigurnost
Prvi pisani trag iz područja informacijske
sigurnosti?
![Page 7: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/7.jpg)
Brdo standarda, smjernica, okosnica, ...
BS 25999 ISO 27001
ISO 27002
COBIT
ITIL
COSO
ISO 20000
ISO 24760
SOX
BASEL II
ISO 15408
![Page 8: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/8.jpg)
Informacijska imovina
poslovna dokumentacija,
ugovori s poslovnim partnerima,
dokumentacija o poslovnim rezultatima,
radne procedure i upute,
baze podataka,
datoteke,
aplikacijska, sistemska i komunikacijska programska oprema,
razvojni alati,
korisnička upute,
materijali za izobrazbu,
planovi kontinuiteta poslovanja,
informacije o zaposlenicima i korisnicima,
imidž tvrtke,
informacije o uslugama,
itd....
![Page 9: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/9.jpg)
Regulatorski zahtjevi
Odluka o primjerenom upravljanju informacijskim sustavom (srpanj 2007.)
članci 16. i 17. Od Banke se traži obavljanje unutarnje revizije informacijskog sustava banke te usvajanje metodologije za provođenje revizije
informacijskog sustava
![Page 10: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/10.jpg)
Što je revizija?
Vrednovanje uspostavljenih kontrolnih
mehanizama i procedura odnosno ocjena
usklađenosti s “dobrom praksom”,
standardima i metodama
![Page 11: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/11.jpg)
Zašto revizija?
Zakonski, ugovorni ili regulatorni zahtjevi
Prepoznavanje uspješnosti implementiranog
sustava prema postavljenim ciljevima
Vrednovanje IS-a prema najboljim svjetskim
praksama
Sprječavanje ili smanjenje odgovarajućih rizika
Podizanje svjesnosti o primjerenom upravljanju
IS-om (uvid u funkcioniranje IS-a)
Miran san
![Page 12: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/12.jpg)
Područja revizije
![Page 13: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/13.jpg)
Kako se izvodi revizija (1)
Upute za provođenje revizije
- ISO 19011 smjernice za revizore sustava kvalitete i okoliša
- CobiT -> “Audit guidelines” od ISACA-e -> CISA
- ISO -> ISO 27007 smjernice za reviziju ISMS-a
- ITIL -> Continual Service Improvement (reporting, measurement)
![Page 14: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/14.jpg)
Kako se izvodi revizija (2)
DA/NE pitalice
Kontrolne liste
Razgovor i promatranje implementacije
Uzimanje uzorka (eng. sampling)
CAAT alati/tehnike
![Page 15: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/15.jpg)
Kako se izvodi revizija (3)
Organizacijske
mjere zaštite
Tehničke
mjere zaštite
![Page 16: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/16.jpg)
CAAT alati/tehnike
eng. Computer Assisted Auditing Techniques/Tools
računalno podržani revizijski alati
uporaba statističkih i matematičkih funkcija
specijalizirane tehnike analize podataka slučajno generiranje uzoraka
devijacije
medijani, srednje vrijednosti, trendovi
raslojavanje podataka
otkrivanje praznina
sumnjivi uzorci u podacima
otkrivanje if-then pravila
pronalaženje sumnjivih veza među podacima
![Page 17: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/17.jpg)
CAAT alati/tehnike
Excel
MS Access
ACL
IDEA
....
Picalo (open source)
![Page 18: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/18.jpg)
i MS ima (će imati) konja za utrku...
ACE tim (Application Consulting & Engineering)
sustav upravljanja sigurnosnim
atributima u životnom ciklusu
razvoja aplikacija
pisanje sigurnosnog koda
vrednovanje stanja sustava s
željenim politikama,
procedurama, standardima, ...
![Page 19: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/19.jpg)
TCM Spider - screenshot
![Page 20: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/20.jpg)
Top 5 najrizičnijih područja
![Page 21: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/21.jpg)
Upravljanje konfiguracijama
postavke sustava
pradenje izmjena tijekom vremena
odgovornosti i ovlaštenja
početna konfiguracija
godišnji odmori i bolovanja
reinstalacije
![Page 22: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/22.jpg)
Rizici
Izvješća o riziku
Izračunavanje rizika
Pregled izračunatog
rizika
Procjena rizika
Inicijalizacija
procesa
procjene
Identifikacija i
vrednovanje
imovine
Identifikacija i
vrednovanje
prijetnja i
ranjivosti
Obrada
rizika
![Page 23: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/23.jpg)
Upravljanje promjenama
Razvoj Testiranje Produkcija
![Page 24: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/24.jpg)
Organizacija inf. sigurnosti
Što ovdje nije u redu?
![Page 25: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/25.jpg)
Razina svijesti o inf. sigurnosti
obuka i podizanje svijesti
Ljudi će:
zapisivati svoje lozinke izabrati lako prepoznatljive lozinke redi drugima svoje lozinke ako ih se pita ugasiti lokalni antivirusni program odgovoriti na upit ne provjeravajudi pošiljatelja (mail, telefon, ...) prenositi osjetljive podatke na privatnim usb, pda, ... osloniti se na druge otvoriti vrata drugima radi pristojnosti razvijati i testirati na produkcijskim serverima .......
![Page 26: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/26.jpg)
Ispunite upitnike i osvojite nagrade
Petak: Microsoft Office Professional 2007
![Page 27: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/27.jpg)
Povezani sadržaji
Neprekinuto poslovanje i oporavak od nepogode (BC/DR)
Poslovne primjene
Goran Pizent, Mobilnet
Hotel Grand, dvorana Lavanda
Petak, 25.04.2008., 10:00-10:50
CASE: WinDays Network 2008 Poslovne primjene
Ivica Ivančić, Infinitas Grupa d.o.o.
Hotel Grand, dvorana Mimoza
Petak, 25.04.2008., 12:20-13:10
![Page 29: Revizija informacijskog sustava · 2013-01-05 · Picalo (open source) i MS ima (će imati) konja za utrku... ACE tim (Application Consulting & Engineering) sustav upravljanja sigurnosnim](https://reader033.fdocuments.net/reader033/viewer/2022042001/5e6de3e6ce406225b7071283/html5/thumbnails/29.jpg)
HVALA!