2007.10_Audyt systemów informatycznych.pdf

Audyt systemów

informatycznych

Bezpieczna Firma

Wojciech Malec

stopień trudności

Żadne rozwiązania informatyczne nie są w pełni doskonałe,

a sama organizacja bezpieczeństwa teleinformatycznego nie jest

łatwym zadaniem. Taka sytuacja rodzi duże prawdopodobieństwo

powstania nieprawidłowości i nadużyć, które nieuchronnie

prowadzą do braku osiągnięcia celów biznesowych, poniesienia

strat inansowych lub też upadłości organizacji.

to proces zbierania i oceniania dowo-

dów w celu określenia, czy system in-

formatyczny i związane z nim zasoby właści-

wie chronią majątek, utrzymują integralność

danych, dostarczają odpowiednich i rzetelnych

informacji, osiągają efektywnie cele organiza-

cji, oszczędnie wykorzystują zasoby i stosują

mechanizmy kontroli wewnętrznej tak, aby do-

starczyć rozsądnego zapewnienia, że osiąga-

ne są cele operacyjne i kontrolne oraz że chro-

ni się przed niepożądanymi zdarzeniami lub są

one na czas wykrywane, a ich skutki na czas

korygowane.

Nikogo nie trzeba przekonywać, że współ-

czesne środowisko zarówno międzynarodo-

wego, jak i lokalnego biznesu nie może się

obyć bez wsparcia ze strony rozwiązań infor-

matycznych. Ciągły rozwój nowych technolo-

gii usprawnia działanie irmy, wspomaga osią-

ganie celów biznesowych i zwiększa konku-

rencyjność organizacji. Pomimo tak wielu za-

let, jakie przynosi informatyzacja dla instytucji

i podmiotów gospodarczych, musimy przyjrzeć

się zagrożeniom, jakim w związku z nią przyj-

dzie nam stawić czoła. Badania Europejskie-

go Instytutu Zarządzania dowodzą, że co ro-

ku każda duża irma traci około 1,6 mln euro w

wyniku nieodpowiedniego zarządzania infra-

strukturą i systemami informatycznymi. Szacu-

je się również, że w małych i średnich irmach

jest podobny problem – straty w przychodach

z tytułu złego zarządzania w IT sięgają 15%

– 25%. Według badań uniwersytetu w Chicago

połowa irm, którym skradziono dane, bankru-

tuje prawie natychmiast, zaś 30% w ciągu na-

stępnego roku. Potrzeba i konieczność ochro-

ny informacji przed stale rosnącą liczbą nad-

użyć, świadomych lub nieświadomych działań

lub też zaniechania poczynań przeciw zagro-

Z artykułu dowiesz się

• co to jest i jak powstał audyt informatyczny,

• jakie są najważniejsze organizacje zawodowe

właściwe dla audytu informatycznego, jakie są

certyikaty dla audytorów i w jakim celu są wy-

dawane.

Co powinieneś wiedzieć

• znać podstawowe zasady bezpieczeństwa in-

formatycznego.

hakin9 Nr 10/2007

www.hakin9.org

A udyt informatyczny (wg. ISACA) – jest

Audyt systemów informatycznych

żeniom jest oczywista. Liczba spo-

sobów ochrony przed zagrożenia-

mi, a także narzędzi pomocniczych,

stale wzrasta. Dobór odpowiednich

mechanizmów tak, aby odpowiada-

ły potrzebom i możliwościom organi-

zacji wymaga zastosowania dodat-

kowych narzędzi. Do tych właśnie

celów ma zastosowanie audyt sys-

temów informatycznych. Jako nie-

zależne źródło kontroli organizacji

bezpieczeństwa systemów informa-

tycznych, audyt nie tylko weryikuje

dobór zastosowanych środków, ale

bardzo często zapobiega naduży-

ciom i przestępstwom wymierzo-

nym w organizację. Ceny audytów

informatycznych są zależne od ich

zakresu. Jeśli chodzi tylko o audyt

sprzętu, oprogramowania na nim za-

instalowanego i jego legalności, na-

leży liczyć ok. 90 PLN za stację ro-

boczą.

rządzaniu i kontroli energicznie roz-

wijających się technologii informa-

tycznych, jak również stale rosnące

zagrożenia mające wpływ na bez-

pieczeństwo informacji, spowodo-

wały powstanie audytu informatycz-

nego. Tak jak w przypadku audytu i-

nansowego, instytucje zaczęły two-

rzyć specjalne działy wyspecjalizo-

wane w prowadzeniu audytu infor-

matycznego.

troli systemów informatycznych tej

organizacji jest COBIT – C ontrol Ob-

jectives for Information and Related

Technology . Innym znanym standar-

dem audytu środowiska sieciowego

jest CONeCT – Control Objectives

for Net Centric Technology.

IIA

The Institute of Internal Auditors – to

międzynarodowa organizacja sku-

piająca audytorów wewnętrznych

(ponad 80 tysięcy członków w 120

krajach). Polski oddział został zare-

jestrowany w 2002 roku jako Stowa-

rzyszenie Audytorów Wewnętrznych

IIA-Polska. Organizacja ta zrzesza

zarówno obecnych audytorów, jak i

kandydatów. Do stowarzyszenia mo-

gą należeć także inne osoby zainte-

resowane tą profesją – kontrolerzy,

księgowi, członkowie rad nadzor-

czych, pracownicy naukowi, studen-

ci związanych kierunków.

Główne cele IIA:

Organizacje zawodowe

W ramach audytów inansowych

powstały organizacje zrzeszają-

ce i w pewien sposób autoryzujące

profesjonalistów w dziedzinie audy-

tu inansowego. Podobnie stało się

w obszarze audytu informatyczne-

go. Potrzeba kontaktów w celach

wymiany poglądów, wiedzy i do-

świadczeń, a także ustalania stan-

dardów wśród audytorów informa-

tycznych zaowocowała powstaniem

organizacji zawodowych jednoczą-

cych ludzi wykonujących wspólną

profesję.

Historia audytu

informatycznego

Audyt jako pierwszy pojawił się w

sektorze inansów, gdzie badano

sprawozdania inansowe przedsię-

biorstw i instytucji. W obszarze au-

dytu inansowego powołano orga-

nizacje, które mają za zadanie po-

twierdzić kwaliikacje audytorów

ksiąg rachunkowych poprzez certy-

ikację. Z tą dziedziną związana jest

międzynarodowa organizacja Asso-

ciation of Chartered Certiied Acco-

untants – Stowarzyszenie Certyiko-

wanych Księgowych a w Polsce Kra-

jowa Izba Biegłych Rewidentów. Na-

stępnym krokiem przyczyniającym

się do rozwoju audytu było rozpropa-

gowanie i rozwój audytu wewnętrz-

nego. W tej dziedzinie powstała

międzynarodowa organizacja Insty-

tut Audytorów Wewnętrznych – In-

stitute of Internal Auditors , do kom-

petencji której należy między inny-

mi ustalanie właściwych standar-

dów. W Polsce odpowiednikiem tej

organizacji jest Polski Instytut Kon-

troli Wewnętrznej. Z początku przed-

miotem audytu była tylko dziedzina

inansowa, później nastąpiła ewolu-

cja i zakres audytu rozszerzył się na

wszystkie procesy występujące w in-

stytucji. Trudności w organizacji, za-

• działalność promocyjna audytora

wewnętrznego,

• upowszechnianie międzynarodo-

wych Standardów Profesjonalnej

Praktyki Audytu Wewnętrznego,

• podejmowanie i prowadzenie

działalności w zakresie doskona-

lenia kwaliikacji dla prawidłowe-

go wykonywania zawodu audyto-

ra wewnętrznego oraz możliwo-

ści zatrudnienia,

• reprezentowanie i ochrona praw i

interesów zawodowych członków

stowarzyszenia,

• krzewienie poczucia godności i

wspólnoty zawodowej oraz upo-

wszechnienie pozycji i znaczenia

zawodu audytora wewnętrznego,

• stworzenie forum wymiany do-

świadczeń,

• krzewienie i propagowanie za-

sad etyki i rzetelności, lojalności

zawodowej oraz uczciwej konku-

rencji,

• czuwanie nad przestrzeganiem

tych zasad,

• prowadzenie działalności nauko-

wo-dydaktycznej (w tym również

kształcenie studentów), jak i sze-

roko rozumianej działalności kul-

turalnej.

ISACA

Information Systems Audit and Con-

trol Organisation – pierwsza i naj-

większa międzynarodowa organiza-

cja w dziedzinie audytu informatycz-

nego powstała w roku 1967. Dziś li-

czy ponad 50 000 osób w prze-

szło 140 krajach na całym świecie.

W Polsce od 1997 roku istnieje je-

den oddział stowarzyszenia – ISA-

CA Warsaw Charter . Organizacja ta

ma na celu podnoszenie wiedzy oraz

praktyki w obszarze audytu i kontro-

li systemów informatycznych. Człon-

kowie stowarzyszenia i posiadacze

certyikatów ISACA są zobowiąza-

ni do przestrzegania zasad postę-

powania Kodeksu Etyki Zawodowej.

ISACA wspiera i promuje także stan-

dardy i dobre praktyki skutecznego

zarządzania oraz kontroli technolo-

gii informatycznych. Stowarzysze-

nie to jest między innymi autorem

programu PSS – Professional Semi-

nar Serie s, wydaje certyikaty CISA

– Certiied Information Systems Au-

ditor i CISM – Certiied Information

Security Manager. Najbardziej zna-

nym standardem zarządzania i kon-

www.hakin9.org

hakin9 Nr 10/2007

Bezpieczeństwo w firmie

Instytut Audytorów Wewnętrznych

daje możliwość uzyskania certyi-

katów zawodowych poświadczają-

cych międzynarodowe przygotowa-

nie zawodowe w zakresie audytu

wewnętrznego. Zasadniczym mię-

dzynarodowym certyikatem jest CIA

– Certiied Internal Auditor.

tego celu wyznaczony komitet – CI-

SA Certiication Board.

Cel programu certyikacji:

liwość pogłębienia tej wiedzy na róż-

nego rodzaju studiach podyplomo-

wych. Koszt certyikacji to wydatek

360 – 530 USD w zależności od ter-

minu rejestracji na egzamin i przyna-

leżność do organizacji ISACA. Zniż-

ki są przyznawane dla członków or-

ganizacji i przy wcześniejszym zgło-

szeniu on-line na stronie http://

www.isaca.org/examreg .

Zagadnienia obowiązujące na

egzaminie CISA:

• rozwój i utrzymanie narzędzi te-

stowania, służących do oceny in-

dywidualnych kompetencji w za-

kresie audytów informatycznych,

• dostarczanie mechanizmów mo-

tywujących do utrzymywania

swoich kompetencji oraz moni-

torowania efektów programów

szkoleniowych,

• pomoc kadrze kierowniczej w

rozwijaniu funkcji kontroli syste-

mów informatycznych.

PIKW

Polski Instytut Kontroli Wewnętrznej

– jest to instytucja założona w roku

1998, która przygotowuje kadry do

oceny systemów kontroli wewnętrz-

nej i profesjonalnego wykonywania

zawodu audytora wewnętrznego.

Organizacja ta zajmuje się proble-

matyką systemów kontroli wewnętrz-

nej, audytu wewnętrznego, proce-

sów zarządzania ryzykiem, zarzą-

dzania korporacyjnego (governan-

ce), wykrywania i zapobiegania ko-

rupcji, oszustwom oraz nadużyciom.

Wspomaga też kształcenie audyto-

rów i kontrolerów wewnętrznych za-

trudnionych we wszystkich organi-

zacjach gospodarki i administracji

państwowej w Polsce. Instytut ten

współpracuje z międzynarodowymi

organizacjami, dostosowuje najlep-

sze standardy i praktyki stosowane

na całym świecie (szczególnie w kra-

jach UE) do polskich warunków.

• proces audytowania systemów

informatycznych – 10% pytań,

• zarządzanie, planowanie i orga-

nizacja systemów informatycz-

nych – 11% pytań,

• infrastruktura techniczna i prak-

tyki operacyjne – 13% pytań,

• ochrona zasobów informacyj-

nych – 25% pytań,

• odtwarzanie po katastrofach i

ciągłość biznesu – 10% pytań,

• rozwój, nabywanie, wdrażanie i

utrzymywanie biznesowych sys-

temów aplikacyjnych – 16% py-

tań,

• ocena procesu biznesowego i

zarządzanie ryzykiem – 15% py-

tań.

Certyikat ten posiada już około 12

000 osób na całym świecie. Egza-

min odbywa się dwa razy do roku: w

drugą sobotę czerwca i drugą sobotę

grudnia. W Polsce egzamin ma miej-

sce w Warszawie. Wymagania dla

kandydatów chcących uzyskać cer-

tyikat CISA:

• udokumentowanie minimum pię-

ciu lat praktyki w zakresie audy-

tu, kontroli i bezpieczeństwa sys-

temów informatycznych,

• opłacenie kosztów egzaminu,

• zdanie egzaminu,

• stosowanie Kodeksu Etyki Zawo-

dowej ISACA.

CISM

Certiied Information Security Ma-

nager – jest to certyikat opracowa-

ny także przez organizację ISACA,

jednak skierowany dla zarządzają-

cych, projektujących, wdrażających

i rozwijających proces bezpieczeń-

stwa organizacji. Osoby szczególnie

zasłużone dla rozwoju audytu sys-

temów informatycznych otrzymały

ten certyikat jako pierwsze. Obec-

nie, aby móc tytułować się tym cer-

tyikatem, oprócz udokumentowania

wieloletniego doświadczenia zawo-

dowego, należy także zdać egzamin.

Egzamin CISM odbywa się w tych

Certyikacja

W celu uwiarygodnienia dostaw-

ców usług audytorskich o należy-

tym poziomie profesjonalizmu, za-

istniała potrzeba udokumentowania

i potwierdzenia uprawnień oraz obo-

wiązków. Dla poświadczenia kompe-

tencji grupy zawodowej audytorów

systemów informatycznych, właści-

we organizacje opracowały progra-

my certyikujące.

Certyikat CISA ma obecnie dość

duże znaczenie na rynku pracy, sta-

nowi bowiem poświadczenie kompe-

tencji zawodowych osoby posiadają-

cej certyikat oraz stałe podnosze-

nie kwaliikacji dzięki polityce ciągłe-

go kształcenia. Z tego także powo-

du liczba kandydatów do egzaminu

CISA stale wzrasta. Egzamin CISA

składa się z 200 pytań. Do każdego

pytania są cztery odpowiedzi, z któ-

rych jedna jest poprawna. Egzamin

trwa cztery godziny, prowadzony jest

w językach: angielskim, duńskim,

francuskim, hebrajskim, hiszpań-

skim, japońskim, koreańskim, nie-

mieckim i włoskim. Wiedzę z zakre-

su egzaminu można zdobyć na spe-

cjalnych szkoleniach przygotowa-

nych przez stowarzyszenie ISACA.

Również uczelnie – zarówno pań-

stwowe, jak i prywatne – dają moż-

CISA

Certiied Information Systems Au-

ditor – to międzynarodowy program

certyikacji audytorów systemów in-

formatycznych opracowany przez

organizację ISACA. Certyikat ten

ma za zadanie utrzymanie właści-

wego poziomu zawodowego osób

związanych z bezpieczeństwem in-

formatycznym. Nad rozwojem syste-

mu certyikacji czuwa specjalnie do

Literatura

Marian Molski, Małgorzata Łacheta,

Przewodnik audytora systemów informa-

tycznych , Wydawnictwo HELION, 2007.

Tomasz Polaczek, Audyt bezpieczeń-

stwa informacji w praktyce , Wydawnic-

two HELION, 2006.

hakin9 Nr 10/2007

www.hakin9.org

Audyt systemów informatycznych

samych terminach co CISA, forma

egzaminu jest też bardzo podobna.

Koszt certyikacji jest zależny termi-

nu egzaminu i przynależności do or-

ganizacji ISACA, wynosi identycz-

nie jak w przypadku egzaminu CISA

od 360 do 530 USD. Wymagania dla

kandydatów chcących uzyskać cer-

tyikat CISM:

• CFSA – Certiied Financial Servi-

ces Auditor,

• CGAP – Certiied Government

Auditing Professional,

• CCSA – Certiication in Control

Self-Assessment .

• monitorowanie wyników zadań:

5% – 15%,

• elementy wiedzy w zakresie

oszustw: 5% – 15%,

• narzędzia do realizacji zadań au-

dytorskich: 15% – 25%.

Egzaminy CIA odbywają się dwa ra-

zy do roku – w maju i listopadzie, tak-

że w Polsce. Szkolenia przygotowaw-

cze prowadzi między innymi Ernst &

Young Academy of Business . Koszt

uzyskania certyikatu obejmuje opła-

tę rejestracyjną ważną przez 2 lata,

która wynosi 30 USD dla studentów,

60 USD dla członków IIA lub 75 USD

dla pozostałych osób. Za każdy egza-

min należy uiścić opłatę w wysokości

odpowiednio 35 USD – studenci, 70

USD – członkowie IIA oraz 95 USD

– pozostałe osoby. Program egzami-

nu składa się z czterech części. Na-

leży tu podkreślić, iż posiadanie cer-

tyikatu CISA zwalnia z czwartej czę-

ści egzaminu.

Część III

Analizy biznesowe i technologie in-

formatyczne:

• udokumentowanie minimum pię-

ciu lat praktyki w obszarze bez-

pieczeństwa systemów informa-

tycznych,

• opłacenie kosztów egzaminu,

• zdanie egzaminu CISM,

• stosowanie Kodeksu Etyki Zawo-

dowej ISACA.

• procesy biznesowe: 15% – 25%,

• rachunkowość inansowa i inan-

se: 15% – 25%,

• rachunkowość zarządcza: 10%

– 20%,

• regulacje, prawo i ekonomia: 5%

– 15%,

• technologie informatyczne (IT):

30% – 40%.

CIA

Certiied Internal Auditor – certyikat

ten oferowany jest przez organizację

IIA. Sprawdza i zaświadcza wiedzę

i umiejętności w zakresie niezbęd-

nym do wykonywania zawodu audy-

tora wewnętrznego. Wymagania dla

kandydatów chcących uzyskać cer-

tyikat CIA:

Część IV

Umiejętności w zarządzaniu przed-

siębiorstwem:

Część I

Rola procesu audytu wewnętrznego

w zakresie nadzoru korporacyjnego,

ryzyka i kontroli:

• zarządzanie strategiczne: 20%

– 30%,

• globalne otoczenie biznesowe:

15% – 25%,

• działania w organizacji: 20%

– 30%,

• umiejętności kierownicze: 20%

– 30%,

• negocjacje: 5% – 15%.

• posiadanie minimum dwuletnie-

go doświadczenia w audycie we-

wnętrznym,

• przedstawienie poświadczenia o

postawie zawodowej i moralnej

kandydata,

• ukończenie studiów wyższych z

dyplomem minimum licencjata,

• zdanie czterech części egzami-

nu.

• zgodność ze standardami IIA do-

tyczącymi atrybutów audytu we-

wnętrznego: 15% – 25%,

• tworzenie planu oraz określe-

nie priorytetów działania audytu

wewnętrznego kierując się ryzy-

kiem: 15% – 25%,

• rozumienie roli procesu audytu

wewnętrznego w zakresie nadzo-

ru organizacyjnego: 10% – 20%,

• wypełnianie pozostałych ról i

odpowiedzialności audytu we-

wnętrznego: 0% – 10%,

• elementy wiedzy w zakresie nad-

zoru organizacyjnego, ryzyka i

kontroli: 15% – 25%,

• planowanie zadań: 15% – 25%.

Podsumowanie

W procesie audytu bardzo waż-

nym składnikiem jest czynnik ludz-

ki. Pomimo zastosowania właści-

wych standardów i metodyk audy-

tów systemów informatycznych or-

ganizacje chętnie zlecają przepro-

wadzenie audytów irmom, które

posiadają certyikowanych audy-

torów. Takie podejście nie wyklu-

cza, lecz minimalizuje możliwość

wystąpienia błędu ludzkiego przy

przeprowadzaniu czynności audy-

torskich. Konsekwencją przepro-

wadzenia audytów informatycz-

nych na wysokim poziomie jest do-

starczenie rzetelnych informacji,

większa ochrona instytucji przed

niepożądanymi zdarzeniami, lep-

sze zabezpieczenie majątku irmy i

racjonalne wykorzystanie zasobów

informatycznych. l

Instytut IIA przyznał już ponad 40

tysięcy takich certyikatów. Oferuje

także trzy inne specjalistyczne cer-

tyikaty:

O autorze

Wojciech Malec – audytor wewnętrzny

Systemu Zarządzania Jakością, spe-

cjalista w zakresie ochrony informacji

prawnie chronionych, odpowiedzialny

za implementacje zasad bezpieczeń-

stwa w nowych projektach informa-

tycznych. Redaktor portalu http://www.

ochronainformacji.pl .

Kontakt z autorem:

w.malec@ochronainformacji.pl .

Część II

Wykonywanie zadań audytu we-

wnętrznego:

• wykonywanie zadań: 25%

– 35%,

• wykonywanie zadań szczegól-

nych: 25% – 35%,

www.hakin9.org

hakin9 Nr 10/2007

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: