Biologie | Chimie | Didactica | Fizica | Geografie | Informatica | |
Istorie | Literatura | Matematica | Psihologie |
Standarde de audit ale sistemelor informatice
Nevoia de a putea evalua performantele sistemelor informatice, gradul lor de securitate, masura in care ele sustin procesele de afaceri derulate in cadrul companiilor si nevoia fundamentarii unor strategii IT in cadrul organizatiilor care sa corespunda strategiei globale a acestora au condus la elaborarea unor standarde cuprinzand obiective ale controlului functiei IT in cadrul organizatiilor. Au fost astfel elaborate o serie de standarde fie cu recunoastere nationala, fie cu recunoastere internationala. Dintre standardele internationale amintim:
Cele mai complete standarde, ghiduri si proceduri privitoare la evaluarea riscurilor si implementarea controlului sistemelor informatice sunt elaborate de catre ISACA (Information Systems Audit and Control Association). IT Governance Institute a publicat o serie de standarde privind definirea si implementarea obiectivelor controlului sistemelor informatice.
Aceste standarde au fost reunite sub denumirea de CobiT
-
Control Objectives for Information and related Technology
SAC - System Auditability and Control publicat de
catre IIARF (
Internal Control - Integrated Framework publicat de COSO (Commitee of Sponsoring Organizations of the Treadway Commission)
SAS55 cu amendamentul ulterior SAS78 (Consideration of the Internal Control Structure in Financial Statement Audit) publicat de AICPA (American Institute of Certified Public Accountants).
COBIT - Control Objectives for Information and Related Technology
CobiT10 este standardul elaborat in cadrul ISACA (Information Systems Audit
and control Association), organizatie profesionala mondiala care si-a asumat rolul de a centraliza si armoniza standardele de practica in domeniul controlului IT. Recunoasterea lui ca standard mondial in domeniul auditului IT, fiind utilizat in mai mult de 100 de tari, impune o prezentare distincta a acestuia.
CobiT reprezinta cadrul general de aplicare a practicilor de control si securitate a sistemelor informatice. Acest cadru general permite:
- managementul evaluarii practicilor de securitate si control ale mediului IT;
- asigurarea utilizatorilor de servicii IT ca exista o securitate si control adecvat;
- auditorilor sa-si argumenteze opiniile lor asupra controalelor interne si sa formuleze sugestii privitoare la securitatea IT si controalele implementate.
Nu ne putem propune o prezentare detaliata a acestui standard, dar consideram utila prezentarea cadrului general si a principalelor obiective de control pe care le prevede. CobiT contine urmatoarele documente11:
- Prezentarea generala (Executive Summary)
- Cadrul de lucru (Framework).
- Obiectivele controlului (Control Objectives)
- Ghidul pentru management (Management Guidelines)
- Ghidul pentru audit (Audit Guidelines)
- Instrumente de implementare (Implementation Tool Set).
Cadrul general al CobiT-ului pleaca de la o premisa simpla si pragmatica: pentru a oferi informatia de care are nevoie organizatia pentru a-si atinge obiectivele, resursele IT trebuie administrate printr-un set de procese. Cadrul general precizeaza un set de 34 de procese de nivel inalt pentru controlul obiectivelor grupate in patru domenii: planificare si organizare, achizitie si implementare, livrare si intretinere, monitorizare (figura 2.1.).
Standardul urmareste ca prin managementul IT sa se asigure organizatiei avantaje pe baza informatiilor dobandite si prin aceasta maximizarea beneficiilor, valorificarea oportunitatilor de afaceri si asigurarea avantajului in raport cu ceilalti competitori.
Ghidul pentru management (Management Guidelines) reprezinta actiuni de ordin general gandite sa dea raspuns urmatoarelor probleme de management (figura 2.2):
- Cat de departe trebuie sa mergem? Costurile sunt justificate prin beneficiul obtinut?
- Care trebuie sa fie indicatorii de buna performanta?
- Care sunt factorii critici de succes?
- Care sunt riscurile in cazul nerealizarii obiectivelor propuse?
- Ce fac ceilalti?
- Cum masuram si comparam?
Conform CobiTcaracteristicile informatiei sunt:
eficienta
eficacitate
confidentialitate
integritate
disponibilitate
conformitate
realitate (credibilitate).
Figura 2.1 Procesele definite in cadrul domeniilor conform CobiT
Resursele IT sunt reprezentate de:
aplicatii
tehnologie
facilitati
date
personal specializat.
Planificare si organizare: acopera strategia si tactica si se refera la modalitatea in care IT poate contribui la atingerea obiectivelor afacerii.
Elaborarea strategiei impune si definirea infrastructurii tehnologice necesare.
Achizitie si implementare: pentru definirea unei strategii IT trebuie stabilite solutiile IT care urmeaza sa fie dezvoltate sau achizitionate, implementate si integrate in procesele organizatiei. În acest domeniu se cuprind si dezvoltarile ulterioare si intretinerea sistemului.
Livrare si intretinere: priveste asigurarea serviciilor cerute, incepand cu executarea operatiilor, asigurarea securitatii etc. inclusiv pregatirea personalului.
Monitorizare: toate procesele IT trebuie evaluate periodic in privinta calitatii si conformitatii cu cerintele controlului.
Figura 2.2 Principalele componente CobiT
CobiT ofera modele pentru controlul proceselor IT care sa permita organizatiei sa se plaseze pe locul dorit in domeniul sau de activitate si la nivelele standardelor internationale la care doreste sa ajunga.
Factorii critici de succes ce urmeaza a fi realizati reprezinta cea mai importanta implementare a directivelor de management. Realizarea acestora este determinata si de controlul proceselor IT.
Indicatorii cheie tinta indica managementului daca procesele IT au raspuns cerintelor activitatii in cadrul organizatiei.
Indicatori cheie de performanta sunt indicatori reper care exprima masura in care procesele IT au permis atingerea obiectivelor fixate.
CobiT ofera si un set de instrumente pentru diagnosticarea functiei IT si de diagnostic al punctelor slabe la nivelul managementului cu scopul de a sustine analiza mediului IT din organizatie. CobiT este deci proiectat sa ajute la intelegerea si managementul riscurilor si beneficiilor asociate informatiei si legate de IT.
CobiT vizeaza si se adreseaza obiectivelor afacerii derulate in cadrul organizatiei. Obiectivele sale de control fac o legatura clara si distincta cu obiectivele afacerii cu scopul de a oferi sustinere comunitatii de audit. Obiectivele de control sunt definite intr-o abordare orientata proces urmand principiile reingineriei afacerii.
Cadrul general CobiT utilizeaza urmatoarele concepte:
Controlul este definit drept ansamblul politicilor, practicilor si structurilor organizationale proiectate sa ofere o incredere rezonabila asupra faptului ca obiectivele vor fi atinse si ca evenimentele nedorite vor fi prevenite sau identificate si corectate.
Controlul obiectivelor IT exprima rezultatele dorite sau scopurile de atins prin implementarea procedurilor de control intr-o activitate particulara IT.
Conducerea IT este definita ca o structura de relatii si procese pentru dirijarea si controlul organizatiei cu scopul de a atinge obiectivele acesteia adaugand valoare si contrabalansand riscul privind IT si procesele sale.
Pentru a raspunde obiectivelor afacerii, informatia trebuie sa se conformeze unui set de criterii pe care CobiT le structureaza astfel:
Criterii de calitate: calitate, cost, livrare.
Criterii fiduciare: eficienta si eficacitatea operatiilor, gradul de incredere in informatiile furnizate, conformitatea cu legile si reglementarile in vigoare.
Criterii de securitate: confidentialitate, integritate, disponibilitate.
Figura 2.3. Relatia dintre business, resursele IT si procesele IT
Aceste criterii de evaluare a informatiilor sunt definite astfel:
Eficacitatea vizeaza relevanta si pertinenta in raport cu procesele
afacerii precum si oportunitatea, corectitudinea, consistenta si utilitatea informatiei.
Eficienta priveste informatia oferita prin luarea in considerare a utilizarii optime a resurselor.
Confidentialitatea priveste protectia informatiilor "sensibile' fata de accesul neautorizat.
Integritatea se refera la acuratetea si completitudinea informatiilor precum si la validitatea acestora in raport cu afacerea derulata.
Disponibilitatea este caracteristica informatiei conform careia ea trebuie sa poata fi oferita in chiar momentul solicitarii de catre utilizatori.
Conformitatea are in vedere procesarea informatiei respectand normele legale (exemplu: modul de calcul al indicatorilor).
Realitatea (increderea) vizeaza masura in care informatiile raspund cerintelor de management astfel incat acesta sa-si poata exercita responsabilitatile financiare si de raportare conform normelor in vigoare.
Resursele IT sunt definite astfel in cadrul CobiT:
Datele sunt obiecte in sens larg (interne si externe), structurate sau nestructurate, grafica, sunet etc.
Aplicatiile reprezinta ansamblul procedurilor manuale si automate.
Tehnologia include: hardware, sisteme de operare, sisteme de gestiune a bazelor de date, retele, multimedia etc.
Facilitati cuprind ansamblul resurselor care sustin sistemul informational.
Personal specializat care trebuie sa posede capacitatea de a planifica, organiza, dobandi, furniza, sustine si monitoriza sistemul informational. .
IT este guvernat de practici urmarind ca informatia si tehnologiile sa sustina obiectivele afacerii, resursele sunt folosite in mod responsabil si riscurile sunt gestionate corespunzator. Aceste practici vizeaza domeniile enuntate mai devreme: planificare si organizare, achizitie si implementare, livrare si intretinere, monitorizare cu scopul asigurarii managementului riscurilor (in vederea asigurarii securitatii, increderii, conformitatii) si realizarea beneficiilor (cresterea eficacitatii si eficientei). Rapoartele sunt generate de activitatile IT si sunt supuse controlului (figura 2.412).
Planif. si organiz. Achiz. si implemen Livrare si intretine Monitorizare |
Managementul riscurilor |
Realizarea beneficiilor |
|
- securitate - incredere - conformitate |
Cresterea automatizarii - fii eficace |
Scaderea costurilor - fii eficient |
Figura 2.4
Cadrul general CobiT consta in obiective de control de nivel inalt si o structura globala pentru clasificarea acestora. În esenta, sunt definite trei nivele ale eforturilor IT privitoare la managementul resurselor. Pornind de la baza, regasim activitatile si task-urile (sarcinile elementare) necesare pentru atingerea unor rezultate masurabile. Un nivel mai sus regasim procesele reprezentand activitati sau taskuri reunite. La nivelul cel mai inalt sunt plasate domeniile care regrupeaza procese (figura 2.5).
Domenii
Procese
Activitati / Task-uri
Figura 2.5
Domeniile identificate constau din urmatoarele procese:
DOMENII |
PROCESE |
Planificare si organizare |
. Definirea planului strategic Definirea arhitecturii informationale . Determinarea nevoilor tehnologice |
. Definirea organizarii IT si a relatiilor . Managementul investitiilor in IT . Comunicarea scopurilor si directivelor manageriale . Administrarea resurselor umane . Asigurarea corespondentei cu cerintele externe . Riscurile bunurilor . Administrarea proiectelor . Administrarea calitatii |
|
Achizitie si implementare |
. Identificarea solutiilor (automate) . Achizitia si intretinerea software-ului de aplicatie . Achizitia si intretinerea infrastructurii tehnice . Dezvoltarea si intretinerea procedurilor . Instalarea sistemelor . Managementul schimbarii |
Livrarea si intretinerea |
. Definirea si administrarea nivelelor de servicii . Administrarea serviciilor externe . Administrarea performantei si capacitatii . Asigurarea continua a serviciului . Asigurarea securitatii sistemului . Identificarea si alocarea costurilor . Educarea si formarea utilizatorilor . Asistarea clientilor si consultanta . Administrarea configuratiei Administrarea problemelor si incidentelor Administrarea datelor . Administrarea facilitatilor . Administrarea operatiilor |
Monitorizarea |
. Monitorizarea proceselor Aprecierea adecvarii controlului intern . Obtinerea unei asigurari independente . Sustinerea auditului independent. |
Standardele ISA si IAPS
Standardele ISA si IAPS, elaborate de IFAC, reglementeaza o serie de probleme deosebit de sensibile si anume evaluarea riscurilor, controlului si auditul in sistemele informatice. Deosebit de importante sunt, in acest sens, urmatoarele reglementari:
- ISA - 400 Evaluarea riscurilor si a controlului intern
- ISA - 401 Procesul de audit in cadrul sistemelor informatice
- IAPS - 1008 Evaluarea riscurilor si controlului intern din cadrul sistemelor informatice.
Standardul ISO 9126
ISO 912613 este standardul pentru evaluarea produselor software elaborat de Organizatia Internationala de Standardizare (International Organization of Standardisation). Acest standard international defineste sase caracteristici care descriu calitatea software.
Specificarea calitatii unui produs software este dificila atat pentru cumparator cat si pentru vanzator. Cumparatorul are nevoie sa inteleaga clar si in egala masura sa poata comunica cerintele sale pentru produsul ce urmeaza a fi realizat. Furnizorul de software trebuie sa aiba certitudinea ca a inteles cerintele si ca este capabil sa aprecieze daca este posibil sa realizeze produsul software la nivelul de calitate necesar. in consecinta, ISO 9126 va servi la eliminarea neintelegerilor intre cumparatorul si furnizorul produsului software.
ISO 9126 ofera definitia caracteristicilor si a proceselor de evaluare asociate necesar a fi utilizate in specificarea cerintelor pentru evaluarea calitatii unui produs software de-a lungul ciclului sau de viata. Acest standard nu ofera subcaracteristici si metrici, nici metode de masurare, rating sau evaluare.
Cele sase caracteristici definite de standard sunt urmatoarele:
Standardul induce trei viziuni diferite apartinand utilizatorului, producatorului si managerului.
Utilizatorul nu este interesat de modul in care se realizeaza produsul software ci de performantele pe care le asigura si efectele utilizarii sale. De aceea intrebarile pe care le pune sunt:
- Sunt disponibile in produsul software functiile solicitate?
- Cat de sigur este produsul software?
- Cat de eficient este produsul software?
- Este usor de utilizat?
- Cat de usor este de transferat pe un alt mediu?
Producatorul de soft urmeaza sa realizeze un produs software care sa satisfaca cerintele de calitate atat pe etapele intermediare de realizare cat si la finalizarea acestuia. Pentru a putea evalua calitatea produsului software in diferitele etape ale ciclului de viata ale acestuia, producatorul de software trebuie sa utilizeze diferiti metrici (masuratori) pentru aceleasi caracteristici deoarece, nu pot fi utilizati aceeasi metrici pe toate fazele ciclului de viata a produsului software.
Managerul este interesat in mod deosebit de nivelul de calitate, vazut ca un intreg, si mai putin de caracteristici individuale de calitate. El urmareste ca produsul software sa raspunda cerintelor afacerii pe care o conduce si iar imbunatatirile de calitate ale softwareului sa se incadreze in anumite limite ale costului, resurselor umane si timp afectat.
În vederea asigurarii calitatii produsului pot fi urmate doua abordari: una priveste procesul in care produsul este dezvoltat (ISO 9001) iar cea de a doua asigura evaluarea calitatii produsului (ISO 9126). Amandoua abordarile sunt importante si cer un sistem de management al calitatii.
ISO 9001 a fost elaborat pentru a permite furnizorului sa demonstreze cumparatorului sau unei a treia parti independente ca au fost implementate elementele sistemului de calitate privind proiectarea/dezvoltarea, productia, instalarea si serviciile conexe.
ISO 9000-3 reprezinta un ghid pentru aplicarea ISO 9001 pentru dezvoltarea, furnizarea si intretinerea software-ului. Acest ghid recunoaste ciclul de viata al software-ului ca o trasatura fundamentala a procesului de dezvoltare iar elementele sistemului de calitate sunt asociate etapelor ciclului de viata.
Cerintele sistemului de calitate sunt reunite in trei grupuri:
Sistemul de calitate
Activitatile ciclului de viata
Activitati suport
Sistemul de calitate acopera urmatoarele practici asociate cu sistemele de dezvoltare:
Calitatea managementului care cuprinde:
- Auditul intern al calitatii
- Actiuni de corectie (ca urmare a constatarilor auditului intern).
Componenta tehnica care cuprinde:
- Verificarea contractului
- Standarde ale acceptarii trasaturilor si cerintelor produsului.
- Controlul proiectarii (incluzand verificarea produsului)
- Modificari la nivelul proiectarii (inclusiv inspectia si aprobarea)
- Controlul procesului (instructiuni de executie si standarde)
- Cumparatorul - Vanzatorul produsului (verificare, stocare, intretinere)
- Inspectare si testare
- Controlul produselor necorespunzatoare (include verificare si refacere)
- Inspectarea, masurarea si testarea echipamentului
- Manevrarea produsului, stocare, ambalare si livrare
- Service.
Elemente de suport care presupun:
- Controlul documentelor
- Înregistrarea calitatii
- Identificarea
produsului si urmarirea produsului
- Tehnici statistice (verificarea
capabilitatii procesului si eficacitatea produsului)
- Formarea utilizatorilor.
Copyright © 2024 - Toate drepturile rezervate