PROIECT:

AUDITUL SISTEMULUI
INFORMATIC
Profesor: Conf. dr. ing. Dorel
Dumnes!u
Asis"en": Elen# Co$o!#ru
S"uden": %re&e#nu Mir!e# L#uren'iu
(ru)#: *+,-
PLOIE.TI
1. Auditul sistemului informatic
1.1. Obiectul auditului pentru sistemele informatice
Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor
probe pentru a determina dac sistemul informatic este securizat, menine integritatea datelor
prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz
eficient resursele informaionale. n cadrul unei misiuni de audit a sistemului informatic cele mai
frecvente operaii sunt verificrile, evalurile i testrile mijloacelor informaionale, astfel:
- identificarea i evaluarea riscurilor din sistem
- evaluarea i testarea controlului din sistem
- verificarea i evaluarea fizic a mediului informaional
- verificarea i evaluarea administrrii sistemului informatic
- verificarea i evaluarea aplicailor informatice
- verificarea i evaluarea securitii reelelor de calculatoare
- verificarea i evaluarea planurilor i procedurilor de recuperare n caz de dezastre i
continuare a activitii
- testarea integritii datelor.
Auditul informatic reprezint o form esenial prin care se verific dac un sistem
informatic i atinge obiectivul pentru care a fost elaborat. !tandardele europene definesc clar
domeniul, activitile, etapele, coninutul auditrii i formele de finalizare. "espect#nd cerinele
standardelor, rezultatul procesului de auditare informatic este eliberat de riscurile contestrii.
Auditul informatic reprezint un domeniu cuprinztor n care sunt incluse toate activitile de
auditare pentru : specificaii, proiecte, soft$are, baze de date, procesele specifice ciclului de
via ale unui program, ale unei aplicaii informatice, ale unui sistem informatic pentru
management i ale unui portal de ma%im comple%itate, asociat unei organizaii virtuale.
Auditarea soft$are const n activiti prin care se evideniaz gradul de concordan
dintre specificaii i programul elaborat. Auditul soft$are d msura siguranei pe care trebuie
s o aib utilizatorul de programe atunci c#nd obine rezultate. !igurana se refer la
corectitudinea i completitudinea rezultatelor finale atunci c#nd datele de intrare sunt, de
asemenea, corecte i complete. Auditul bazelor de date, este un domeniu de ma%im
comple%itate av#nd n vedere c, de regul, lucrul cu bazele de date presupune at#t datele ca
atare nsoite de relaiile create ntre ele, c#t i programele cu care datele se gestioneaz. &e
aceea se impune efectuarea unei reparri. Auditul datelor vizeaz definirea acelor elemente
prin care se stabilete msura n care datele stocate ndeplinesc cerinele de calitate:
corectitudine, completitudine, omogenitate, compre'ensibilitate, temporalitate, reproductibilitate.
1.2. Scopul auditului IT
Auditarea structurii sistemului informatic in cadrul companiei necesita, in intregime, un
nivel ridicat de analiza vor fi analizate in mod deosebit integrarea aplicatiilor, sistemele,
infrastructura si modul in care acestea afecteaza intregul sistem informatic al companiei
dumneavoastra.
- (dentificarea si inlaturarea punctelor slabe ale sistemului informatic
- )inimizarea riscurilor la care este e%pusa compania
- *onstientizarea asupra potentialelor riscuri pe care sistemul informatic actual le implica in
dezvoltarea proiectelor si punctele critice unde trebuie intervenit pentru a indeparta aceste
riscuri
- +tilizarea in conditii de siguranta a unei te'nologii dezvoltate de actualitate prin aplicarea unor
politici de securitate care sa respecte conditiile specifice companiei dumneavoastra
,rocesul de audit (-, ajuta companiile sa-si reduca costurile prin identificarea unor
moduri mai eficiente de protectie 'ard$are si soft$are, permite o mai buna administrare cu
privire la aplicarea i utilizarea de te'nologii de securitate i a proceselor.
*a rezultat al acestui audit, se va pune la dispozitie un set de sugestii referitoare la
sc'imbarile care trebuie facute in cadrul structurii sistemului informatic prezent.
2. Firma propusa pentru auditare
2.1. Informaiile firmei
&enumirea firmei: !.*. .njo/ &esign !.".0.
Adresa
- Adresa sediului social: !tr. 1d. (ndependentei, nr 23, 0ocalitatea ,loiesti, 4udetul
,ra'ova
- Adresa punctului de lucru: !tr. 1d. (ndependentei, nr 23, 0ocalitatea ,loiesti, 4udetul
,ra'ova
- .-mail: office5enjo/design.ro
*ont bancar6(1A78: "92:1-"0;;<:=>3=2=>>?3?
*od *A.7: ?:;<
*od *A.7 secundar: -
9biect de activitate: @eb &esign
*od unic de inregistrare: "9:3A<:23;
7r de inregistrare de la "egistrul *omertului: 4=;B;<<<B:;<<
*apital social: A>;;; lei
1uget de venituri si c'eltuieli: =;;;; lei
2.2. Logo
2.3. Organigrama firmei (atributiile firmei pe departamente
2.!. "a#a de date $ %lienti
2.&. "a#a de date ' Ser(icii
M#n#ger (ener#l
De)#r"#men" IT
De)#r"#men"
M#r/e"ing
De)#r"#men"
0#n&#ri
De)#r"#men"
!on"#1il si
#dminis"r#"i2
2.). "a#a de date ' %omen#i
2.*. Anga+atii din domeniul IT
Fun!"ie Nr. Perso#ne
Dire!"or Cre#"i2 <
3e1 Designer C
3e1 De2elo)er C
(r#)4i! Designer 2
S)e!i#lis" SEO :
Inginer de re"e# <
Adminis"r#"or de re"e# <
To"#l #ng#$#"i :=
2.,. -c.ipamente .ard/are
Ti) e!4i)#men" Nr. e!4i)#men"e
Ser2er 2
C#l!ul#"or <>
L#)"o) 3
T#1le"# gr#fi!# 2
S!#nnere :
Im)rim#n"e :
2.0. Licente soft/are
Progr#m Nr. li!en"e
3indo5s 6 ::
Ado1e P4o"os4o) <:
Ado1e Fl#s4 :
%i"defender ::
Mi!rosof" Offi!e ::
2.11. 2etea
"eteaua in care sunt conectate calculatoarele din cadrul departamentului (- este de tip
magistrala.
2.11. 3lanul de audit
9biectivul actiunii de auditare este de a identifica punctele tari si punctele slabe ale
sistemului informatic din cadrul firmei pentru a ajuta la imbunatatirea sistemului, dar si pentru
prevenirea erorilor si a atacurilor informatice.
,entru realizarea acestui obiectiv sunt implicate urmatoarele activitati :
E2#lu#re# sis"emului !o)iilor de sigur#n7: e%istenta bacDup-urilor si
siguranta ca acestea vor lucra oricand este nevoie de ele.
E2#lu#re# sis"emelor de )ro"e!7ie #n"i2irus: e%istenta programelor antivirus si
actualizarea periodica a acestora.
E2#lu#re# u"ili&#rii )#rolelor de !#"re u"ili&#"ori8#ng#$#"i9: comple%itatea
parolelor utilizatorilor si politica de sc'imbare a parolelor
E2#lu#re# se!uri"#"ii re"elei in !#drul de)#r"#men"ului: traficul autorizat
produs in retea si traficul neautorizat produs in retea.
*ompartiment auditat : De)#r"#men" IT
-ipul auditului : Audi" )rogr#m#"
&urata misiunii de audit : :;.;;.<:;+=;6.;<.<:;+
,erioada auditata: :;.;:.<:;<=+;.:6.<:;+
Activitatea de auditare se face pe baza de !4es"ion#r.
C4es"ion#r > E2#lu#re# sis"emului !o)iilor de sigur#n"#
Nr. Cr". In"re1#re R#s)uns
; !unt procedurile de bacD-up cele potriviteE &a.
< !unt bacD-up-urile stocate in locatii sigureE &a.
+ .%ista siguranta ca bacD-up-urile stocate vor fi
disponibile si vor lucra la nevoieE
7u, nu s-au facut verificari.
- !unt bacD-up-urile actualizate la ziE &a.
C4es"ion#r > E2#lu#re# sis"emelor de )ro"e!"ie #n"i2irus
Nr. Cr". In"re1#re R#s)uns
; .%ista programe antivirus pe sistemele de lucruE &a.
< .ste actualizat soft$are-ul antivirus cu ultimele
semnaturi de virusiE
&a.
+ !etarile programului antivirus sunt securitate prin
parolaE
7u.
C4es"ion#r > E2#lu#re# u"ili&#rii )#rolelor de !#"re #ng#$#"i
Nr. Cr". In"re1#re R#s)uns
; +tilizatorii au parole comple%eE 6minim C caractere
F minuscule, majuscule, cifre si caractere speciale8
&a.
< ,arolele sunt actualizate lunarE &a.
+ .ste utilizata functia GlocD-screenH atunci cand
utilizatorul pleaca de langa sistemul de lucruE
&a.
- .ste permisa logarea automata pe vreun
calculatorE
7u.
C4es"ion#r > E2#lu#re# se!uri"#"ii re"elei in !#drul de)#r"#men"ului IT
Nr. Cr". In"re1#re R#s)uns
; "eteaua este protejata prin pro%/ siBsau fire$allE &a.
< -raficul de retea este criptatE &a.
+ !e permite folosirea de catre utilizatori a
programelor de mesagerieE 6Ia'oo )essenger,
!D/pe, JacebooD )essenger, etc.8
&a.
- .%ista limitari pentru utlizatoriE 7u.
* !e sterg conturile vec'ilor angajatiE &a.
? !e verifica cu regularitate daca e%ista incercari
neautorizate de conectareE
7u.
2.12. %onclu#ie
(n urma finalizarii procesului de auditare pe baza de c'estionar s-au observat
urmatoarele aspecte:
E2#lu#re# sis"emului !o)iilor de sigur#n7: !-a constatat ca procedurile de
bacD-up sunt corect folosite copiile de siguranta sunt stocate intr-o locatie sigura
si sunt updatate zilnic, insa nu se stie daca acestea vor lucra cand vor aparea
probleme. !e recomanda verificarea de urgenta a bacD-up-urilor pentru a avea
siguranta ca acestea vor functiona la nevoie.
E2#lu#re# sis"emelor de )ro"e!7ie #n"i2irus: ,e toate sistemele de lucru este
instalat un soft$are antivirus, care se actualizeaza zilnic cu ultimele semnaturi de
virusi. !etarile programului nu sunt securizate cu parola. !e recomanda
parolarea programului pentru a nu e%ista posibilitatea dezactivarii sistemului de
protectie si pentru a evita posibilitatea unor atacuri informatice.
E2#lu#re# u"ili&#rii )#rolelor de !#"re u"ili&#"ori8#ng#$#"i9: !-a constatat ca
utilizatorii folosesc parole comple%e, fiind actualizate lunar. !istemele de lucru au
activata functia GlocDed-screenH si nu permit logarea automata. 7u e%ista
recomandari.
E2#lu#re# se!uri"#"ii re"elei in !#drul de)#r"#men"ului: "eteaua este
protejata prin fire$all, iar traficul este criptat. !-a observat ca nu e%ista limitari
pentru utilizatori, fiind permisa utilizarea programelor de messagerie. *onturile
vec'ilor angajati au fost sterse, insa nu s-a verificat niciodata daca e%ista
incercari neatorizate de conectare. .ste recomandat sa se impuna cateva limitari
pentru utilizatori, de e%emplu: restrictionarea unor pagini $eb, dezactivarea
jocurilor de pe sistemul de operare, etc.. .ste necesara verificarea incercarilor
neautorizate de conectare pentru a preveni atacurile informatice.