Revizijska sled v teoriji in praksi BOŠTJAN DELAK 2014 Predstavitev predavatelja dr. Boštjan Delak, CISA, CIS-SIQ, PRIS, PRINCE2 samostojni svetovalec, višji predavatelj ITAD, Revizija in svetovanje d.o.o. e-pošta: [email protected] tel:0599-44500 mob: 051-626250 www.itad.si www.suvi.si 2014 ITAD, Revizija in svetovanje d.o.o. Revizije IS, analize IS in skrbni pregledi IS 2014 ITAD, Revizija in svetovanje d.o.o. Svetovanje IS 2014 ITAD, Revizija in svetovanje d.o.o. Vodenje projektov IS 2014 ITAD, Revizija in svetovanje d.o.o. Svetovanja pri implementaciji sistema upravljanja varovanje informacij vir: internet (Google – slike) 2014 ITAD, Revizija in svetovanje d.o.o. IS MIRROR Hitra analiza IS vir: internet (Google – slike) 2014 Vsebina KAJ JE REVIZIJSKA SLED? ZGODOVINA STROKOVNI PRISTOP TEORIJA – usmeritev SLOVENSKEGA INŠTITUTA ZA REVIZIJO REVIZIJSKA SLED IN ISO/IEC 27001:2013 SKLADNOST PRAKSA V SLOVENIJI PRIHODNOST ZAKLJUČEK 2014 Kaj je revizijska sled? iSlovar : dnevnik z zapisi o operacijah nad poslovnimi podatki SSKJ (Inštitut za slovenski jezik Frana Ramovša ZRC SAZU): ni zapisa Merriam - Webster : „a record of a sequence of events (as actions performed by a computer) from which a history may be reconstructed“ Wikipedia (UK): „An audit trail (also called audit log) is a securityrelevant chronological record, set of records, and/or destination and source of records that provide documentary evidence of the sequence of activities that have affected at any time a specific operation, procedure, or event.“ 2014 Kaj je revizijska sled? ISACA : Pojmovnik ISACA – angleško / slovenski (2013) „A visible trail of evidence enabling one to trace information contained in statements or reports back to the original input source“ „Vidna sled dokazov, ki omogoča sledljivost informacij v trditvah ali poročilih nazaj do izvora“ ISO/IEC 27001:2005 – Audit trail = Presojna sled je vrsta zapisa - dnevnik, ki omogoča nadzor v smislu varovanja informacij nad beleženjem aktivnosti - obdelavami nad podatki, drugimi zapisi in aktivnostmi, ki jih izvajajo uporabniki, programi in vzdrževalci. 2014 Zgodovina Dnevniki obstajajo že dolgo - 14. stoletje („log“), 16. stoletje („diary“) Prva omemba revizijske sledi v IKT - 1954 Prva omemba v strokovno / znanstvenih revijah – konec 60-ih let 2014 Strokovni pristop Začetki: Felix Kaufman, Leo A. Schmidt, Auditing Electronic Records, The Accounting Review Vol. 32, No.1 (January 1957), pp. 33 – 41. Management Information System (MIS Quarterly) IF 2012 = 4,659 (7,474) 11 prispevkov (1978 -2x, 1981 -1x, 1983 – 1x, 1987 – 1x, 2003 – 1x, 2004 – 1x, 2008 -2x, 2011 – 1x, 2013 – 1x) Google učenjak – cca 69.000 zadetkov za „audit trail“ ISACA (Information System Audit and Control Association)– 201 zadetek Journal : > 40 prispevkov med 2002 in 2014 2014 Teorija – Slovenski inštitut za revizijo SIR je v svoji publikaciji SIR*IUS (januar 2013, stran 167-168), opisal revizijsko sled z naslednjo obrazložitvijo: Revizijska sled je nespremenljiv podroben dokumentiran zapis, ki nedvoumno, neizpodbitno in celovito dokumentira zapisovanje in spreminjanje zapisov v njihovi celotni življenjski dobi od izvornega zapisa do trenutno veljavnega zapisa in iz katere je razvidno vsaj kdo, kdaj, s katerimi podatki in kakšno operacijo je izvedel nad posameznim zapisom ter s tem omogoča naknadno prepoznavanje časovne točke, vršilca, načina in vsebine naknadne obdelave podatkov, na katere se revizijska sled nanaša. 2014 Teorija – Slovenski inštitut za revizijo Revizijska sled naj bo torej ločen zapis dogodka, ki se je zgodil v informacijskem sistemu z navedbo vseh ključnih podatkov za enolično prepoznavo okoliščin nastanka dogodka kot tudi njegovih posledic. Revizijska sled naj bo nespremenljiva in trajna, morebitne spremembe zaradi zastaranja ali zahtev zakonodaje (npr. ZVOP) se morajo beležiti ločeno, prav tako vsi vpogledi v revizijsko sled z navedbo razloga za vpogled. Dostop do revizijske sledi naj bo omejen na notranje/zunanje revizorje oziroma uporabo v posebnih primerih (npr. incidenti, uradne pritožbe, izvajanje pooblaščenega nadzora ipd.). 2014 Revizijska sled in ISO / IEC 27001:2013 SUVI opredeljuje revizijsko sled kot enega pomembnih sredstev za to sredstvo pa je potrebno: določiti lastnika, stopnjo zaupnosti, oceniti ranljivost, vzpostaviti ukrepe za zaščito. 2014 Revizijska sled in ISO / IEC 27001:2013 Sistem upravljanja varovanja informacij ohranja zaupnost, celovitost in razpoložljivost informacij z uporabo procesa upravljanja s tveganji in povečuje zaupanje zainteresiranih strank, da so tveganja ustrezno upravljana. Kontrole, ki uporabljajo revizijsko sled so: A.6.1.2 – Razmejitev dolžnosti A.8.3 – Ravnanje z nosilci podatkov / informacij A.11.1.2 – Kontrole fizičnega vstopa A.12.1 – Operativni postopki in odgovornosti A.14.2.2 – Postopki nadzora sprememb sistemov A.14.3 – Testni podatki A.15.2.1 – Spremljanje in pregledovanje storitev dobaviteljev A.18.1.4 - Zasebnost in varstvo osebnih podatkov (posredno v ZVOP-1-UPB1) 2014 Zakonodaja SKLADNOST (ustreznost glede na neke zahteve, sprejete standarde) Zakon o varstvu osebnih podatkov (UPB1) (Ur.l.94, 16.10.2007) 24.člen (zavarovanje osebnih podatkov) obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se: … 5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov“ 2014 Praksa v Sloveniji Večina družb v Sloveniji nima celovito implementirane revizijske sledi Nekateri imajo za posamezne aplikativne rešitve implementirano revizijsko sled; kaj pa za sistemsko programsko opremo? Poznam samo eno družbo, ki ima implementirano tudi sistemsko revizijsko sled na sistemu za upravljanje podatkovnih baz (MS SQL s „c2 parametrom“ ) En slovenski sistem za upravljanje z dokumenti (DMS) ima možnost delne revizijske sledi na nivoju dokumentov En slovenski sistem za registracijo časov in evidenco dostopov nima implementirane revizijske sledi Kako boste zagotavljali skladnost z ZVOP-1-UPB1? Kako boste nadzorovali notranje nepooblaščene dostope? 2014 Prihodnost Strokovnjaki za varovanje dajejo velik poudarek revizijskim sledem Vizija je, da se vzpostavi „gyrus“, ki bo kontroliral delovanje vseh revizijskih sledi in sprožil varnostne alarme ob spremembi, začasni ali stalni ukinitvi določene revizijske sledi ali vseh revizijskih sledi 2014 Zaključek Revizijska sled je ukrep za boljši in učinkovitejši nadzor uporabnikov in vzdrževalcev informacijskega sistema ter v nekaterih primeri za skladnost z EU in SVN zakonodajo Implementirajte jo na vseh (ključnih) sistemih Potrebno je imeti ustrezna orodja za pregledovanja zapisov Vpogledovati jo je potrebno kontrolirano in samo ob izrednih dogodkih 2014 Zaključek Revizijska sleda je osnova in nuja Naj bo implementirana za vse zaupne podatke (tudi za osebne ter občutljive osebne podatke) tako v okviru programskih rešitev kot v sistemski programski opremi, v skladu z usmeritvami SIR Razmislite o centralnem nadzoru vseh revizijskih sledi na vseh napravah (če ocena tveganja to zahteva). Omejite dostop na minimum in v skladu s smernicami SIR. 2014 Zaključek vir: internet (Google – slike) 2014 Zaključek vir: internet (Google – slike) 2014 Zaključek UPORABNIKI PREKO APLIKACIJ NE POZABITE NA KOMUNIKACIJSKO OPREMO SPECIALISTI IKT S POMOČJO SISTEMSKIH ORODIJ vir: internet (Google – slike) 2014 Zaključek vir: internet (Google – slike) 2014 Vprašanja in odgovori VPRAŠANJA … … ODGOVORI 2014
© Copyright 2024