Eksploatacja zasobów Eksploatacja zasobów informatycznych informatycznych przedsiębiorstwaprzedsiębiorstwa

Diagnozowanie stanu Diagnozowanie stanu obecnegoobecnego

Audyt systemuAudyt systemu

Audyt systemu informacyjnegoAudyt systemu informacyjnego

ProcesProces gromadzenia informacji na temat gromadzenia informacji na temat funkcjonowania i zasobów komputerowychfunkcjonowania i zasobów komputerowych

Przegląd, kontrola i wykrywanie działań Przegląd, kontrola i wykrywanie działań bezprawnychbezprawnych

Proces, w którym niezależna jednostka Proces, w którym niezależna jednostka gromadzi i ocenia dowody o różnicach gromadzi i ocenia dowody o różnicach między wartością wskaźników mierzalnych między wartością wskaźników mierzalnych a ustalonymi kryteriami [Bruce, Dempsey a ustalonymi kryteriami [Bruce, Dempsey 1997]1997]

Kroki postępowania w procesie Kroki postępowania w procesie kontrolnymkontrolnym

Ustalenie stanu obowiązującego (wzorce Ustalenie stanu obowiązującego (wzorce kontrolne),kontrolne),Ustalenie stanu rzeczywistego,Ustalenie stanu rzeczywistego,Porównanie stanu rzeczywistego ze stanem Porównanie stanu rzeczywistego ze stanem pożądanym,pożądanym,Badanie przyczyn, źródeł i warunków, które Badanie przyczyn, źródeł i warunków, które wywołały odchylenia,wywołały odchylenia,Wskazanie dróg usprawnienia,Wskazanie dróg usprawnienia,Wykorzystanie pozytywnych rozwiązań dla Wykorzystanie pozytywnych rozwiązań dla usprawnienia podobnych działań w innych usprawnienia podobnych działań w innych komórkach organizacyjnych.komórkach organizacyjnych.

PorównywaniePorównywanie

Stanu środków z ewidencją,Stanu środków z ewidencją,

Czynności z zapisami,Czynności z zapisami,

Wykonania zadań z obowiązującymi Wykonania zadań z obowiązującymi przepisami,przepisami,

Zachowań z ustalonymi i unormowanymi Zachowań z ustalonymi i unormowanymi zachowaniami,zachowaniami,

Wartości cech zjawisk z ustaleniami i Wartości cech zjawisk z ustaleniami i normami.normami.

Uzasadnienie przeprowadzenia Uzasadnienie przeprowadzenia audytu informatycznegoaudytu informatycznego

Ze względu na wysokie koszty systemu,Ze względu na wysokie koszty systemu,

W celu rozpoznania ogólnego poziomu W celu rozpoznania ogólnego poziomu

zabezpieczeń w przedsiębiorstwie,zabezpieczeń w przedsiębiorstwie,

W celu wpajania zdyscyplinowanego W celu wpajania zdyscyplinowanego

podejścia do zabezpieczeń,podejścia do zabezpieczeń,

W celu ułatwienia identyfikacji aplikacji i W celu ułatwienia identyfikacji aplikacji i

systemów krytycznych.systemów krytycznych.

Zakres audytuZakres audytu

Dane,Dane,

Oprogramowanie,Oprogramowanie,

Procedury,Procedury,

Technika informatyczna,Technika informatyczna,

Personel działu informatycznego,Personel działu informatycznego,

Dokumentacja.Dokumentacja.

Poziomy prowadzenia audytówPoziomy prowadzenia audytów

Zalecenia: ISACF (Information Systems Zalecenia: ISACF (Information Systems Audit and Control Foundation):Audit and Control Foundation):

Poziom IPoziom I – zadań, które generują – zadań, które generują mierzalne efekty,mierzalne efekty,

Poziom IIPoziom II – procesów (serii połączonych – procesów (serii połączonych zadań),zadań),

Poziom IIIPoziom III – domeny obejmujące grupy – domeny obejmujące grupy procesów.procesów.

Domeny funkcjonalneDomeny funkcjonalne

Planowanie strategii informatyzacji,Planowanie strategii informatyzacji,

Akwizycja i wprowadzanie rozwiązań Akwizycja i wprowadzanie rozwiązań

techniki informatycznej,techniki informatycznej,

Dostarczanie i instalowanie systemów,Dostarczanie i instalowanie systemów,

Monitorowanie systemów i ocena Monitorowanie systemów i ocena

zastosowań techniki informatycznej.zastosowań techniki informatycznej.

Techniki przeprowadzania Techniki przeprowadzania audytówaudytów

Testy zgodności – dla weryfikacji Testy zgodności – dla weryfikacji

poprawnego wykonania procedur poprawnego wykonania procedur

przetwarzania lub procesów rejestracji przetwarzania lub procesów rejestracji

danych,danych,

Testy uzasadniające – dla analizy Testy uzasadniające – dla analizy

rzeczywistych danych.rzeczywistych danych.

Kontrola typowych procedurKontrola typowych procedur

Wykorzystania oprogramowania i praw Wykorzystania oprogramowania i praw autorskich,autorskich,

Zakupu oprogramowania,Zakupu oprogramowania,

Instalowania oprogramowania,Instalowania oprogramowania,

Przeprowadzania szkoleń,Przeprowadzania szkoleń,

Indywidualnego wykorzystania Indywidualnego wykorzystania oprogramowania,oprogramowania,

Wymiany i likwidacji oprogramowania.Wymiany i likwidacji oprogramowania.

Audyt jako narzędzie Audyt jako narzędzie identyfikacji finansów ITidentyfikacji finansów IT

Elementów (aktywów) systemów Elementów (aktywów) systemów informacyjnych, które są użyteczne, przydatne i informacyjnych, które są użyteczne, przydatne i w pełni funkcjonalne,w pełni funkcjonalne,

Elementów, które są niezbędne, ale Elementów, które są niezbędne, ale wykorzystywane są poniżej standardu i wykorzystywane są poniżej standardu i wymagają częściowej odnowy,wymagają częściowej odnowy,

Elementów, które stanowią nadwyżki i muszą Elementów, które stanowią nadwyżki i muszą być usunięte,być usunięte,

Brakujących elementów, które muszą zostać Brakujących elementów, które muszą zostać zakupione.zakupione.

Cechy poprawnych audytówCechy poprawnych audytów

Stosowność,Stosowność,

Bezstronność,Bezstronność,

Obiektywizm oceny,Obiektywizm oceny,

Powtarzalność,Powtarzalność,

Niezależność:Niezależność:

Od audytowanego podmiotu,Od audytowanego podmiotu,

Od zespołu odpowiedzialnego za system,Od zespołu odpowiedzialnego za system,

Od decydenta/sponsora informatyzacji.Od decydenta/sponsora informatyzacji.

Inwentaryzacja oprogramowaniaInwentaryzacja oprogramowania

Wykorzystywane oprogramowanie,Wykorzystywane oprogramowanie,

Oprogramowanie kluczowe w Oprogramowanie kluczowe w

przedsiębiorstwie,przedsiębiorstwie,

Zarządzanie licencjami,Zarządzanie licencjami,

Procesy doskonalenia (zakupów, Procesy doskonalenia (zakupów,

wymiany, itp.) wykorzystywanego wymiany, itp.) wykorzystywanego

oprogramowania,oprogramowania,

Zabezpieczenia, autoryzacja itd.Zabezpieczenia, autoryzacja itd.

Inwentaryzacja oprogramowania Inwentaryzacja oprogramowania - przykład - przykład

Krok 1 – klasyfikacja oprogramowania:Krok 1 – klasyfikacja oprogramowania: Oprogramowanie wspomagające procesy biznesowe,Oprogramowanie wspomagające procesy biznesowe,

Oprogramowanie systemowe i narzędziowe,Oprogramowanie systemowe i narzędziowe,

Krok 2 – opis oprogramowania:Krok 2 – opis oprogramowania: Szczegółowy opis głównych aplikacji: producent, zastosowanie, Szczegółowy opis głównych aplikacji: producent, zastosowanie,

funkcjonalność, informacje techniczne,funkcjonalność, informacje techniczne,

Opis zastosowania biznesowych aplikacji dodatkowych,Opis zastosowania biznesowych aplikacji dodatkowych,

Zestawienie oprogramowania systemowego i narzędziowego,Zestawienie oprogramowania systemowego i narzędziowego,

Krok 3 – zarządzanie licencjami:Krok 3 – zarządzanie licencjami: Zestawienie ilości posiadanych licencji oprogramowania z podziałem Zestawienie ilości posiadanych licencji oprogramowania z podziałem

zgodnym z klasyfikacją,zgodnym z klasyfikacją,

Zestawienie (wstępne) potrzeb w zakresie zakupu (odnowienia) licencji.Zestawienie (wstępne) potrzeb w zakresie zakupu (odnowienia) licencji.

Inwentaryzacja oprogramowania Inwentaryzacja oprogramowania - przykład cd.- przykład cd.

Przykładowe zestawienie informacji o oprogramowaniuPrzykładowe zestawienie informacji o oprogramowaniu

Lp. Grupa Nazwa Przeznaczenie Autor Jęz. Program

1. A ASImport Aplikacja do wymiany danych pomiędzy bazą danych Synergy oraz Exact Globe 2003; dane w formacie XML.

Exact C++C++

2. D Hurt Wystawianie faktur, WZ, potwierdzanie zamówienia, rejestracja płatności, projektantów i kojarzenie ich z zamówieniami (prowizje).

Opracowanie wewnętrzne

Delphi Delphi

Inwentaryzacja oprogramowania Inwentaryzacja oprogramowania - przykład cd.- przykład cd.

Systemy operacyjne użytkowane w przedsiębiorstwie:Systemy operacyjne użytkowane w przedsiębiorstwie: Serwery: Windows 2003 Serwer, Windows 2000 Serwer, Windows Serwery: Windows 2003 Serwer, Windows 2000 Serwer, Windows

NT 4.0 Serwer,NT 4.0 Serwer, Stacje robocze: Windows XP Professional, Windows NT 4.0,Stacje robocze: Windows XP Professional, Windows NT 4.0,

Używane oprogramowanie narzędziowe:Używane oprogramowanie narzędziowe: Check Point SecurePlatform – firewall VPNCheck Point SecurePlatform – firewall VPN,, 8e6 Xstop – oprogramowanie filtrujące dla sieciowego ruchu z 8e6 Xstop – oprogramowanie filtrujące dla sieciowego ruchu z

internetu,internetu, Kaspersky Anti-Virus for Checkpoint Firewall-1 – oprogramowanie Kaspersky Anti-Virus for Checkpoint Firewall-1 – oprogramowanie

filtrujące przeciwwirusowe,filtrujące przeciwwirusowe, Trend Micro ScanMail Suite dla Microsoft Exchange – Trend Micro ScanMail Suite dla Microsoft Exchange –

oprogramowanie przeciwwirusowe dla MS Exchange,oprogramowanie przeciwwirusowe dla MS Exchange, Computer Associates InOculateIT (e-Trust) – oprogramowanie Computer Associates InOculateIT (e-Trust) – oprogramowanie

przeciwwirusowe dla komputerów użytkowników,przeciwwirusowe dla komputerów użytkowników, Veritas Backup – oprogramowanie do wykonywania zapasowych Veritas Backup – oprogramowanie do wykonywania zapasowych

kopii danych.kopii danych.

Inwentaryzacja oprogramowania Inwentaryzacja oprogramowania - przykład cd.- przykład cd.

Przykładowe zestawienie informacji o posiadanych licencjachPrzykładowe zestawienie informacji o posiadanych licencjach

Lp. Nazwa Producent Ilość posiadanych

licencji

Ilość wykorzystywana

UWAGI

1. Windows XP Professional

Microsoft 250 250250 Planowany zakup Planowany zakup 20 licencji – 20 licencji – styczeń 2005styczeń 2005

2. Norton Antywirus

SymantecSymantec 250250 225225 Na pozostałych Na pozostałych stacjach MKS-vir – stacjach MKS-vir – planowana planowana wymiana na NAV wymiana na NAV grudzień 2004grudzień 2004

3. AutoCAD 2004

AutodeskAutodesk 55 1010 5 instalacji 5 instalacji próbnych 30 próbnych 30 dniowych – dniowych – planowany zakup planowany zakup 5 licencji5 licencji

Inwentaryzacja sprzętuInwentaryzacja sprzętu

Użytkowany sprzęt:Użytkowany sprzęt: Serwery,Serwery, Stacje robocze,Stacje robocze, Drukarki,Drukarki, Urządzenia pomocnicze,Urządzenia pomocnicze,

Infrastruktura:Infrastruktura: Urządzenia sieciowe,Urządzenia sieciowe, Okablowanie,Okablowanie, Urządzenia pomocniczeUrządzenia pomocnicze..

Inwentaryzacja sprzętu - Inwentaryzacja sprzętu - przykład przykład

Podstawowe informacje o serwerachPodstawowe informacje o serwerach

Wszystkie serwery zbudowane są w technologii Wszystkie serwery zbudowane są w technologii rack mountrack mount. Większość . Większość

wyposażona jest w dwa procesory, na ogół Intel Xeon-A (2400 MHz), wyposażona jest w dwa procesory, na ogół Intel Xeon-A (2400 MHz),

ewentualnie Pentium IIIE (933 MHz). Podsystemy dyskowe serwerów ewentualnie Pentium IIIE (933 MHz). Podsystemy dyskowe serwerów

łączu SCSI w technologii łączu SCSI w technologii hot-swaphot-swap, w najważniejszych serwerach dyski w , w najważniejszych serwerach dyski w

macierzach RAID. Pamięć operacyjna serwerów ma kontrolę i korekcję macierzach RAID. Pamięć operacyjna serwerów ma kontrolę i korekcję

błędów (ECC). błędów (ECC).

Podstawowe informacje o stacjach roboczychPodstawowe informacje o stacjach roboczych

Pentium III 1,5 GHz, 254 MB RAM, 60 GB HDD – standard (90%), Pentium III 1,5 GHz, 254 MB RAM, 60 GB HDD – standard (90%),

pozostałe stacje bardzo zróżnicowane,pozostałe stacje bardzo zróżnicowane,

Informacje o urządzeniach dodatkowychInformacje o urządzeniach dodatkowych

Drukarki HP laserowe (seria LJ2200) 80% - pozostałe , plotery Drukarki HP laserowe (seria LJ2200) 80% - pozostałe , plotery

atramentowe HP.atramentowe HP.

Inwentaryzacja sprzętu - Inwentaryzacja sprzętu - przykład cd.przykład cd.

Opis ogólny infrastrukturyOpis ogólny infrastrukturyXXXXX Sp. z. o.o. ma dwie sąsiadujące lokalizacje: w NNNN oraz XXXXX Sp. z. o.o. ma dwie sąsiadujące lokalizacje: w NNNN oraz ZZZZ. Połączone są one w jedną sieć lokalną. Pozostałe jednostki ZZZZ. Połączone są one w jedną sieć lokalną. Pozostałe jednostki organizacyjne łączą się z centralą poprzez stałe łącza internetowe. organizacyjne łączą się z centralą poprzez stałe łącza internetowe. Centrum sieci stanowi centrum przetwarzania danych w NNNN.Centrum sieci stanowi centrum przetwarzania danych w NNNN.Połączenia pomiędzy budynkami w NNNN oraz pomiędzy Połączenia pomiędzy budynkami w NNNN oraz pomiędzy lokalizacją w YYYY i ZZZZ zbudowane są na światłowodach o lokalizacją w YYYY i ZZZZ zbudowane są na światłowodach o przepływności 1 Gbps. Łącza światłowodowe tworzą gigabitowy przepływności 1 Gbps. Łącza światłowodowe tworzą gigabitowy szkielet sieci lokalnej. Do szkieletu podłączone są serwery poprzez szkielet sieci lokalnej. Do szkieletu podłączone są serwery poprzez przełączniki Intel 530-T, 535-T oraz D-Link 3226 i 3326S. przełączniki Intel 530-T, 535-T oraz D-Link 3226 i 3326S. Cały ruch internetowy z i do systemu przechodzi przez jeden punkt Cały ruch internetowy z i do systemu przechodzi przez jeden punkt wejścia do sieci wewnętrznej, gdzie jest ściśle kontrolowany. wejścia do sieci wewnętrznej, gdzie jest ściśle kontrolowany. Połączenie systemu IT Internetem odbywa się poprzez dwa Połączenie systemu IT Internetem odbywa się poprzez dwa radiowe łącza o przepływności 2 Mbps każde. radiowe łącza o przepływności 2 Mbps każde. Ponadto na stałe zestawione jest łącze VPN do firmy AAAA, która Ponadto na stałe zestawione jest łącze VPN do firmy AAAA, która na zasadzie outsourcingu świadczy usługi zdalnego nauczania dla na zasadzie outsourcingu świadczy usługi zdalnego nauczania dla użytkowników systemu PRODUCENT. użytkowników systemu PRODUCENT.

Inwentaryzacja sprzętu - Inwentaryzacja sprzętu - przykład cd.przykład cd.

Przykładowe zestawienie informacji o wykorzystywanym sprzęciePrzykładowe zestawienie informacji o wykorzystywanym sprzęcie

Nazwa serwera Serwer1

Przeznaczenie Aplikacja Inżynier

Producent płyty głównej Intel

BIOS AMI (03/13/03)

Chipset Intel Plumas-533 E7501

Procesor/y Dual Intel Xeon-A, 2400 MHz

Pamięć RAM 3840 MB (2x 1024 MB/266 MHz ECC,

Zainstalowane dyski SEAGATE ST336607LC SCSI Disk Device (34 MB)

Organizacja dysków RAID-1

Partycje C: (NTFS) 34993 MB (7576 MB free) D: (NTFS) 34993 MB (32172 MB free)

Zainstalowane karty sieciowe Intel(R) Advanced Network Services

Prędkość połączenia z siecią 100

Inne urządzenia ATI RAGE XL PCI Family (8 MB)

System operacyjny Microsoft Windows Server 2003, Standard Edition

OS Service Pack None

Inne