Vlad Donciu

Scopul acestui serviciu este de a determina riscurile de securitate şi conformitatea cu cerinţele minime de securitate impuse de standardele în domeniu. În acest sens, CCT realizează un audit independent al soluţiilor informatice prin intermediul cărora clientul îşi desfaşoară activitatea. În urma activităţilor de audit, CCT emite o opinie de audit însoţită de raportul de audit. Auditul urmăreşte existenţa unor măsuri concrete în ceea ce priveşte:

• confidenţialitatea şi integritatea comunicaţiilor;
• confidenţialitatea şi nonrepudierea tranzacţiilor;
• confidenţialitatea şi integritatea datelor;
• autenticitatea părtilor care participă la tranzacţii;
• protecţia datelor cu caracter personal;
• trasabilitatea tranzacţiilor;
• continuitatea serviciilor oferite clienţilor;
• împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem;
• restaurarea informaţiilor gestionate de sistem în cazul unor calamităţi naturale, evenimente imprevizibile;
• gestionarea şi administrarea sistemului informatic;
• orice alte activităţi sau măsuri tehnice întreprinse pentru exploatarea în siguranţă a sistemului.

În vederea creării unei opinii obiective şi a unui raport de audit cuprinzător, echipa de audit va realiza următoarele activităţi:

Inţelegerea organizaţiei - strângerea de informaţii relevante despre client pentru utilizarea în cadrul etapelor următoare; Aceste informaţii includ: detalii despre organizarea internă, detalii despre organizarea IT, despre tehnologii şi sistemele folosite, modul de funcţionare al sistemelor din cadrul domeniului de audit.

În mod normal, auditorul programează interviuri cu persoanele responsabile desemnate de către client, sau, dupa caz, utilizează chestionare pentru fiecare secţiune în parte. Tot în această etapă se va realiza o listă cu rolurile şi responsabilităţile personalului clientului în administrarea şi operarea sistemelor ţintă.

Analiza documentaţiei relevantă - evaluarea conformităţii documentaţiei clientului cu cerinţele specificate de standardele în domeniu;

Analiza de risc – definirea expunerii pe care o au sistemul şi informaţiile gestionate la riscuri privind securitatea informaţiilor;

În vederea realizării acestei analize de risc, se realizează următoarele:

• Identificarea elementelor analizate: sisteme, aplicaţii, procese, oameni;
• Identificarea vulnerabilităţilor şi a ameninţărilor;
• Cuantificarea şi măsurarea scenarilor de risc;
• Identificarea controalelor aplicabile;
• Stabilirea registrului de riscuri şi identificarea riscurilor reziduale sau a scenariilor necotrolate.

Definire program audit - definirea de obiective de control şi de verificări care se vor întrebuinţa în verificările la faţa locului;

Auditul sistemului - echipa de auditori întreprinde evaluările şi testele prevăzute în programul de audit, cu scopul de a verifica atingerea obiectivelor de control stabilite;

Acesta cuprinde 7 componente principale:

• Revizuirea controalelor tehnice implementate la nivelul aplicaţiilor;
• Revizuirea controalelor tehnice implementate la nivelul serverelor ce susţin sistemele ţintă;
• Revizuirea controalelor tehnice implementate la nivelul infrastructurii de reţea;
• Revizuirea controalelor de acces fizic;
• Revizuirea procedurilor operaţionale ale sistemelor;
• Revizuirea procedurilor de mentenanţă şi recuperare în caz de dezastru;
• Revizuirea controalelor tehnice implementate la nivelul staţiilor de lucru.

Raportarea – pregătirea opiniei de audit şi a raportului de audit, care documentează operaţiunile şi testele întreprinse precum şi rezultatele obţinute.

Raportul de audit. Acest livrabil documentează operaţiunile şi testele intreprinse.

• Sunt documentate neconformităţile, observaţiile şi recomandările pentru îmbunătăţire;
• Neconformităţile reprezintă neconcordanţe între sistemul existent cu documentaţia pregatită de client sau aspecte care, în mod evident, încalcă condiţiile optime de securitate;
•  Observaţiile reprezintă aspecte care  duc la periclitarea stării de securitate a sistemului şi care pot conduce, în anumite condiţii, la nerespectarea condiţiilor optime de securitate;

Opinia auditorului. Opinia de audit va fi de unul din cele trei tipuri: 

• Opinie negativă de audit – atunci când, la sfârşitul perioadei de audit există una sau mai multe neconformităţi.
• Opinie calificată de audit (cu rezerve) – atunci când există una sau mai multe observaţii la sfârşitul perioadei de audit.
• Opinie de audit – atunci când la sfârşitul perioadei de audit nu persistă nicio observaţie sau neconformitate.