Scurta prezentare
BRD Groupe Socit Gnrale prezenta in mai mult de 80 de tari
avand103.000colaboratoricaredesfasoaraactivitatidiversificate; este
a doua banca din Romania dupa capitalizarea bursiera (3,657 mld la
sfarsitul lunii august 2012), un nume de referinta atat prin
diversitatea si calitatea ofertei sale, cat si prin prestigiul de
care sebucura la nivel national si international. BRD detine o
retea de peste 800 de agentii si peste 1300 de ATM-uri. Beneficiind
de o tehnologie avansata pentru tranzactiile de arbitraj voluntar
oferita de Reuters Information Services si Telerate pentru
informatiile de specilitate de pe piata bancara international si
Reuters Dealing System pentru tranzactii valutare, BRD a actionat
pe piata internationala prin operatiuni specifice de tip spot,
forward, swap.Arii de activitate Activitatile BRD Groupe Socit
Gnrale suntimpartite pe trei axe:
BancapersoanelorfiziceDe la privatizarea sa, BRD s-a angajat
intr-o politicavoluntarista de dezvoltare pe piata clientilor
persoane fizice, profitand mai ales
desinergiacuclientelacomerciala.BRDsenumaraprintrelideriipietei
cardurilorbancare si a creditelor pentru consum. Gama sa de produse
si servicii comercializatese imbogateste in mod constant, pe masura
dezvoltarii pietei bancare.
Banca intreprinderilorBRD se bucura de o experienta bogata in
domeniulfinantarii intreprinderilor, fiind prezenta in toate
sectoarele economiei si pe
toatesegmenteledepiata:microintreprinderi,IMM,mariintreprinderilocalesimultinationale,
colectivitati locale. In afara finantarilor clasice, gama de
produse siservicii acopera in totalitate gestiunea fluxurilor de
numerar, serviciile de leasing sifactoring-ul.
Banca de investitiiBRD este implicata in finantari structurate
si ofera solutiicomplexesectoruluipublicsiunuinumar substantial
deintreprinderi.Cusprijinulentitatilor specializate ale Socit
Gnrale, unul din liderii mondiali pe aceasta piata,BRD isi continua
traditia de banca a marilor proiecte de dezvoltare a Romaniei.
Deasemenea, este una dintre bancile active pe piata
obligatiunilor.
Cadrul
normativConceputastfelincatsaraspundacerintelorpersonaluluiimplicatindiferiteactivitati
ale bancii, cadrul normativ intern raspunde urmatoarelor principii:
Respectarea cadrului legal in vigoare, urmarind atat constrangerile
legale cat sispecificul activitatii si organizarii bancii;
Uniformitatea stabilirea unor formate tippentru fiecare document
normativ; Definirea domenilor de activitate si a activitatilor pe
care acestea le cuprindasigura durabilitatea cadrului normativ;
Claritatea informatilor limbajul si termenii utilizati nu lasa loc
ambiguitatilorsau interpretarilor
eronate;Simplitateaformadeprezentaresiexprimareautilizataajutautilizatoruldocumentului
normativ sa gaseasca raspunsul/solutia cautata in cel mai scurt
timp; Satisfacerea cerintelor utilizatorilor si clientilor
deopotriva, prin informarearapidacu privire la noile produse,
servicii sau modificarile intervenite in cele existente.Structura
organizatorica a bancii Banca Romn pentru Dezvoltare S.A are o
structur organizatoric i reguli defuncionare axate pe: asigurarea
condiiilor de a crea profit net, prin realizarea activitii bancare
pe de o parte,iar pe de alt parte prin exercitarea unui control
riguros al costurilor operaionale i al riscurilor; prioritatea
acordat clienilor, astfel nct nevoile acestora s fie satisfcute n
cele maibune condiii de deservire i de costuri.Sistemul
informational bancar Ca orice banc, S.C.B.R.D. S.A.ntreine
nactivitatea sacurent-operativ relaiicu toi cei care acioneaz
asupra conturilor sale sau ale clienilor ei. De asemenea
seexercitoseriederelaiipermanententreunitioperaionaleifuncionalealentreprinderii
bancare. Ca orice banc, S.C.B.R.D. S.A.ntreine nactivitatea
sacurent-operativ relaiicu toi cei care acioneaz asupra conturilor
sale sau ale clienilor ei. Toate aceste activiti i relaii se
materializeaz n evenimente pe care
instituiaB.R.D.trebuiesaleorganizezencadrulsistemuluipentruprofitabilitateaactivitiisale,corespunztorexigenelorcedecurgdinaplicarenpractic
a cerinelor mecanismelor economiei de pia. .Realizarea acestui
deziderat presupune organizarea sistemului informaional alB.R.D.
potrivit situaiilor actuale, innd seama de realizrile n acest
domeniu pe planinternaional irealizarea unei educaii nacest sens a
personalului propriu, personalce trebuie s fie n msur a gestiona
corect informaia bancar cu costuri ct mai mici iutilitate ct mai
ridicat. Sistemul este un ansamblu de elemente materiale sau
nemateriale, format
ngeneraldinechipamente,metode,tehnici,procedee,modele,personalutilizateninteraciune
prin intermediul unui mecanism specific i al unui sistem de
control.Acest sistem de control/conducere intr n legtur cu un
sistem operant ceasigur , larndul su ,pentru domeniul bancar,
transformarea unor fluxuri financiare deintrare n fluxuri
financiare de ieire.n sistemele bancare evoluate ntre sistemul de
conducere i cel operativ intervineunul informaional, definit ca un
set finit de concepte, metode, tehnici, procedee,
modele,instrumente i procese utilizate pentru prelucrarea
informaiilor i a interaciunilor lorprovenite de la sistemul lor
operativ, n vederea transformrii lor n date ce pot fifurnizate
sistemului de conducere n condiiile de eficien economic acceptabil,
ntr-un context operaional controlabil, n limitele cadrului legal
financiar- bancar, n
scopulrealizriifunciilororganismuluifinanciar-contabiliaatributelorconduceriiacestuia(comand,
coordonare, reglare i control). Astfel se poate afirma c legtura
din activitatea de decizie i cea operaional serealizeaz printr-un
flux continuu de informaii, n cadrul sistemului informaional
bancar.
Acestsisteminformaionalbancarlucreazcaunsistemdeinterfantresistemul
decizional i cel operativ, avnd la baz un mecanism de freed-back.Se
poate afirma c activitatea bancar de calitate este influenat direct
deorganizarea i funcionarea sistemului informaional, de
operativitate, precizia i calitateainformaiilor culese, prelucrate
i transmise ca date.Sistemul informaional bancar ndeplinete rolul
de prelucrare normal/automat ainformaiilor transmise de ctre
sistemul operant, n scopul furnizrii datelor necesarecontrolului
activitii globale asigurate de ctre sistemul de conducere. Practic
sistemul informaional are urmtoarele
funcii:1.cunoatereafuncionriiispecificulprelucrriirealizatelanivelulsubsistemuluioperant;2.furnizarea
de date pertinente, exacte i operative subsistemului de
conducere;3.implementarea funciilor eseniale relative la
informaiile cu specific financiar-contabil;4.generarea de informaii
cu caracter particular financiar-bancar;5.memorarea acestor
informaii;6.prelucrarea informaiilor. O analiz a acestor funcii ale
sistemului informaional bancar conduce la ideea cacestea pot fi
simplificate, diversificate i exploatate prin intermediul
tehnicilor operative. n aceste condiii, informatizarea sistemului
informaional cuprinde dou nivele
distincte:1.nivelulsubsistemuluiinformaionalorganizational
-=>carereflectactivitileasociatentreguluiorganismfinanciarbancarprinprismainformaiilor,asarcinilorumane,
a sarcinilor informatice, inclusiv a modalitilor de funcionare
(servicii, manageri,legturi informaionale directe i
indirecte);2.nivelul subsistemului
informaionalinformatizat=>prin care se nelege
memorarea,prelucrarea si transferul automat al datelor prin
intermediul sistemelor electronice decalcul i comunicaie. La
nivelul operaional acest sistem informaional este format fizic din
reele decalculatoare interdependente instalate la nivelul
organismului bancar, iar logic din baze
dedatemanipulateprinintermediulunorbazedeproceduriistandardeprelucrate/comunicaie
i/sau generatoare de sisteme expert. n sistemul actual de
organizare a sistemelor financiar bancare la nivel naional
iinternaional,existpatrutendinedeorganizareasubsistemuluiinforma-tionalinformatizat:sistem
informatic standard (SIS);sistem expert (SE);sistemul interactiv de
asistare a deciziei (SIAD) sau sistem executiv (ESS);sistem
informatic mixt (SIM). n concluzie sepoate observa c sistemul
informaional bancar structurat pe celedou nivele trebuie s asigure
derularea unui flux continuu de informaii intre activitateade
conducere i cea operaional, activiti aflate ntr-o interdependen, n
care fiecareconstituie suport pentru cealalt.
Pentruodinamizareaccentuataacestuifluxinformaionalse
impuneostructurare a informaiilor corespunztor necesitilor curente
i de perspectiv n ceeace privete prelucrarea automat a datelor.
Analiza aplicatiilor informatice utilizate in cadrul BRD
Urmrindu-i strategia de diversificare continu a gamei de produse
i
servicii,BancaRomnpentruDezvoltareGroupeSocieteGeneralepuneladispo-ziiaclienilor
si un nou serviciu, din gama produselor Electronic Banking: MultiX-
serviciude tip banca la distan, menit s faciliteze derularea
afacerilor clienilor.MultiXse adreseaz tuturor persoanelor juridice
clieni BRD Group
SocieteGeneraleinspecialclienilorcareaunevoiesefectuezeunnu-mr
maredeoperaiuni de plat i clienilor cu mai multe conturi deschise
la uniti diferite.Apelnd la serviciulMultiX, clienii vor putea
stabili o legtur direct cu banca,bazat pe un schimb permanent
dedate care va permitederularea diverselor operaiunide la sediul
firmei clientului. MultiXeste o solutie completa ce integreaza o
legatura telematica si un soft, carepermite:recuperarea prin
teletransmisie si vizualizarea pe ecranul terminalului
propriuinformatiiatat
despreconturilebancarealeintreprinderiicatsidesprepiatavalutara;efectuarea
deoperatiuni bancarendeplin siguran.Instalarea aplicaiei la client
ct i instruirea acestuia cu privire la utilizareaserviciului sunt
realizate n mod gratuit de ctre banc.Se poate opta pentru
urmatoarele formule:
MultiXSTART=utilizareaprincipalelorfunctionalitatipebaza
unuiabonament atractiv ; MultiX " la carte"= crearea propriului
produs prin combinarea anumitormodule.
Western Union, este liderul mondial n transferul de bani, ofer
posibilitatea de atrimite sau primi bani din toat lumea, n cteva
minute. Utilizarea sistemului globalWestern Union, este un mijloc
sigur, rapid i simplu pentru transfer de bani.Western Unioneste o
soluie: Rapid: fondurile sunt disponibile n uniti la aproximativ 10
minute dup efectuareatransferului de ctre expeditor. Simpl: chiar
dac nu avei un cont deschis, putei primi banii ntr-una din
unitilenoastre. Sigur: transferul are un numr de referin pe care l
cunoate numai persoana caretrebuie s primeasc banii i expeditorul.
Acest numr va fi folosit la recunoaterea lui. Fiecare transfer este
protejat cu ajutorul unui sistem electronic de securitate ipoate fi
verificat printr-un Numr de Control i printr-o parol selectat de
ctre utilizator.Western Union asigur plata rapid i integral a
sumelor, n exclusivitate persoaneiindicate. Banii sunt disponibili
n cteva minute de la expedierea acestora. WesternUnion folosete
tehnologie electronic de vrf i reeaua global unic de
calculatoarepentru plata imediat a sumelor trimise n peste 195 de
ri i teritorii.Agenii Western Union din strintate sunt amplasai n
locaii avantajoase: oficiipotale, bnci, farmacii, magazine,
supermarketuri, gri sau aeroporturi. Majoritateaagenilor au un orar
de funcionare convenabil, chiar i la sfrit de sptmn. Celepeste
165.000 de locaii ale agenilor din ntreaga lume fac din Western
Union cea maiextins reea de transfer de bani. Fiecare entitate are
un server propriu-XUI si utilizatorii acceseaza aceeasi bazade date
comuna situata la Centrala Bucuresti.Aplicatia utilizata de BRD se
numesteiBankscrisa pe arhitectura CLAINSERVER. In acest mod
informatia se scrie direct pe serverul de la Bucuresti. Programul
iBank a fost conceput spre sfarsitul anilor 80 de catre o
firmaspecializatadinSUA.BRDaachizitionatprodusulin1994/1995
pentruainlocui programul PCBANK, fara insa a transforma aceasta
achizitie intr-un veritabil proiect.08.04.2002 este prima zi de
lucru in iBank.Vechea aplicatie in PCBANK era scrisa in FOX.Se
lucra in DOS, iar iBank este sub sistemul de operare UNI.B. R. D.a
implementat sistemul IT, bazat pe aplicaia de software bancar
iBank. n decembrie1996, B. R.D. a ncheiat un contract cuICL,
princareB. R. D. a cumprat dreptul dea folosi iBank n Romnia pentru
un comision anual stabilit n funcie de numrul deutilizatori
autorizai. n calitate de integrator de sisteme, ICL s-a angajat s
instaleze iBank, n 9 din sucursalele B. R. D. i s pun la dispoziie
hard-ul necesar (inclusive servere). ICL a transferat B. R.D.
rspunderea privind derularea iBank n ntreaga reea de sucursale.
Pentru arealiza acest lucru, B. R.D. beneficiaz
deasistenaSocitGnrale, i, nplus, intenioneaz sfoloseasc furnizori
locali deservicii n calitate desubcontractori. Simultan, B. R. D.
analizeaz procedurile de operare pentru a le facecompatibile cu
folosirea iBank. Sub-sistemul de cri de credit a devenit operaional
n septembrie1999.Interfaadintresistemuldecridecreditisistemul
informatic principal B. R. D. a fost dezvoltat n anul 1999.B. R. D.
a implementat un sistem internaional compatibil pentru tranzaciile
internaionale, prin instalarea unui pachet software pentru
tranzacii financiare, numit
BankTradecareproceseazacreditive,scrisoridegaranie,ordinede
platincasare. Mai nti se cuvine s notm c iBank este orientat ctre
client i nu ctre cont,ceea ce va permite s dispunem de o imagine
global despre client, adic s putemalctui n orice moment un inventar
al situaiei patrimoniale a clientului, oricare ar fiagenia sau
ageniile cu care el lucreaz. Aceast baz de date clieni va putea fi
dupaceea definitiv ca sistem de referin pentru toate celelalte
aplicaii utilizate de B. R. D.Obiectivele de dezvoltare pentru
urmtorii ani depind de capacitatea bncii deadaptare i de anticipare
a micrilor pieei. Este vorba de asigurarea structurilor i
ainstrumentelorpotriviteidinacestpunctdevedereproiectuldereorga-nizareimodernizare
a reelei este cheia de bolt a viitoarei evoluii a
bncii.Chiardacestede concepiemai veche,programul iBankrspunde
nevoilorB.R. D. mai bine dect Pcbank, att n ceea ce privete
concepia (arhitectur client, timpreal), ct i n modul de funcionare,
centralizat, care va permite transferul anumitorfuncii de suport, i
n special a informaticii, dinspre agenii ctre Central, permind
astfel unitilor din reeaua B. R. D. s se concentreze pe funcia lor
esenial, cea comercial. Cea mai modern metod de administrare a
conturilor la ndemna clienilor B. R.D. G. S. G., avnd acces rapid
la banc de oriunde i oricnd, pentru a obineinformaii n timpreal
despre situaia conturilor iavnd posibilitatea gestionrii eficientea
fondurilor,directdinfaacalculatorului24oredin24,7 ziledin7,
prinOn-LineBanking. Astfel pot fi controlate soldul i tranzaciile
din conturile personale, pot fitransmise ordine de plat interne sau
se pot iniia transferuri interne.Ratele de
schimbvalutar,precumirateledobnzilor,suntafiatenmeniulprincipalalsite-uluiwww.brd.ro.
n cazul plilor interne sau al schimburilor valutare, clienii
trebuie s maiin cont de ora-limit de procesare a acestor tranzacii.
Toate ordinele de plat primate de banc vor fi procesate n urmtoarea
zi lucrtoare. Ora limit de procesare vadisprea, pentru plile
interne, n momentul n care B. N. R. va implementa o platform
electronic de prelucrare naional a datelor i sistemul su de
compensare naional vafunciona on-line.
OnouaaplicaieparalelesteTRANSACTiestefolositnvederea
industrializarii creditelor pentru personae fizice. Fiecare
utilizator are parol proprie cu care utilizeaz programul iar
modificrileefectuate sunt vizualizate i de ceilali
utilizatori.Oaltaplicaieeste MEGARA
folositpentruFonduldeschisdeinvestitii-SIMFONIA, pentru
achiziionare de titluri.
(Valvoi Adelina)
Prezentarea generala a structurii sistemelor informationale la
BRD
Adunarea Generala AcionarilorConsiliul de DirectoriConsiliul de
ConducereConsiliul de AuditComitete:Comitetul de
creditare,Comitetul de gestionare a activelor i pasivelor;Comitetul
de risc.Managerul GeneralAuditul internDepartamentul
ContabilitateDepartamentul juridicDepartamentul de
marketingDepartamentul Resurse UmaneManagerul
FinanaciarAdministraiaTrezoreriaDepartamentul Tehnologiilor
InformaionaleDezvoltarea Reelelor de ReprezentaneDepartamentul
Buget i ControlDepartamentul de CreditareDri de seam(Vasile
Andra)
Tipologia sistemelor informationale
( Vasile Andra )
Entitatea auditata: BRDPerioada auditata:
01.01.2012-30.10.2012Auditarea sistemului se securitate al
bancii.In urma investigatiilor facute (in urma discutiilor avute cu
managerul de securitate) la sediul clientului am obtinut o serie de
informatii cu privire la elemente ce tin de securitatea BRD.In ceea
ce priveste politica de parole, controlul accesului fizic,
clasificarea informatiilor, accesul la internet, procedura de
backup si stocare a datelor, programul de antivirus --am realizat
verificari si am obtinut dovezi de la client. Am constatat ca banca
este conforma cu aceste politici in proportie de 80%. De asemenea,
in urma investigatiilor facute, am constatat ca banca nu are
definit un plan de actiune in caz de urgenta, pentru evacuare
personalului.Banca nu are o politica privind securizarea
serverelor, educatie si training de securitate a informatiilor
pentru angajati, pentru echipamentele mobile si pentru cei care se
conecteaza de la distanta si nici pentru managementul conturilor
utilizatorilor.Recomandarile pentru fiecare sectiune auditata se
regasesc in fisierele cu politicile testate.
(Scatula Ana Maria)
Manager de securitate + AUDITOR DE SECURITATE
Riscuri asociate sistemului informationala) Riscurile de mediu
hardware si retele de comunicatii; A)AMENINTATI NEINTENTIONATE: 1-
laptop-urile sunt transportate in conditii improprii, prin urmare
exista riscul ca acestea sa se deterioreze fizic mult mai
repede2-persoane din exterior pot lua informatii din calculatoarele
firmei, pe stick-uri de memorie, prin urmare apare un risc legat de
expunerea publica a informatiilor confidentiale ale
firmei3-persoane din exterior pot intra in firma cu ajutorul
cartelei de acces a anagajatilor4-camerele video de supraveghere
sunt oprite pe timpul noptii5-inregistrarile de pe camerele video
sunt supravegheate tot de portar: ineficienta,
subiectivitate6-senzori de miscare si de zgomot,
(inexistenta/neverificarea optima a acestora). B)AMENINTARI
INTENTIONATE:1- nu exista un inventar al componentelor externe,
prin urmare se pot cheltui sume semnificative in acest sens.2- nu
este asigurata o securitate fizica a depozitului3- nu exista un
tocator de hartie pentru a distruge documetele folosite softuri de
aplicatie; angajatii au acces la mailul personal de pe yahoo/gmail
si pot transmite intre ei fisiere virsate sau fisiere cu date
confidentiale ale firmei. angajatii au acces pe facebook, si
site-uri de stiri "can can".
b) Riscuri asociate mediului : pericole naturale si dezastre;
a)NATURAL: angajatii uita sa curete tastatura sau ecranul
monitorului de la laptop atunci cand acestea sunt murdare.
alterarea sau furtul aplicatiilor, datelor; erori umane sau
tehnice; b)UMAN: laptop-urile nu sunt incuiate pe timp de noapte,
prin urnare exista riscul ca acestea sa fie furate de catre
angajatii firmei sau de catre alte persoane din exterior;
incompetenta manageriala; pierderi financiare previzibile.
Politica de clasificare a sistemelor informationale1.
Introducere:Aceast politic asigur faptul c resursele informaionale
ale BRD primesc un nivel de protecie n conformitate cu importana,
nivelul de secretizare i confidenialitatea lor.2. Scop:Obiectivul
politicii de clasificare a resurselor informaionale este de a ajuta
personalul s determine ce informaii/date pot fi transmise n afara
BRD, precum i cele care necesit o autorizare specific n vederea
diseminrii lor.3. Aplicabilitate:Resursele informaionale includ
informaii stocate electronic, informaii pe hrtie i informaii
transmise pe cale oral sau vizual.Politica de clasificare se aplic
tuturor resurselor informaionale care se afl stocate pe un suport
sau sunt procesate n orice fel de ctre resursele informatice ale
BRD n timpul utilizrii resurselor BRD. Toi utilizatorii trebuie s
ia la cunotin i s se conformeze acestei politici.4. Politica de
clasificare a resurselor informaionale:Informaiile i datele trebuie
s fie clasificate n funcie de propriile cerine privind controlul
accesului.Emitentul este responsabil de clasificarea informaiei
stocate sau procesate de ctreresursele informaionale, pe baza
standardelor de evaluare a riscului securitii informaiei, prin
cerine specifice de control al accesului i de manevrare.Datele
emise i primite de BRD sunt inventariate conform reglementrilor
interne privind protecia informaiilor cu caracter restricionat n
Banca Comercial Romn.
CLASIFICAREA INFORMATIILOR- INFORMATII SECRETE: datele
clientilor bancii, datele angajatilor bancii- INFORMATII
CONFIDENTIALE: date privind strategia de dezvoltare, planul de
dezvoltare, date privind salariile oferite- INFORMATII INTERNE:
regulament de ordine interioara- INFORMATII PUBLICE: rapoartele
financiare anuale, detalii despre domeniul de activitate al firmei,
servicii si produse oferite, adresa, date de contact.(Vasile
Andra)Politica de acces la Internet si
Intranet1.Introducere:Aceasta politic definete utilizarea
serviciului de internet i intranet. Toi utilizatorii care au acces
la internet i intranet, trebuie s cunoasc politica i s se
conformeze acesteia. 2. Scop:Aceast politic este stablit pentru a
ndeplini urmtoarele:- stabilirea practicilor acceptabile
referitoare la folosirea serviciului de internet i intranet;-
educarea utilizatorilor care folosesc servicii de internet i
intranetn a respecta rspunderile asociate cu aceast utilizare. 3.
Aplicabilitate:Aceast politic de acces se aplic tuturor
utilizatorilor (personalul BRD, furnizori, parteneri de afaceri,
teri) care au acces la internet prin intermediul resurselor
informatice ale BRD. Personalul BRD este obligat s cunoasc i s se
conformeze acestei.4. Politica de acces la internet i
intranet:Utilizarea reelei BRD trebuie s fie conform cu regulile
impuse, reglementrile n vigoare i politicile BRD.Toate sistemele de
calcul i informaiile create, stocate sau transferate pe alt tip de
suport, sunt i vor rmne proprietatea BRD:- router-ele,
switch-urile, wireless access-urile sunt puncte vulnerabile i
trebuie controlate centralizat pentru a asigura controlul,
securitatea i buna funcionare a lor;- echipamentele non-standard
(altele dect calculatoarele de birou sau portabile) trebuie
aprobate de BRD nainte de a fi conectate la reea n orice locaie sau
orice extensie; - BRD poate bloca, restriciona sau limita traficul
generat de aplicaii att ct este nevoie pentru a asigura limea de
band adecvat pentru aplicaiile prioritare;- ncercrile intenionate i
deliberate de a obine informaii nepublicate despre calculatoare din
reea sunt interzise;- informaiile sensibile transmise n reele
externe trebuie criptate. Utilizarea n interes extraprofesional a
internetului este interzis.Toate fiierele i documentele - inclusiv
cele personale ( pentru angajare sau pentru acordare de credite
unde sunt necesare i documentele personale)- sunt proprietatea BRD
i pot fi supuse nregistrrilor, accesate n conformitate cu aceasta
politic.(Vasile Andra)AUDIT - VERIFICAREA CONFORMITATII CU POLITICA
DE ACCES LA INTERNET In urma observatiilor efectuate la fata
locului am constatat urmatoarele:-clientul respecta prevederile din
politica de securitate: angajatii nu au acces la site-uri
neautorizate, echipamentele folosite sunt autorizate de banca,
exista un firewall adecvat si aprobat de banca. Am obtinut, in
acest sens, capturi de ecran si confirmari scrise de la client
pentru a demostra cele spuse mai sus.Am atasat mai jos una din
capturile de ecran primite.
(Scatula Ana Maria)Politica de protectie impotriva virusilor1.
Introducere:Implementarea unor politici solide de securitate,
blocarea accesului inutil la reele i computere, mbuntirea
cunotinelor n domeniul securitii pentru angajai precum i detectarea
n faz incipient i reducerea impactului evenimentelor/incidentelor
de securitate, sunt cteva msuri care pot fi luate pentru a reduce
riscul de securitate a informaiei i pentru a micora costurile
cauzate de evenimentele/incidentele legate de viruii informatici.2.
Scop :Scopul acestei politici este de a proteja resursele
informaionale ale BRD mpotriva viruilor la accesarea resurselor de
ctre personalul bncii sau de ctre partenerii de afaceri.3.
Aplicabilitate:Aceast politic se aplic anagajailor/terilor ce
utilizeaz echipamente care sunt conectate la reeaua BRD prin
conexiunea LAN, conexiune wireless sau prin modem.4. Politica de
protecie mpotriva viruilor:Computerele deinute de BRD vor folosi un
produs software anti-virus(NOD32Antivirus4) , care va fi activ tot
timpul. Utilizatorul principal al sistemului este responsabil de
meninerea sistemului n conformitate cu aceast politic. - toate
staiile de lucru, conectate la reeaua BRD, sau de sine-stttoare,
trebuie s foloseasc protecia software mpotriva viruilor i
configuraia aprobate de BRD prin reglementrile interne;- protecia
software mpotriva viruilor nu trebuie dezactivat sau ocolit;-
setrile pentru protecia software mpotriva viruilor nu trebuie
modificate pentru a nu reduce eficiena software-ului;- frecvena
actualizrilor automate de protecie software mpotriva viruilor nu
trebuie modificate prin reducerea numrului acestora;- fiecare
server din reeaua BRD trebuie s utilizeze protecia software
mpotriva viruilor aprobat de BRD i instalat pentru a detecta i cura
viruii din fiierele partajate;- fiecare server de e-mail trebuie s
utilizeze protecie software mpotriva viruilor de e-mail i trebuie s
fie conform regulilor pentru instalarea i folosirea unui astfel de
software;- acei virui care nu sunt automat eliminai de protecia
software mpotriva viruilor constituie un eveniment/incident de
securitate care trebuie raportat la Help Desk.(Vasile Andra)
AUDIT - VERIFICAREA SISTEMULUI DE ANTIVIRUSAm fost informat de
client ca acesta foloseste programul de antivirus NOD 32.Am
observat insa ca nu se realizeaza update automat la program. Mai
mult, am constatat ca licenta pentru antivirus este expirata, prin
urmare nu este asigurata o protectie de 100% a sistemului
informatic al bancii.Va rog sa gasiti mai jos captura de ecran cu
dovada neregularitatilor gasite pentru programul de antivirus.
Clientul nu a putut dovedi ca utilizatorii obisnuiti nu au access
la modificarea/dezactivarea antivirusului. Acesta este un punct
slab la care banca trebuie sa actioneze pentru a rezolva
situatia.
(Scatula Ana Maria)
Politica de control a accesului fizic1. Introducere:Controlul
accesului n BRD este fundamental pentru securitatea informaiei,
deoarece rolul acestuia este s determine ce persoane i ce sisteme
sunt ndreptite s acceseze resursele BRD. Controlul accesului se
refer la controalele ce sunt aplicate pentru accesul fizic - de ex.
cheile de la o camer sau cldire, i de asemenea se refer i la
controalele software destinate s restricioneze accesul la sistemele
informatice i la informaiile BRD.2. Scop:Scopul Politicii BRD de
control al accesului fizic este reglementarea accesului i
utilizarea corespunztoare a resurselor informaionale. Aceste reguli
sunt eseniale pentru procesarea, pstrarea integritii,
disponibilitii i confidenialitii informaiei n BRD.3.
Aplicabilitate:Politica de control al accesului fizic se aplic n
mod unitar personalului BRD i terelor pri care au acces la orice
resurse informaionale aparinnd bncii.4. Politica de control al
accesului fizic:Confidenialitatea i integritatea resurselor
informaionale stocate de BRD, trebuie asigurate astfel nct accesul
la acestea s fie permis numai persoanelor autorizate. Aceast
politic urmrete s reglementeze activitile privind accesul la
informaie n scopul prevenirii, detectrii i corectrii
evenimentelor/incidentelor de securitate.Aceast politic se aplic
tuturor tipurilor de informaii generate, folosite sau deinute de
banc utilizate n activitatea proprie.Controalele de securitate
informatic nu trebuie s fie eliminate sau nlturate.Toate sistemele
de securitate fizic trebuie s fie conforme cu reglementrile interne
n vigoare, cum ar fi, dar nelimitndu-se la, msuri de acces n
cldire, de prevenire a incendiilor sau de aprare civil.Accesul
fizic la resursele informaionale din zonele cu acces restricionat
se va face astfel nct accesul s poat fi controlat.Toate locaiile
BRD trebuie s fie protejate de accesul fizic neautorizat pe msura
importanei i funciunii pe care o ndeplinesc n cadrul BRD.Accesul la
resursele informatice pentru diverse intervenii (ntreinere,
reparaii) trebuie s fie permis numai personalului de suport al BRD
i furnizorilor care, prin natura contractului trebuie s aib acces
la aceste resurse (suport tehnic, etc.).Este interzis transmiterea
sau mprumutarea cartelelor de acces.Cartelele de acces i cheile
care nu mai sunt folosite trebuie returnate persoanei responsabile
de securitatea locaiei respective. Acestea nu trebuie re-alocate
altei persoane dect prin intermediul unei procedurii
specifice.Cartele de acces/cheile pierdute sau furate trebuie s fie
anunate persoanei responsabile de securitatea locaiei respective
(persoanei care rspunde de administrativ/dispeceratului pentru
administraia central) .Cartelele de acces i cheile nu trebuie s
conin informaii de identificare n caz de gsire accidental.Persoana
responsabil de accesul n sediul BRD trebuie s elimine drepturile de
acces persoanelor care se mut din locaie sau nu mai lucreaz n
cadrul BRD. n zonele cu acces prin cartel de acces, vizitatorii
trebuie s se deplaseze numai nsoii. Acetia trebuie supravegheai iar
datele i orele lor de intrare i de ieire trebuie nregistrate.
Trebuie meninut n condiii de siguran o istorie a tuturor intrrilor,
n scopul auditrii.Tot personalul BRD trebuie s poarte ecuson pentru
identificare i trebuie instruit s abordeze persoanele strine
nensoite sau care nu poart identificatorul.Drepturile de acces n
zonele securizate trebuie revizuite i actualizate permanent de ctre
persoana responsabil pentru securitatea sediului. Aceasta trebuie s
nlture drepturile de acces ale celor care nu mai au nevoie de
acestea.(Vasile Andra)
AUDIT- VERIFICAREA POLITICII DE CONTROL A ACCESULUI FIZIC.In
calitate de auditor, am verificat (prin obervare directa la fata
locului) prevederile continute de aceasta politica de securitate si
am constatat urmatoarele:-cartelele de access sunt imprumutate
intre angajati si este permis sa intre mai multe persoane(chiar si
straine) cu aceeasi cartela-angajatii poarta foarte rar ecusonul
pentru identificare-filmarile de pe camerele de supraveghere sunt
stocate in conditii improprii (loc cu umiditate crescuta)-exista un
singur portar/paznic care nu face fata fluxului continuu de
intrari/iesiri din cladire.
Masuri propuse: -accesul sa se faca pe baza de card+cod unic de
access. -sa se angajeze inca un portar/paznic-sa se gaseasca un
mediu mai sigur pentru stocarea casetelor.(Scatula Ana
Maria)Politica de parole1. Introducere:Politica de parole a BRD se
adreseaz ntregului personal BRD care folosete resursele bncii (
calculatoare, calculatoare portabile etc.).Accesul la resursele
informaionale ale BRD de ctre o persoan neautorizat, poate conduce
la pierderea integritii, confidenialitii i disponibilitii
informaiei i poate produce pierderi financiare i scderea
credibilitii i ncrederii clienilor i a non-clienilor n BRD.2.
Scop:Aceast politic de parole are ca scop restricionarea accesului
logic la sisteme, echipamente i informaii proprietatea BRD i
limitarea dreptului de acces prin utilizarea parolelor.3.
Aplicabilitate:Aceast politic se aplic tuturor persoanelor pentru
care sunt generate conturi n baza de date a BRD, care utilizeaz
echipamentele bncii n vederea accesrii resurselor informatice ale
acesteia (sau de orice alt form de acces care necesit o parol de
acces) sau stocheaz orice informaie restricionat aparinnd BRD.4.
Politica de parole:Toate parolele, inclusiv cele iniiale, trebuie s
fie construite i implementate conform urmtoarelor reglementri BRD:-
schimbarea periodic a parolelor;- evitarea meninerii unei evidene
pe hrtie a parolelor; - selectarea unor parole a cror complexitate
s fie conform tehnicilor avansate din domeniul IT;- s fie uor de
inut minte;- s nu aib la baz nimic ce ar putea fi uor de dedus sau
obinut din datele personale, de exemplu nume, CNP, numere de
telefon, date de natere etc.- s nu conin caractere identice
consecutive, sau caractere exclusiv numerice sau alfabetice;- s nu
partajeze parolele individuale (s nu foloseasc parole unice pentru
mai muli utilizatori);- s evite propagarea altor parole dac le
cunosc;- s schimbe parolele iniiale imediat dup instalarea
programelor software;- trebuie pstrat un istoric al parolelor
pentru a preveni reutilizarea.Parolele de acces ale utilizatorilor
nu trebuie divulgate nimnui. BRD i furnizorii lor nu au dreptul s
cear utilizatorilor s divulge parola lor.Token-urile de securitate
(ex smartcard-urile) trebuie returnate la cerere sau la ncetarea
relaiei contractuale cu BRD.Sistemele informatice nu trebuie lsate
nesupravegheate far folosirea unui screensaver protejat de parol
sau blocrii sistemului.Politicile de schimbare a parolelor de ctre
helpdesk trebuie s cuprind urmtoarele:- autentificarea
utilizatorului la help-desk nainte de schimbarea parolei;-
schimbarea ctre o parol complex;- utilizatorul va trebui s i
schimbe parola la prima iniializare de sesiune.- n cazul
descoperirii parolelor, trebuie urmai paii:- punerea controlului
asupra parolei i protejarea ei;- raportarea descoperirii la
helpdesk-ul BRD;
(Vasile Andra)
AUDIT - VERIFICAREA CONFORMITATII CU POLITICA DE PAROLEConform
investigatiilor realizate la client am constatat
urmatoarele:Angajatii care au incetat contractul de munca cu banca
nu returneaza dispozitivele electronice folosite.Am fost informat
ca se folosesc urmatoarele setari pentru parole:-lungimea minima a
parolei 9 caractere, din care minim o cifra, minin un caracter alfa
numeric-dupa 3 incercari nereusite, accesul este blocat-perioada de
valabilitate a parolei este de 90 de zile.Recomandari:-perioada de
valabilitate a parolei sa fie redusa la 25 de zile-lungimea minima
de 10 caractere-sa se ia masuri cu privire la angajatii care nu
returneaza dispozitivele bancii(Scatula Ana Maria)Politica de
securitate in domeniul resurselor umane1. Introducere:Prin politica
de securitate a informaiilor n domeniul resurselor umane se asigur
c toi salariaii i terele pri sunt ncunotiinai de ameninrile privind
securitatea informaiei i se stabilesc responsabilitile i obligaiile
fiecrei pri. 2. Scop: Scopul acestei politici este de a defini
modul prin care personalul trebuie s protejeze informaia BRD i
resursele informatice precum i responsabilitilor de securitate ce
le revin conform reglementrilor interne i a contractului colectiv
de munc.3. Aplicabilitate:Aceast politic stabilete cerine specifice
pentru ndeplinirea obiectivelor de securitate i se adreseaz tuturor
angajailor din BRD i terelor pri cu care colaboreaz.4. Politica de
securitate a informaiei n domeniul resurselor umane:Politica
general de securitate a informaiei va fi comunicat i disponibil
pentru toi angajaii i terele pri care acioneaz n numele BRD i al
tuturor celor care pot avea impact asupra securitii i integritii
resurselor BRD.Responsabilitile de securitate ale angajailor i
terelor pri trebuie s fie bine definite i documentate n concordan
cu politicile specifice de securitate a informaiei.Responsabilitile
de securitate includ cerine referitoare la: acionarea n concordan
cu politica de securitate a informaiei, protejarea resurselor BRD
mpotriva accesului neautorizat, modificrii, distrugerii sau
interferenelor, desfurarea unor activiti specifice de securitate,
pentru asigurarea responsabilitii fiecrui salariat, referitoare la
raportarea evenimentelor de securitate a informaiei sau a altor
riscuri de securitate pentru BRD.Responsabilitile de securitate
trebuie s fie bine definite i comunicate candidailor la angajare n
timpul procesului de selectare a acestora naintea angajrii
(pre-employment).Ca parte a obligaiilor lor contractuale angajaii,
contractanii i terele pri trebuie s accepte i s semneze condiiile
impuse prin contract prin care se stabilesc responsabilitile pentru
securitatea informaiei.Conducerea executiv a entitii trebuie s
solicite angajailor, contractanilor i terelor pri s aplice msurile
de securitate n concordan cu politicile specifice pentru
securitatea informaiei.Toi salariaii, i dac este cazul contractanii
i terele pri, trebuie s primeasc un nivel corespunztor de pregtire
i s fie informai periodic cu privire la revizuirea
acestora.Evenimentele ce in de nerespectarea reglementrilor interne
i politilor specifice pentru securitatea informaiei pot avea ca
rezultat msuri disciplinare dispuse de Comisia de disciplin.
Aceasta, trebuie s dispun msuri corecte pentru angajaii care sunt
suspectai de producerea unor bree de securitate serioase.Toi
angajaii, contractanii i terele pri trebuie s napoieze resursele
BRD aflate n posesia lor la ncheierea contractului. La ncheierea
derulrii contractelor vor fi retrase drepturile de acces la
informaie i la facilitile de procesare a informaiei ale angajailor,
contractanilor i terelor pri. Riscurile de securitate a informaiei
la nivelul sistemelor i informaiilor bncii trebuie reduse prin
contientizarea personalului, ncurajarea vigilenei i prin
introducerea de sisteme i echipamente de protecie.Contractul
individual de munc pentru fiecare angajat BRD trebuie s cuprind
clauze privind respectarea drepturilor de proprietate intelectual i
de pstrare a confidenialitii asupra rezultatelor activitii
desfurate i dup ncetarea relaiilor contractuale cu banca. Clauzele
i condiiile de angajare trebuie s defineasc clar responsabilitile
angajatului referitoare la securitatea informaiilor.Fr a dori s
lezeze dreptul la intimitate al angajailor BRD la locul de munc,
banca prin persoane autorizate i rezerv dreptul de a avea acces la
toate informaiile coninute i stocate n sistemele bncii.
(Vasile Andra)Politica de stocare a datelor1.
Introducere:Dateleconstituie resurse informaionale valoroase ale
BRD. Lipsa accesului la datepoate cauza neplceri i poate provoca, n
multe cazuri, daune ireparabile BRD-ului. 2. Scop:Scopul acestei
politici pentru asemenea date este de protecie att fizic, ct i
electronic, i luarea unor msuri de prevedere privind recuperarea
lor n cazul unui dezastru sau atac cibernetic ndreptat asupra
resurselor informaionale ale BRD..3. Aplicabilitate:Aceast politic
stabilete standardele minime privind stocarea datelor accesate de
ctre toate sistemele informaionale ale BRD.4. Politica de stocare a
datelor:Toate serverele utilizate n activitatea bancar considerate
de importan critic i datele asociate acestora sunt amplasate ntr-un
mediu fizic securizat cu control acces, care nu permit
utilizatorilor neautorizai accesul fizic la datele sau mediile
serverelor.Toate datele vor fi salvate n copii de siguran n mod
regulat aa dup cum este cerut de ctre responsabilul datelor i
aplicaiilor, iar aceste back-up-uri vor fi stocate n afara locaiei
surs.Toate mediile de stocare a datelor vor fi protejate de
intruziunile electronice prin implementarea de firewall-uri cu
caracteristici adecvate pentru detectarea intruziunii. Aceste
firewall-uri i implementri de soluii de detectare a intruziunilor
vor fi redundante, ori de cte ori acest lucru este cerut de ctre
responsabilii datelor i aplicaiilor.Toate datele de importan critic
vor ndeplini cerinele curente ale BRD de disponibilitate i
integritate.n ceea ce privete BRD sau entitile funcionale/unitile
teritoriale specifice, toate resursele de stocare pentru datele de
importan critic trebuie s fie amplasate ntr-o locaie fizic care
ofer un mediu cu temperatur controlat, putere redundant de back-up,
stingere automat a incendiilor, mentenan, monitorizare a serverelor
i raportare i controale de acces restrictiv.
(Vasile Andra)
Politica de Back-Up1. Introducere:Back-up-urile electronice sunt
o cerin a afacerii bncii pentru a fi permis recuperarea datelor i a
aplicaiilor n cazul distrugerii, pierderii sau al deteriorrii lor
ca urmare a unor evenimente, cum ar fi dezastre naturale sau
provocate, cderi ale hard disk-ului al sistemului n totalitate,
spionaj, erori de introducere a datelor sau erori ale operaiilor de
sistem.2. Scop:Scopul acestei politici este de a stabili regulile
pentru back-up i pentru stocarea informaiilor electronice.3.
Aplicabilitate:Politica de back-up a BRD se aplic tuturor
persoanelor din cadrul BRD care sunt responsabile de instalarea i
suportul resurselor informatice, persoanelor nsrcinate cu
securitatea resurselor informatice i responsabililor de date.4.
Politica de back-up:Frecvena i extinderea back-up-urilor trebuie s
fie n concordan cu importana informaiilor i cu riscul de securitate
a informaiei acceptabil, aa dup cum a fost determinat de ctre
responsabilul de date.- back-up-ul resurselor informatice ale BRD i
procesul de recuperare pentru fiecare sistem trebuie s fie
documentate i revizuite periodic;- stocarea datelor de back-up n
afara locaiei BRD trebuie s fie capabil s manevreze informaii
stocate de cel mai nalt nivel;- controalele de acces fizic
implementate la locaiile de stocare ale back-up-urilor n afara
locaiilor BRD trebuie s fie cel puin la fel de multe ca celelalte
controale de acces fizic ale sistemelor surs. n plus, mediile de
back-up trebuie s fie protejate n conformitate cu nivelul de
sensibilitate cel mai nalt al BRD pentru informaiile stocate;-
trebuie s fie implementat un proces privind verificarea reuitei de
realizare a back-up-urilor electronice ale informaiilor BRD;-
back-up-urile trebuie s fie testate periodic pentru a se asigura
faptul c sunt recuperabile;- cardurile cu semntur digital deinute
de ctre tera parte pentru accesul la mediul de back-up din afara
locaiilor BRD, trebuie s fie revizuite anual sau ori de cte ori o
persoan autorizat prsete BRD;- mediile de stocare a back-up-urilor
trebuie s aib cel puin un criteriu de identificare dintre cele
menionate mai jos, criteriu care s poat fi identificat prin
etichete i/sau sisteme de cod de bare:1) denumire sistem; 2) dat de
creare;3) clasificare sensibilitate (pe baza reteniei electronice
de nregistrri aplicabil);4) informaii de contact.
(Vasile Andra)AUDIT - POLITICA DE STOCARE SI BACKUPAm obtinut
capturi de ecran cu exemple de backup realizate pe parcursul unei
saptamani.Insa, la momentul de fata clientul nu are formalizata o
procedura in acest sens.(Scatula Ana Maria)
Manager ITAtribuii i responsabiliti ale departamentului de
informatica: asigur supervizarea sistemului informatic i de
comunicaiiale grupului; supervizeaz activitatea informaticienilor
din unitile grupului; mpreun cu departamentul sisteme informatice
propune planul de formare al echipei informatice din unitile
grupului; supervizeaz organizarea Back-up-ului la nivelul ntregului
grup.
Domeniul gestiune riscuri Gestiunea riscurilor intervine asupra
tuturor activitilor bancare. Aceste meserii ofer ocazia unic de a
dobndi cunotine complete asupra tuturor activitilor bncii. Printre
cei care se ocupa de acest aspect se numara si inspectorul care
stabilete sauvalideaz normele, instruciunile
iproceduriledecontrolintern,de supraveghere, de securitate si
protecie bancar, realizeaz aciunile de control i face nconsecin
propuneri de ameliorare a activitii, efectueaz controlul n domeniul
supravegherii i proteciei bancare.
Amenintari: calculatoarele/laptop-urile sunt lasate conectate la
sursa de curent pe timpul noptii, prin urmare exista riscul ca
acestea sa fie afectate de socurile electrice angajatii isi lasa
sticlele cu apa/suc/cafea fara capac langa unitatea centrala, prin
urmare exista riscul ca lichidul sa se verse pe aceasta si sa ii
provoace daune fizice angajatii lipesc magenti pe partea din spate
a ecranului laptop-ului,prin urmare exista riscul , ca in timp, sa
se strice ecranul angajatii au acces liber la instalarea si
utilizarea de componente externe(imprimante, stick-uri de memorie).
Calculatoarele si echipamentele periferice pot fi bruscate sau
utilizate incorect de catre angajati, putand provoca defectiuni
importante ce determina costuri cu reparatii anagajatii pot instala
programe de pe internet fara licenta,desi nu au drepturi de
administrator=>virusare a calculatorului utilizarea unei
aplicatii care este depasita dpdv tehnic si nu mai poate tine pasul
cu tehnologia=>aplicatie ineficienta=>costuri ridicate,
pentru ca apar dificutati in update si spatiu de stocare Personalul
in sine e o amenintare pentru ca are acces la datele firmei, mai
ales daca e neinstruit
Vulnerabilitati: Angajatii neinstruiti cu privire la
confidentialitatea anumitor tipuri de informatii, pot divulga
intentionat sau nu acestea producand daune morale sau materiale
Daca angajatul nu realizeaza back-up zilnic exista pericolul de
pierdere a informatiilor cauzat de intreruperi de current sau alte
defectiuni ale sistemului Anumiti angajati permit altor angajati sa
acceseze sistemul folosind datele lor de logare, astfel existand
riscul de deterioarare a anumitor informatii sau divulgare a lor
Daca antivirusul este fara licenta sau nu este instalata o versiune
actualizata exista riscuri de contactare a virusilorMasuri de
inlaturare a vulnerabilitatilor si amenintarilor: Se organizeaza
periodic sesiuni de informare a personalului angajat cu privire la
manevrarea calculatoarelor si echipamentelor periferice, precum si
la tipurile de date la care acestia au acces (de interes public,
clasificate), responsabilitatile privind securitatea datelor
procesate si confidentialitatea informatiilor restrictionate
publicului Asigurarea conditiilor optime (temperature, protectie)
computerelor Se realizeaza periodic revizii de catre tehnicianul IT
Angajatii au 3 categorii de user si parola si anume pentru:
Windows, Xicom si I-Bank Accesul la programul Xicom se face pe baza
de user(teller) si parola, vizualizarea si modificarea datelor se
poate face doar de catre persoanele autorizate Accesul la internet
este restrictionat, angajatii au acces doar la anumite site-uri
necesare realizarii sarcinilor si mai au la dispozitie si
intranet-ul folosit principal pentru aplicatii si vizualizare
norme, procedure etc. Zilnic se realizeaza back-up pe servere (sunt
3 categorii: la nivel de agentie, la nivel de grup si la nivelul
sediului central) pentru tranzatiile realizate in ziua respective
Utilizarea doar a programelor cu licenta
Politica utilizrii adecvate (exemplu de politica)
O astfel de politic analizeaza si defineste utilizarea
corespunztoare a resurselor informatice din organizaie.
Utilizatorii trebuie s o citeasc i semneze atunci cnd i exprim
intenia de deschidere a unui cont de utilizator. Utilizatorii
trebuie sa protejeze informatiile clasificate ca fiind private
Chiar daca utilizatorii au acces la mai multe tipuri de informatii,
unele din ele nefiind ale lor, acestia nu trebuie sa citeasa sau sa
copieze fisiere despre care stiu ca nu ii priveste sau divulgarea
lor poate crea probleme Utilizatorii pot modifica fisierele la care
au drept de scriere dar care sa le si apartina, modificarea altor
fisiere nu este permisa chiar daca au drept de scriere (cu expectia
in cazul in care este specificat expres de catre un superior)
Utilizatorii nu trebuie sa faca copii ale fisierelor de configurare
a sistemului in scopul folosirii personale sau pentru a le procura
altor terte personae Utilizatorii nu trebuie sa aiba dreptul de a
face oricate copii de pe softul procurat cu licenta de
utilizare
(Vizitiu Claudia)
Auditor ITAmenintari:1.Exista riscul ca echipamentele IT sa fie
neprotejate in cazuri de: incendiu, furtuna cutremur,
suprasolicitare a retelei electrice. La fata locului am descoperit
3prize de alimentare cu curent electric topite, ca urmare a unei
suprasolicitari electrice.Ca masura de evitare a unor astfel de
situatii pe viitor, am propus managerului IT inlocuirea prizelor
vechi de alimentare cu cele de tipul BRC, dotate cu capace de
8mm.2.La 12 din 56 de calculatoare am observat faptul ca unitatile
centrale sunt prevazute cu un mecanism care permite lichidelor sa
se mentina calde pe intreaga perioada a zilei, datorita alimentarii
cu energie electrica.Exista riscul ca lichidele sa se verse si sa
provoace un scurt circuit,tinand cont si de faptul ca prizele de
alimentare cu energie electrica sunt dispuse la nivelul
podele,fiind neacoperite. 3.Din surse oficiale, am aflat informatii
referitoare la datele personale (care, in mod normal sunt date
confidentiale) ale clientului Popescu Marius de la unul dintre
membrii personalului intern; astfel am remarcat divulgarea
neautorizata a informatiilor.4.La calculatorul prevazut cu IP-ul:
169.12.11.07, in istoricul cautarilor prin intermediul Google,am
descoperit programe (ex:Torrent) care au generat plantarea de cai
troieni la nivelul sistemului de operare.Am apelat la scanarea
computerului cu ajutorul programului anti-virus Avast,descoperind
astfel la nivelul unitatii D foldere infectate,ce contineau
fotografii personale ale utilizatorului calculatorului, precum si
clipuri video.5.In timpul vizitei la client,am observant ca unul
dintre angajati s-a implicat in instalarea unei imprimante
multifunctionale de tipul Canon Pixma IP 2000; aceasta atributie nu
a cazut in sarcina administratorului IT.Am aflat, ulterior ca,
persoana insarcinata cu instalarea diverselor periferice era
plecata din sediul central catre o agentie BRD.6.Pentru siguranta
faptului ca la nivelul programelor pe care personalul intern le
foloseste,sunt folosite parole si conturi de utilizatori,am testat
contul si parola unuia dintre salariati. La deschiderea programului
iBank, concomitant s-a declansat o pagina de Internet, dovada a
faptului ca la nivelul sistemului de operare a fost inregistrat un
virus informatic.7. In holul sediului central am descoperit 5
calculatoare Compaq DX 2983, achizitionate in 1997, puse la
dispozitia clientilor pentru a afla diverse informatii de pe
Internet. Aceste calculatoare nu mai functioneaza la parametric
normali (propun inlocuirea lor in timp util/scoaterea complete din
functiune), fiind astfel predispuse mult mai usor la atacuri
informatice fara constrangeri.
Vulnerabilitati1. In urma inspectiei antivirusului Avira, am
descoperit faptul ca la 5 calculatoare nu a fost instalata o
versiune actualizata a acestuia, existand riscul ca fisierele sa
fie infectate, denaturand astfel informatiile procesata pana la
acel moment dat.2. In componenta user name-ului nu exista o
prescurtare a functiei ocupate la nivelul institutiei sau o alta
modalitate de diferentiere a personalului operator fata de
personalul IT. Exista posibilitatea ca un programatoradministrator
IT sa efectueze operatiuni neautorizate, care sa fie descoperite
dupa cativa ani (dupa aceasta perioada ar putea exista
posibilitatea ca persoana care a denaturat informatiile sa nu mai
lucreze in institutie).3. In luna septembrie 2012 a fost
achizitionata o imprimanta multifunctionala, iar angajatii nu au
fost instruiti cum sa o utilizeze (fax,scanner, Xerox).4. In urma
analizei fiselor tehnice, am sesizat faptul ca revizia tehnica a
calculatoarelor si perifericelor a fost realizata in urma cu 10
luni. Se recomanda revizia tehnica o data la 6 luni.5. Se recomanda
mentinerea sistemului de operare Windows, deoarece este compatibil
cu programele in care angajatii isi desfasoara activitatea.6.
Deoarece este un process complex si de durata, se recomanda ca
back-up-ul pe servere sa se realizeze dupa cum urmeaza: la nivel de
agentie- 2 ori pe saptamana, in zilele de miercuri si vineri; la
nivel de grup si de sediu central 3 ori pe saptamana, lunea,
miercurea si joia.
Auditarea poloticii utilizarii adecvate Ca urmare a analizei
politicii utilizatii adecvate, am sesizat ca:- nu exista un
registru in care fiecare angajat sa semneze ca a luat la cunostinta
politica si ca exista intentia de deschidere a unui cont de
utilizator;-nu exista o politica la nivelul departamentului IT, in
care sa se regaseasca informatiile clasificate;-informatiile
interne la care au acces utilizatorii (inclusiv cele care nu sunt
personale) ar trebui securizate
(Valvoi Adelina)Manager de baze de dateAmenintari ale
personalului: Operatorii care pot efectua operatiuni neautorizate
din greseala sau intentionat. Programatorii care au acces la toate
informatiile bazei de date. Proceduri de securitate impotriva
acestor amenintari din partea personalului:1. Aplicatia care
monitorizeaza baza de date va jurnaliza activitatea fiecarui cont
de utilizator: data, ora si operatiunile executate .2. Instruirea
periodica a utilizatorilor privind securitatea datelor folosite.3.
Folosirea parolelor complexe formate din litere mari si mici, cifre
si caractere speciale.4. Dupa 3 incercari nereusite se blocheaza
contului.5. Acordarea nivelului de acces la informatii in baza de
date se va face in stricta corelatie cu atributiile din fisa
postului.Amenintari hardware: Sistemul de stocare a informatiilor
din baza de date poate sa sufere defectiuni (ex: defectarea unei
piese) astfel informatiile sa numai poata fi utilizate. Procedura
de securitate: pentru hard diskuri am ales o configuratie RAID care
sa tina informatiile duplicate in permanenta pe un alt hard disk.
Absenta back-up-ului sau imperfecta stocare a acestuia Procedura de
securitate: realizarea periodica de copii"backup": 5 zile Serverul
care gestioneaza baza de date nu poate fi utilizat in cazul in care
Firewall-ul nu functioneaza corespunzator
Amenintari software: Nefunctionarea corespunzatoare a
programelor instalate care urmaresc si impiedica conectarea altor
client neautorizati la serviciile oferite de baza de date.
Procedura de securitate: instalarea programelor antivirus, ex:
NOD32Antivirus4, care pe langa functia de depistare a programelor
de tip virus mai are si functia de depistare a programelor spion
care urmaresc si pot furniza in mod illicit date referitoare la
baza de date. Exemplu: Programe care pot citi ce se afiseaza pe
monitor sau ce se transmite prin intermediul e-mail-urilor. In
timpul exploatarii pot fi depistate anumite tipuri de erori in
functionarea programului bazei de date. Programe de tip virus
Procedura de securitate: folosirea programelor antivirus
actualizate in fiecare zi cu ultimele semnaturile de virusi.
Vulnerabilitati: Erorile pe care le descopera si le face
cunoscute producatorul programului de baze de date. Procedura de
securitate: instalarea update-urilor.
(Vatulescu Alexandra)