PDS STRATEKI INFORMATIKI MENADMENT

Revizija IS u Banci XSadraj

Uvod

Faze provedbe revizije IS

Okruenje, poslovni procesi i komponente IS

Testiranje kontrola i nalazi

Preporuke menadmentu Banke14.11.201311Uvod

Banka X je osnovana 2006. i spada u kategoriju malih banakaMrea od 20 poslovnih jedinica i 20 bankomata irom Bosne i Hercegovine, sa centralom u SarajevuBanka je odluila da sprovede reviziju sljedeih podruja IS (u skladu sa Odlukom o min. standardima za upravljanje IS):Politika sigurnosti informacionog sistemaUpravljanje kontrolama pristupaUpravljanje resursima informacionog sistemaUpravljanje promjenamaUpravljanje incidentimaUpravljanje kopijama (backup)14.11.20132Revizija IS u Banci X214.11.20133Faze provedbe revizije IS

Identifikacija okruenja, kljunih poslovnih procesa i resursa informacionog sistema koji ih podravajuIdentifikacija i procjena rizika proisteklih iz koritenja informacionih tehnologija Testiranje dizajna kontrola; Testiranje operativne efikasnosti kontrola (samo za one kontrole za koje su rezultati testiranja dizajna ukazali na efektivan dizajn posmatrane kontrole); Ocjena nivoa zrelosti za svako od testiranih podruja (prema generikom modelu zrelosti COBIT-a 4.1)Dokumentovanje nalaza i Pismo UpraviRevizija IS u Banci X314.11.20134Organizacija i poloaj informatike u Banci

Funkcija informatike u Banci je organizovana unutar Sektora za inf. tehnologijeU organizacijskoj hijerarhiji Banke, Sektor za IT odgovara direktoru Banke Sektor za IT sastoji se od Odjela za razvoj i odravanje softvera i Odjela za IT operacije i mreuRevizija IS u Banci X

414.11.20135Kljuni poslovni procesi

U Banci su definirani kljuni poslovni procesi do nivoa 1 (osnovni procesi):KreditiDepozitiFinansiranje trgovinePlatne transakcije i rauniSredstvaInvesticijsko bankarstvoZa sve procese odreeni su vlasnici koji su odgovorni za djelotvorno odvijanje procesa i njegovo poboljanjeRevizija IS u Banci X514.11.20136Kljune komponente IS

Lokacije:Primarna sistemska salaOsnovni bankarski aplikativni sistem XISCentralni database serverHP Proliant ML570 G4OS: Linux Red Hat Advanced Server 3.0Oracle 10gR2Primarni domain serverHP ProLiant DL360 G5OS: Windows 2003 Server SERevizija IS u Banci X614.11.20137Kljune komponente IS (2)

Mrena oprema i softver:Primarni firewall Cisco ASA 5510, OS 8.4(2)Core server switch Cisco 3750G-48TS, OS 12.2(58)SE1User access switch Cisco 2960 48TT, OS 12.2(55)SEDMVPN Hub Cisco Router 2921/K9, OS 15.1(3)T1Primarni key server Cisco 2821, OS 12.4(24)T5Veze sa vanjskim mreamaSWIFTCBBiH (unutanji platni promet - iro kliring)Bamcard procesni centar za karticeRevizija IS u Banci X714.11.20138

814.11.20139Testiranje kontrola i nalaziPolitika sigurnosti informacionog sistemaCOBIT 4.1, DS5.1 Management of IT Security

Banka ima Politiku sigurnosti informacionog sistema usvojenu od Uprave BankePolitika je adekvatna, sadri principe i definie odgovornosti u upravljanju sigurnou IS, obuhvata podruja upravljake, logike i fizike zatite resursa ISAktuelna verzija dokumenta je starija od jedne godineNije uspostavljena funkcija CSO, predviena PolitikomU razgovoru sa odgovornim uposlenicima utveno je da neki a) ne poznaju neke odredbe (direktno vezane za posao), b) ne primjenjuju neke odredbe u svakodnevnom raduRevizija IS u Banci X914.11.201310Testiranje kontrola i nalaziUpravljanje kontrolama pristupaCOBIT 4.1, DS5.3 Identity Management, DS5.4 User Account Management, DS5.5 Security Testing, Surveillance and Monitoring

Banka ima adekvatnu Politiku za upravljanje kontrolama pristupa IS usvojenu od Uprave BankeOtvaranje korisnikih rauna i dodjela privilegija se vri u skladu s Politikom i prateim procedurama (privilegije radnika su odreene radnim mjestom)Politika se potuje i kod promjene radnih mjesta unutar Banke (postojee privilegije se briu, a dodaju nove)Politika se potuje i kod odlaska uposlenika iz Banke (nakon obavijesti iz HR-a, briu se sve privilegije i zatvara se korisniki raun)Revizija IS u Banci X1014.11.201311Testiranje kontrola i nalaziUpravljanje kontrolama pristupa (2)COBIT 4.1, DS5.3 Identity Management, DS5.4 User Account Management, DS5.5 Security Testing, Surveillance and Monitoring

Iako prema Politici svi korisnici moraju imati jedinstvena korisnika imena, na pregled je uoio odreene izuzetke:14 generikih korisnikih rn (Centralni DB server, Oracle), 2 generika korisnika rn (Centralni DB server, OS Linux)Vlasnitvo za ove rn ne moe biti jednoznano uspostavljenoPregledom sistemskih zapisa, utvreno je da se veina ovih DB rauna redovno koristi za auriranje podataka u bazi, a rauni na OS se koriste za upravljanje CRON skriptamaRevizija IS u Banci X1114.11.201312Testiranje kontrola i nalaziUpravljanje kontrolama pristupa (3)COBIT 4.1, DS5.3 Identity Management, DS5.4 User Account Management, DS5.5 Security Testing, Surveillance and Monitoring

Na Centralnom DB serveru, u Oracle bazi, nije omogueno kreiranje revizorskog traga/logiranje sistemskih zapisa za monitoring DBA korisnika (audit_sys_operations parametar) Pregledom na primarnom domain serveru utvreno je da svi uposlenici Sektora za IT imaju Domain Admin privilegijeIako je Politikom propisano, u Banci se ne vri periodian pregled privilegija pristupa korisnika (vlasnici procesa)U mrei Banke nema sistema za detekciju upada u mreu (Intrusion Detection Systems IDS), niti sistema za prevenciju upada (Intrusion Prevention Systems - IPS)Revizija IS u Banci X1214.11.201313Testiranje kontrola i nalaziUpravljanje resursima informacionog sistemaCOBIT 4.1, PO2.3 Data Classification Scheme, PO4.9 Data and System Ownership

Sva IT imovina uredno je evidentirana sa svim znaajnim parametrima, ukljuujui i vlasnika i skrbnika imovineU Banci nema formalne i usvojene procedure za rashodovanje ili prijenos imovine informacionog sistema, (zahtjevi vezani za zatitu osjetljivih podataka prilikom rashodovanja ili prijenosa komponenti IS)U Banci nema formalne i usvojene procedure za klasifikaciju i zatitu informacijaPostojei proces za budetiranje za IT nije adekvatan (prijedloge za IT budet daje direktor Sektora za IT, bez znaajnog inputa poslovne strane)Revizija IS u Banci X1314.11.201314Testiranje kontrola i nalaziUpravljanje promjenamaCOBIT 4.1, AI6 Manage Changes

Uspostavljen je proces upravljanja promjenama u IS, usklaen sa najboljim praksama i popraen adekvatnim proceduramaUz pomo prikladnog alata, svi zahtjevi za promjenama evidentiraju se u jedinstvenoj bazi koja omoguava praenje i dokumentovanje promjenaSvi zahtjevi za promjenama obrauju se na struktuiran nain (kategorizacija, prioritizacija, procjena uticaja na poslovanje)U okviru procedure za upravljanje promjenama posebno su tretirane hitne promjeneRevizija IS u Banci X1414.11.201315Testiranje kontrola i nalaziUpravljanje promjenama (2)COBIT 4.1, AI6 Manage Changes

Nije uspostavljen proces izvjetavanja koji bi omoguio mjerenje perfomansi (i unapreenje) cjelokupnog procesaNema nadzora nad otvorenim zahtjevima (utvreno je da postoje otvoreni zahtjevi stari i do 2 godine)Kontrolom je utvreno da neke promjene nisu popraene odgovarajuom dokumentacijomNije formalizovana korelacija izmeu promjena u informacionom sistemu i promjena u poslovnim procesima

Revizija IS u Banci X1514.11.201316Testiranje kontrola i nalaziUpravljanje incidentimaCOBIT 4.1, DS8 Manage Service Desk and Incidents

Servis desk funkcija je uspostavljena kao jedinstvena inicijalna taka kontakta korisnika IS prema ITImplementirano je prikladno softversko rjeenje koje omoguava adekvatan rad servis deskaKorisnici IS su upoznati sa postojanjem i radom servis deskaNije razvijena formalna procedura koja definie i precizno opisuje procese i aktivnosti unutar servis desk funkcijeNisu precizno definisane dunosti unutar ovog procesaNe vri se analiza trendova i konstantno praenje rada, iako je to mogue kroz funkcionalnosti postojee aplikacijeRevizija IS u Banci X1614.11.201317Testiranje kontrola i nalaziUpravljanje kopijama (backup)COBIT 4.1, DS11.5 Backup and restoration

Definirane su i implementirane procedure za backup i restoraciju sistema, aplikacija, podataka i dokumentacijeKopije se uvaju na primarnoj i rezervnoj lokacijiUtvrene su odgovornosti za provoenje ovih aktivnosti, ukljuujui i povremenu provjeru ispravnosti backup-aSvi parametri backup i restore operacija su definisani imajuu u vidu znaaj informacija za poslovne proceseIako se uglavnom koriste automatizirani alati, u nekim dijelovima procesa backup se radi manuelno, to ostavlja prostora za znaajne grekeRevizija IS u Banci X1714.11.201318Revizija IS u Banci XOpis podrujaNivo zrelosti012345Politika sigurnosti informacionog sistema2 - RepetitivnoUpravljanje kontrolama pristupa2 - RepetitivnoUpravljanje resursima informacionog sistema3 - DefinisanoUpravljanje promjenama3 - DefinisanoUpravljanje incidentima1 U poetnoj faziUpravljanje kopijama (backup)4 - Regulisano1814.11.201319Preporuke menadmentu Banke (1)

Aurirati Politiku sigurnosti IS najmanje jednom godinje, u sluaju veih promjena u sistemu i eeObezbijediti da svi korisnici IS budu upoznati sa sadrajem akata vezanih uz IS (u skladu sa potrebama) Usvojiti formalan i strukturiran pristup pregledu i konfirmaciji postojeih politika i procedura od strane njihovih vlasnika, da bi se osiguralo da su dokumenti i dalje relevantni i da su sve bitnije promjene komunicirane osobljuUvesti poziciju CSO (Chief Security Officer), kako je to predvieno Politikom sigurnosti IS

Revizija IS u Banci X1914.11.201320Preporuke menadmentu Banke (2)

Eliminisati postojanje i koritenje generikih korisnikih rn Obezbijediti logiranje akcija u bazama i za DBA korisnikeRevidirati privilegije uposlenika Sektora za ITOsigurati da su administratori sistema podloni istim ako ne i striktnijim procedurama kontrole pristupa u odnosu na druge korisnikeImplementirati formalnu proceduru za periodian i formalan pregled privilegija korisnika od strane vlasnika procesaRazmotriti implementaciju IDS/IPS rjeenja da bi se unaprijedila zatita mree Banke od potencijalnih eksternih upada i poveala vjerovatnoa detekcije pokuaja kompromitovanja sistemaRevizija IS u Banci X2014.11.201321Preporuke menadmentu Banke (3)

Implementirati formalnu proceduru za rashodovanje i prijenos imovine ISImplementirati formalnu proceduru za klasifikaciju i zatitu informacijaOsigurati da godinji proces budetiranja za IT ukljuuje i znaajan input vlasnika poslovnih procesa, sa stanovita njihovih potreba i projekcija za period budetiranjaUnaprijediti proces upravljanja promjenama u segmentima:redovno periodino izvjetavanje o promjenamapraenje da se promjene zatvaraju pravovremeno, ovisno o prioritetudokumentovanje promjena kod zatvaranja Revizija IS u Banci X2114.11.201322Preporuke menadmentu Banke (4)

Razviti formalnu servis desk proceduru koja bi pokrila sljedee aktivnosti unutar ovog procesa: a) uloge i odgovornosti; b) procedure nadzora i eskalacije; c) alati i tehnike za evidentiranje korisnikih upita; d) kanali komunikacije; e) rutiranje i eskalacija korisnikih zahtjeva i prijavljenih incidenata; e) procedure izvjetavanja (uestalost, itd.); f) procedure analize trendovaRevizija IS u Banci X22HVALA NA PANJI! 14.11.201323Revizija IS u Banci X23Generalni direktor Sektor za IT

Odjel za razvoj i odravanje softvera

Odjel za IT operacije i mreu