Procedura P01: Iniierea auditului

ALPHA BANK Serviciul Audit Intern Nr. 25 din 08.01.2010

ORDIN DE SERVICIU

In conformitate cu prevederile Legii nr. 672/2002 privind auditul public intern, a O.M.F.P. nr. 38/2003 de aprobare a normelor metodologice generale privind exercitarea activitii de audit intern, a Ordinului managerului general nr. 1024/2003 prin care s-au aprobat Normele proprii de exercitare a auditului intern n cadrul entitii i a Planului de audit intern pentru anul 2010, se va efectua misiunea de audit intern la Alpha Bank n perioada 25.01.2010 17.04.2010. Scopul misiunii de audit este de a da asigurri asupra securitatii IT de la nivelul entitii i a conformitii cu cadrul legislativ i normativ aplicabil, fiind structurate pe urmtoarele domenii auditabile: Securitatea IT. Menionm c se va efectua un audit de conformitate al modului de organizare a activitii de tehnologia informaiei din ALPHA BANK. Echipa de auditori interni este format din urmtorii: 1. Ionescu Daniel ; 2. Barbu Mihai.

Coordonator Compartimentul de Audit Intern, Grecu George

- 17 -

Procedura - P02: Iniierea auditului

ALPHA BANK Serviciul Audit Intern DECLARAIA DE INDEPENDEN Nume i prenume: Ionescu Daniel Misiunea de audit: Securitatea Tehnologiei Informatiei

Data: 10.01.2010

Incompatibiliti n legtur cu entitatea/structura auditat Da Nu Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii X sau s constatai slbiciuni de audit n orice fel? Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective X care ar putea s v influeneze n misiunea de audit? Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un X alt mod n activitatea entitii/structurii ce va fi auditat? Avei responsabiliti n derularea programelor i proiectelor finanate X integral sau parial de Uniunea European? Ai fost implicat n elaborarea i implementarea sistemelor de control ale X entitii/structurii ce urmeaz a fi auditat? Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului X de conducere colectiv? Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel X guvernamental? Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat X pentru entitatea/structura ce va fi auditat? Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? X Avei vreun interes direct sau unul de fond financiar indirect la X entitatea/structura ce va fi auditat? Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a X lucra i a face rapoartele de audit impariale, notificai coordonatorul Compartimentului Audit Public Intern de urgen? Auditor, Coordonatorul Compartimentului Audit Intern, Ionescu Daniel Grecu George
1 Incompatibiliti personale: Nu.

2. Pot fi eliminate incompatibilitile: Nu este cazul. Dac da, explicai cum anume: Nu este cazul. Data: 10.01.2010 Semntura: Grecu George

- 18 -

Procedura - P02: Iniierea auditului

ALPHA BANK Serviciul Audit Intern DECLARAIA DE INDEPENDEN Nume i prenume: Barbu Mihai Misiunea de audit: Securitatea Tehnologiei Informatiei

Data: 10.01.2010

Incompatibiliti n legtur cu entitatea/structura auditat Da Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel? Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit? Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat? Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European? Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat? Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv? Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental? Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat? Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat? Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a X lucra i a face rapoartele de audit impariale, notificai coordonatorul Compartimentului Audit Public Intern de urgen? Auditor, Coordonatorul Compartimentului Audit Intern, Mihai Barbu Grecu George
1. Incompatibiliti personale: Nu. 2. Pot fi eliminate incompatibilitile: Nu este cazul. Dac da, explicai cum anume: Nu este cazul. Data: 10.01.2010
- 19 -

Nu X X X X X X

X X X X

Semntura: Barbu Mihai

Procedura P03: Iniierea Auditului

ALPHA BANK Serviciul Audit Intern Nr. 29 din 10.01.2010 NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN

Ctre: De la:

ALPHA BANK
ef Serviciu Audit Intern

Referitor la misiunea de audit intern Securitatea tehnologiei informaiei din

ALPHA BANK
Stimate domnule Popescu tefan, n conformitate cu Planul de audit intern pe anul 2010, urmeaz ca n perioada 25.01.2010 17.04.2010 s efectum o misiune de audit intern cu tema securitatea Tehnologiei informaiei. V vom contacta ulterior pentru a stabili de comun acord edina de deschi dere n vederea discutrii diverselor aspecte ale misiunii de audit, cuprinznd: - prezentarea auditorilor; - prezentarea principalelor obiective ale misiunii de audit intern; - programul interveniei la faa locului; - scopul misiunii de audit intern; - alte aspecte. Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne punei la dispoziie urmtoarea documentaie necesar privind activitatea de tehnologie a informaiei: legile i reglementrile ce se aplica activitilor dumneavoastr, organigrama direciei dumneavoastr, Regulamentul de organizare i funcionare, fiele posturilor, procedurile scrise care descriu sarcinile ce trebuie realizate pe linia organizrii activitii, un exemplar al rapoartelor de activitate, notelor, misiunilo r de audit anterioare care se refer la aceasta tem. Dac avei unele ntrebri privind desfurarea misiunii, v rugm s -l contactai pe domnul Ionescu Daniel - auditor, coordonatorul misiunii sau pe eful structurii de audit intern. Cu stim, Data: 10.01.2010 Coordonatorul Compartimentului Audit Intern Grecu George
- 20 -

Procedura P04: Colectarea i prelucrarea informaiilor

ALPHA BANK Serviciul Audit Intern COLECTAREA INFORMAIILOR Misiunea de audit: Securitatea Tehnologiei Informaiei Perioada auditat: 01.01- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Avizat: Grecu George

Data: 10.01.2010 Data: 10.01.2010

COLECTAREA INFORMAIILOR DIRECIA TEHNOLOGIA DA NU Observaii INFORMAIEI Identificarea legilor i regulamentelor X aplicabile structurii auditate Obinerea organigramei X Obinerea Regulamentului de organizare i X funcionare Obinerea fielor posturilor X Obinerea procedurilor scrise X Exist doar parial Identificarea personalului responsabil X Anterior nu au fost realizate misiuni de audit intern Obinerea exemplarului de Raport de audit X asupra tehnologiei intern anterior informaiei la nivelul entitii

- 21 -

Procedura P05 : Analiza riscurilor

ALPHA BANK Serviciul Audit Intern

LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010 Avizat: Grecu George Data: 20.01.2010

Nr. crt.
I. Securitatea IT

DOMENIUL

OBIECTE AUDITABILE

1. Politica de securitate IT 2. Monitorizarea implementrii politicii de securitate IT 3. Evaluarea controalelor fizice n domeniul IT 4. Sigurana accesului la reea i a comunicrii datelor n reea 5. Programe antivirus 6. Recuperarea datelor n caz de dezastru 7. Sistemul de arhivare

Nota: Lista centralizatoare a obiectelor auditabile reprezint primul document care se elaboreaz n cadrul procedurii Analiza riscurilor i cuprinde, pentru acest studiu de caz, 7 de obiecte auditabile care vor fi analizate pe parcursul derulrii misiunii de audit intern.

- 25 -

Procedura - P05 : Analiza riscurilor ALPHA BANK Serviciul Audit Intern IDENTIFICAREA RISCURILOR Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010 Avizat: Grecu George Data: 20.01.2010 Nr. DOMENIUL crt I. Securitatea IT OBIECTE AUDITABILE 1. Politica de securitate IT RISCURI SEMNIFICATIVE

1. Inexistena politicii de securitate 2. Neaplicarea politicii de securitatea n mod consecvent 2. Monitorizarea implementrii 3. Inexistena unui responsabil desemnat cu monitorizarea politicii de securitate IT implementrii politicii de securitate IT 4. Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare 5. Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic 3. Evaluarea controalelor 6. Lipsa procedurilor privind implementarea controalelor fizice n domeniul IT fizice n domeniul IT 7. Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice 8. Lipsa unor proceduri pentru realizarea controalelor fizice 9. Neefectuarea controalelor fizice conform procedurilor 4. Sigurana accesului la reea 10. Lipsa procedurilor privind sigurana accesului i a comunicrii datelor n utilizatorilor n reea reea 11. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea 12. Neefectuarea monitorizrii sistematice 13. Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor 5. Programe antivirus 14. Lipsa procedurilor privind implementarea programelor antivirus 15. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus 16. Neefectuarea monitorizrii sistematice 17. Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor 6. Recuperarea datelor n caz 18. Lipsa procedurilor privind recuperarea datelor n caz de de dezastru dezastru 19. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru 20. Neefectuarea monitorizrii sistematice 21. Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor
- 26 -

Nr. crt

DOMENIUL

OBIECTE AUDITABILE 7. Sistemul de arhivare

RISCURI SEMNIFICATIVE 22. Lipsa procedurilor privind arhivarea datelor 23. Nedesemnarea responsabilitii pentru arhivarea datelor 24. Neefectuarea evalurii periodice a activitii de arhivare

Nota: Identificarea riscurilor este al doilea document care se elaboreaz n cadrul procedurii Analiza riscurilor i presupune asocierea riscurilor semnificative la operaiilor stabilite n Lista centralizatoare a obiectelor auditabile. De regul, se asociaz unul sau mai multe riscuri posibile, determinate de auditorii interni pe baza informaiilor colectate dar si din riscurile practice reieite din propria experien . n situaia n care la operaiile auditabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte sau pe total operaie/obiect auditabil. n acest caz, au fost identificate 7 obiecte auditabile, prezentate n Lista centralizatoare a obiectelor auditabile, crora le-au fost ataate 24 riscuri, aa cum rezult din documentul Identificarea riscurilor.

- 27 -

Procedura - P05: Analiza riscurilor

ALPHA BANK Serviciul Audit Intern

STABILIREA FACTORILOR DE RISC, PONDERILE ACESTORA I APRECIEREA NIVELURILOR RISCURILOR

Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010 Avizat: Ionescu Mircea Data: 20.01.2010

Factori de risc (Fi) Aprecierea controlului intern F1 Aprecierea cantitativ F2 Aprecierea calitativ F3

Ponderea factorilor de risc (Pi)

P1 50%

Nivelul de apreciere al riscului (Ni) N1

Exist proceduri i se aplic

N2
Exist proceduri, sunt cunoscute, dar nu se aplic Impact financiar mediu

N3
Nu exist proceduri

P2 30%

Impact financiar sczut Vulnerabilitate mic

Impact financiar ridicat

P3 20%

Vulnerabilitate medie

Vulnerabilitate mare

Not: Prin acest document se stabilesc, n funcie de importana i greutatea factorilor de risc, ponderile i nivelurile de apreciere ale riscurilor. Cei trei factori de risc sunt stabilii prin normele generale i sunt acoperitori pentru entitate, ns dac se dorete evidenierea i altor factori de risc, cu nivelurile de apreciere corespunztoare, trebuie s se aib n vedere ca suma ponderilor factorilor de risc s rmn 100.

- 28 -

- 29 -

Procedura - P05 : Analiza riscurilor ALPHA BANK Serviciul Audit Intern STABILIREA NIVELULUI RISCULUI I A PUNCTAJULUI TOTAL AL RISCULUI Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009 01.01.2010 ntocmit: Ionescu Daniel/Barbu Mihai Avizat: Grecu George Nr. crt. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE

Data: 20.01.2010 Data: 20.01.2010 Criterii de analiza a riscurilor Aprecierea controlului intern (F1) P1 N1 50% Aprecierea cantitativ (F2) P2 N2 30%
0,3 0,3 0,3 3 2 3

Punctaj total

Aprecierea calitativ (F3) P3 N3 20%

0,2 0,2 0,2 2 3 2 2,3 2,2 2,5

I.

Securitatea IT

1. Politica de securitate IT 2. Monitorizarea implementrii politicii de securitate IT

3. Evaluarea controalelor fizice n domeniul IT

Inexistena politicii de securitate Neaplicarea politicii de securitatea n mod consecvent Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic Lipsa procedurilor privind implementarea controalelor fizice n domeniul IT Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice Lipsa unor proceduri pentru realizarea controalelor fizice
- 25 -

0,5 0,5 0,5

2 2 3

0,5 0,5

2 2

0,3 0,3

2 1

0,2 0,2

2 3

2,0 1,9

0,5 0,5 0,5

2 3 2

0,3 0,3 0,3

2 2 3

0,2 0,2 0,2

2 2 3

2,0 2,5 2,5

Nr. crt.

DOMENIUL

OBIECTE AUDITABILE

RISCURI SEMNIFICATIVE

Criterii de analiza a riscurilor Aprecierea controlului intern (F1) P1 N1 50% Aprecierea cantitativ (F2) P2 N2 30%
0,3 0,3 0,3 3 2 2

Punctaj total

Aprecierea calitativ (F3) P3 N3 20%

0,2 0,2 0,2 1 1 2 2,6 1,8 2,0

4. Sigurana accesului la reea i a comunicrii datelor n reea

5. Programe antivirus

6. Recuperarea datelor n caz de dezastru

Neefectuarea controalelor fizice conform procedurilor Lipsa procedurilor privind sigurana accesului utilizatorilor n reea Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea Neefectuarea monitorizrii sistematice Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor Lipsa procedurilor privind implementarea programelor antivirus Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus Neefectuarea monitorizrii sistematice Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor Lipsa procedurilor privind recuperarea datelor n caz de dezastru Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru Neefectuarea monitorizrii sistematice
- 26 -

0,5 0,5 0,5

3 2 2

0,5 0,5

3 2

0,3 0,3

1 3

0,2 0,2

3 2

2,4 2,3

0,5 0,5

3 2

0,3 0,3

2 2

0,2 0,2

3 2

2,7 2,0

0,5 0,5

2 2

0,3 0,3

2 3

0,2 0,2

1 3

1,8 2,5

0,5 0,5

2 2

0,3 0,3

2 3

0,2 0,2

2 1

2,0 2,1

0,5

0,3

0,2

2,2

Nr. crt.

DOMENIUL

OBIECTE AUDITABILE

RISCURI SEMNIFICATIVE

Criterii de analiza a riscurilor Aprecierea controlului intern (F1) P1 N1 50% Aprecierea cantitativ (F2) P2 N2 30%
0,3 2

Punctaj total

Aprecierea calitativ (F3) P3 N3 20%

0,2 1 2,3

7. Sistemul de arhivare

Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor Lipsa procedurilor privind arhivarea datelor Nedesemnarea responsabilitii pentru arhivarea datelor Neefectuarea evalurii periodice a activitii de arhivare

0,5

0,5 0,5 0,5

1 1 1

0,3 0,3 0,3

2 2 1

0,2 0,2 0,2

2 3 3

1,5 1,7 1,4

NOTA: Elaborarea documentului Stabilirea nivelului riscului i a punctajului total al riscului comport dou etape: n prima faz se realizeaz evaluarea nivelelor riscurilor asociate operaiilor auditabile, iar n a doua faz se determin punctajul total pe baza formulei din Normele metodologice privind auditul intern, respectiv: T= Pi x Ni
i=1 n

Unde: T = punctaj total; Pi = ponderea riscului pentru fiecare criteriu; Ni = nivelul riscurilor pentru fiecare criteriu utilizat; Evaluarea riscurilor asociate operaiilor auditabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acest moment, din documentele primite de la entitate i din rapoarte anterioare, dar i din expertiza personal n domeniu i este o evaluare cu un oarecare grad de subiectivitate.

- 27 -

Procedura - P05 : Analiza riscurilor ALPHA BANK Compartimentul Audit Intern CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCULUI Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Avizat: Grecu George Nr. crt. IV. DOMENIUL Securitatea IT OBIECTE AUDITABILE 1. Politica de securitate IT 2. Monitorizarea implementrii politicii de securitate IT RISCURI SEMNIFICATIVE 1. Inexistena politicii de securitate 2. Neaplicarea politicii de securitatea n mod consecvent 3. Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT 4. Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare 5. Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic 6. Lipsa procedurilor privind implementarea controalelor fizice n domeniul IT 7. Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice 8. Lipsa unor proceduri pentru realizarea controalelor fizice 9. Neefectuarea controalelor fizice conform procedurilor 10. Lipsa procedurilor privind sigurana accesului utilizatorilor n reea 11. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea 12. Neefectuarea monitorizrii sistematice 13. Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor
- 28 -

Data: 20.01.2010 Data: 20.01.2010

PUNCTAJ TOTAL CLASARE OBS.

2,3 2,2 2,5 2,0 1,9 2,0 2,5 2,5 2,6 1,8 2,0

Mare Mediu Mare Mediu Mediu Mediu Mare Mare Mare Mediu Mediu

3. Evaluarea controalelor fizice n domeniul IT

4. Sigurana accesului la reea i a comunicrii datelor n reea

2,4 2,3

Mare Mare

Nr. crt.

DOMENIUL

OBIECTE AUDITABILE 5. Programe antivirus

RISCURI SEMNIFICATIVE 14. Lipsa procedurilor privind implementarea programelor antivirus 15. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus 16. Neefectuarea monitorizrii sistematice 17. Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor 18. Lipsa procedurilor privind recuperarea datelor n caz de dezastru 19. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru 20. Neefectuarea monitorizrii sistematice 21. Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor 22. Lipsa procedurilor privind arhivarea datelor 23. Nedesemnarea responsabilitii pentru arhivarea datelor 24. Neefectuarea evalurii periodice a activitii de arhivare

PUNCTAJ TOTAL

CLASARE

OBS.

2,7 2,0

Mare Mediu

1,8 2,5 2,0 2,1

Mediu Mare Mediu Mediu

6. Recuperarea datelor n caz de dezastru

2,2 2,3 1,5 1,7 1,4

Mediu Mare Mic Mic Mic Nu Nu Nu

7. Sistemul de arhivare

Nota: Pentru continuarea analizei, auditorii interni au mprit cele 24 de riscuri structurate pe cele 7 de obiecte auditabile, din documentul Stabilirea nivelului riscului i a punctajului total, innd cont i de resursele alocate misiunii (numr de persoane, timpul aferent .a.), astfel: Riscuri mici 1,0 - 1,7 Riscuri medii 1,8 - 2,2 Riscuri mari 2,3 - 3,0 Pentru moment, riscurile mici vor fi ignorate, iar riscurile semnificative (mari i medii) vor intra n faza de ierarhizar e, ocazie cu care se va elabora documentul Tabelul puncte tari i puncte slabe.

- 29 -

Procedura - P05 : Analiza riscurilor ALPHA BANK Compartimentul Audit Intern TABELUL PUNCTE TARI I PUNCTE SLABE Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Avizat: Grecu George Nr. crt. Domeniul Obiecte auditabile Riscuri semnificative T/S

Data: 20.01.2010 Data: 20.01.2010 Consecinele funcionrii/ nefuncionrii controlului intern Grad de ncredere al auditorului n controlul intern Sczut Sczut Mediu Sczut Exist sistem de control intern eficient Exist sistem de control intern eficient Ridicat Sczut Ridicat NU NU OBS.

I.

Securitatea IT

1. Politica de securitate IT 2. Monitorizarea implementrii politicii de securitate IT

3. Evaluarea controalelor fizice n domeniul IT

Inexistena politicii de securitate Neaplicarea politicii de securitatea n mod consecvent Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic Lipsa procedurilor privind implementarea controalelor fizice n domeniul IT Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice Lipsa unor proceduri pentru realizarea controalelor fizice
- 30 -

S S S

S T

S T

Mediu

Nr. crt.

Domeniul

Obiecte auditabile

Riscuri semnificative

T/S

Consecinele funcionrii/ nefuncionrii controlului intern

4. Sigurana accesului la reea i a comunicrii datelor n reea

Neefectuarea controalelor fizice conform procedurilor Lipsa procedurilor privind sigurana accesului utilizatorilor n reea Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea Neefectuarea monitorizrii sistematice Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor Lipsa procedurilor privind implementarea programelor antivirus Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus Neefectuarea monitorizrii sistematice Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor Lipsa procedurilor privind recuperarea datelor n caz de dezastru Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru Neefectuarea monitorizrii sistematice Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor
- 31 -

S S S Exist sistem de control intern eficient

Grad de ncredere al auditorului n controlul intern Sczut Sczut Sczut

OBS.

Ridicat

NU

Mediu Sczut Sczut Sczut Mediu Sczut Sczut Sczut Sczut

5. Programe antivirus

S S

S S

6. Recuperarea datelor n caz de dezastru

S S

S S

Nota: n faza de ierarhizare se elaboreaz documentul Tabelul puncte tari i puncte slabe, prin transferarea operaiilor auditabile cu riscuri semnificative (mari i medii) din documentul Clasarea operaiilor n funcie de analiza riscului care cuprinde un numr de 6 obiecte auditabile i 21 de riscuri asociate acestora. Ierarhizarea obiectelor auditabile const n evaluarea funcionalitii sistemelor de control intern, care limiteaz efectele riscurilor i care dau posibilitatea auditorilor interni s aprecieze acele obiecte auditabile ca fiind puncte tari, celelalte riscuri pentru care nu exist activiti de control sau acestea sunt nefuncionale vor fi n continuare considerate puncte slabe. Astfel, n urma analizei au rezultat 3 riscuri asociate obiectelor auditabile care au fost evaluate ca fiind puncte tari i vor fi eliminate, pentru moment, din auditare. Pornind de la documentul Tabelul puncte tari i puncte slabe se va elabora documentul Tematica n detaliu a misiunii de audit n care vor fi preluate numai operaiile considerate ca fiind puncte slabe , ocazie cu care vor fi renumerotate.

- 32 -

Procedura - P05 : Analiza riscurilor

ALPHA BANK Serviciul Audit Intern TEMATICA IN DETALIU A OPERAIILOR AUDITABILE Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Avizat: Grecu George
Nr. crt. DOMENIUL OBIECTE AUDITABILE

Data: 20.01.2010 Data: 20.01.2010

Nr. paragraf din Raportul de audit intern

I.

Securitatea IT

1. Politica de securitate IT 2. Monitorizarea implementrii politicii de securitate IT 3.Evaluarea controalelor fizice n domeniul IT 4.Sigurana accesului la reea i a comunicrii datelor n reea 5.Programe antivirus 6.Recuperarea datelor n caz de dezastru

Nota: Procedura Analiza riscurilor a nceput cu elaborarea documentului Lista centralizatoare a obiectelor auditabile, care a cuprins 6 de operaii/obiecte auditabile, i s-a finalizat cu Tematica n detaliu a misiunii de audit, n care au fost selectate numai 6 de obiecte auditabile. n continuare, cele 6 de operaii/obiecte auditabile, vor fi avute n vedere n activitatea de auditare, deoarece reprezint riscuri semnificative pentru domeniul auditat i vor fi supuse diferitelor testri, stabilite pe baza Programului interveniei la faa locului, care se vor materializa n F.I.A.P.-uri i F.C.R.I.-uri, acolo unde este cazul, i n final vor fi transferate i comentate n Raportul de audit intern, n ordinea din Tematica n detaliu a misiunii de audit. Menionm,totui, c procedura Analiza riscurilor trebuie s rmn un document viu care n funcie de constatrile rezultate n Etapa de intervenie la faa locului s fie actualizat ori de cte ori se impune.

- 34 -

Procedura P06: Elaborarea programului de audit intern ALPHA BANK Serviciul Audit Intern PROGRAMUL DE AUDIT INTERN
Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Avizat: Grecu George
ETAPELE MISIUNII Tema general: 1. PREGTIRE A MISIUNII DE AUDIT DOMENIUL Tehnologia Informatiei 1. Intocmirea i procesarea Ordinului de serviciu 2. Intocmirea si validarea Declaraiei de independen 3. Pregtirea i transmiterea Notificrii privind declanarea misiunii de audit intern ctre prile interesate 4. Colectarea i prelucrarea informaiilor 5. Elaborarea Chestionarului de control intern 6. ntocmirea Listelor de verificare 7. Analiza riscurilor 8. ntocmirea Programului de audit intern 9.Intocmirea Programului preliminar al interveniei la faa locului 10. Organizarea edinei de deschidere cu Direcia IT. 11. Redactarea Minutei edinei de deschidere.
- 35 -

Data: 27.03.2010 Data: 27.03.2010

ACTIVITI DURATA (H) 376 152 2 2 2 30 16 40 32 8 4 4 4
PERSOANELE IMPLICATE LOCUL DESF.

Ionescu Daniel Ionescu Daniel Barbu Mihai Ionescu Daniel Ionescu Daniel / Barbu Mihai Ionescu Daniel / Barbu Mihai Ionescu Daniel Ionescu Daniel Barbu Mihai Barbu Mihai Barbu Mihai

SAI SAI SAI SAI AUDITAT SAI SAI SAI SAI SAI SAI SAI AUDITAT

ETAPELE MISIUNII

DOMENIUL

ACTIVITI 12. Organizarea edinei de inchidere cu Direcia IT. 13. Redactarea Minutei edinei de inchidere.

DURATA (H) 4 4 140 42 8 2 8 16 8 80 40 4

PERSOANELE IMPLICATE

LOCUL DESF.

Barbu Mihai Barbu Mihai

SAI AUDITAT AUDITAT

II.INTERVEN IA LA FAA LOCULUI

1.1. Efectuarea testrilor, detaliate Programul interveniei la faa locului 1.2. Discutarea constatrilor cu eful de serviciu 1.3. Elaborarea F.I.A.P. - urilor 1.4. Colectarea dovezilor 1.5. Revizuirea documentelor de lucru din punct de vedere al coninutului i al formei i ntocmirea Notei centralizatoare a documentelor de lucru III. RAPORTUL DE AUDIT INTERN 14. Redactarea si revizuirea proiectului de Raport de audit intern 15. Transmiterea proiectului de Raport de audit intern la auditat i solicitarea rspunsului asupra coninutului n 15 zile 16. Organizarea Reuniunii de conciliere, dac este cazul 17. Includerea n Raportul de audit intern a aspectelor sesizate de structura auditata si reinute de auditori, finalizarea si intocmirea sintezei raportului 18. Obinerea avizarii Raportului de audit intern aprobat de conducerea instituiei 19. Transmiterea recomandrilor aprobate ctre auditat IV. URMRIREA RECOMANDRILOR 20. Intocmirea fisei de urmarire a recomandarilor

OBIECTIVUL1. Securitatea IT

Ionescu Daniel Ionescu Daniel Ionescu Daniel Barbu Mihai Barbu Mihai

AUDITAT SAI SAI AUDITAT AUDITAT

Ionescu Daniel Barbu Mihai

SAI SAI AUDITAT SAI SAI AUDITAT SAI

8 16

Barbu Mihai Ionescu Daniel

8 4 4 4

Barbu Mihai Barbu Mihai Ionescu Daniel

Auditorii,
Ionescu Daniel Barbu Mihai
- 36 -

Supervizorul,
Grecu George

Procedura - P06: Elaborarea programului de audit intern ALPHA BANK Serviciul Audit Intern PROGRAMUL INTERVENIEI LA FAA LOCULUI
Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Avizat: Grecu George

Data: 27.03.2010 Data: 27.03.2010

Obiectivul I. Securitatea IT
Nr. crt. 1. OBIECTE AUDITABILE Politica de securitate IT TIPUL TESTRII - Verificarea existena politicii de securitate IT - Verificarea actualizarea politicii de securitate IT - Analizarea ntocmirea i transmiterea sistematic a rapoartelor de monitorizare - Verificai dotarea camerelor n care se afl servere-le cu echipamente adecvate. - Verificarea alocrii numelui de utilizator i parolei aferente pentru accesul la reea - Monitorizarea conectrii la reea conform listei de logg-are Locul Durata (h) 6 6 Nr. test Nr. lista verificare LV 4 LV 4 Ionescu Daniel DIT 8 T 4.7. LV 4 Auditori

DIT DIT

Barbu Mihai

2. 3.

Monitorizarea implementrii politicii de securitate IT Evaluarea controalelor fizice n domeniul IT Sigurana accesului la reea i a comunicrii datelor n reea

Barbu Mihai

4.

DIT

T 4.8.

LV 4

Barbu Mihai

- 37 -

5.

Programe antivirus

- Verificarea implementrii programelor anti-virus conform procedurilor - Monitorizarea sistematic a funcionalitii programelor anti-virus - Verificarea sistemului de actualizare a programelor anti-virus - Verificarea elaborrii planului de recuperare a datelor n caz de dezastru - Verificarea desemnrii responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru - Verificarea efecturii monitorizrii sistematice

DIT

16

T 4.9.

LV 4

Ionescu Daniel

6.

Recuperarea datelor n caz de dezastru

DIT

16

LV 4

Barbu Mihai

Auditorii, Ionescu Daniel Barbu Mihai

Supervizorul, Grecu George

- 38 -

ALPHA BANK Serviciul Audit Intern MINUTA EDINEI DE DESCHIDERE Misiunea de audit: Securitatea IT Perioada auditat: 01.01.-31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Avizat: Grecu George A. Lista participanilor:
Numele Funcia Direcia/ Serviciul Nr. telefon E-mail Semntura

Data: Data:

Grecu George Ionescu Daniel Barbu Mihai Patrulescu George Voiculescu Alin Boerescu Ilie Teodorescu Rodica Eleodor Darius Iordache Camelia Paun Elena Badea Stefan

Coordonator Auditor Auditor Conducator Sef Sef Sef Sef Sef Sef Sef

CAPI SAPI SAPI DIT STDAM SCD SEE SAPP SRC SSD SAT

B. Stenograma edinei n cadrul edinei de deschidere s-a procedat la: - Prezentarea echipei de auditori care urmeaz s efectueze misiunea de audit intern; - Prezentarea funciei de audit intern de ctre auditori, n special a obiectivelor generale ale auditului intern, semnificaia auditului intern. - Prezentarea Programului interveniei la faa locului, obiectivele auditabile care se intenioneaz a fi realizate, dup analizele de risc efectuate. A fost cerut prerea auditailor cu privire la aceste obiective, unde s-au fcut remarci c acestea n general reprezint zone cu risc, dar s-au fcut i unele comentarii cu privire la complexitatea securitatii IT; resursele umane insuficiente i neatractivitatea nivelului salariului pentru atragerea unor specialiti; fluctuatia mare a personalului implicat in activitatea IT. - Stabilirea persoanelor pe care auditorii le pot contacta n vederea colec trii informaiilor, efecturii de teste asupra muncii lor i pentru a lua interviuri. De asemenea, a fost stabilit programul ntlnirilor i timpul necesar pentru realizarea acestor proceduri.
- 39 -

- Stabilirea condiiilor minime pe care auditatul trebuie s le asigure n vederea realizrii misiunii de audit (spaiu de lucru, calculatoare, posibilitate de editare etc.) - Convenirea unor aspecte procedurale, respectiv eventualitatea unor edine intermediare n cursul auditului, informarea sistematic asupra constatrilor. - Stabilirea Reuniunii de nchidere, inclusiv a participanilor. - Stabilirea modalitii de redactare a Raportului de audit intern (cnd, cum i cui va fi distribuit). Recomandrile formulate, ca urmare a eventualelor disfuncionaliti constatate, vor fi discutate i analizate cu structura auditat, inclusiv calendarul implementrii i persoanele rspunztoare cu implementarea recomandrilor.

- 40 -

LISTA DE VERIFICARE NR. 1 Obiectivul I. SECURITATEA IT

Nr. Crt. 1.1.

ACTIVITATEA DE AUDIT Examinarea procedurilor privind securitatea IT 1.1.1. Verificarea gradului de acoperire prin proceduri a activitilor realizate a. Aprobarea procedurilor de ctre persoanele competente; b. Stabilirea modelelor de formulare specifice; a. Precizarea modalitilor de complectare a modelelor; d. Oferirea unor exemple n acest sens; e. Actualizarea sistematic a procedurilor; f. Conformitatea procedurilor cu politica IT; 1.1.2.nglobarea activitilor de control intern n punctele cheie ale procesului; 1.1.3. Respectarea principiul dublei semnturi; 1.1.4. Stabilirea responsabilitilor persoanelor implicate n activitatea de securitate IT; 1.1.5. Asigurarea transpunerii prelucrrilor ntr-un sistem informatizat, respectiv realizarea codificrii modelelor de formulare i informaiile activitilor, algoritmi de prelucrare .a. 1.1.6. Modalitatea arhivrii documentelor. Compararea atribuiilor cuprinse n proceduri cu cele din fiele posturilor Examinarea cunoaterii procedurilor de ctre responsabilii cu realizarea acestei activiti Aprecierea calitii procedurilor de ctre personalul de execuie: a) consider procedurile corespunztoare? b) constatat disfuncionaliti n timpul aplicrii practice? c) exist propuneri de perfecionare a procedurilor d) modul de soluionare a propunerilor de perfecionare a procedurilor

DA

NU

OBS.

1.2. 1.3. 1.4.

X X X X X X

1.5.

Politica de securitate IT
Verificai existena politicii de securitate IT Verificai actualizarea politicii de securitate IT

Interviu nr 1.5.

1.6.

1.7.

Monitorizarea implementrii politicii de securitate IT Verificai desemnarea unui responsabil cu monitorizarea implementrii politicii de securitate IT Analizai ntocmirea i transmiterea sistematic a rapoartelor de monitorizare Evaluarea controalelor fizice n domeniul IT
- 60 -

Nr. Crt.

ACTIVITATEA DE AUDIT a. Verificai efectuarea controalelor fizice conform procedurilor b. Verificai existena surselor alternative de energie electric c. Verificai realizarea sistematic a serviciilor de mentenan d. Verificai restricionarea accesul la servere-le IT numai al persoanelor autorizate, innd cont de pericolul deteriorrii acestor echipamentelor IT sau al datelor critice pe care le proceseaz; e. Verificai dotarea camerelor n care se afl servere-le cu echipamente adecvate, astfel: - camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii; - senzori de micare; - sistem de alarm n caz de incendiu; - sistem de stingere a incendiilor; - echipamente de aer condiionat; - ui neinflamabile echipate cu ncuietori adecvate. Sigurana accesului la reea i a comunicrii datelor n reea Verificarea alocrii numelui de utilizator i parolei aferente pentru accesul la reea Monitorizarea conectrii la reea conform listei de logg-are Analizai dac a fost elaborat documentaia tehnic adecvat privind conectarea la Internet. Verificai dac aceast documentaie este adecvat i actualizat sistematic. Determinai dac manualele de utilizare a reelei au n vedere asigurarea securitii comunicrii datelor n reea. Analizai aciunile ntreprinse n cazurile n care este ameninat integritatea i eficacitatea transmiterii datelor n reea. Analizai rapoartele de monitorizare a traficului datelor n reea. Programele anti-virus Verificai implementarea programelor anti-virus conform procedurilor: - instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru; - programul anti-virus s verifice staia de lucru la pornire; - programul anti-virus s monitorizeze toate programele i aplicaiile active, mesajele primite i s verifice automat actualizrile la intervale regulate (zilnic); - programul anti-virus s se actualizeze n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nouaprui Monitorizarea sistematic a funcionalitii programelor antivirus Verificai sistemul de actualizare a programelor anti-virus

DA -

NU -

OBS.

X X X X X X X X X X X X X X
Foaie de lucru nr.
1.9. List de control nr. 1.9. FIAP nr. 1.9.

1.8.

Test nr. 1.8. Foaie de lucru nr. 1.8. List de control nr. 1.8. FIAP nr. 1.8.

1.9.

Test nr. 1.9.

X X X

- 61 -

Nr. Crt. 1.10.

ACTIVITATEA DE AUDIT Recuperarea datelor n caz de dezastru Elaborarea planului de recuperare a datelor n caz de dezastru. a. Aprobarea planului de recuperare a datelor n caz de dezastru. b. Desemnarea echipei de implementare a planului i a responsabilitilor adecvate membrilor echipei c. Comunicarea planului personalului cu responsabiliti n punerea n aplicare a acestuia n caz de dezastru. d. Analizai dac planul de recuperare a datelor a fost testat i modificat periodic n baza rezultatelor obinute n urma testrii e. Cuprinderea tuturor domeniilor de aciune importante ale entitii n structura planului. f. Identificarea principalele procese i aplicaii IT ce trebuiesc recuperate g. Analizarea implementrii cerinelor specifice privind recuperarea datelor n caz de dezastru la nivelul sistemului IT. Verificai desemnarea responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru Verificai efectuarea monitorizrii sistematice Verificai luarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor a. Verificai dac datele stocate pentru a fi recuperate n caz de dezastru sunt actualizate sistematic. b. Stabilii dac locaia n care sunt stocate datele pentru a fi recuperate n caz de dezastru este adecvat Sistemul de arhivare Verificarea modului de arhivare a datelor Verificai evaluarea periodic a activitii de arhivare

DA X X X X

NU

OBS.

X X X X X X X X X X FIAP nr. 1.10. Interviu nr.1.10.

1.11.

Data: 01.04.2009

Auditor intern, Barbu Mihai

Supervizor, Grecu George

- 62 -

ALPHA BANK Serviciul Audit Intern INTERVIU nr.1.5. privind Politica de securitate IT adresat domnului Ptrulescu George. Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009 - 31.12.2009 Nr. crt. 1. 2. 3. 4. ntrebri Exist o politic de securitate IT? Exist preocupri pentru securitatea IT? Politica de securitate IT este actualizat? Este desemnat un responsabil cu monitorizarea implementrii politicii de securitate IT? Este desemnat un responsabil cu gestionarea riscurilor la nivelul departamentului IT? Au fost ntocmite i transmise sistematic rapoarte de monitorizare? Mai avei ceva de adugat? Da X X X X Nu Obs.

5.

6.

7.

Data: 03.04.2009

Auditori,

Intervievat,

NOTA: Pe baza rspunsurilor la interviu i a documentelor transmise s -a hotrt ca pentru acest obiectiv s nu se elaboreze FIAP. Informaiile primite n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.

- 63 -

Procedura P07: Colectarea dovezilor

ALPHA BANK Serviciul Audit Public Intern TEST NR. 1.8. Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009- 31.12.2009 Obiectul testului: Securitatea IT. Obiectivele testului: Sigurana accesului la reea i a comunicrii datelor n reea Descrierea testului Populaia statistic a fost constituit din cele 250 de calculatoare existente la nivelul entitii, conform Listei de inventariere a calculatoarelor personale. Eantionul pentru realizarea testrii siguranei accesului la reea a fost stabilit pe baza unui procent de 2%, din totalul populaiei statistice, respectiv 5 calculatoare personale. Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr. 1, poz. 1.8, i anume: - Verificai modul de alocare a numelui de utilizator i parolei aferente pentru accesul la reea ; - Monitorizarea conectrii la reea conform listei de logg-are. Constatri Din analiza Listei de control nr. 1.2. rezultate, s-a constatat c: a. majoritatea salariailor din cadrul entitii, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. b. datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindule datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT. c. practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului. d. n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate. Concluzii n acest caz se va elabora FIAP nr. 1.8. Data: 01.04.2009 Auditor intern, Georgescu Ion Supervizor, Ionescu Mircea

- 64 -

FOAIE DE LUCRU NR. 1.8. Obiectul 1.: Securitatea IT Obiectivul : Sigurana accesului la reea i a comunicrii datelor n reea

Testarea se va realiza pe un eantion care a fost constituit astfel: populaia total este de 250 calculatoare personale; eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; pasul de selecie va fi 250 : 5 = 50; eantionul se va constitui din calculatoarele existente n Lista IP-urilor calculatoarelor ce se conecteaz la reeaua entitii la poziiile: 35, 85, 135, 185, 235 - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test. -

Data: 08.04.2009 Auditor, Barbu Mihai Supervizor, Grecu George

- 65 -

Lista control nr. 1.8. privind Accesul i comunicarea datelor n reea Verificai modul de alocare a Monitorizarea conectrii la numelui de utilizator i parolei reea conform listei de logg-are aferente pentru accesul la reea FIAP X

Elemente Testate Eantion Computer aflat la poziia 35 Computer aflat la poziia 85 Computer aflat la poziia 135 Computer aflat la poziia 185 Computer aflat la poziia 235

FIAP

FIAP

Auditor, Barbu Mihai

Supervizor, Grecu George

- 66 -

Procedura - P07: Colectarea dovezilor

ALPHA BANK Serviciul Audit Intern

FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 1.8.

Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009 01.01.2010 PROBLEMA Neutilizarea unui singur nume de utilizator i unei singure parole pentru accesul la sistemul IT. CONSTATARE Din evaluare s-a constatat c majoritatea salariailor din cadrul entitii, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. CAUZE - Inexistena unor proceduri adecvate de conectare a utilizatorilor la reea; - Lips corelrii dintre atribuiile de serviciu i fiele de post ale salariailor. CONSECINE - Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT. - Practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului. - n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate.

RECOMANDRI - Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol;

- 67 -

- Stabilirea unui responsabil pentru derularea acestui proces reenginering al sistemului IT - Implementarea unui sistem de raportare potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii prin care s specifice aciunile ntreprinse; - Instruirea adecvat a salariailor ce utilizeaz sistemul IT; - Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i monitorizrii riscurilor.

ntocmit, Barbu Mihai

Supervizat, Grecu George

Pentru conformitate, Eleodor Darius

- 68 -

Procedura P07: Colectarea dovezilor

ALPHA BANK Serviciul Audit Public Intern

TEST NR. 1.9.

Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009- 31.12.2009 Obiectul testului: Securitatea IT. Obiectivele testului: Programele anti-virus Descrierea testului Populaia statistic testat a fost constituit din totalul calculatoarelor personale utilizate la nivelul entitii, adic 250 de computere. Eantionul pentru realizarea testrii programelor anti-virus a fost stabilit pe baza unui procent de 2%, din totalul populaiei de 250 de calculatoare, respectiv 5 calculatoare personale, conform Foii de lucru nr. 1.9. Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr.1, poz. 1.9, i anume: Verificarea implementarea programelor anti-virus conform procedurilor: - instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru; - programul anti-virus s verifice staia de lucru la pornire; - programul anti-virus s monitorizeze toate programele i aplicaiile active, mesajele primite i s verifice automat actualizrile la intervale regulate (zilnic); - programul anti-virus s se actualizeze n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nou-aprui. Monitorizarea sistematic a funcionalitii programelor anti-virus; Verificai sistemul de actualizare a programelor anti-virus. Constatri O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic). Echipa de auditori a verificat 5 de staii de lucru, selectate din cadrul tuturor departamentelor.

- 69 -

Din analiza Listei de control nr. 1.9. rezultate, s-a constatat c: - n cazul a 2 calculatoare din cadrul entitii configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e -mail-ului i, n special, a fiierelor anexate. Acest lucru s -a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului; - Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui. Concluzii n acest caz se va elabora FIAP.

Data: 01.04.2009 Auditor intern, Barbu Mihai Supervizor, Grecu George

- 70 -

FOAIE DE LUCRU NR. 1.9. Obiectul 1. : SECURITATEA IT Obiectivul : Programele anti-virus Testarea se va realiza pe un eantion care a fost constituit astfel: - populaia total este de 250 calculatoare personale; - eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; - pasul de selecie va fi 250 : 5 = 50; - eantionul se va constitui din calculatoarele existente n Lista IP-urilor calculatoarelor ce se conecteaz la reeaua entitii la poziiile: 11, 61, 111, 161, 211 conform celor prezentate n Lista de control anexat la Testul nr. 1.9.: - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test.

Data: 08.04.2009

Auditor, Barbu Mihai

Supervizor, Grecu George

- 71 -

Lista control nr. 4.9. privind Programele anti-virus

Monitorizarea Verificarea sistematic a sistemului de Instalarea unui program Programul anti-virus s Programul anti-virus Programul anti-virus se funcionalitii actualizare a anti-virus adecvat verific staia de lucru la monitorizeaz toate actualizeaz n reea, programelor anti- programelor virus necesitilor pornire programele i aplicaiile astfel nct s protejeze anti-virus utilizatorilor staiilor de active, mesajele primite eficient datele lucru i verific automat electronice mpotriva Eantion actualizrile la intervale viruilor nou-aprui regulate (zilnic) Computer X X X X X X aflat la poziia 11 Computer X X X X X X aflat la poziia 61 Computer FIAP FIAP FIAP FIAP FIAP FIAP aflat la poziia 111 Computer FIAP FIAP FIAP FIAP FIAP FIAP aflat la poziia 161 Computer NU X X X X X aflat la poziia 211 Elemente Testate Verificarea implementarea programelor anti-virus conform procedurilor

Auditor, Barbu Mihai

Supervizor, Grecu George

- 60 -

Procedura - P07: Colectarea dovezilor

ALPHA BANK Serviciul Audit Intern FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 1.9.

Misiunea de audit: Securitatea IT Perioada auditat: PROBLEMA Neaplicarea n mod unitar a politicii de securitate IT a condus la infectarea cu virui a unor staii de lucru din sistemul IT al entitii. CONSTATARE O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic). Echipa de auditori a verificat 15 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat urmtoarele: - n 5 departamente din cadrul entitii configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e -mailului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti -virus are un efect negativ asupra performanei sistemului; - Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui. CAUZE - Inexistena unei proceduri pentru aplicarea n mod unitar a politicii de securitate IT; - Lipsa procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus. CONSECINE - Prezena viruilor i a altor programe duntoare pe staiile de lucru afecteaz n mod negativ activitatea utilizatorilor din cadrul departamentelor. - Existena viruilor ridic numeroase semne de ntrebare n privina exactitii datelor stocate n sistemul IT.

- 61 -

RECOMANDRI - Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus; - Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor; - Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu sarcinile stabilite prin proceduri; - Monitorizarea aplicrii n mod unitar a politicii de securitate IT; - Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii;

ntocmit, Barbu Mihai

Supervizat, Grecu George

Pentru conformitate, Eleodor Darius

- 62 -

ALPHA BANK Serviciul Audit Intern

INTERVIU nr.1.10.

privind recuperarea datelor n caz de dezastru adresat domnului Bloiu Gheorghe, Serviciul Asisten Tehnic Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009 - 31.12.2009
Nr. crt. ntrebri Da Nu Obs.

1.

Elaborarea planului de recuperare a datelor n caz de dezastru. a. Aprobarea planului de recuperare a datelor n caz de dezastru. b. Desemnarea echipei de implementare a planului i a responsabilitilor adecvate membrilor echipei c. Comunicarea planului personalului cu responsabiliti n punerea n aplicare a acestuia n caz de dezastru. d. Analizai dac planul de recuperare a datelor a fost testat i modificat periodic n baza rezultatelor obinute n urma testrii e. Cuprinderea tuturor domeniilor de aciune importante ale entitii n structura planului. f. Identificarea principalele procese i aplicaii IT ce trebuiesc recuperate g. Analizarea implementrii cerinelor specifice privind recuperarea datelor n caz de dezastru la nivelul sistemului IT. Desemnarea responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru Luarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor a. Verificai dac datele stocate pentru a fi recuperate n caz de dezastru sunt actualizate sistematic. b. Stabilii dac locaia n care sunt stocate datele pentru a fi recuperate n caz de dezastru este adecvat

X X X X FIAP nr. 4.10. FIAP nr. 4.10.

X X X X X X X X

2. 3.

FIAP nr. 4.10.

Data: 03.04.2009

Auditori,

Intervievat,

NOTA: Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s se elaboreze FIAP nr. 1.4. Informaiile primite prin documentele transmise n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.

- 63 -

Procedura - P07: Colectarea dovezilor

ALPHA BANK Serviciul Audit Intern

FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 1.10.

Misiunea de audit: Securitatea IT Perioada auditat:

PROBLEMA Nerecuperarea datelor n cazul producerii unui eventual dezastru. CONSTATARE Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii, crora li se va cere s pun planul n aplicare n caz de dezastru. Este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare. Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate. CAUZE - Inexistena unei proceduri pentru testarea Planului de recuperare a datelor n caz de dezastru; - Neaplicarea n mod unitar a procedurilor privind recuperarea datelor n caz de dezastru. CONSECINE - Incapacitatea de recuperare complet a datelor n caz de dezastru, conform cerinelor planificate; - ntr-o situaia producerii unui dezastru activitile stabilite prin planul de recuperare a datelor se pot dovedi insuficiente pentru atingerea obiectivelor stabilite.

- 64 -

RECOMANDRI - Alocarea de roluri i responsabiliti, iar Planul a datelor n caz de dezastru trebuie comunicat tuturor persoanelor responsabile; - Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes. - Back-up-urile trebuie stocate n siguran n afara sediului. - Verificarea tuturor exemplarele de rezerv nainte de fi depozitate; - Monitorizarea sistematic de ctre management a modului n care sunt aplicate procedurilor privind recuperarea datelor n caz de dezastru.

ntocmit, Barbu Mihai

Supervizat, Grecu George

Pentru conformitate, Badea tefan

- 65 -

Procedura P08: edina de nchidere

ALPHA BANK Compartimentul Audit Intern MINUTA EDINEI DE NCHIDERE Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009-01.01.2010 ntocmit: Ionescu Daniel/Barbu Mihai Avizat: Grecu George
Lista participanilor:

Data: 15.03.2010 Data: 15.03.2010 Nr. telefon

Numele
Dumitru Daniel Popescu Sorin Radu George Ptrulescu George Voiculescu Alin Boerescu Ilie Teodorescu Rodica Eleodor Darius Iordache Camelia Pun Elena Badea tefan

Funcia
Coordonat or Auditor Auditor Conductor ef ef ef ef ef ef ef

Direcia/ Serviciul
CAPI SAPI SAPI DIT STDAM SCD SEE SAPP SRC SSD SAT

E-mail

Semntura

Stenograma edinei: Prezentarea obiectivelor auditate si constatrilor pentru fiecare obiect auditat; a fost discutat fiecare deficien n parte, au fost analizate cauzele care au contribuit la realizarea disfunctionalitii, au fost prezentate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor constatate. In cadrul Sedintei de inchidere structura auditata si-a insusit in totalitate constatarile si recomandarile formulate de echipa de auditori. In consecinta, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregatit pentru aprobare si transmitere structurii auditate. Raportul de audit intern va fi insotit de o SINTEZA care va contine concluziile echipei de auditori interni cu prezentarea principalelor recomandari si opinia generala a acesteia. Structura auditata se angajeaza sa completeze Planul de actiune si calendarul implementarii recomandarilor, cu termenele de realizare si persoanele responsabile cu implementare acestora, pe care il vor discuta cu echipa de auditori.
- 66 -

ALPHA BANK Serviciul Audit Intern

RAPORT DE AUDIT INTERN

STRUCTURA AUDITAT:

ALPHA BANK

MISIUNE DE AUDIT INTERN: SISTEMUL INFORMATIC

BUCURESTI 2010

- 67 -

I. INTRODUCERE Echipa de auditare a fost formata din : Ionescu Daniel - auditor superior, cooordonator al misiunii; Barbu Mihai - auditor superior. Auditorii fac parte din Compartimentul de Audit Intern al ALPHA BANK. Ordinul de efectuare a misiunii de audit - Ordinul de serviciu nr. 25/08.01.2010 aprobat de conductorul entitii. Baza legal a aciunii de auditare: - Planul de audit intern pentru anul 2010, aprobat de conducerea instituiei; - Legea nr. 672/2002 privind auditul public intern, cu modificarile si completarile ulterioare; - OMFP nr. 38/15.01.2003 prin care se aproba Normele metodologice de aplicare a Legii nr. 672/2002, cu modificarile si completarile ulterioare; - Ordinul prin care se aproba Normele proprii de exercitare a auditului intern n cadrul entitatii publice. Durata aciunii de auditare 25.01.2010 17.04.2010. Perioada supus auditrii 01.01.2009 31.12.2009 Scopul misiunii de audit intern este acela de evaluare a activitii IT de la nivelul entitatii, in ceea ce priveste respectarea conditiilor de legalitate, economicitate, eficacitate, de a adauga valoare prin formularea recomandarilor, iar in cazul identificarii unor probleme/iregulariti, de corectare a acestora. Obiectivele misiunii de audit intern: Securitatea IT. Tipul de auditare Echipa de auditori interni a efectuat un audit de conformitate/regularitate privind respectarea principiilor, regulilor metodologice si procedurale in ceea ce priveste securitatea IT de la nivelul entitii. Principalele tehnici si instrumente de audit utilizate: interviul pentru lmurirea de aspecte legate de organizarea i desfurarea activitilor; testarea pentru urmairea detectarii erorilor sau a iregularitatilor; eantionarea pentru analiza ntocmirii documentelor i efectuarea plilor; observarea fizic n vederea formrii unei preri proprii privind modul de ntocmire i emitere a documentelor;

- 68 -

 liste de verificare pentru a stabili condiiile pe care trebuie s le ndeplineasc fiecare domeniu auditabil; liste de control; chestionare; FIAP-uri intocmite pentru fiecare disfunctionalitate constatata; Documente i materiale examinate n cadrul ALPHA BANK- verificarea la faa locului a vizat urmtoarele materiale i documente: legislatia in vigoare privind activitatea IT; manuale de utilizare i manuale de operare; planul de recuperare n caz de dezastru; procedurile aplicabile activitii IT; alte documente. Materialele ntocmite pe timpul auditrii au fost urmtoarele: teste si foi de lucru privind descrierea activitilor auditate; fie de identificare si analiz a problemelor constatate (FIAP); liste de verificare pe obiective (LV); documente de lucru; tabel Puncte tari i puncte slabe, Tematica in detaliu; Programul de audit, Programul interveniei la faa locului; Chestionarul de control intern; raport de audit, minutele edinelor de deschidere, nchidere etc. II. CONSTATRI SI RECOMANDARI Evaluarea respectarii conditiilor de conformitate si regularitate a activitii de tehnologie a informaiei la nivelul entitii a pornint de la elaborarea planului strategic, defalcarea acestuia n planuri anuale, organizarea i funcionarea departamentului IT, implementarea sistemului informatic si securitatea datelor din acest sistem i s-a materializat in elaborarea listelor de verificare, testelor bazate pe esantionare, verificarilor prin listele de control, observari fizice pe teren, interviurilor care au condus la solicitarea unor note de relatii, prin care s-au identificat o serie de probleme si defcienelor care au fost inscrise in formularele de constatare (FIAP-uri). Analiza activitatii de achizitii publice a impus evaluarea cadrului procedural existent care sta la baza organizarii si functionarii sistemului. In continuare, prezentam principalele constatari, consecintele care s-au produs sau care ar putea sa apara in perioada imediat urmatoare, precum si recomandarile formulate in vederea corectarii disfunctionalitatilor semnalate sau ale celor care pot sa survina urmare acestora, diminuarii riscurilor existente si imbunatatirii sistemelor de management si control intern al activitatilor auditate cu scopul facilitarii atingerii obiectivelor prestabilite.

1.1.

Evaluarea controalelor fizice n domeniul IT

- 69 -

Pentru protecia echipamentelor IT precum i a datelor n format electronic prelucrate, transferate i/sau stocate la nivelul acestor echipamente n cadrul entitii au fost implementate controale fizice, astfel: camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii; senzori de micare; sistem de alarm n caz de incendiu; sistem de stingere a incendiilor; echipamente de aer condiionat; ui neinflamabile echipate cu ncuietori adecvate. Practic s-a constatat c nu au fost instalate nici camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii precum i nici senzori de micare la nivelul Departamentul Resurse Umane. Acast situaie a fost remediat n timpul misiunii de audit.

1.2.

Sigurana accesului la reea i a comunicrii datelor n reea

n urma misiunii de audit efectuate, s-a constatat c majoritatea salariailor din cadrul entitii, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT, fapt pentru care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT. Practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului, iar n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: - Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol; - Stabilirea unui responsabil pentru derularea acestui proces reenginering al sistemului IT - Implementarea unui sistem de raportare potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii prin care s specifice aciunile ntreprinse; - Instruirea adecvat a salariailor ce utilizeaz sistemul IT; - Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i monitorizrii riscurilor. 1.3. Programele anti-virus

- 70 -

Echipa de auditori interni a verificat: - instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru; - dac programul anti-virus verific staia de lucru la pornire; - dac programul anti-virus monitorizeaz toate programele i aplicaiile active, mesajele primite i verific automat actualizrile la intervale regulate (zilnic); - dac programul anti-virus s se actualizeaz n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nou-aprui. De asemenea a fost analizat modul de monitorizare sistematic a funcionalitii programelor anti-virus. S-a constatat neaplicarea n mod unitar a politicii de securitate IT, fapt ce a condus la infectarea cu virui a unor staii de lucru din sistemul IT al entitii. O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic). n urma verificrii la faa locului a unui eantion din staiile de lucru ce funcioneaz n sistemul IT al entitii, s-au constatat urmtoarele deficiene: n 5 departamente din cadrul entitii configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea email-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului; Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui. Considerm c aspectele negative constatate se datoreaz lipsei procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus. Practic, prezena viruilor i a altor programe duntoare pe staiile de lucru afecteaz n mod negativ activitatea utilizatorilor din cadrul departamentelor. De asemenea, existena viruilor ridic numeroase semne de ntrebare n privina exactitii datelor stocate n sistemul IT. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus; Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor; Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu sarcinile stabilite prin proceduri; Monitorizarea aplicrii n mod unitar a politicii de securitate IT; Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii; 1.4. Recuperarea datelor n caz de dezastru

Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii, crora li se va cere s pun planul n aplicare n caz de dezastru. Astfel, este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare.

- 71 -

Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehno logice implementate. Practic, inexistena unei proceduri pentru testarea Planului de recuperare a datelor n caz de dezastru face posibil neaplicarea n mod unitar a procedurilor privind recuperarea datelor n caz de dezastru. Din aceste considerente n situaia producerii unui dezastru activitile stabilite prin plan se pot dovedi insuficiente pentru atingerea obiectivelor stabilite. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: - Alocarea de roluri i responsabiliti, iar Planul a datelor n caz de dezastru trebuie comunicat tuturor persoanelor responsabile; - Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes. - Back-up-urile trebuie stocate n siguran n afara sediului. - Verificarea tuturor exemplarele de rezerv nainte de fi depozitate; - Monitorizarea sistematic de ctre management a modului n care sunt aplicate procedurilor privind recuperarea datelor n caz de dezastru.

III. CONCLUZII Prezentul proiect de Raport de audit intern a fost ntocmit n baza Listei centralizatoare a obiectelor auditabile, a Programului de audit i a Programuui de intervenie la faa locului, a constatrilor efectuate, n timpul colectrii i prelucrrii informaiilor, i n timpul muncii pe teren. Toate constatrile au la baza probe de audit obtinute pe baza testelor efectuate consemnate in documentele de lucru (liste de control, foi de lucru, interviuri, note de relatii) intocmite de auditorii interni si insusite de factorii de management ai entitatii. Evaluarea are la baza discutiile care au avut loc, cu privire la recomandarile auditorilor interni, in sedina de inchidere a misiunii, apreciate de catre participanti, ca fiind realiste si fezabile. De asemenea, consideram ca rezultatele evaluarii auditorilor interni privind Securitatea IT se inscriu in parametri normali pentru aceasta perioada de implementare a functiei de tehnologia informaiei n entitile publice. n consecinta, apreciem ca prin implementarea recomandarilor echipei de audit intern securitatea IT va cunoaste o ameliorare semnificativa. Structura auditat are obligaia s ntocmeasc Programul de aciune n vederea implementrii recomandrilor i s raporteze echipei de auditori interni, periodic, stadiul de implementare al acestora.

Data: 15.03.2010

Auditori interni, Ionescu Daniel Barbu Mihai

- 72 -

Supervizat, Grecu George

SINTEZA

RAPORTULUI DE AUDIT INTERN I. INTRODUCERE Misiunea de audit intern privind Securitateaa IT din cadrul entitatii publice s-a desfasurat conform prevederilor Legii nr. 672/2002 privind auditul public intern, Normelor generale privind exercitarea activitatii de audit public intern, aprobate prin OMFP nr. 38/2003 si a Normelor specifice aprobate de conducerea entitatii. Misiunea a fost cuprinsa in Planul de audit intern pe anul 2006, si a fost realizata de auditorii interni: Popescu Sorin, auditor superior si Radu George, auditor superior. II. CONCLUZII Echipa de auditori interni in baza Programului de audit intern, a testarilor si analizei efectuate evalueaza Activitatea de achizitii publice din cadrul entitatii, dupa cum urmeaza:

Nr. OBIECTIVUL Crt . 1. SECURITATEA IT

FUNCTIONAL

APRECIERE DE IMBUNATATIT X

CRITIC

III. CONSTATARI SI RECOMANDARI CONSTATARE nr. 1: O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic). Echipa de auditori a verificat 15 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat urmtoarele: - n 5 departamente din cadrul entitii configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului; - Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.
- 73 -

RECOMANDARE nr. 1: - Monitorizarea aplicrii n mod unitar a politicii de securitate IT; - Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii; CONSTATARE nr. 2: Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii, crora li se va cere s pun planul n aplicare n caz de dezastru. Este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare. Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate. RECOMANDARE nr. 2: Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes.

Data: 15.03.2010 Auditori interni, Ionescu Daniel Barbu Mihai Supervizat, Grecu George

- 74 -

ALPHA BANK Serviciul Audit Intern

PLANUL DE ACIUNE I CALENDARUL IMPLEMENTRII RECOMANDRILOR Recomandarea Plan de aciune Calendarul implementrii

Nr. ob. 1.

Responsabil cu implementarea Badea tefan, Serviciul asisten tehnic

Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol Stabilirea unui responsabil pentru derularea acestui proces reenginering al sistemului IT Implementarea unui sistem de raportare potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii prin care s specifice aciunile ntreprinse pentru facilitarea accesului la subsistemele IT Instruirea adecvat a salariailor ce utilizeaz sistemul IT Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului antivirus Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor

Realizarea procesului de reenginering la nivelul sistemului IT

08.05.2010

Stabilirea responsabilului

20.04.2010

Badea tefan, Serviciul asisten tehnic Ptrulescu tefan, director Direcia Tehnologia Informaiei

Implementarea sistemului de raportare

27.04.2010

Realizarea instruirii utilizatorilor Elaborarea procedurilor

30.11.2010

02.05.2010

Ptrulescu tefan, director Direcia Tehnologia Informaiei Teodorescu Rodica, Serviciul exploatarea echipamentelor Teodorescu Rodica, Serviciul exploatarea

Stabilirea responsabilului
- 76 -

20.04.2010

Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu sarcinile stabilite prin proceduri Monitorizarea aplicrii n mod unitar a politicii de securitate IT Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii Alocarea de roluri i responsabiliti, i comunicarea Planului de recuperare a datelor n caz de dezastru tuturor persoanelor responsabile Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes Back-up-urile trebuie stocate n siguran n afara sediului Verificarea tuturor exemplarelor de rezerv nainte de fi depozitate

Analiza i actualizarea fielor de post Efectuarea monitorizrii

25.04.2010

echipamentelor Teodorescu Rodica, Serviciul exploatarea echipamentelor Teodorescu Rodica, Serviciul exploatarea echipamentelor Teodorescu Rodica, Serviciul exploatarea echipamentelor Voiculescu Alin, Serviciul de tehnoredactare i dezvoltare aplicaii multimedia Voiculescu Alin, Serviciul de tehnoredactare i dezvoltare aplicaii multimedia Ptrulescu tefan, director Direcia Tehnologia Informaiei Voiculescu Alin, Serviciul de tehnoredactare i dezvoltare aplicaii multimedia Ptrulescu tefan, director Direcia Tehnologia Informaiei

30.11.2010

Stabilirea echipelor

25.04.2010

Alocarea rolurilor i responsabilitilor i comunicarea planului Testarea i actualizarea planului

15.05.2010

01.06.2010

Alegerea unei locaii pentru stocarea back-up-urilor Verificarea tuturor exemplarelor de rezerv

28.04.2010

permanent

Monitorizarea sistematic de ctre Efecturea monitorizrii n mod trimestrial management a modului n care sunt sistematic aplicate procedurilor privind recuperarea datelor n caz de dezastru Director Direcia Tehnologia Informaiei, Ptrulescu tefan
- 77 -