Revizijska sled v teoriji in praksi - Sekcija za Upravljanje Varovanja

Revizijska sled v
teoriji in praksi
BOŠTJAN DELAK
2014
Predstavitev predavatelja
dr. Boštjan Delak, CISA, CIS-SIQ, PRIS, PRINCE2
samostojni svetovalec, višji predavatelj
ITAD, Revizija in svetovanje d.o.o.
e-pošta: bostjan.delak@itad.si
tel:0599-44500 mob: 051-626250
www.itad.si
www.suvi.si
2014
ITAD, Revizija in svetovanje d.o.o.
Revizije IS, analize IS in skrbni pregledi IS
2014
ITAD, Revizija in svetovanje d.o.o.
Svetovanje IS
2014
ITAD, Revizija in svetovanje d.o.o.
Vodenje projektov IS
2014
ITAD, Revizija in svetovanje d.o.o.
Svetovanja pri implementaciji sistema upravljanja varovanje informacij
vir: internet (Google – slike)
2014
ITAD, Revizija in svetovanje d.o.o.
IS
MIRROR
Hitra analiza IS
vir: internet (Google – slike)
2014
Vsebina









KAJ JE REVIZIJSKA SLED?
ZGODOVINA
STROKOVNI PRISTOP
TEORIJA – usmeritev SLOVENSKEGA INŠTITUTA ZA REVIZIJO
REVIZIJSKA SLED IN ISO/IEC 27001:2013
SKLADNOST
PRAKSA V SLOVENIJI
PRIHODNOST
ZAKLJUČEK
2014
Kaj je revizijska sled?
 iSlovar : dnevnik z zapisi o operacijah nad poslovnimi podatki
 SSKJ (Inštitut za slovenski jezik Frana Ramovša ZRC SAZU): ni zapisa
 Merriam - Webster : „a record of a sequence of events (as actions
performed by a computer) from which a history may be reconstructed“
 Wikipedia (UK): „An audit trail (also called audit log) is a securityrelevant chronological record, set of records, and/or destination and
source of records that provide documentary evidence of the sequence of
activities that have affected at any time a specific operation, procedure,
or event.“
2014
Kaj je revizijska sled?
 ISACA : Pojmovnik ISACA – angleško / slovenski (2013)
 „A visible trail of evidence enabling one to trace information
contained in statements or reports back to the original input source“
 „Vidna sled dokazov, ki omogoča sledljivost informacij v trditvah ali
poročilih nazaj do izvora“
 ISO/IEC 27001:2005 – Audit trail = Presojna sled
 je vrsta zapisa - dnevnik, ki omogoča nadzor v smislu varovanja informacij nad
beleženjem aktivnosti - obdelavami nad podatki, drugimi zapisi in
aktivnostmi, ki jih izvajajo uporabniki, programi in vzdrževalci.
2014
Zgodovina
 Dnevniki obstajajo že dolgo - 14. stoletje („log“), 16. stoletje („diary“)
 Prva omemba revizijske sledi v IKT - 1954
 Prva omemba v strokovno / znanstvenih revijah – konec 60-ih let
2014
Strokovni pristop
 Začetki:
 Felix Kaufman, Leo A. Schmidt, Auditing Electronic Records, The Accounting
Review Vol. 32, No.1 (January 1957), pp. 33 – 41.
 Management Information System (MIS Quarterly) IF 2012 = 4,659 (7,474)
 11 prispevkov (1978 -2x, 1981 -1x, 1983 – 1x, 1987 – 1x, 2003 – 1x, 2004 – 1x,
2008 -2x, 2011 – 1x, 2013 – 1x)
 Google učenjak – cca 69.000 zadetkov za „audit trail“
 ISACA (Information System Audit and Control Association)– 201 zadetek
 Journal : > 40 prispevkov med 2002 in 2014
2014
Teorija – Slovenski inštitut za revizijo
SIR je v svoji publikaciji SIR*IUS (januar 2013, stran 167-168), opisal
revizijsko sled z naslednjo obrazložitvijo:
Revizijska sled je nespremenljiv podroben dokumentiran zapis, ki nedvoumno,
neizpodbitno in celovito dokumentira zapisovanje in spreminjanje zapisov v
njihovi celotni življenjski dobi od izvornega zapisa do trenutno veljavnega zapisa
in iz katere je razvidno vsaj kdo, kdaj, s katerimi podatki in kakšno operacijo je
izvedel nad posameznim zapisom ter s tem omogoča naknadno prepoznavanje
časovne točke, vršilca, načina in vsebine naknadne obdelave podatkov, na katere
se revizijska sled nanaša.
2014
Teorija – Slovenski inštitut za revizijo
Revizijska sled naj bo torej ločen zapis dogodka, ki se je zgodil v informacijskem
sistemu z navedbo vseh ključnih podatkov za enolično prepoznavo okoliščin
nastanka dogodka kot tudi njegovih posledic. Revizijska sled naj bo
nespremenljiva in trajna, morebitne spremembe zaradi zastaranja ali zahtev
zakonodaje (npr. ZVOP) se morajo beležiti ločeno, prav tako vsi vpogledi v
revizijsko sled z navedbo razloga za vpogled. Dostop do revizijske sledi naj bo
omejen na notranje/zunanje revizorje oziroma uporabo v posebnih primerih (npr.
incidenti, uradne pritožbe, izvajanje pooblaščenega nadzora ipd.).
2014
Revizijska sled in ISO / IEC 27001:2013
 SUVI opredeljuje revizijsko sled kot enega pomembnih sredstev
 za to sredstvo pa je potrebno:




določiti lastnika,
stopnjo zaupnosti,
oceniti ranljivost,
vzpostaviti ukrepe za zaščito.
2014
Revizijska sled in ISO / IEC 27001:2013
 Sistem upravljanja varovanja informacij ohranja zaupnost, celovitost in
razpoložljivost informacij z uporabo procesa upravljanja s tveganji in
povečuje zaupanje zainteresiranih strank, da so tveganja ustrezno
upravljana.
 Kontrole, ki uporabljajo revizijsko sled so:








A.6.1.2 – Razmejitev dolžnosti
A.8.3 – Ravnanje z nosilci podatkov / informacij
A.11.1.2 – Kontrole fizičnega vstopa
A.12.1 – Operativni postopki in odgovornosti
A.14.2.2 – Postopki nadzora sprememb sistemov
A.14.3 – Testni podatki
A.15.2.1 – Spremljanje in pregledovanje storitev dobaviteljev
A.18.1.4 - Zasebnost in varstvo osebnih podatkov (posredno v ZVOP-1-UPB1)
2014
Zakonodaja
 SKLADNOST (ustreznost glede na neke zahteve, sprejete standarde)
 Zakon o varstvu osebnih podatkov (UPB1) (Ur.l.94, 16.10.2007)
 24.člen (zavarovanje osebnih podatkov)
 obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s
katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno
nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter
nepooblaščena obdelava teh podatkov tako, da se:
…
 5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki
vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je
to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice
posameznika zaradi nedopustnega posredovanja ali obdelave osebnih
podatkov“
2014
Praksa v Sloveniji
 Večina družb v Sloveniji nima celovito implementirane revizijske sledi
 Nekateri imajo za posamezne aplikativne rešitve implementirano
revizijsko sled; kaj pa za sistemsko programsko opremo?
 Poznam samo eno družbo, ki ima implementirano tudi sistemsko
revizijsko sled na sistemu za upravljanje podatkovnih baz (MS SQL s „c2
parametrom“ )
 En slovenski sistem za upravljanje z dokumenti (DMS) ima možnost delne
revizijske sledi na nivoju dokumentov
 En slovenski sistem za registracijo časov in evidenco dostopov nima
implementirane revizijske sledi
 Kako boste zagotavljali skladnost z ZVOP-1-UPB1?
 Kako boste nadzorovali notranje nepooblaščene dostope?
2014
Prihodnost
 Strokovnjaki za varovanje dajejo velik poudarek revizijskim sledem
 Vizija je, da se vzpostavi „gyrus“, ki bo kontroliral delovanje vseh
revizijskih sledi in sprožil varnostne alarme ob spremembi, začasni ali
stalni ukinitvi določene revizijske sledi ali vseh revizijskih sledi
2014
Zaključek
 Revizijska sled je ukrep za boljši in učinkovitejši nadzor uporabnikov in
vzdrževalcev informacijskega sistema ter v nekaterih primeri za
skladnost z EU in SVN zakonodajo
 Implementirajte jo na vseh (ključnih) sistemih
 Potrebno je imeti ustrezna orodja za pregledovanja zapisov
 Vpogledovati jo je potrebno kontrolirano in samo ob izrednih dogodkih
2014
Zaključek
 Revizijska sleda je osnova in nuja
 Naj bo implementirana za vse zaupne podatke (tudi za osebne ter
občutljive osebne podatke) tako v okviru programskih rešitev kot v
sistemski programski opremi, v skladu z usmeritvami SIR
 Razmislite o centralnem nadzoru vseh revizijskih sledi na vseh napravah
(če ocena tveganja to zahteva).
 Omejite dostop na minimum in v skladu s smernicami SIR.
2014
Zaključek
vir: internet (Google – slike)
2014
Zaključek
vir: internet (Google – slike)
2014
Zaključek
UPORABNIKI
PREKO
APLIKACIJ
NE POZABITE NA KOMUNIKACIJSKO OPREMO
SPECIALISTI IKT
S POMOČJO
SISTEMSKIH
ORODIJ
vir: internet (Google – slike)
2014
Zaključek
vir: internet (Google – slike)
2014
Vprašanja in odgovori
VPRAŠANJA …
… ODGOVORI
2014