INSTRUCŢIUNEA de modificare și completare a Instrucţiunii nr. 2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de CNVM (se intoarce)

Se pare că „modificarea” de la sfîrşitul anului 2011 se întoarce. (Sursa) Diferenţele nu sunt semnificative.

„certificarea sistemului de management al securității informației – certificarea implementării unui sistem de management al securității informației (SMSI) în conformitate cu cerințele prevăzute în domeniul IT. Certificarea sistemului de management al securității informației ajută la identificarea, managementul şi minimizarea ameninţărilor care afectează de obicei informaţia;”

Care or fi „cerinţele prevăzute în domeniul IT”? Cumva ISO 27001? Totuşi ISO 27001 nu are în vedere „domeniul IT” ci „informaţia”…

„declarație de aplicabilitate – declaraţie care descrie politica de securitate a sistemului informatic al entității, măsurile de securitate relevante care va reflecta procesul de evaluare a riscurilor operaţionale pe care entitatea și le-a asumat;”

Am mai scris despre subiectul acesta:

„The SoA is a document, wich presents the control objectives and controls that have been selected. This selection shall be linked to the results of the risk assessment and the risk treatment process. The linkage should indicate the justification and rationale for he selection of control objectives and controls. (…) The SoA shall also identify the control objectives and controls already implemented, and shall justify the exclusion of any of the control objectives or controls from ISO/IEC 27001  Annex A”

„Sistemul informatic al entității va fi controlat şi auditat de un auditor IT.”

Auditorul nu va realiza doar audit ci se va transforma şi în organ de control! Colegii de breaslă, înscrişi în Registrul auditorilor de la CNVM, vor „controla” şi vor „audita”. În cel de al doilea caz vor presta „risk based” prin eşantionare în timp ce în primul caz vor verifica controalele punctual, unul cîte unul…Ştiu, subiectul acesta ţine mai mult de filosofia auditului şi nu de practica mioritică.

„Entităţile care dezvoltă în cadrul departamentelor/ direcţiilor proprii (in house) aplicaţii la sistemele informatice automate au obligaţia să certifice aceste aplicaţii. Certificarea aplicaţiilor se va face de către un auditor IT. Auditorul IT va certifica că aplicaţiile au fost dezvoltate în concordanţă cu setul de măsuri de siguranţă prevăzut la art.4”

Articolul 4 din fosta instrucţiune (cu modificările neaplicate) nu face nici o referinţă însă la „software design” ci doar la: A. măsuri organizatorice; B. politica de securitate; C. manual de securitate: D. proceduri generale de sistem; F. declaraţie de aplicabilitate. Repet: nici o referinţă la ce implică „dezvoltarea în concordanţă cu…”. Auditorul în schimb trebuie să „certifice”!

„Auditorii IT sunt în drept să solicite entităţilor modificarea setului de măsuri de siguranţă prevăzut la art.4 atunci când setul nu reflectă măsurile prudenţiale prevăzute în instrucțiune.”

Clar? Cristal, nu alta.

    „Art. 7. (1) –
Auditorii IT care controlează şi auditează sistemul informatic şi/sau certifică aplicaţiile informatice automate dezvoltate de entităţi au obligaţia de a se înregistra/înscrie în Registrul public al C.N.V.M.”

Controlezi, auditezi, te inregistrezi….dar nu oricum. Te şcoleşti în „mecanismele pieţei de capital”.

    „p) declarație că a urmat un program de formare profesională organizat de C.N.V.M. sau de un organism de formare profesională atestat de C.N.V.M., cu tema <reglementările și mecanismele pieței de capital>.

Am ajuns şi la Raport:

    „”Art. 8. – (1) Auditorul IT are obligaţia de a întocmi la încheierea controlului şi auditării sistemelor informatice un raport de audit IT care trebuie să cuprindă cel puţin următoarele elemente:

1. titlul raportului şi denumirea entităîii auditate şi controlate (beneficiarul raportului);

2. datele de identificare ale auditorului IT (cel puţin numele, numărul certificatului CISA, telefon, fax, e-mail şi adresa unde îşi desfăşoară activitatea);

3. semnătura auditorului;

4. destinatarii raportului şi restricţiile privind distribuţia raportului;

5. locul auditării şi controlului IT;

6. data raportului;

7. perioada acoperită de audit;

8. descrierea ariei auditului şi controlului IT, incluzând şi:

a) descrierea entităţii auditate;

b) descrierea sistemelor auditate;

c) măsurile organizatorice: politicile aplicabile şi procedurile implementate;

d) identificarea aplicaţiilor utilizate şi persoanele implicate;

e) componentele sistemelor informatice utilizate: aplicaţie/server/sistem de operare/detalii  configurare/locaţie/administrare;

f) analiza riscurilor implicate de activitate, a posibilelor vulnerabilităţi ale sistemului informatic auditat şi controlat IT şi a măsurilor de reducere a riscurilor asociate (controale);

g) descrierea modului prin care s-a efectuat atacul etic şi rezultatul obţinut;

9. opinia detaliată a auditorului privind îndeplinirea cerinţelor prevăzute la art.4 şi art.5 (pentru fiecare cerinţă, cu menţiunea: DA/NU, precum şi motivaţia.);

10. afirmaţia de conformitate (opinia pozitivă), de conformare parţială/totală referitoare la obiectivele auditate şi controlate IT, indicând punctele care trebuie îmbunătăţite (opinie cu rezerve/calificată), sau de  neîndeplinire a obiectivelor auditate (opinia negativă);

11. anexă distinctă conţinând constatările, riscurile operaţionale asociate, recomandările pentru acţiuni  corective şi răspunsul managementului entităţii auditate şi controlate IT (pentru fiecare constatare din  raport). Anexa va fi semnată de un reprezentant al conducerii executive a entităţii auditate;

12. măsurile corective recomandate;

14. răspunsul managementului cu privire la măsurile corective recomandate, inclusiv termenul de aplicare;

15. data următorului audit şi control IT;

16. alte observații.
(2) Raportul de audit IT va reflecta dispoziţiile prevăzute la alin.(1), precum şi alte elemente cu relevanţă pentru îmbunătăţirea sistemului informatic utilizat de entitate.”

(Lipsa numărului 13 din lista de mai sus nu mi se datorează. Editorul documentului nu a folosit liste numerotate🙂 )

„(10) Entităţile au obligaţia de a publica pe pagina lor de internet proprie informaţia că controlul, securitatea şi auditarea sistemului informatic a fost realizat de …….(certificat SMSI…..)”

Decât să se publice „că controlul, securitatea (… ) a fost realizat de”, nu ar fi fost mai firesc ca raportul de audit să fie public? Chiar şi „pe pagina lor de internet proprie”. Bineînţeles dacă acesta ar fi structurat altfel decît impune prezenta instrucţiune…(Facem abstracţie de faptul că auditorul va confirma şi că „securitatea a fost realizată” tot de dumnealui🙂.  Doar este auditor…. )

Dacă la CNVM există atîtea competenţe, de ce nu or fi făcînd tot ei auditul?

Un gând despre “INSTRUCŢIUNEA de modificare și completare a Instrucţiunii nr. 2/2011 privind auditarea sistemelor informatice utilizate de entităţile autorizate, reglementate şi supravegheate de CNVM (se intoarce)

  1. Pingback: Sistemul informatic al entității va fi controlat şi auditat de un auditor IT « ADRIAN MUNTEANU

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s