Приложение I: Таблица за планирането

• 
  Опис на информационните системи, използвани в СУД и свързаната документация за системите;
  
• 
  Опис както на компютърните, така и на мрежовите операционни системи използвани от СУД;
  
• 
  Актуална схема на последователността на процесите в СУД;
  
• 
  Предишни одитни доклади от одити на СУД;
  
• 
  Предишни одитни доклади, свързани с ИТ системите на публичния дълг;
  
• 
  Закони и нормативни разпоредби, свързани с рамката на СУД и управлението на публичния дълг;
  
• 
  Списък на ръководителите на СУД и на ИТ, на управлението за непрекъснатост на дейността, на човешките ресурси, управлението на риска, вътрешния одит и други, техните задължения, адреси, и-мейл адреси и телефони;
  
• 
  Документи, които показват функционирането на СУД, нейните системи, или писмените политики и процедурни ръководства на СУД или министерство на финансите, както следва:
  

• 
  Управление на персонала;
  
• 
  Информационна сигурност;
  
• 
  Управление на промяната;
  
• 
  Физически достъп;
  
• 
  Изисквания на ИТ средата/местоположението;
  
• 
  Логически достъп;
  
• 
  Планиране за непрекъснатост на дейността (ПНД);
  
• 
  План за възстановяване при бедствия (ПВБ);
  
• 
  Резервен план;
  
• 
  Услуги от трети страни (ИТ услуги);
  
• 
  Доклади от предварителна оценка на риска;
  
• 
  Скорошно резюме на оценките на сигурността;
  
• 
  Скорошни решения по отношение на риска и препоръчани действия;
  
• 
  Статус на препоръчаните действия;
  
• 
  Одобрение от страна на висшето ръководството за експлоатация на системата.
  

• 
  Доклади на външни организации, натоварени с осигуряване на поддръжката на системата;
  
• 
  Други документи, свързани със СУД, нейните системи, или и двете (напр. слайдове, текст, цели и годишни доклади по управлението на дълга);
  
• 
  Брой на служителите на СУД, които са потребители на системата и техните профили за достъп;
  
• 
  Брой на ИТ служителите и длъжностните им характеристики (определение на ролите им), както за персонала на СУД, така и за ИТ персонала;
  
• 
  Списък на служителите с достъп до помещението със сървъра;
  
• 
  Описание на профила за достъп в ИСУПД;
  
• 
  Официално описание на начина и периода на актуализация на операционната система, защитните стени и антивирусния софтуер;
  
• 
  Роля на физическите препятствия и автоматизираните инструменти за предотвратяване на неразрешен достъп до мейнфрейми, работни станции, сървъри и други съоръжения на СУД;
  

• 
  Местоположение на всяко помещение вътре и извън СУД;
  
• 
  Списък на персонала, работните станции и сървъри;
  
• 
  Разпределение на бюджета за последните 5 години;
  
• 
  Опис на предварителното обучение, както за използване на ИСУПД (персонал на СУД), така и за актуализация на ИТ (ИТ персонал);
  
• 
  Установени правила, практики и вградени описания за предотвратяване на вреди, причинени от нестабилност в електрозахранването, пожар, прах, вода, екстремни температури, влажност или статично електричество;
  
• 
  Спецификации относно функционирането при непрекъсваемо електрозахранване (ако има);
  
• 
  Регистър/архив на инцидентите при поискване от СУД относно грешки на ИСУПД;
  
• 
  Доклади от регистъра/архива на инциденти, свързани сигурността;
  
• 
  Опис на промените в ИСУПД от последните 12 месеца;
  
• 
  Регистри и доклади от предходни тестове на ПНД и ПВБ и реални събития;
  
• 
  Документация за приложението и потребителя;
  
• 
  Условия за ползване на всяко приложение;
  
• 
  Процедурно ръководство за справяне с грешки в обработката;
  
• 
  Образец от данните за повторно извършване на операциите с цел тестване на контролите на приложението и изчисленията.
  

• 
  Запознаване с документацията на системата (ръководства и условия за ползване), за да бъдат разбрани основните процеси във връзка с дълга, които извършва информационната система; ако документацията за процесите в СУД е недостатъчна, одитният екип следва да проучи и определи процесите;
  
• 
  Потвърждаване на наличието на нормативни правила по отношение на използването, поддръжката и бизнес управлението на ИСУПД;
  
• 
  Идентифицирани в предишни одити констатации, свързани със слабите точки в оперативния поток на публичния дълг, на системите за управление на публичния дълг, или и двете;
  
• 
  Идентифициране на главните общи контроли на базата на документацията на системата: въвеждане на данни, обработка и контрол „на изхода”;
  
• 
  Извършване на оценка на риска при тези главни общи контроли и контроли на приложението, за да се оцени кои рискове влияят върху тези системи и колко сериозно е това влияние върху системата за управление на дълга;
  
• 
  Установяване кои системи влияят върху критичните функции и данни, като въвеждане, обработка и краен резултат, списъци с кредитори, изчисления във връзка с публичния дълг, докладване и взимане на решения;
  
• 
  Идентифициране на вътрешните контроли, които се прилагат с цел смекчаване или намаляване на установените рискове;
  
• 
  Класиране на системите и процесите съобразно оценката на риска и определяне на обхвата на одита;
  
• 
  Преценка на ресурсите и графика;
  
• 
  Уговаряне на интервюта с ръководителя на ИТ звеното, директорите и техническия орган, които отговарят за работата по разработване/ поддръжка/експлоатация на системата;
  
• 
  Разработване на матрица за одита на общите контроли и контролите на приложенията и определяне какви тестове да бъдат проведени (вж. матрицата, предложена в Приложение III);
  

• 
  Кои са информационните системи за управление на публичния дълг и каква е ролята на всяка от системите в управлението на дълга?
  
• 
  Единствено СУД ли е разработил ИСУПД или я е получил от трета страна? Във втория случай, правени ли са някакви настройки за персонализиране с цел удовлетворяване на специфични за СУД потребности?
  
• 
  С кого в СУД следва да се проведат интервюта по въпросите, свързани с общите ИТ контроли?
  
• 
  С кого следва да се проведат интервюта относно изясняване на контролите на приложенията на ИСУПД?
  
• 
  Кои са основните потребители на ИСУПД?
  
• 
  Кои са общите контроли и контролите на приложенията на ИСУПД?
  
• 
  В състояние ли са вътрешните контроли да намалят ИТ рисковете, които биха могли да повлияят върху управлението на публичния дълг?
  
• 
  Кои са най-големите рискове по отношение на въвеждането на данните, обработката и крайните резултати от ИСУПД?
  
• 
  Какви тестове на общите контроли и контролите на приложенията следва да бъдат проведени?
  

приложенията и да гарантират непрекъснатост на компютърните операции в

случай на неочаквано прекъсване.

трябва да са съобразени

с мисията на СУД;
Необходимо е да има

мониторинг върху

изпълнението на ИСУПД от

гледна точка на целите на СУД;

провежда вътрешен одит

на операциите, извършвани от

СУД/ИСУПД;

проверка на извадка от

управленски решения

или меморандуми по

отношение на ИТ

дейностите, за да се

установи, че те са ясни,

добре обосновани и

съобразени с мисията

на СУД;
Оценяване на мерките

за ефективност на

ИСУПД спрямо

очакваните показатели

и гарантиране, че

висшето ръководство

признава мерките;

предишни вътрешни

одити на общите ИТ

контроли за

установяване на

сериозни недостатъци;

относителния брой, така

и на възможностите на

ИТ работните станции и

другите ИТ устройства и

потвърждаване, че

персоналът притежава

необходимите умения

размер на бюджета и

сравняване с бюджета

от предходни периоди и

с ИТ секторите на други

правителствени

организации;

или на Министерството на

финансите следва да е

ангажирано с разработването и

поддържането на добра обща

ИТ среда;

персоналът следва да участват

в периодично и адекватно

обучение, което включва и

повишаване на

информираността относно

сигурността;
Трябва да има програма за

обучение;

писмени политики и стандартни

процедури относно:

• 
  Информационната сигурност;
  
• 
  Човешките ресурси;
  
• 
  ИТ услуги от трети страни;
  
• 
  Управление на промяната;
  
• 
  Физически и логически достъп;
  
• 
  Планиране на непрекъснатостта на дейността и плановете за възстановяване при бедствия;
  

Политиките и стандартните процедури следва да се актуализират периодично;

интервюта с висшето

ръководство на СУД

относно интересът им

към ИТ с цел оценка на

ангажимента им за

разработване и

поддържане на добра

обща ИТ среда;
Преглед на

доказателствата за

провеждане на

обучения;

интервюта с ИТ

персонала относно:

• 
  Честота на обучение;
  
• 
  Потребност от знания/ обучение;
  
• 
  Знания за политиките;
  

Оценка на

адекватността на

писмените политики и

стандартните

процедури, отнасящи се

до ИТ услугите;
Наблюдения дали ИТ

персоналът работи в

съответствие със

стандартните процедури

(залегнали в писмено

ръководство);

мейнфрейма и сървърите

трябва да бъде ограничен

(напр.използване на

врати, ключалки и т.н.);
Трябва да има

видеонаблюдение;

помещението, където са

разположени мейнфрейма

и сървърите трябва да

бъдат защитени срещу

насилствено влизане;

помещението на

сървъра трябва да има

разрешение за това;

и ефективното

функциониране на

физически препятствия,

които предпазват от

неразрешен достъп до

мейнфрейма, сървърите

и работните станции на

СУД;

Проверка дали

процедури спрямо

персонала, целящи

предотвратяване на

неразрешен достъп и

намеса в ИТ услугите,

работят съгласно

официално установени

правила;
С цел идентифициране

на евентуални слабости

в автоматизираните

контроли, извършване

на наблюдения върху

работата на

електронните

устройства, като напр.

електронни брави и

заключващи системи,

камери и други способи

за ограничаване на

физическия достъп до

сървърите и другата

критична

инфраструктура;

заключващи системи,

проверка относно

споделянето на пароли

между служителите.

до управлението на

публичния дълг са

възложени на външни

изпълнители, договорът

следва да определя

адекватни контроли,

гарантиращи, че трети

страни няма да имат

достъп до секретна

информация, важни данни

и стратегии относно

дълга;
Не трябва да има нито

един бивш служител,

лице, което не работи за

СУД, или пък „виртуален”

потребител с активен профил

за достъп.

периодично да се

преразглеждат;
Актуализираните антивирусни

програми, защитни стени и

софтуер за разкриване на

намеса и зловредни действия

следва да работят;
Трябва да се прави

систематична

актуализация на

оперативната система на

работните станции и

сървъри;
Организацията следва да

е определила процедури

за гарантиране, отнемане

или изменение на контрола

на достъпа при промяна в

условията (новонаети или

съкратени служители,

изменения в задълженията и

т.н)
Организацията следва да

оповести своята политика

или указания относно

паролите и другите

контроли в областта на

сигурността (ключ карти и

др.) на всички потребители на

ИСУПД.

за достъп се основават

на ролите на

служителите;

бивш служител или

лице, което не работи за

СУД не разполага с

активен профил за

достъп;

на защитни стени и

актуализирани

антивирусни програми и

софтуер за разкриване

на намеса и зловредни

действия;
Проверка относно

систематичното

актуализиране на

операционната система

на работните станции и

сървърите;

правилното прилагане

на политиката спрямо

паролите;

процедурите са

дефинирани и

документирани;

следва да минават тръби (за

вода, отопление, електричество

и т.н);
Трябва да има датчици за

вода, топлина и влажност;
В помещението на

сървъра трябва да има

система срещу наводняване;

Трябва да има

пожароизвестителни датчици /

датчици за пушек.

или оборудването да е

поставено на 15-20 см от пода

или стелажите;

ваемо захранване, така че

мейнфреймът и сървърите да

изпълняват операциите;

условията на средата в

помещението на

сървъра с базата данни;

ефективна поддръжка на

устройствата за

предпазване от пожари,

наводнения и влажност;
Проверка на наличието

и ефективното

функциониране на

алтернативното

захранване, за да не

бъдат прекъснати ИТ

услугите;

поддържа одитен регистър на

на оперативни проблеми,

инциденти и грешки;

проследява всеки инцидент –

от причината до решението;
На хелпдеска не бива да

остават нерешени въпроси

относно инструкциите за

ИСУПД;
Трябва да има процес за

ескалиране на проблеми в

критични ситуации и

подходящо ниво на реагиране

съобразно приоритета на

събитието;
Трябва да има доклад за

събитие, свързано със

сигурността, който е

предоставен на ръководството

на СУД;
Предварителните промени

трябва да спазват стандартни

процедури;
В случай, че се използва

нестандартна система за

управление на дълга,

организацията трябва да е

документирала своята

процедура за контрол на

промяната и да е описала кой

е оторизиран да внася промени

в системата;
Организацията следва да

проследява и наблюдава

всички промени в системата

(одитна следа).

отделено за решаване

на искания от страна на

СУД във връзка с

инструкциите за

употреба или откази във

функционирането на

ИСУПД;
Идентифициране на по-

честите откази в

работата на ИСУПД и

вероятните причини;
Сравняване на

предварителните

промени със

стандартните

процедури.

ПНД и ПВБ;

непрекъснатостта на

операциите следва да е наясно

с ролята и задълженията си;

тестове на ПНД и ПВБ или при

реални събития и дейностите,

предприети от СУД за справяне

с тях следва да бъдат

докладвани;

трябва да се съхранява добре

и да бъде защитена от кражба,

пожар, наводнение или други

инциденти, които биха

могли да я увредят или

унищожат.

последователността и

пълнотата на ПНД и

ПВБ, както и дали са

актуализирани;
Оценяване на доклади

от предишни тестове на

ПНД, ПВБ и резервния

план;
Проверка дали ПНД и

ПВБ са сведени до

знанието на целия личен

състав;
Проверка дали

резервните копия извън

обекта са в добро

състояние и дали могат

да бъдат използвани за

рестартиране на

системата в случай на

повреда.