воскресенье, 12 февраля 2012 г.

Оценка системного ПО (перевод из книги CISA)

При проведении аудита системного ПО в части разработки, закупки или сопровождения должны учитываться следующие моменты:
Интервьюирование технического персонала проводится для:
  • процесса выбора и утверждения решений
  • тестирования процедур разработки ПО
  • оценки и утверждения процедур по результатам тестирования
  • процедур внедрения
  • требований к документированию
Оценка процедур выбора системного ПО проводится для:
  • выполнения короткосрочных и долгосрочных планов ИБ
  • выполнения процедур ИБ и их контроля
  • изучения возможностей ПО и их контроля
  • соответствия требованиям ИБ
  • соответствия возможностей ПО бизнес-целям
Оценка процесса выбора системы показывает, что:
  • цели предлагаемой системы соответствуют требованиям
  • критерии выбора применяются для всех предложенных систем
Оценка анализа затрат и выгод от системного ПО учитывает:
  • прямые финансовые вложения в продукт
  • стоимость обслуживания
  • стоимость оборудования и его необходимая мощность
  • обучение и требования к технической поддержке ПО
  • влияние продукта на другие продукты
  • влияние на безопасность данных
  • финансовую надежность поставщика услуг
Оценка процесса установки и внесения изменений показывает, что:
  • всё необходимое ПО обновляется с предшествующих версий на последние
  • изменения системного ПО планируются так, чтобы снизить влияние на ИБ
  • план тестирования предусматривает тестирование изменений перед их установкой
  • тестирование проводится в соответствии с планом
  • проблемы, выявленные в ходе тестирования, разрешены и изменения тестируются повторно
  • процедуры тестирования адекватны и дают гарантии того, что применение изменений будет корректным и не создаст новых проблем
  • любое ПО проверяется до того как оно попадет в производственную среду
  • должны быть процедуры отмены установки и/или возврата в прежнее состояние
Оценка уровня обслуживания системного ПО необходима, чтобы:
  • примененные изменения документировались
  • текущие версии системного ПО поддерживались производителем
Оценка уровня контроля за проведением изменений показывает, что:
  • доступ к библиотекам системного ПО ограничен только лицами, которым нужен такой доступ
  • изменения должны быть такие как это указывается в документации на них, а также протестированы до их применения
  • после их тестирования изменений должно быть разрешение на их применение в производственной среде
Оценка уровня документации включает:
  • отчеты об установке
  • таблицы параметров
  • выходные данные
  • рабочие логи или отчеты
Оценка тестирования и внедрения включает:
  • процедуры изменений
  • процедуры явного разрешения доступа
  • процедуры безопасного доступа
  • документирование требований
  • документирование тестирования систем
  • проведения аудита
  • контроль доступа в ПО установленного в производственной среде
Оценка документации в части предоставления прав доступа включает:
  • оценку процедур добавления, удаления или изменения прав доступа и их применения только после утверждения
  • оценку попыток нарушения прав доступа и их расследование
Оценка системы безопасности ПО:
  • процедуры должны запрещать обходить установленные логические контроли доступа
  • процедуры должны ограничивать ситуации с нарушением доступа в систему
  • процедуры должны управлять установкой патчей и содержать систему всегда обновленной
  • безопасность системного ПО должна быть достаточной
  • существующие физические и логические меры должны запрещать доступ пользователей к консолям с административными возможностями
  • пароли, установленные производителями, должны быть изменены во время установки

Комментариев нет:

Отправить комментарий