Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Практика проведения аудита КИС

Представленная на рис. 3.2. блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита КИС. Рассмотрим их подробнее.

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита. Границы аудита определяются критическими точками КИС (элементами КИС), в которых наиболее часто возникают проблемные ситуации.

На основании результатов предварительного аудита всей КИС (в первом приближении) проводится углубленный аудит выявленных проблем.

В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика. Создается и согласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии КИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования КИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.

 

Рис. 3.2. Общая последовательность проведения аудита КИС

 

Проведение анализа - наиболее ответственная часть проведения аудита КИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учётом рисков внедрения.

Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.

На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе КИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности КИС.

Постоянное проведение аудита гарантирует стабильность функционирования КИС, поэтому создание плана-графика проведения последующих проверок является одним из результатов профессионального аудита.

Результаты проведения аудита КИС

Результаты аудита КИС организации можно разделить на три основные группы:

• Организационные - планирование, управление, документооборот функционирования КИС.

• Технические - сбои, неисправности, оптимизация работы элементов КИС, непрерывное обслуживание, создание инфраструктуры и т.д.

• Методологические - подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный аудит позволит обоснованно создать следующие документы:

• Долгосрочный план развития КИС.

• Политика безопасности КИС организации.

• Методология работы и доводки КИС организации.

План восстановления КИС в чрезвычайной ситуации.

 

Управление паролями

 

Доступ сотрудников к данным или иным источникам в системе обычно контролируется комбинацией идентификаторов пользователей системы и паролей. Для того чтобы такой подход был эффективным, необходимо поддерживать целостность пароля в течение всего периода его действия. Если идентификатор пользователя не предназначен для использования более, чем одним лицом (нежелательная ситуация, которая снимает ответственность), пароль должен быть известен только владельцу идентификатора пользователя, к которому он относится.

Система или сеть будет подвергаться опасности, если пароль и, следовательно, идентификатор пользователя компрометируются. Серьезность такой опасности зависит от:

• функций, доступных данному идентификатору пользователя - чем привилегированнее идентификатор, тем больше угроза;

• степени уязвимости данных, к которым может быть получен доступ.

Возможность использования компьютера или терминала может быть ограничена паролем включения питания, который не позволяет пользоваться компьютером, пока не будет введен правильный пароль. Screen savers (первоначально предназначавшиеся для предохранения экранов от пережога во время неактивного использования) обычно имеют парольные средства для предотвращения несанкционированного доступа к машине в отсутствие оператора. Эти средства могут быть полезными для предотвращения случайного несанкционированного доступа, но зачастую их можно обойти, имея достаточные технические знания.

Пароли наиболее часто компрометируются из-за отсутствия должной осторожности. Они также могут компрометироваться посредством некоторой формы изощренной атаки с использованием программного обеспечения для сборки паролей.

3.3.1 Потенциальные угрозы Потеря конфиденциальности вследствие:

• несанкционированного доступа к данным из-за потери защиты пароля.

Потеря целостности вследствие:

• несанкционированного изменения системы и/или ее данных из-за потери защиты пароля. Потеря доступности вследствие:

• незапоминания пароля;

• неправильного или несанкционированного изменения пароля.

Пути снижения рисков

• избегать использования общих идентификаторов пользователей вместе с общими паролями;

• выбирать пароли длиной не менее шести знаков;

• соблюдать следующие правила в отношении паролей:

• никому не раскрывать свой пароль;

• убедиться, что никто не наблюдает за вами во время ввода пароля;

• не записывать пароль там, где его может кто-либо может обнаружить;

• выбирать свои собственные пароли;

• изменять устанавливаемые по умолчанию пароли при использовании нового идентификатора пользователя в первый раз;

• перед заменой пароля проверить установки клавиш, таких как Caps Lock и Shift Lock, для того что бы обеспечить правильность знаков;

• использовать простые (т.е. легко запоминаемые) пароли, такие как слова с произвольными орфографическими ошибками;

• включить в состав пароля не менее одного знака, который не является буквой;

• использовать некоторую форму триггера памяти для облегчения вызова пароля;

• периодически менять свой пароль, предпочтительно не реже одного раза в месяц;

• заменить пароль, если есть подозрения в его компрометации.

Не выбирать пароль, который:

• вероятно может быть найден в словаре (особенно слова, ассоциирующиеся с безопасностью, такие как «система», «секрет», «пароль» и т.п.);

• является обычным именем;

• имеет ассоциацию с предыдущим паролем (например, имеет в своем составе наименование или обозначение месяца, если пароль меняется ежемесячно);

• имеет явную ассоциацию с его владельцем (например, номер автомобиля, имя ребенка, название дома, инициалы и т.п.);

• состоит из одной повторяющейся буквы;

Запрещается:

• использовать пароль в скрипте входа в систему или макросе;

• пересылать пароли по электронной почте;

• устанавливать идентификатор пользователя без пароля или с паролем, состоящим из символов пробела;

Администраторы сетей и системные администраторы должны:

• идентифицировать и менять устанавливаемые по умолчанию пароли, когда система запускается в эксплуатацию;

• менять или удалять соответствующие идентификаторы пользователей и/или пароли при перемещении персонала;

• блокировать соответствующие идентификаторы пользователей в случае отсутствия сотрудника в течение длительного времени;

• обеспечить подходящую конфигурацию программного обеспечения управления паролями;

При выборе системного программного обеспечения отдавать предпочтение тем, чей механизм контроля паролей:

• позволяет использовать в паролях как буквы, так и числа;

• требует подтверждения новых паролей (например двойного ввода), чтобы избежать риска неправильного набора;

• вынуждает менять пароль спустя определенное время;

• не позволяет повторного использования паролей (для одного и того же идентификатора пользователя);

• отключает идентификатор пользователя, если пароль неправильно вводится несколько раз (обычно три раза) подряд;

• не выводит на дисплей пароли при их вводе;

• требует, чтобы пароли имели не менее шести знаков;

• хранит пароли в зашифрованном виде;

• защищает таблицу или файл паролей системы от несанкционированного доступа;

• предоставляет средство сброса паролей в случае, когда их забывают, и обеспечивает наблюдение за этим процессом;

Там, где проблемы безопасности особенно важны, рассмотреть возможность:

• использования устройства для генерации нового пароля при каждой необходимости доступа в систему или сеть;

• совместного использования пароля с интеллектуальной карточкой;

• ограничения доступа к идентификаторам пользователей обычными часами работы соответствую щих сотрудников.

Обязательные правила

Пароли должны включать в себя не менее шести знаков; их необходимо держать в секрете (посредством таких мер, как регулярная замена, исключение общих слов и т.п.). Никому не сообщайте свой пароль без явного разрешения руководителя подразделения.

По окончании времени использования информационной системы или при оставлении своего терминала или ПК без присмотра соблюдайте формальные процедуры выхода из работы.

 


Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...