1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Organizatia trebuie sa aiba o politica se securitate informationala care se refera la:

  • responsabilitatile personalului;
  • atributiile responsabilului cu securitatea;
  • clarificarea datelor si nivelurile de securitate;
  • controlul (auditul) intern al securitatii.

Politica de securitate se refera la tot personalul angajat, adica la:

  • standarde interne si principii privind securitatea S.I.;
  • la nivel grobal;
  • pe grupe (functii, sectii) de lucru;
  • codul etic al angajatilor si pregatirea acestora.

Autorizarea utilizatorilor

 

  1. Identificare : calculatorul recunoaste un potential utilizator al sistemului;
  2. Autentificare : functia de stabilire a validitatii identitatii pretense;
  3. c. Autorizare : utilizatorului recunoscut i se permite accesul la resursele sistemului.

Controlul accesului

 

Riscurile accesului neautorizat se refera la:

  • diminuarea confidentialitatii;
  • furtul informatiilor;
  • divulgarea neautorizata de informatii;
  • diminuarea integritatii informatiilor;
  • intreruperea functionarii sistemului.

Controlul accesului in mediile publice utilizand firewall impune o politica de control a accesului intre doua retele si  ne indica faptul ca:

  • intreg traficul de date trece prin el;
  • este permisa numai trecerea autorizata prin politica locala de securitate;
  • sistemul insusi este imun la penetrare;
  • monitorizarea comunicatiilor TCP/IP;
  • poate inregistra toate comunicatiile;
  • poate fi folosit la criptare.

Limitele unui firewall

 

  • restrictioneaza, blocheaza accesul la unele servicii externe;
  • protectie scazuta pentru atacuri din interior;
  • protectie scazuta fata de virusi;
  • diminueaza viteza de comunicare cu exteriorul;
  • fiabilitate redusa datorita centralizarii.



Controlul securitatii fizice

 

 Auditorul verifica masura in care accesul fizic la date si resursele hardware sunt restrictionate corespunzator si impune cateva obiective, si anume:

  • modul cum este restrictionat accesul fizic la facilitatile IT din firma;
  • modul cum este restrictionat accesul la spatiile unde se afla echipamentele pe care se realizeaza prelucrarile;
  • modul cum sunt protejate stocarile offline de date;
  • cat de sigura, din punct de vedere informational, este scoaterea din uz a calculatoarelor si mediilor de stocare a datelor;
  • existenta unor programe care permit recuperarea datelor sterse de pe mediile de stocare;
  • dificultatea asigurarii controlului accesului fizic la fiecare componenta hardware;extinderea lucrului in retea si a utilizarii sistemelor distribuite s-a caracterizat prin concentrarea atentiei pe controlul accesului logic, dar controlul accesului fizic ramane in continuare important, el reprezentand o componenta a sistemului de securitate.

Copii de siguranta si evenimente neprevazute

Auditorul trebuie sa verifice daca la nivelul organizatiei exista :

  • proceduri prin care sa se asigure functionarea sistemului in cazul caderii

alimentarii cu energie electrica sau a cailor de comunicatii. Exista sectoare “sensibile” – bancar, bursier, securitatea statului, energetic etc. care impun asigurarea functionarii continue a sistemelor informatice ceea ce implica existenta unor surse alternative de energie si/sau comunicatii.

  • planuri bine testate si documentate, actualizate periodic prin care sa se asigure

operationalitatea sistemului informatic in conditiile producerii unor evenimente neprevazute.

  • proceduri si controlul aplicarii acestora, privind realizarea copiilor de siguranta si refacerea starii sistemului in cazul “caderii” acestuia ca urmare a unor cauze hard sau soft.
  • existenta unui contract de asigurare a organizatiei pentru evenimente neprevazute.
  • nivelul de instruire a personalului cu privire la procedurile aplicabile in cazul

realizarii periodice a copiilor de siguranta sau executarii procedurilor de criza in cazul producerii dezastrelor.

 Dezastrele

 

  • actiuni cu scop distructiv produse intentionat sau nu, inclusiv VIRUSI;
  • dezastre naturale.

Conceptul de BUSINESS CONTINUITY MANAGEMENT (BCM) prevede:

  • anticiparea incidentelor care pot afecta functiile critice si procesele organizatiei
  • asigurand ca organizatia va raspunde oricarui incident conform planurilor elaborate pana la revenirea activitatii la o desfasurare normala;
  • functia IT este una fin functiile critice ale organizatiei;
  • plan de actiune care cuprinde proceduri si persoanele responsabile cu punerea inpractica a actiunilor de limitare a distrugerilor si refacerea sistemului prin:
    1. stabilirea echipei responsabile cu realizarea unui plan de refacere a sistemului formata din personalul din compartimentul de specialitate, auditorul sistemului informatic, utilizatori;
    2. elaborarea procedurilor de verificare a principalelor componente ale sistemului (date, soft, hard, documentatii) in cazul producerii evenimentelor distructive si stabilirea responsabilitatilor;
    3. stabilirea locatiilor in care vor fi pastrate copiile de siguranta, documentatiile si componente hardware;
    4. stabilirea prioritatilor privind procedurile ce trebuie efectuate;
    5. stabilirea locatiei in care se vor executa procedurile;
    6. testarea planului pe elemente componente;
    7. documentarea planului;
    8. nu toate incidentele (evenimentele distructive) pot fi anticipate prin BCM;

            Planificarea continuitatii activitatii in cadrul organizatiei implica aspecte de genul:

  • ce a facut managementul privitor la riscul de “cadere” a sistemului si fata

      de scenariul de dezastre;

  • cum sunt testate si actualizate planurile de continuitate a activitatii prin:
    1. revederea planurilor existente;
    2. daca sunt clar precizate responsabilitatile;
    3. care este nivelul de instruire a personalului implicat;
    4. refacerea in cazul esecului operational.

In acest caz, auditorul verifica :

  • daca sunt stabilite proceduri adecvate in cazul producerii unor esecuri operationale;
  • daca aceste proceduri sunt verificate si aprobate;
  • daca aceste esecuri operationale sunt identificate, rezolvate la timp, comsemnate si raportate;
  • in ce masura echipamentele sunt adecvat plasate si protejate pentru a se preveni riscul distrugerii accidentale (foc, fum, praf, vibratii, radiatii electromagnetice etc.);
  • in ce masura echipamentele sunt corect intretinute;
  • ce controale exista pentru prevenirea esecurilor operationale produse din :
  1. cauze hardware;
  2. neaplicarea corecta a procedurilor de operare;
  3. erori software.
    • care sunt procedurile de RESTART si REFACERE (Recovery) pentru refacerea starii sistemului in urma unui esec operational;
    • in caz de incidente sunt evaluate actiunile operatorilor pentru a se vedea daca prin actiunile lor nu au afectat calitatea prelucrarilor sau structurile de date.

Actualizarile folosind backup-urile datelor (fisierelor), aplicatiilor si software-ul de sistem trebuie sa fie posibile in caz de urgenta sis a prevada:

  • daca procedurile de backup (pentru date si soft) sunt cele potrivite;
  • daca backup-urile sunt corect jurnalizate si stocate in locatii sigure;
  • daca exista siguranta ca backup-urile si procedurile RECOVERY vor lucra la nevoie;
  • daca datele din fisierele copii sunt acoperitoare pentru refacerea fisierelor operationale. Frecventa realizarii copiilor este direct proportionala cu volumul

      tranzactiilor si importanta datelor pentru organizatie.

Conform procedurilor backup copiile pot fi :

  • partiale;
  • totale.

Controlul nivelului operational

Distribuirea prelucrarii impune controlul la nivel operational si presupune urmatoarele activitati auditate:

 

  1. Operarea efectiva la postul de lucru prin:
  • restrictionarea accesului;
  • utilizarea eficienta a timpului de lucru;
  • intretinerea si repararea echipamentului;
  • cunoasterea si respectarea procedurilor de catre utilizatori.
  1. Reteaua de calculatoare care va presupune:
  • modul de monitorizare a traficului pe retea;
  • politica antivirus – server sau post de lucru;
  • controlul politicilor de acces si restrictionare;
  • protectia conexiunii la retele publice.

Auditorul urmareste :

  • cum sunt autentificate conectarile de la distanta la calculatoarele organizatiei;
  • daca reteaua este mare, in ce masura este organizata pe domenii separate;
  • daca reteaua este partajata (mai ales daca se extinde dincolo de organizatie) ce controale exista pentru a se verifica faptul ca utilizatorii acceseaza doar portiunile de retea pentru care sunt autorizati;
  • cum sunt protejate transmisiile in retea;
  • conexiunile externe trebuie folosite doar pentru scopuri valide ale afacerii si controalele trebuie sa previna ca aceste conexiuni sa submineze securitatea sistemului;
  • in ce masura aceste conexiuni externe sunt impuse de nevoi ale organizatiei;
  • cat de sigura este posta electronica a organizatiei;
  • ce controale exista pentru a preveni accesarea unor site-uri inadecvate;
  • ce controale exista pentru a preveni navigarea neproductiva pe Internet a
  • personalului si in afara sarcinilor de serviciu.

Solutia hardware si software a retelei trebuie sa asigure nevoile de disponibilitate, performanta si flexibilitate.

  • ce documentatie de retea este disponibila;
  • cum sunt aprobate modificarile din retea, controlate si testate;
  • ce procese au loc pentru planificarea capacitatii si monitorizarea nivelului de performanta.
  1. Pregatirea datelor si introducerea in sistem care presupun:
  • pregatirea documentelor primare;
  • datele sunt clasificate, grupate, verificate, sortate si transmise pentru
  • procesare;
  • controlul introducerii datelor;
  • acuratetea datelor care depinde de :
    1. calitatea controalelor;
    2. factorul uman;
    3. tipul echipamentelor folosite pentru introducerea datelor in sistem.
  1. Procesarea datelor realizata prin:
    • acces autorizat pentru declansarea procedurilor;
    • respectarea termenelor si timpilor de procesare;
    • protejarea fisierelor;
    • pastrarea rezultatelor procesarii;
    • asigurarea la timp a datelor necesare prelucrarilor, mai ales in cazul in care acestea sunt asigurate de alte sisteme informatice (interne sau externe organizatiei);
    • intretinerea software-ului;
    • Auditorul va urmari masura in care a asigurat documentatia necesara personalului implicat in procesarea datelor.
  1. Gestionarea mediilor de stocare prin:
  • localizarea curenta;
  • persoana responsabila (gestionarul);
  • data achizitiei;
  • utilizatorul;
  • fisierele/programele/aplicatiile continute;
  • persoanele autorizate sa acceseze mediul;
  • data ultima cand a fost folosit; de cine; data restituirii;
  • data la care continutul poate fi sters;
  • cum sunt protejate stocarile offline de date.
  1. Gestionarea aplicatiilor si a documentatiei
  • modul de pastrare;
  • modul de acces;
  • actualizarea documentatiei;
  • copii de siguranta.
  1. Asistenta tehnica
  • modul de achizitionare a hardware-ului;
  • instruire utilizatori;
  • identificarea erorilor de procesare si modul de rezolvare;
  • controlul soft-urilor;
  • raportarea incidentelor.

Managementul trebuie sa stabileasca nivelurile de service necesitate de utilizatori si sa stabileasca politicile privind asigurarea acestora :

  • in ce masura corespund contractele de service existente nevoilor reale;
  • in ce masura service-ul asigurat raspunde cerintelor de securitate.
  1. Monitorizarea performantelor
  • monitorizarea performantei operationale si aprobarea procedurilor documentate;
  • monitorizarea performantei privitoare la nivelele de service si a procedurilor de operare;
  • ce informatii primeste managerul pentru a-i permite sa monitorizeze starea mediului hard si terminarea la timp a prelucrarilor;
  • cat de des se primesc aceste informatii;
  • in ce masura au existat probleme cu performanta componentelor hardware si/sau executarea la timp a prelucrarilor;
  • ce monitorizare se desfasoara pentru verificarea operarii eficiente a calculatorului;
  • in ce masura au existat probleme cu neaprobarea unor proceduri definite pentru operarea calculatorului.
Loading...