[ Pobierz całość w formacie PDF ]
.Kontrola obs³ugi sprzêtu i oprogramowania systemowegoTe œrodki kontroli s¹ u¿ywane do monitorowania instalacji lub aktualizacjisprzêtu, systemu operacyjnego lub innego oprogramowania, aby upewniæ siê, czyfunkcje sprzêtu i oprogramowania dzia³aj¹ zgodnie z oczekiwaniami oraz w celuutworzenia historii zmian w aplikacjach.Te kontrole mog¹ byæ równie¿ u¿ywanedo sprawdzania, czy w systemie s¹ zainstalowane tylko autoryzowane aplikacje.Takie œrodki kontroli mog¹ obejmowaæ zasady konfiguracji oprogramowania isprzêtu, które wymagaj¹ zgody kierownictwa (ponowna autoryzacja dzia³ania) namodyfikacje, a tak¿e wymuszaj¹ dokumentacjê zmian.Inne œrodki kontroliobejmuj¹ programy i procedury u¿ywane do kontroli lub uniemo¿liwienianielegalnego u¿ycia programów typu shareware lub objêtych prawami autorskimi.W tej czêœci nale¿y dok³adnie opisaæ zastosowane lub planowane œrodki kontroliobs³ugi sprzêtu i oprogramowania systemowego.Poni¿sze pytania s¹ przyk³adamikwestii, które powinny byæ poruszone w tej czêœci.Czy s¹ stosowane procedury, dziêki którym obs³uga oraz naprawa systemu odbywasiê bez naruszenia bezpieczeñstwa systemu? Nale¿y omówiæ nastêpuj¹ce kwestie.Restrykcje oraz œrodki kontroli osób, wykonuj¹cych obs³ugê lub naprawê systemu.Specjalne procedury pozwalaj¹ce na zapewnienie odpowiedniej wydajnoœci naprawyi obs³ugi.Zarz¹dzanie gwarancjami na oprogramowanie i sprzêt oraz polityk¹ aktualizacjiw celu maksymalnego wykorzystania tych¿e dla minimalizacji kosztów.Procedury stosowane dla elementów serwisowanych na miejscu orazpoza organizacj¹ (na przyk³ad towarzyszenie serwisantom, oczyszczanie noœnikówzabieranych z biura).Procedury stosowane do kontroli us³ug zdalnej obs³ugi, kiedy procedurydiagnostyczne lub serwisowe s¹ wykonywane przez media telekomunikacyjne.Jakie s¹ procedury zarz¹dzania konfiguracj¹ systemu? Nale¿y omówiæ nastêpuj¹cekwestie.Kontrola wersji, która pozwala na powi¹zanie komponentów systemu z w³aœciw¹wersj¹ systemu.Procedury testowania i zatwierdzania komponentów systemu (system operacyjny,inny system, narzêdzia i aplikacje) przed przekazaniem do u¿ytku.Analizy wp³ywu efektu proponowanych zmian na istniej¹ce œrodki kontrolizabezpieczeñ, co obejmuje tak¿e wymagane szkolenia zarówno dla techników, jak iu¿ytkowników, odnosz¹ce siê do proponowanej zmiany w oprogramowaniu lubsprzêcie.Procedury zmiany identyfikacji, akceptacji i dokumentacji.Procedury pozwalaj¹ce upewniæ siê, czy plany zapasowe i powi¹zana dokumentacjajest aktualizowana wraz ze zmianami systemu.Czy dane testowe by³y danymi rzeczywistymi, czy spreparowanymi?Jak stosowane s¹ poprawki ratunkowe?Jakie istniej¹ zasady obs³ugi programów shareware i objêtych prawamiautorskimi? Nale¿y omówiæ nastêpuj¹ce kwestie.Czy te zasady organizacji nie pozwalaj¹ na nielegalne u¿ycie programówshareware i objêtych prawami autorskimi?Czy w zasadach organizacji znajduj¹ siê informacje dotycz¹ce odpowiedzialnoœcii obs³ugi kont u¿ytkowników oraz kadry kierowniczej, w³¹czaj¹c w to informacjeo karach?Czy wykonywane s¹ okresowe kontrole komputerów u¿ytkowników pod k¹teminstalacji tylko legalnych kopii programów, na które posiadana jest licencja?Jakie programy i procedury s¹ wykorzystywane w celu zabezpieczenia przednielegalnym u¿yciem oprogramowania?Czy istnieje zarz¹dzanie gwarancjami na oprogramowanie w celu minimalizacjikosztu aktualizacji, uzyskania zwrotu kosztów lub wymiany wadliwych produktów?Kontrola integralnoœciŒrodki kontroli integralnoœci s¹ u¿ywane w celu ochrony systemu operacyjnego,aplikacji i informacji w systemie przed przypadkow¹ lub celow¹ zmian¹ lubzniszczeniem, a tak¿e, by zagwarantowaæ u¿ytkownikowi, i¿ informacje spe³niaj¹oczekiwania pod wzglêdem jakoœci i nie zosta³y zmienione.W tej czêœci nale¿y opisaæ wszelkie œrodki kontroli, które gwarantuj¹u¿ytkownikowi, i¿ informacje nie zosta³y zmienione, a sam system funkcjonuje woczekiwany sposób.Poni¿sze pytania to przyk³ady kilku œrodków kontroli, którezaliczono do tej kategorii.Czy zainstalowano oprogramowanie do wykrywania i eliminacji wirusów? Jeœli tak,to czy istniej¹ procedury dla:aktualizacji plików zawieraj¹cych definicje wirusów,automatycznego lub rêcznego skanowania antywirusowego (automatyczne skanowanieprzy logowaniu do sieci, automatyczne logowanie po w³¹czeniu zasilania stacjiroboczej i serwera, automatyczne skanowanie po w³o¿eniu dyskietki, automatyczneskanowanie po pobraniu danych z niezabezpieczonego Ÿród³a, na przyk³ad zInternetu, skanowanie w poszukiwaniu wirusów w makrach),usuwania wirusów i tworzenia raportów.Czy stosowane s¹ przez system procedury kontrolne — na przyk³ad sumy kontrolne,sumy hash i liczniki rekordów? Nale¿y do³¹czyæ opis dzia³añ podjêtych w celuusuniêcia wszelkich niezgodnoœci.Czy u¿ywane s¹ narzêdzia do sprawdzania i ³amania hase³?Czy aplikacje korzystaj¹ z programów do weryfikacji integralnoœci w celuwyszukania dowodów na manipulacjê danymi, b³êdów oraz pominiêæ? Te technikiobejmuj¹ kontrolê i potwierdzanie konsystencji i sensownoœci danych w czasiewprowadzania i przetwarzania.Nale¿y opisaæ u¿ywane w systemie œrodki kontroliintegralnoœci.Czy u¿ywana jest funkcja monitorowania wydajnoœci systemu w celuanalizy dzienników wydajnoœci systemu w czasie rzeczywistym, wyszukiwaniaproblemów z dostêpnoœci¹, w³¹czaj¹c w to aktywne ataki oraz awarielub spowolnienia i zawieszenie pracy systemu oraz sieci.Czy aplikacja u¿ywa funkcji uwierzytelniania wiadomoœci w celu upewnienia siê,czy nadawca wiadomoœci jest znany, a wiadomoœæ nie zosta³a zmieniona w czasietransmisji? Nale¿y zaznaczyæ, czy procedura uwierzytelniania zosta³a sprawdzonapod k¹tem stosownoœci dla systemu.Jeœli tak, opisz metodologiê.DokumentacjaDokumentacja jest œrodkiem kontroli zabezpieczeñ, u¿ywanym do wyjaœnieniasposobu u¿ycia urz¹dzeñ lub oprogramowania; formalizuje równie¿ proceduryzabezpieczeñ i dzia³ania dla danego systemu.Dokumentacja systemu obejmujeopisy sprzêtu i programów, zasady, standardy, procedury oraz akceptacjeodnosz¹ce siê do automatyzacji bezpieczeñstwa systemu IT w systemie ogólnegowsparcia, w³¹czaj¹c w to procedury archiwizacji oraz plan zapasowy, a tak¿eopisy procedur dla u¿ytkowników i operatora.W tej czêœci nale¿y przedstawiæ istniej¹c¹ dokumentacjê dla systemu ogólnegowsparcia.Znajomoœæ zabezpieczeñ i szkoleniaKa¿dy u¿ytkownik musi byæ wprowadzony w akceptowane zasady zachowania dlasystemu, zanim uzyska do niego dostêp
[ Pobierz całość w formacie PDF ]