Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Аудит безопасности и контроль защищенности Соображения по аудиту информационных систем (BS ISO/IEC 27002:2005 RU, раздел 15.3)
Protectiva Compliance Manager
Навигация
 

Соображения по аудиту информационных систем (BS ISO/IEC 27002:2005 RU, раздел 15.3)

Операции с документом
Цель: Максимизировать эффективность и минимизировать вмешательство в/со стороны процесс(а) аудита информационных систем. Должны существовать механизмы контроля для защиты действующих систем и средств аудита в ходе проведения аудитов информационных систем. Требуется также обеспечить защиту для сохранения целостности и предотвращения ненадлежащего использования средств аудита.

Механизмы контроля аудита информационных систем

Механизм контроля

Требования и мероприятия аудита, включающие в себя проведение проверок действующих систем, должны быть тщательно спланированы и согласованы с целью сведения к минимуму риска прерывания бизнес процессов.

Руководство по внедрению

Надо обратить внимание на следующие рекомендации:

  • требования в области аудита должны быть согласованы с руководством соответствующего уровня;
  • масштаб проверок должен согласовываться и контролироваться;
  • проверки должны ограничиваться доступом «только на чтение» к программному обеспечению и данным;
  • виды доступа, отличные от доступа «только на чтение», должны быть разрешены только для изолированных копий системных файлов, которые должны быть удалены по окончанию аудита или, если существуют обязательства по сохранению таких файлов в соответствии с требованиями к документированию результатов аудита, должна быть обеспечена необходимая защита этих файлов;
  • ресурсы, используемые для осуществления проверок, должны быть явным образом определены и доступны;
  • требования к специальной или дополнительной обработке данных должны быть определены и согласованы;
  • все попытки доступа должны отслеживаться и протоколироваться в журнале регистрации событий; для критичных данных или систем следует рассмотреть возможность использования журналов событий с отметками времени;
  • все процедуры, требования и ответственность должны быть документированы;
  • лица, проводящие аудит, должны быть независимы от проверяемых областей деятельности.

Защита средств аудита информационных систем

Механизм контроля

Доступ к средствам аудита информационных систем должен быть защищен с целью предотвращения возможного ненадлежащего использования или компрометации.

Руководство по внедрению

Средства аудита информационных систем, например, программное обеспечение или файлы данных, должны быть отделены от систем разработчиков и действующих систем и не должны содержаться в ленточных библиотеках или областях, доступных пользователям, без обеспечения необходимого уровня дополнительной защиты.

Дополнительная информация

Если в аудит вовлечены третьи стороны, может существовать риск неправильного использования инструментария аудита и получения доступа к информации третьими сторонами. Для обработки этого риска могут применяться механизмы контроля, описанные в 6.2.1 (для оценки рисков) и в 9.1.2 (для ограничения физического доступа), а также другие действия, такие как немедленная смена паролей после раскрытия их аудиторам.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2021 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex