При проведении аудита системного ПО в части разработки, закупки или сопровождения должны учитываться следующие моменты:
Интервьюирование технического персонала проводится для:
- процесса выбора и утверждения решений
- тестирования процедур разработки ПО
- оценки и утверждения процедур по результатам тестирования
- процедур внедрения
- требований к документированию
Оценка процедур выбора системного ПО проводится для:
- выполнения короткосрочных и долгосрочных планов ИБ
- выполнения процедур ИБ и их контроля
- изучения возможностей ПО и их контроля
- соответствия требованиям ИБ
- соответствия возможностей ПО бизнес-целям
Оценка процесса выбора системы показывает, что:
- цели предлагаемой системы соответствуют требованиям
- критерии выбора применяются для всех предложенных систем
Оценка анализа затрат и выгод от системного ПО учитывает:
- прямые финансовые вложения в продукт
- стоимость обслуживания
- стоимость оборудования и его необходимая мощность
- обучение и требования к технической поддержке ПО
- влияние продукта на другие продукты
- влияние на безопасность данных
- финансовую надежность поставщика услуг
Оценка процесса установки и внесения изменений показывает, что:
- всё необходимое ПО обновляется с предшествующих версий на последние
- изменения системного ПО планируются так, чтобы снизить влияние на ИБ
- план тестирования предусматривает тестирование изменений перед их установкой
- тестирование проводится в соответствии с планом
- проблемы, выявленные в ходе тестирования, разрешены и изменения тестируются повторно
- процедуры тестирования адекватны и дают гарантии того, что применение изменений будет корректным и не создаст новых проблем
- любое ПО проверяется до того как оно попадет в производственную среду
- должны быть процедуры отмены установки и/или возврата в прежнее состояние
Оценка уровня обслуживания системного ПО необходима, чтобы:
- примененные изменения документировались
- текущие версии системного ПО поддерживались производителем
Оценка уровня контроля за проведением изменений показывает, что:
- доступ к библиотекам системного ПО ограничен только лицами, которым нужен такой доступ
- изменения должны быть такие как это указывается в документации на них, а также протестированы до их применения
- после их тестирования изменений должно быть разрешение на их применение в производственной среде
Оценка уровня документации включает:
- отчеты об установке
- таблицы параметров
- выходные данные
- рабочие логи или отчеты
Оценка тестирования и внедрения включает:
- процедуры изменений
- процедуры явного разрешения доступа
- процедуры безопасного доступа
- документирование требований
- документирование тестирования систем
- проведения аудита
- контроль доступа в ПО установленного в производственной среде
Оценка документации в части предоставления прав доступа включает:
- оценку процедур добавления, удаления или изменения прав доступа и их применения только после утверждения
- оценку попыток нарушения прав доступа и их расследование
Оценка системы безопасности ПО:
- процедуры должны запрещать обходить установленные логические контроли доступа
- процедуры должны ограничивать ситуации с нарушением доступа в систему
- процедуры должны управлять установкой патчей и содержать систему всегда обновленной
- безопасность системного ПО должна быть достаточной
- существующие физические и логические меры должны запрещать доступ пользователей к консолям с административными возможностями
- пароли, установленные производителями, должны быть изменены во время установки
Комментариев нет:
Отправить комментарий