smernice za revidiranje g 38 access controls nadzor dostopa
DESCRIPTION
Smernice za revidiranje G 38 ACCESS CONTROLS nadzor dostopa. Mag. Janko Uratnik, CISA, CISM SLOVENSKI INŠTITUT ZA REVIZIJO, ISACA – SLOVENSKI ODSEK Ljubljana, 1. april 2008. 1. UVOD. Namen smernic G 38 je: - PowerPoint PPT PresentationTRANSCRIPT
1
Smernice za revidiranje G 38
ACCESS CONTROLSnadzor dostopa
Mag. Janko Uratnik, CISA, CISM
SLOVENSKI INŠTITUT ZA REVIZIJO, ISACA – SLOVENSKI ODSEK
Ljubljana, 1. april 2008
2
1. UVOD
Namen smernic G 38 je:
1. Z večanjem globalizacije in kompleksnosti informacijskih tehnologij in opreme, raste tudi potreba po zaščiti tako materialnih kot informacijskih virov in dobrin.
2. Zaradi raznolikosti opreme in tveganj je pomembno določiti in uporabljati poznan in enoten standarden postopek nadzora dostopa.
3
1. UVOD
Osnove in povezave:
- Standard S1: pravila revidiranja,- Standard S3: profesionalna etika in
standardi,- Smernica G 13: izvajanje ocenjevanja
tveganja in načrtovanje pregledov
4
1. UVOD
Povezave na COBIT:- ME2 nadzor in ovrednotenje notranjih kontrol- ME3 skladnost z zunanjimi zahtevami- ME4 zagotavljanje vodenja ITPrimarni cilji:- PO1, PO2, PO9, DS5, DS7, DS9Sekundarni cilji:- PO6, PO7, AI1, AI2, AI3, AI6, DS1, DS2, DS10,
DS1¸2, ME1, ME3
5
1. UVOD
Glavni načini pravic uporabniškega dostopa:
1. najmanjši dostop: samo do nekaterih virov (minimal access),
2. Potrebni dostop: dostop do virov, ki so potrebni za izvajanje nekega posla (need to know),
3. Lastniški dostop: dostop osebe pooblaščene za vir (owner access).
6
2. OSNOVNE DEFINICIJE
1. Varnostna politika je osnovni dokument, ki opisuje odgovornosti in varnostne strategije za doseganje poslovnih ciljev,
2. Določeni so kriteriji za uporabniške pravice dostopa do fizičnih in logičnih virov – v osnovi le potrebni dostop (need to know) do fizičnih in logičnih virov,
3. Določeno je lastništvo in odgovornosti do virov,4. Določena je klasifikacija virov: strogo zaupno,
zaupno, interno, javno,5. Opredeljen je način upravljanja s spremembami
pravic,
7
2. OSNOVNE DEFINICIJE
6. Opredeljen je način nadzora uporabe pravic,
7. Periodično se izvaja pregled danih pooblastil,8. Opredeljena je pooblaščena uporaba pravic in
posledice za kršenje, skladno z lokalno zakonodajo in regulativo,
9. Opredeljene so pravice tretjih oseb – zunanjih ali začasnih izvajalcev,
10. Opredeljena je odgovornost za uporabo pravic,11. Opredeljen je način dostopa – lokalen ali
oddaljen
8
2. OSNOVNE DEFINICIJE
12. Podane in opredeljene so zahteve za identifikacijo, avtentikacijo, avtorizacijo in nezanikanje,
13. Stalno se izvaja ocena tveganj,14. Opredeljen je nadzor nad tveganji in
metrika,15. Opredeljene so specifične grožnje,16. Vpeljane so preventivne kontrole,
9
2. OSNOVNE DEFINICIJE
17. Vpeljane so detektivne kontrole,18. Vpeljane so kompenzacijske kontrole,19. Določen je postopek upravljanja s
pravicami,20. Opredeljen je nadzor nad upravljanjem s pravicami,21. Opredeljen je nadzor nad aktivnostmi
uporabnikov,22. Kritični dostopi so nadzorovani.
10
3. PROCES REVIDIRANJA
1. Načrt pregleda je izdelan na osnovi ocene tveganja in strategije upravljanja s tveganji,
2. Organizacijska shema je poznana,3. Pooblastila in odgovornosti oseb so poznani,4. Poznana so tveganja in grožnje ob
neustreznem upravljanju s pravicami,5. Izvedeno je primerno vzorčenje,6. Poznana so predhodna poročila.
11
4. IZVAJANJE PREGLEDA
Revizor IT pregleduje:- Izvajanje navedenih kontrol,- Skladnost dodeljenih pravic z vlogo izvajalca,- Odstranjene pravice,- Postopke odobravanja pravic,- Sezname in klasifikacijo virov,- Način zaznavanja, obravnavanja in poročanja
o incidentih, - Izobraževanje uporabnikov,- Izjave zaposlenih in pogodbenikov.
12
5. POROČANJE
- Osnutek poročila je predstavljen ustreznim ljudem,
- Osnutek vsebuje le tiste vsebine, ki so jasno dokazljive in dokumentirane,
- Končno poročilo s priporočili je predstavljeno upravljalcem,
- Določene so aktivnosti za sledenje izvajanja priporočil, odgovornosti, datumi izvedbe, potrebni ustrezni viri.
13
HVALA ZA POZORNOST
14