56 ақпараттық қауіпсіздік негіздері
Біз сондай-ақ келісімшарттық немесе нормативтік талаптарға байланысты болуымыз мүмкін біз қандай да бір қайталанатын негізде аудиттен өтуіміз керек. Көптеген жағдайларда аудитті сертификатталған және тәуелсіз үшінші тараптар жүргізеді мұндай тапсырманы орындауға өкілетті. Мұндай тексерулердің жақсы мысалдары компаниялардың адал болуын қамтамасыз ету үшін бар SOX тағайындайды олардың қаржылық нәтижелері туралы есеп беру.
Біз нені тексереміз?
Аудит жүргізген кезде біз, ең алдымен, тиісті заңдар мен саясаттарды сақтауға қатысты бірқатар мәселелерді зерттей аламыз. Ақпараттық қауіпсіздік әлемінде біз жүйелерге немесе жүйелерге қол жеткізуді негізгі фактор ретінде қарастырамыз назар аударыңыз, бірақ оны физикалық қауіпсіздік сияқты басқа салаларға жиі таратыңыз.
Құпия сөздер әдетте тексерілетін элемент болып табылады, өйткені біз саясатты орнатуымыз керек олардың қалай жасалғанын және қолданылатынын жазыңыз. Біз"Аутентификация" бөлімінде қалай талқыладық 2-тараудағы бөлім, Егер біз қорғалған құпия сөздерді жасау туралы ойламасақ осылайша, шабуылдаушы оларды оңай бұза алады. Біз сондай-ақ парольдерді өзгерту жиілігіне алаңдауымыз керек. Егер бізде бірдеңе болса құпия сөз кімде болмауы керек адамның қолына түсуі үшін біз қамтамасыз ету үшін парольді салыстырмалы түрде жиі аралықпен өзгерткіңіз келе ме бұл адамның тұрақты қол жетімділігі жоқ. Көптеген жағдайларда парольдің беріктігін тексеру және парольдің өзгеруін басқару амалдық жүйенің немесе утилиталардың көмегімен автоматтандырылған түрде жүзеге асырылады ол үшін және олардың орнында екеніне көз жеткізу үшін оларды тексеру керек және дұрыс конфигурацияланған.
Бағдарламалық жасақтаманы лицензиялау-тағы бір кең таралған аудит тақырыбы. Әсіресе жүйелерде біз жұмыс істейтін ұйымға тиесілі, біздің барлық бағдарламалық жасақтамамыздың тиісті түрде лицензиялануын қамтамасыз ету маңызды міндет болып табылады. Егер біз аудиторлық тексеруден өтсек үшінші тарап агенттігі-мысалы, Business Software Alliance (BSA) - және біз лицензиясыз бағдарламалық жасақтаманың көп мөлшерін қолданатынымыз анықталды, қаржылық санкциялар өте қатал болуы мүмкін. Егер біз тауып, түзете алсақ, бұл көбінесе жақсы мұндай мәселелерді біз BSA сияқты сыртқы компаниядан хабарлама алмас бұрын өзіміз шешеміз
Дабыл!
BSA-бұл бағдарламалық жасақтама компанияларының атынан (Adobe немесе Microsoft, мысалы), басқа компаниялардың бағдарламалық жасақтама талаптарына сәйкестігі туралы үнемі аудит жүргізеді лицензиялау. BSA айыппұлдары лицензиясыз әрбір жағдай үшін 250 000 долларға жетуі мүмкін бағдарламалық жасақтама және BSA информаторларға арналған таразыны тәттілендіреді, оған дейін сыйақы ұсынады бұзушылықтар туралы хабарлау үшін 1 миллион долларға дейін [3].
|
Интернетті пайдалану ұйымдарда өте жиі тексерілетін элемент болып табылады, көбінесе көбінесе біздің онлайн әрекеттерімізге назар аударыңыз, бірақ ол жедел хабар алмасуды, электрондық поштаны, файлдарды тасымалдауды немесе басқа транзакцияларды қамтуы мүмкін. Көптеген жағдайларда ұйымдар
Достарыңызбен бөлісу: |