Правила проведения внутреннего аудита информационной безопасности информационной системы «Система экстренного вызова при авариях и катастрофах на базе технологий gps/глонасс, umts/gsm»


Приложение Примеры чек-листов Аудит политики информационной безопасности



жүктеу/скачать 82,41 Kb.
бет26/26
Дата06.01.2022
өлшемі82,41 Kb.
#12045
түріПравила
1   ...   18   19   20   21   22   23   24   25   26
Байланысты:
Правила внутреннего аудита ок

Приложение


Примеры чек-листов

  1. Аудит политики информационной безопасности


№ п/п

Показатель ИБ

да/нет

Примечание

1.

Существует ли в организации служба ИБ (ответственный за ИБ)? Организационная структура и подчиненность службы ИБ. Количество сотрудников, занятых в ИБ







2.

Существуют ли документы, утвержденные руководством, определяющие перечень целей и задач службы ИБ?







3.

Обеспечена ли служба ИБ (ответственный за ИБ) организации необходимыми и достаточными полномочиями для выполнения установленных целей и задач?







4.

Существует ли документ «Политика ИБ»?







5.

Существует ли документ или требование, регламентирующее регулярный пересмотр Политики ИБ ?







6.

Существует ли документ или требование, подтверждающее участие высшего руководства в управлении ИБ ?








  1. Обеспечение ИБ при управлении ресурсами


№ п/п

Показатель ИБ

да/нет

Примечание

1.

Определено ли руководством, какая информация подлежит защите, и классифицирована ли данная информация?







2.

Определены ли владельцы информационных ресурсов?







3.

Проводилась ли классификация ИС с точки зрения их защиты?







4.

Определены ли требования по защите информации (ИС) различных классов в соответствии с установленной схемой классификации?







5.

Производится ли и каким образом производится маркирование конфиденциальных документов?







6.

Определены ли процедуры передачи конфиденциальной информации?







7.

Производится ли обмен данными между организациями на основе формальных соглашений о конфиденциальности?







8.

Определены ли меры безопасности информации при хранении (сервера, рабочие станции, ноутбуки, съемные носители, бумажные копии)?







9.

Определены ли процедуры уничтожения носителей конфиденциальной информации данных?







10

Соблюдаются ли требования к безопасности перед предоставлением сторонним организациям права доступа к информации или активам организации (в случае если привлекаются сторонние организации)







11.

Соблюдаются ли требования безопасности в соглашении со сторонней организацией, включающих доступ, обработку, передачу или управление информацией организации или средствами ее обработки








  1. Аудит вопросов безопасности, связанных с персоналом


№ п/п

Показатель ИБ

да/нет

Примечание

1.

Определены ли в документах организации роли ее работников ?







2.

Персонифицированы ли роли в организации с установлением ответственности за их выполнение?







3.

Отсутствуют ли в организации роли, совмещающие функции разработки, сопровождения и эксплуатации системы/ПО?







4.

Отсутствуют ли в организации роли, совмещающие функции администратора системы и администратора информационной безопасности?







5.

Отсутствуют ли в организации роли, совмещающие функции по выполнению операций в системе и контроля их выполнения?







6.

Определены ли в документах организации процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников?







7.

Обязаны ли все работники организации давать письменные обязательства о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов?







8.

Регламентируются ли положениями, включенными в договоры (соглашения) с внешними организациями и клиентами, требования по ИБ?







9.

Определены ли в трудовых контрактах (соглашениях, договорах) и (или) должностных инструкциях обязанности персонала по выполнению требований ИБ?







10.

Приравнивается ли невыполнение работниками организации требований ИБ к невыполнению должностных обязанностей и приводит ли как минимум к дисциплинарной ответственности?







11.

Осведомлены ли работники об ответственности в случае нарушения требований ИБ?







12.

Ознакомлены ли работники с Памяткой по ИБ?







13.

Проводится ли обучение/тренинги/тех.учеба по вопросам ИБ?







14.

Ознакомлены ли работники с НД по ИБ?








  1. Обеспечение ИБ при управлении доступом


№ п/п

Показатель ИБ

да/нет

Примечание

1.

Определена ли в организации политика и процедуры контроля доступа к защищаемым ресурсам?







2.

Документирован ли процесс регистрации в ИС новых пользователей или изменения профиля пользователя?







3.

Назначаются ли права доступа к информации подразделением, ответственным за эту информацию (владельцем информационного актива)?







4.

Формируются ли уникальные идентификаторы для всех пользователей, задействованных в технологических процессах?







5.

Определена ли в документах организации и выполняется ли процедура пересмотра прав доступа при увольнении или изменении должностных обязанностей работников организации, имевших доступ к информации, необходимой для идентификации, аутентификации и (или) авторизации пользователей ИС организации?







6.

Применяются ли в составе ИС встроенные механизмы защиты информации и/или дополнительные средства защиты информации от НСД?







7.

Определены ли правила парольной защиты (длина пароля, сложность, периодичность смены, чем контролируются, проводятся ли аудиты паролей)?







8.

Применяется ли усиленная (двухфакторная) аутентификация (для каких ИС)?







10.

Обладают ли пользователи правами локальных администраторов на ПК?







11.

Производится ли контроль и управление доступом пользователей к сетевым ресурсам и сервисам (файловые ресурсы, печать)?







12.

Производится ли контроль и управление доступом пользователей к ресурсам АРМ?







13.

Производится ли контроль и управление доступом пользователей к информации прикладных систем?







14.

Используются ли специализированные программные и (или) технические средства для проведения процедур мониторинга и анализа данных регистрации, действия и операций?







15.

Осуществляется ли хранение учетных данных пользователей централизовано (какое средство для этого используется (LDAP каталог, СУБД?), какая версия ПО, на каких серверах развернуто ?







16.

Для доступа к сетевому оборудованию используются локальные пароли или централизованное управление?







17.

Разрешено ли использование для доступа к ресурсам организации мобильных технических устройств (планшеты, смартфоны, ноутбуки)? Как регламентировано и чем контролируется их использование?








  1. Обеспечение ИБ средствами антивирусной защиты


№ п/п

Показатель ИБ

да/нет

Примечание

1.

Применяются ли на всех ПК и серверах ИС организации средства антивирусной защиты (какие средства используются)?







2.

Определены ли в документах организации процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах?







3.

Осуществляются ли установка и регулярное обновление средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах?







4.

Организован ли автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных?







5.

Контролируются ли установка и обновление антивирусных средств представителями подразделения (лицами) в организации, ответственными за обеспечение ИБ?







6.

Организовано ли функционирование постоянной антивирусной защиты в автоматическом режиме?







7.

Разработаны и введены ли в действие инструкции по антивирусной защите?







8.

Проводится ли антивирусная фильтрация всего трафика электронного почтового обмена?







9.

Построена ли в организации эшелонированная централизованная система антивирусной защиты, предусматривающая использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах?







10.

Определены ли в документах организации и выполняются ли процедуры предварительной проверки устанавливаемого или изменяемого программного обеспечения на отсутствие вирусов?







11.

Проводится ли антивирусная проверка после установки и изменения программного обеспечения?







12.

Документируются ли результаты установки, изменения программного обеспечения и антивирусной проверки?







13.

Определены ли в документах организации процедуры, выполняемые в случае обнаружения компьютерных вирусов, в которых зафиксированы:
— необходимые меры по отражению и устранению последствий вирусной атаки;
— порядок официального информирования руководства;
— порядок приостановления при необходимости работы (на период устранения последствий вирусной атаки)?







14.

Возложена ли обязанность по выполнению предписанных мер антивирусной защиты на каждого работника организации, имеющего доступ к ИС, а ответственность за выполнение требований инструкции по антивирусной защите — на руководителей функциональных подразделений организации?








  1. Обеспечение ИБ при сетевом взаимодействии и использовании ресурсов сети Интернет


№ п/п

Показатель ИБ

да/нет

Примечание

1.

Используются ли средства межсетевого экранирования?







2.

Контролируются ли подключения к сети Интернет?







3.

Осуществляется ли контроль и фильтрация всего входящего/ исходящего трафика?







4.

Используются ли при взаимодействии с сетью Интернет средства обнаружения вторжений?







5.

Используется ли для защиты периметра технология DMZ для всех доступных извне сервисов?







6.

Используется ли для защиты периметра технология сокрытия топологии защищаемой сети (NAT)?







7.

Как выполняется защита от атак второго уровня ?

Выполнена ли сегментация сети на vlan и подсети ? Разделены ли пользователи, сервера и администраторы ?

Настройки коммутаторов:

применяются ли «слепые vlan-ы» ?

применяются ли ACL ?

Применяется ли технология 802.1x для защиты доступа в сеть ?






8.

Предусматривает ли политика безопасности регулярный анализ логов IDS/IPS и правил настройки межсетевых экранов?







9.

Разрешен ли удаленный доступ к ИР?







10.

Определены ли требования к сотрудникам, работающим удаленно (определение объектов и сервисов, к которым требуется предоставлять удаленный доступ, а также групп пользователей, которым разрешен доступ к ним; процедура авторизации удаленного доступа)1?







11.

Используются ли при взаимодействии с удаленными сотрудниками и филиалами средства организации VPN?







12.

Определены ли процедуры управления удаленным оборудованием, включая оборудование в сегментах пользователей?







13.

Определена ли политика использования сервисов мгновенного обмена сообщениями?







14.

Используются ли средства по контролю содержимого трафика?







15.

Используется беспроводной доступ для доступа к ресурсам организации? Как регламентируется и контролируется использование технологий беспроводного доступа? Какие используются меры защиты беспроводных соединений?








  1. Обеспечение ИБ на различных стациях жизненного цикла ИС


№ п/п

Показатель ИБ

да/нет

Примечание

1.

Всегда ли ввод в действие, эксплуатация, снятие с эксплуатации ИС осуществляются при участии подразделений (лиц) в организации, ответственных за обеспечение ИБ?







2.

В случае введения в эксплуатацию новых ИС (подсистем), существуют ли обязательные требования по их тестированию и проверке на соответствие существующей политики безопасности?







3.

Определены ли процедуры контроля за изменением конфигурации ИС организации?







4.

Существует ли в организации политика управления обновлениями?







5.

Имеется ли централизованная система управления обновлениями ОС серверов, АРМ, ПО активного сетевого оборудования, общесистемного и прикладного ПО)?







6.

Регулярно ли отслеживаются новые уязвимости и устанавливаются исправления в используемом программном обеспечении?








  1. Обеспечение непрерывности деятельности активов


№ п/п

Показатель ИБ

да/нет

Примечание

1.

Существует ли в организации политика управления созданием резервных копий? Какие средства резервного копирования используются?







2.

Осуществляется ли резервирование аппаратуры и каналов связи (какое оборудование зарезервировано, какие каналы связи зарезервированы)?







3.

Существует ли в организации документ, содержащий план восстановления активов после прерываний?







4.

Определены ли в организации роли, обязанности и полномочия персонала и подразделений в части обеспечения непрерывности деятельности активов?







5.

Реализована ли в организации программа обучения пользователей и персонала по обеспечению непрерывности деятельности и их восстановлению после сбоев?








  1. Организация обнаружения и реагирования на инциденты безопасности


№ п/п

Показатель ИБ

да/нет

Примечание

1.

Существуют ли документы, в которых определены процедуры обнаружения и регистрации, анализа и реагирования на инциденты ИБ?

(сбои и неисправности систем; слабые места в системе безопасности; утечка информации).






2.

Сформирована и поддерживается ли в актуальном состоянии централизованная база инцидентов ИБ?







3.

Осведомлены ли сотрудники о порядке действий при обнаружении нетипичных событий ИБ и порядке информирования о данных событиях?







4.

Определены ли роли и ответственность при реагировании на инциденты?








  1. Мониторинг и контроль защитных мер


№ п/п

Показатель ИБ

да/нет

Примечание

1.

Осуществляется ли регистрация событий штатными средствами сетевого оборудования  (как осуществляется контроль настроек, сколько хранятся журналы)?







2.

Осуществляется ли регистрация событий штатными средствами серверов (как осуществляется контроль настроек, сколько хранятся журналы)?







3.

Осуществляется ли регистрация событий штатными средствами сетевого оборудования  (как осуществляется контроль настроек, сколько хранятся журналы)?







4.

Осуществляется ли регистрация событий штатными средствами СУБД (как осуществляется контроль настроек, сколько хранятся журналы)?







5.

Осуществляется ли регистрация событий штатными средствами средств защиты (как осуществляется контроль настроек, сколько хранятся журналы)?







6.

Осуществляется ли регистрация событий штатными средствами рабочих станций (как осуществляется контроль настроек, сколько хранятся журналы)?







7.

Настроены ли подсистемы регистрации ОС на контроль следующих действий и событий:

  • удачные/неудачные попытки доступа

  • анализ сеанса входа в систему на предмет выявления несанкционированного использования или восстановленных пользовательских идентификаторов

  • выделение и использование ресурсов с привилегированным доступом

  • отслеживание отдельных действий

  • использование конфиденциальных ресурсов







8.

Осуществляется ли регистрация событий штатными средствами прикладных систем (как осуществляется контроль настроек, сколько хранятся журналы)?







9.

Настроены ли подсистемы регистрации критичных прикладных систем на контроль и регистрацию действий и событий:

  • старт и останов системы

  • удачные/неудачные попытки входа в систему

  • неудачные попытки доступа к ресурсам

  • изменение конфигурации

  • выделение и использование ресурсов с привилегированным доступом

  • использование конфиденциальных ресурсов

  • запись на носители или передача на печать

  • и др.







10.

Организован ли регулярный просмотр и анализ логов и их архивирование?







11.

Ограничен и контролируется ли доступ к журналам регистрации событий?







12.

Определен ли документально порядок проведения внутреннего аудита ИБ в организации?







13.

Осуществляется ли в организации внешний аудит ИБ?







14.

Осуществляется ли периодический контроль наличия уязвимостей в программных и технических средствах ИС? Какие средства анализа защищенности и поиска уязвимостей используются?







15.

Существует ли процедура для корректировки выявленных уязвимостей и несоответствия конфигурации и проверки выполнения корректировки?







16.

Осуществляется ли оценка рисков ИБ?








  1. Физическая безопасность


№ п/п

Показатель ИБ

да/нет

Примечание

1.

Производится ли контроль доступа в здание организации?







2.

Разграничен ли доступ сотрудников в помещения, где располагаются сервера и рабочие станции, управляющие критичными информационными процессами?







3.

Установлены ли в офисе организации дополнительные средства контроля и управления доступом (СКУД)?







4.

Применяется ли видеонаблюдение?







5.

Принимаются ли средства пожарно-охранная сигнализации (какие помещения защищены)?







6.

Имеется ли система кондиционирования и контроля температуры в серверных помещениях?







7.

Существует ли план действий в аварийных ситуациях, включающий в себя процедуры резервного копирования и подготовку резервного оборудования для преодоления чрезвычайной ситуации?







8.

Выполняется ли требование по расположению компьютерной техники с учетом требования минимизации доступа в рабочее помещение лиц, не связанных с обслуживанием этого оборудования, и исключающем визуальное наблюдение информации, отображаемой на экранах мониторов и выводящейся на принтеры, посторонними лицами?







9.

Оборудованы ли сервера и критичные рабочие станции источниками бесперебойного электропитания, либо другим оборудованием, предназначенным для обеспечения средств вычислительной техники автономным электропитанием?







10.

Производится ли регулярный осмотр и профилактические работы на оборудовании для обнаружения признаков, которые могут повлечь за собой отказ системы?







11.

Определены и выполняются ли процедуры по безопасному уничтожению отработавшего оборудования?







Приложение 4

к Правилам

проведения внутреннего аудита информационной безопасности

информационной системы

«Система экстренного вызова при авариях и катастрофах на базе технологий GPS/ГЛОНАСС, UMTS/GSM»


Протокол несоответствия


Подразделение:




Руководитель группы аудиторов (ФИО):




Аудитор (ФИО):




Руководитель подразделения (ФИО):




Данные о несоответствии

Критерий аудита: дать ссылку на требование (положение стандарта, документа системы и т.д.), нарушение которого привело к появлению данного несоответствия

Краткое описание несоответствия: кратко сформулировать несоответствие, связанного с невыполнением указанного в предыдущем пункте требования

Аудитор ___________ «___» __________ 20_ г.



подпись

Комментарий объекта аудита:

Мнение аудиторской группы о причинах несоответствия

Причина несоответствия: кратко сформулировать предполагаемую причину несоответствия

Объективные данные, подтверждающие причину несоответствия: Дать информацию или ссылку на нее, подтверждающую причину несоответствия. В случае отсутствия такой информации процедура корректирующих/предупреждающих действий инициируется в обязательном порядке

Аудитор ___________ «___» __________ 20_ г.

(подпись)


Приложение 5

к Правилам

проведения внутреннего аудита информационной безопасности

информационной системы

«Система экстренного вызова при авариях и катастрофах на базе технологий GPS/ГЛОНАСС, UMTS/GSM»


Структура отчета по аудиту


  1. Программа аудита, включающий его цели, критерии и область.

  2. Идентификация фактических данных по объектам и субъектам аудита (подразделения, процессы, сроки, аудиторы, руководители подразделений).

  3. Свидетельства аудита, зафиксированные в чек-листах.

  4. Несоответствия аудита и планируемые по ним последующие действия.

  5. заключение по аудиту (с подтверждением достижения установленных целей, с указанием областей, не охваченных аудитом, но установленных в плане. Неразрешенные проблемы между группой по аудиту и проверяемым подразделением).

  6. Описание любых препятствий при проведении аудита.

  7. рекомендации, направленные на улучшение процессов обеспечения ИБ ИС ЭВАК.

  8. Сводные данные по несоответствиям и уведомлениям;

  9. список рассылки отчета по аудиту.

  10. Дополнительные данные, при необходимости.

  11. Подписи членов аудиторской группы.




1 В случае положительного ответа на вопрос 9

жүктеу/скачать 82,41 Kb.

Достарыңызбен бөлісу:
1   ...   18   19   20   21   22   23   24   25   26



©emirsaba.org 2024
әкімшілігінің қараңыз
    Басты бет
Lessons
Curriculum vitae
Documents