Obiective de control detaliate - securitate IT

Obiective de control detaliate - securitate IT

Obiectivele de control detaliate sunt reprezentate de:

1. Controlul masurilor de securitate

Securitatea sistemelor informatice trebuie organizata astfel incat sa fie in concordanta cu obiectivele afacerii organizatiei:

includerea informatiilor legate de evaluarea riscurilor la nivel organizational in proiectarea securitatii informatice;

implementarea si actualizarea planului de securitate IT pentru a reflecta modificarile intervenite in structura organizatiei;

evaluarea impactului modificarilor planurilor de securitate IT, si monitorizarea implementarii procedurilor de securitate;

alinierea procedurilor de securitate IT la procedurile generale ale organizatiei.

Identificarea, autentificarea si accesul

Accesul logic la resursele informatice trebuie restrictionat prin
implementarea unor mecanisme adecvate de identificare, autentificare si
acces, prin crearea unei legaturi intre utilizatori si resurse, bazata pe
drepturi de acces.

3. Securitatea accesului on-line la date

Într-un mediu IT on-line trebuie implementate proceduri in concordanta cu politica de securitate, care presupune controlul securitatii accesului bazat pe necesitatile individuale de accesare, adaugare, modificare sau stergere a informatiilor.

4. Managementul conturilor utilizator

Conducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator. O procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul de securitate.

Verificarea conturilor utilizator de catre conducere

Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confirme periodic drepturile de acces.

6. Verificarea conturilor utilizator de catre utilizatori

Utilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi, in vederea detectarii activitatilor neobisnuite.

7. Supravegherea securitatii sistemului

Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile legate de securitatea sistemului sunt inregistrate intr-un jurnal si orice indiciu referitor la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile.

8. Clasificarea datelor

Conducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de vedere al gradului de confidentialitate, printr-o decizie formala a detinatorului datelor. Chiar si datele care nu necesita protectie trebuie clasificate in aceasta categorie printr-o decizie formala. Datele trebuie sa poata fi reclasificate in conditiile modificarii ulterioare a gradului de confidentialitate.

Centralizarea identificarii utilizatorilor si

drepturilor de acces

Identificarea si controlul asupra drepturilor de acces trebuie efectuate centralizat pentru a asigura consistenta si eficienta controlului global al accesului.

10. Rapoarte privind violarea securitatii sistemului

Administratorii de sistem trebuie sa se asigure ca activitatile care pot afecta securitatea sistemului sunt inregistrate, raportate si analizate cu regularitate, iar incidentele care presupun acces neautorizat la date sunt rezolvate operativ. Accesul logic la informatii trebuie acordat pe baza necesitatilor stricte ale utilizatorului (acesta trebuie sa aiba acces numaila informatiile care ii sunt necesare conform atributiilor pe care le are in cadrul organizatiei).

11. Gestionarea incidentelor

Conducerea trebuie sa implementeze proceduri de gestionare a incidentelor legate de securitatea sistemului, astfel incat raspunsul la aceste incidente sa fie eficient, rapid si adecvat.

12. increderea in terte parti

Organizatia trebuie sa asigure implementarea unor proceduri de control si autentificare a tertilor cu care intra in contact prin medii electronice de comunicare.

Autorizarea tranzactiilor

Politica organizatiei trebuie sa asigure implementarea unor controale care sa verifice autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza tranzactia.

14. Prevenirea refuzului de acceptare a tranzactiei

Sistemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate ulterior de nici un participant. Aceasta presupune implementarea unui sistem de confirmare a efectuarii tranzactiei.

15. Informatiile sensibile trebuie transmise numai pe un canal de comunicatii considerat sigur de parti, care sa nu permita interceptarea datelor

16. Protectia functiilor de securitate.

Toate functiile organizatiei legate de asigurarea securitatii trebuie protejate in mod special, in vederea mentinerii integritatii acestora.

Organizatiile trebuie sa pastreze secrete procedurile de securitate.

17. Managementul cheilor de criptare

Conducerea trebuie sa defineasca si sa implementeze proceduri si protocoale pentru generarea, modificarea, anularea, distrugerea, certificarea, utilizarea cheilor de criptare pentru a asigura protectia impotriva accesului neautorizat.

18. Prevenirea, detectarea si corectarea programelor distructive

in vederea protejarii sistemului impotriva aplicatiilor distructive (virusi), trebuie implementata o procedura adecvata care sa includa masuri de prevenire, detectare, actiune, corectare si raportare a incidentelor de acest fel.

19. Arhitecturi Firewall si conectarea la retele publice

În cazul in care sistemul organizatiei este conectat la Internet sau alte retele publice, programe de protectie adecvate (firewalls) trebuie implementate pentru a proteja accesul neautorizat la resursele interne ale sistemului.

20. Protectia valorilor electronice

Conducerea trebuie sa asigure protectia si integritatea cardurilor si a altor dispozitive folosite pentru autentificare sau inregistrarea de date considerate sensibile (financiare).