Smernice za revidiranje G 38 ACCESS CONTROLS nadzor dostopa

1. Smernice za revidiranje G 38ACCESS CONTROLSnadzor dostopa Mag. Janko Uratnik, CISA, CISM SLOVENSKI INŠTITUT ZA REVIZIJO, ISACA – SLOVENSKI ODSEK Ljubljana, 1. april 2008

2. 1. UVOD Namen smernic G 38 je: Z večanjem globalizacije in kompleksnosti informacijskih tehnologij in opreme, raste tudi potreba po zaščiti tako materialnih kot informacijskih virov in dobrin. Zaradi raznolikosti opreme in tveganj je pomembno določiti in uporabljati poznan in enoten standarden postopek nadzora dostopa.

3. 1. UVOD Osnove in povezave: • Standard S1: pravila revidiranja, • Standard S3: profesionalna etika in standardi, • Smernica G 13: izvajanje ocenjevanja tveganja in načrtovanje pregledov

4. 1. UVOD Povezave na COBIT: • ME2 nadzor in ovrednotenje notranjih kontrol • ME3 skladnost z zunanjimi zahtevami • ME4 zagotavljanje vodenja IT Primarni cilji: • PO1, PO2, PO9, DS5, DS7, DS9 Sekundarni cilji: • PO6, PO7, AI1, AI2, AI3, AI6, DS1, DS2, DS10, DS1¸2, ME1, ME3

5. 1. UVOD Glavni načini pravic uporabniškega dostopa: • najmanjši dostop: samo do nekaterih virov (minimal access), • Potrebni dostop: dostop do virov, ki so potrebni za izvajanje nekega posla (need to know), • Lastniški dostop: dostop osebe pooblaščene za vir (owner access).

6. 2. OSNOVNE DEFINICIJE • Varnostna politika je osnovni dokument, ki opisuje odgovornosti in varnostne strategije za doseganje poslovnih ciljev, • Določeni so kriteriji za uporabniške pravice dostopa do fizičnih in logičnih virov – v osnovi le potrebni dostop (need to know) do fizičnih in logičnih virov, • Določeno je lastništvo in odgovornosti do virov, • Določena je klasifikacija virov: strogo zaupno, zaupno, interno, javno, • Opredeljen je način upravljanja s spremembami pravic,

7. 2. OSNOVNE DEFINICIJE 6. Opredeljen je način nadzora uporabe pravic, 7. Periodično se izvaja pregled danih pooblastil, 8. Opredeljena je pooblaščena uporaba pravic in posledice za kršenje, skladno z lokalno zakonodajo in regulativo, 9. Opredeljene so pravice tretjih oseb – zunanjih ali začasnih izvajalcev, 10. Opredeljena je odgovornost za uporabo pravic, 11. Opredeljen je način dostopa – lokalen ali oddaljen

8. 2. OSNOVNE DEFINICIJE 12. Podane in opredeljene so zahteve za identifikacijo, avtentikacijo, avtorizacijo in nezanikanje, 13. Stalno se izvaja ocena tveganj, 14. Opredeljen je nadzor nad tveganji in metrika, 15. Opredeljene so specifične grožnje, 16. Vpeljane so preventivne kontrole,

9. 2. OSNOVNE DEFINICIJE 17. Vpeljane so detektivne kontrole, 18. Vpeljane so kompenzacijske kontrole, 19. Določen je postopek upravljanja s pravicami, 20. Opredeljen je nadzor nad upravljanjem s pravicami, 21. Opredeljen je nadzor nad aktivnostmi uporabnikov, 22. Kritični dostopi so nadzorovani.

10. 3. PROCES REVIDIRANJA • Načrt pregleda je izdelan na osnovi ocene tveganja in strategije upravljanja s tveganji, • Organizacijska shema je poznana, • Pooblastila in odgovornosti oseb so poznani, • Poznana so tveganja in grožnje ob neustreznem upravljanju s pravicami, • Izvedeno je primerno vzorčenje, • Poznana so predhodna poročila.

11. 4. IZVAJANJE PREGLEDA Revizor IT pregleduje: • Izvajanje navedenih kontrol, • Skladnost dodeljenih pravic z vlogo izvajalca, • Odstranjene pravice, • Postopke odobravanja pravic, • Sezname in klasifikacijo virov, • Način zaznavanja, obravnavanja in poročanja o incidentih, • Izobraževanje uporabnikov, • Izjave zaposlenih in pogodbenikov.

12. 5. POROČANJE • Osnutek poročila je predstavljen ustreznim ljudem, • Osnutek vsebuje le tiste vsebine, ki so jasno dokazljive in dokumentirane, • Končno poročilo s priporočili je predstavljeno upravljalcem, • Določene so aktivnosti za sledenje izvajanja priporočil, odgovornosti, datumi izvedbe, potrebni ustrezni viri.

13. HVALA ZA POZORNOST