Sunteți pe pagina 1din 50

Chestionar de Audit : Mediul de Productie IT

Audit Questionnaire: IT Production Environment

Numar

Intrebare

08A

Securitatea procedurilor operationale

08A01

Luarea in considerare a securitatii in relatia cu personalul operational


( personal permanent si temporar)
Exista o politica de securitate specific destinata personalului operational,
in legatura cu sistemele de informatii? Aceasta politica ar trebui sa
acopere cerintele pentru protectia informatiei, bunurilor fizice si a
proceselor si sa mentioneze comportamentele interzise

08A01-01

08A01-02

Este personalul de operare ale sistemelor informatice obligat s semneze


clauzele contractuale de aderare la aceast politic de securitate
(indiferent de statutul lor: personal permanent sau temporar, studen i
etc.)?

08A01-03

Fac aceste clauze clar faptul c obligaia de a respecta aceast politic de


securitate se aplic informaiilor, in sensul larg al termenului (n func ie de
suport: hrtie, magnetic, optic, etc)?

08A01-04

Fac aceste clauze clar faptul ca, dac este necesar i posibil din punct de
vedere legal, obligaia de a respecta politica de securitate se aplic fr a
se limita la un interval de timp?
Acest lucru se aplic, n special, la clauzele referitoare la confiden ialitate,
pot (i de multe ori trebuie) s continue, dup ncheierea legaturii
contractuale (directe sau indirecte) dintre angajat si furnizorul de servicii
sau partener al companiei

08A01-05

Fac aceste clauze clar faptul c personalul are obliga ia de a nu tolera


nicio aciune contrar securitii din partea altor persoane?

08A01-06

Reprezint semnarea acestor clauze un angajament formal?


n scopul de a realiza un angajament oficial, personalul trebuie s
menioneze n mod explicit c semntura presupune c a n eles i
acceptat politica de securitate

08A01-07

Sunt aceste aceleai clauze obligatorii pentru antreprenorii care lucreaz


cu sistemele de operatii?
Practic, antreprenorii trebuie s se asigure c personalul lor semneaza n
mod individual i explicit, n aceleai condiii ca personalul intern.

08A01-08

Exist un curs obligatoriu i bine adaptat de formare destinat personalului


de exploatare a sistemelor?

08A01-09

Sunt acordurile de conformitate cu politica de securitate, semnate de


personal, pastrate n siguran (cel puin ntr-un dulap ncuiat)?

1 variant
R-V1

R-V2

08A01-10

Sunt acordurile de conformitate cu politica de securitate, semnate de


contractantii externi, pastrate n siguran (cel pu in ntr-un dulap ncuiat)?

08A01-11

Exist un audit regulat, cel puin o dat pe an, a aplicrii efective a


procedurii de semnare de ctre personalul opera ional (angajat direct de
ctre societate sau indirect, printr-o companie de servicii)?

08A02

Controlul instrumentelor operaionale i a utilit ilor

08A02-01

Au fost definite diferite profiluri pentru sisteme personalului de operare


(administrarea i gestionarea configuraiilor, administrarea echipamentelor
de securitate, monitorizare, audit i investigare)?

08A02-02

Are fiecare din membrii personalului de funcionare a sistemelor atribuit


unul dintre aceste profiluri?

08A02-03

Au fost verificate exhaustiv si enumerate pentru fiecare profil toate


instrumentele de sistem sensibile si utilitatile (drepturi de administrare, de
gestionare a configuraiei, backup-uri, copii, reporniri la cald, etc.) ?

08A02-04

Este posibil numai pentru titularii unui anumit profil sa utilizeze


instrumentele i utilitarele subsecvente pentru o autentificare puternica,
corespunzatoare (smart card sau card token)?

08A02-05

Este interzisa crearea sau adugarea de instrumente sau utilitare sensibile


fr autorizaie formal?

08A02-06

Exist un control regulat automatizat pentru a pune n aplicare aceast


regul, care declaneaz o alert catre un manager adecvat?

08A02-07

Previne separarea drepturilor personalului de operare a sistemelor


modificarea exagerata a instrumentelor sau a utilit ilor sensibile, sau cel
puin, exista un control de rutina care sa verifice daca nicio modificare nu
a fost fcut i care ar putea declana o alerta managerul n cazul n care
acest lucru se intampla?

08A02-08

Acordarea de profiluri administrative i punerea n aplicare a msurilor de


securitate menionate mai sus fac obiectul auditului periodic?

08A03

Controlul de acceptare a introducerii sistemelor sau de modificare a


sistemelor.
Sunt incluse aici sisteme de operare, aplica ii i middleware asociate

08A03-01

Sunt deciziile de a schimba sau a actualiza echipamentele i sistemele


supuse semnificativ unei proceduri de control (de nregistrare, planificare,
aprobare formal, comunicare tuturor persoanelor implicate etc.)?

08A03-02

Sunt deciziile de schimbare, bazate pe o analiza a capacit ii noilor


echipamente i sisteme de a asigura sarcina necesar i luarea
considerare a evoluiei cererilor previzibile?

08A03-03

Iau in considerare instalarile o protecie fizic (acces protejat, nicio vedere


directa din exterior asupra echipamentelor, fr amenin ri fizice multiple,
condiiile meteorologice, de protecie mpotriva trsnete, protec ie
mpotriva prafului etc.)?

08A03-04

Exista vreo funcionalitate nou sau modificat legat de un sistem nou


sau de o versiune nou a unui sistem, documentata n mod sistematic
nainte de a trece n producie?

08A03-05

Este o astfel de funcionalitate nou (sau o modificare n func ionalitate)


legat de un nou sistem sau o nou versiune a unui sistem, revizuita n
mod oficial i sistematic n legtur cu funcia de securitate IT?

08A03-06

Include aceast reexaminare o analiz a riscurilor care pot rezulta din


modificri?

08A03-07

A primit personalul operaiunilor de sistem instruire formal


corespunztoare n analiza de risc?

08A03-08

Poate personalul de exploatare s ob in un sprijin adecvat special


competent privind analiza de risc?

08A03-09

Sunt msurile de securitate, concentrate sa contracareze noile riscuri


identificate, revizuite n mod oficial nainte de punerea n aplicare?

08A03-10

Sunt enumerati n detaliu i actualizati regulat parametrii de securitate i


regulile de configurare (tergerea conturilor generice, schimbarea de
parole implicite, blocarea porturilor de comunica ii neautorizate, stabilirea
drepturilor de acces i a parametrilor de autentificare, etc) ?

08A03-11

Sunt parametrii de securitate i a regulile de configurare controlate nainte


de orice nceput al produciei unei noi versiuni?

08A03-12

A fost luat n considerare eventualul impact al modificrilor sistemelor n


ceea ce privete planurile de continuitate?

08A03-13

Exista derogri de la analiza i controlul preliminar al parametrilor de


securitate a riscurilor, supuse unor proceduri stricte, inclusiv o semntur
din partea conducerii superioare?

08A03-14

Poate nceperea produciei de noi sisteme i aplica ii s fie efectuata


numai de ctre personalul implicat n opera iuni?

Este nceputul produciei de noi versiuni ale sistemelor sau aplica ii posibil
prin utilizarea unui proces de validare i autorizare definite?
08A03-15
08A03-16

Este auditata n mod regulat nceperea procedurilor de control al


produciei ?

08A04

Controlul operaiunilor de ntreinere

08A04-01

Este pstrata o urm a tuturor opera iunilor de ntre inere?

08A04-02

Sunt toate operaiunile de ntreinere necesare pentru a pune capt unui


control sistematic al parametrilor de securitate (astfel cum este definit la
ora de ncepere a produciei)?

08A04-03

Sunt toate operaiunile de ntreinere necesare pentru a termina cu un


control sistematic al parametrilor de nregistrare pentru evenimente de
securitate i durata de via a nregistrrilor?

08A04-04

Sunt toate operaiunile de ntreinere necesare pentru a termina cu un


control sistematic al parametrilor de administrare a sistemului (profilul
necesar, tipul de autentificare, ndeprtarea conectrii standard, etc)?

08A04-05

Este nevoie de o autorizatie formal, semnat de un manager responsabil,


necesar n cazul n care nu sunt respectate procedurile men ionate mai
sus?

08A04-06

Exist o clauz cu caracter obligatoriu n contractele de personal de


ntreinere care prevd c orice mediu de stocare care con ineau date
sensibile s fie distruse nainte de eliminare?

08A05

Consideraii privind confidenialitatea n timpul ntre inerii sistemelor


de producie

08A05-01

Exist o procedur care descrie, n detaliu, toate opera iunile necesare a fi


executate nainte de a contacta responsabilii de ntre inere, n scopul de a
preveni ca personalul de ntreinere sa aiba acces la datele opera ionale
de producie (deconectarea matricei de discuri i cartu e, tergerea
datelor operaionale, etc.)?

08A05-02

Exist o clauz cu caracter obligatoriu n contractele cu personalul de


ntreinere care prevd c orice mediu de stocare care con ine date
sensibile s fie distruse nainte de eliminare?

08A05-03

Exist o procedur de verificare a integrit ii sistemului dup interven ia de


ntreinere (absena spyware sau troieni etc)?

08A05-04

Este o autorizatie formal, semnat de un manager responsabil, necesar


n cazul n care nu sunt respectate procedurile men ionate mai sus?

08A05-05

Sunt procedurile de mai sus supuse unui audit periodic?

08A06

Controlul de ntreinere de la distan

08A06-01

n cazul ntreinerii de la distan, este accesul biroului de ntre inere la


distan supus unei proceduri de autentificare securizat?

08A06-02

n cazul ntreinerii de la distan, este personalul de ntre inere supus unei


proceduri de autentificare securizat?

08A06-03

Exist un set de proceduri referitoare la acordarea i revocarea drepturilor


de acces pentru agenii de ntreinere la distan i acordarea drepturilor n
situaii de urgen?

08A06-04

Au fost aprobate procedurile i protocoalele de transmitere i de pstrare


a conveniilor secrete (n cazul ntreinerii de la distan ) de ctre ofi erul
de securitate de informaii sau de un specialist calificat?

08A06-05

Necesita utilizarea liniei de ntreinere de la distan acordul prealabil


(pentru fiecare utilizare) a personalului de operare ale sistemului (la cerere
de ctre productor sau de editor, specificnd natura, data i ora
interveniei)?

08A06-06

Sunt protejate prin criptare datele sau schimburile de comenzi n timpul


ntreinerii de la distan ?

08A06-07

Sunt protejate pentru control al integrit ii (etan are) datele sau


schimburile de comenzi n timpul ntreinerii de la distan ?

08A06-08

Este utilizarea liniei de ntreinere de la distan sub control strict?


Un control strict presupune c fiecare utilizare a liniei, numele operatoruli
de ntreinere i aciunile desfurate sa fie nregistrate i s existe un
audit ulterior al caracterului adecvat al aciunilor i conformitatea acestora
cu normele stabilite de ctre managerii de ntre inere.

08A06-09

Sunt echipamentele accesibile pentru ntre inere de la distan protejate


mpotriva inhibrii sau modificarea condiiilor de acces pentru ntre inere la
distan (de exemplu, prin declanarea unei alarme)?

08A06-10

Sunt procedurile de control pentru ntre inere de la distan auditate n


mod regulat?

08A07

Protecia documentelor i a rapoartelor tiprite sensibile

08A07-01

Sunt toate documentele sensibile i rapoartele tiprite n loca ii sigure?

08A07-02

Sunt toate documentele i rapoartele sensibile protejate mpotriva


deturnrii n timpul crearii?

08A07-03

Sunt toate documentele sensibile i rapoartele protejate mpotriva


deturnrii n timp ce ateapt sa fie distribuite?

08A07-04

Asigur sistemul de distribuie pentru documente imprimate i rapoarte o


protecie mpotriva furtului (blocat dulapuri i cutii care transport n timpul
transportului)?

08A07-05

Asigur sistemul de distribuie pentru documente imprimate i rapoarte o


protecie mpotriva consultarii indiscrete ?

08A07-06

Solicit sistemul de distribuie pentru documente imprimate i rapoarte ca


destinatarul s fie autentificat nainte de livrarea lor?

08A07-07

Sunt documentele i rapoartele tiprite etichetate n mod anonim, fr s


arate nici o clasificare special?

08A07-08

Sunt aceste msuri adaptate la nivelul maxim de securitate a informa iilor


continute (depozitare temporar n cutii puternice blocate i livrare
personala pentru informaii foarte sensibile)?

08A07-09

Sunt documentele i rapoartele imprimate sensibile vechi distruse ntr-un


mod sigur, astfel nct s nu poat fi exploatate?

08A07-10

Sunt procedurile de securitate pentru distribuirea de materiale tiprite


auditate n mod regulat?

08A08

Gestionarea procedurilor de operare pentru produc ia IT

08A08-01

Procedurile de operare rezult din studiul cazurilor generale care urmeaz


s fie acoperite prin procedura menionat (cazuri de func ionare normale
i incidente)?

08A08-02

Sunt procedurile de operare documentate i actualizate?

08A08-03

Sunt procedurile de operare disponibile imediat, la cerere, de ctre orice


persoan acreditat?

08A08-04

Este operaiunea de gestionare IT necesar pentru a aproba modificrile


aduse procedurilor?

08A08-05

Sunt aceste proceduri protejate de modificri neautorizate?

08A08-06

Sunt procedurile de operare auditate cu regularitate pentru autenticitate i


relevan?

08A09

Managementul furnizorilor de servicii i furnizorii cu privire la


operaiunile IT

08A09-01

Se asigura n mod regulat ca serviciile de securitate alocate furnizorilor de


bunuri si servicii sunt implementate i meninute de ctre acestia n mod
eficient?

08A09-02

Se asigur faptul c furnizorii sau prestatorii de servicii au pregtit n mod


eficient dispoziiile adecvate pentru a se asigura c serviciile sunt furnizate
conform celor convenite?

08A09-03

Este revizuita n mod regulat respectarea dispoziiilor de securitate de


ctre furnizorii sau prestatorii de serivicii ?

08A09-04

Este garantat faptul c furnizorii raporteaza i documenteaza orice


incident de securitate cu privire la informa ii sau sisteme?

08A09-05

Exist o revizuire periodic a acestor incidente sau defec iuni cu furnizorii


de bunuri si servicii n cauz?

08A09-06

Exista modificri ale relaiilor contractuale (obliga ii, nivelele de servicii,


etc.), analizate pentru riscuri poteniale rezultate?

08B

Controlul de configuraii hardware i software

08B01

Controlul conformitii parametrilor i configuraiilor sistemelor

08B01-01

Exist un document (sau un set de documente) sau o procedura


operaionala care descrie toi parametrii de securitate pentru sisteme?
Un astfel de document ar trebui s fie derivat din politica de securitate i
s descrie toate regulile de filtrare stabilite. Acesta ar trebui s
menioneze, de asemenea, trimiterea la versiunile n sistem, astfel nct s
se verifice starea actualizrilor.

08B01-02

Acest document presupune ca toate conturile generice sau implicite sa fie


terse i lista lor s fie stabilit?

08B01-03

Versiunile sistemului, stabile i parametrizate se actualizez regulat n linie


cu ultimele informaii? Aceasta trebuie facut n cooperare cu autorit ile
certificate.(auditori specializai, nscrierea la un centru de service,
consultaii regulate cu CERT, etc.)

08B01-04

Documentul sau procedura rezultat impune o caracteristic de


sincronizare, bazat pe o referin fiabil de timp?

08B01-05

Ducumentele de referin sunt protejate, prin metode sigure, mpotriva


modificrii premature sau ilicite (sigilare)?

08B01-06

Este verificat integritatea configuraiilor sistemului, regulat (mcar


sptmnal) dac nu la fiecare pornire a sistemului, mpotriva
configuraiilor teoretic ateptate?

08B01-07

Sunt audituri periodice efectuate pentru respectarea specifica iilor pentru


parametrii de securitate?

08B01-08

Sunt audituri regulate efectuate ca urmare a procedurilor de exceptare i


escaladare n cazul dificultilor i a problemelor de instalare?

08B01-09

Mediul de testare i dezvoltare este separat de mediul opera ional?

08B02

Controlul de confomitate al configuraiilor software opera ionale


(inclusiv pachetele)

08B02-01

Exist un document (sau un set de documente) sau o procedur


operaional care s descrie parametrii de securitate pentru toate
aplicaiile? Aceti parametrii trebuie s rezulte din securitatea arhitectural
reinut pentru aplicaii

08B02-02

Este acest document actualizat la fiecare schimbare de versiune?

08B02-03

Acest document presupune ca toate conturile generice sau implicite sa fie


terse i lista lor s fie stabilit?

08B02-04

Versiunile sistemului, stabile i parametrizate se actualizez regulat n linie


cu ultimele informaii? Aceasta trebuie facut n cooperare cu autorit ile
certificate.(auditori specializai, nscrierea la un centru de service,
consultaii regulate cu CERT, etc.)

08B02-05

Ducumentele de referin sunt protejate, prin metode sigure, mpotriva


modificrii premature sau ilicite (sigilare)?

08B02-06

Este verificat regulat integritatea configura iilor aplica iei fa de


configuraiile teoretice ateptate (sptmnal)?

08B02-07

Sunt audituri periodice efectuate datorit posibilelor diferen e ntre


parametrii de securitate ateptai i cei efectiv implementa i?

08B02-08

Sunt audituri regulate efectuate ca urmare a procedurilor de exceptare i


escaladare n cazul dificultilor i a problemelor de instalare?

08B03

Controlul de conformitate al referinei programului (codul surs i


executabilii)

08B03-01

Operaiile IT de gestionare realizeaz o versiune de referin pentru


fiecare produs instalat n producie (cod surs i executabile)?

08B03-02

Este versiunea de referin protejat de toate posibilile modificri ilicite


sau premature? (semntura electronic pstrat de un manager senior,
sigiliu electronic, etc.)?

08B03-03

Este considerat aceast protecie ca fiind de ne atins (sigilat printr-un


algoritm criptografic aprobat de Directorul de Securitate al Informa iei)?

08B03-04

Este controlat automat sigiliul (n caz contrar poate exista o semntur


autorizat) la fiecare nou instalare?

08B03-05

Este o verificare fcut pentru dovada originii i integrit ii pentru modulul


de ntreinere primit sau o versiune nou, de la editor sau productor
(pentru sistemele de operare)?

08B03-06

Sigiliul sau instrumentele de control al sigiliului sunt protejate de orice


utilizare neautorizat?

08B03-07

Inhibarea controlului automat al sigiliului genereaz o aten ionare unui


manager?

08B03-08

Exist control regulat al proteciei procedurilor de refecrin e ale


programelor?

08C

Managementului depozitelor media de date i programe

08C01

Managementul depozitelor media

08C01-01

Sunt controlate toate mutrile dintr-o colec ie de ctre o persoan sau de


ctre un departament responsabil?

08C01-02

Toate elementele media folosite n opera ii sunt controlate de ctre acea i


persoan sau departament?

08C01-03

Mutarile depozitelor media sunt nregistrate sistematic (data i ora,


responsabilul, etc)?

08C01-04

Cedarea depozitelor media sunt nregistrate sistematic (data i ora,


responsabilul, etc)?

08C01-05

Exist o procedur de tergere a datelor nainte de a ie i sau de a ceda?

08C01-06

Sunt toate elementele care lipsesc n mod sistematic obiectul unei


proceduri de cutare i a unui formular de urmrire inclus n ecranul
operaional general?

08C01-07

Toate micrile din depozitul media, intrri i ie iri din colec ie, sunt strict
controlate respectnd planul de producie al sistemului?

08C01-08

Sunt cmpurile depozitului media supuse unui control strict? Un control


strict presupune ca persoanele autorizate s acceseze fi ierele s fie
nregistrate i limitate ca numr, aa ar fi un accs contolat al modificrii
fiierelor i fiecare modificare este nregistrata i auditat.

08C01-09

Procesele ce asigur managementul depozitelor de date media sunt


supuse unui control strict? Un control strict presupune un control ce a fost
ntocmit n mod eficient, presupune efectuarea unui test de integritate a
datelor (sigiliu) o presupune existena unui audit, cel pu in o dat pe an,
al procedurilor i proceselor de management (incluznd manipularea
anomaliilor detectate n cursul depozitrii datelor).

08C02

Etichetarea depozitelor media(live, backup i arhivare)

08C02-01

Sunt dispozitive media marcate neutru fr a fi men ionat nivelul de


clasificare?

08C02-02

Fiierele care nsoesc sistemul de marcare (fiiere ce fac legtura dintre


eticheta dispozitivului media i coninutul su) sunt sub un control strict?
Un control strict presupune ca persoanele autorizate s aib acces la
fiiere s fie nregistrate i limitate ca numr, ar trebui s fie consolidat
controlul accesului pentru a fi capabili s fie modifica i, i orice modificare
s file nregistrat i auditat.

08C02-03

Procesele ce asigur managementul depozitelor de date media sunt


supuse unui control strict? Un control strict presupune un control ce a fost
ntocmit n mod eficient, presupune efectuarea unui test de integritate a
datelor (sigiliu) o presupune existena unui audit, cel pu in o dat pe an,
al procedurilor i proceselor de management (incluznd manipularea
anomaliilor detectate n cursul depozitrii datelor). Aceasta presupune s
existe un document care detaliaz cerinele marcrii suportului media.

08C03

Securitatea fizic a elementelor media pstrate pe loc.

08C03-01

Exist un control automat i sistematic al accesului n spa iul folosit pentru


depozitul operaiilor media?

08C03-02

Autentificarea pentru accesul la camera de depozitare a produselor media


utilizeaz date ce nu pot fi falsificate (de exemplu carduri inteligente sau
date biometrice)?

08C03-03

Sistemul de control al accesului garanteaz verificarea tuturor persoanelor


care intr ntr-o locaie (ui duble ce limiteaz accesul simultan a mai
multor persoane, proces care interzice utilizarea insignei de ctre mai
multe persoane etc.)?

08C03-04

Pe lng accesul controlat al ieirilor normale, exist un control specific


pentruu ieirile neautorizate (ferestre accesibile din exterior, ie iri de
urgen, acces posibil prin panourile false, podea sau plafon, etc)?

08C03-05

Sunt capabilie sistemele de control al accesului dupa o supraveghere de


24 ore s detecteze n timp real erorile sau dezactivrile sistemului sau
folosirea ieirilor de urgen?

08C03-06

Exist o procedur de audit care s permit identificarea mai trziu a


iregularitilor nedescoperite n timpul procedurii de control al accesului
( controlul procedurilor i a parametrilor din sistemul de control al
accesului, controlul excepiilor i al interveniilor etc)?

08C03-07

Exist un sistem de detectare a intruilor n locul depozitrii, conectat 24


de ore la un centru de monitorizare?

08C03-08

Locul n care se afl depozitul media este supravegheat 24 de ore


(supravegherea video a locaiei)?

08C03-09

Transferul de produse media, dintre produc ie i locul de depozitare este


sunb control strict (proceduri specifice de transfer, containere securizate
etc)?

08C03-10

Este protejat locaia de depozitare a produc iei media mpotriva riscului


de accidente (detecie de foc i extinctoare, protect ie mpotriva
inundaiilor, etc)?

08C03-11

Exist regulamente i supraveghere privind temperatura i umiditatea din


locul de depozitare al producie media?

08C03-12

Dup 24 ore de control, sistemle automate de detectare a focului,


inundaiei i a umiditii sunt n msur s detecteze n timp real o
greeal, o dezactivare sau o alarm?

08C03-13

Exit o procedur sau o rutin automat care s genereze o interven ie


imediat a personalului specializat n cazul unei alarme (a sistemului de
control al accesului sau a sistemului de detectare a incidentelor)?

08C04

Securitatea fizic a depozitelor de media (pstrat ntr-un loc extern)

08C04-01

Securitatea depozitelor arhivate este fcut de o companie specializat,


care ofer o garanie contractual a securit ii?

08C04-02

Contractul semnat cu o companie asigur un nivel nalt al securit ii


depozitelor media (autentificare complexa, control al punctelor de acces i
a ieirilor de urgen, detectarea intruilor, supraveghere video, protec ie
mpotriva riscurilor naturale, echip de interven ie, etc)?

08C04-03

Procedura folosit de transfer ctre depozitul extern presupune un nivel


ridicat de securitate (cum ar fi containere securizate i transportatori
acreditai de companie)?

08C04-04

Exist clauze contractuale sau acte adiionale prin care se stipuleaz


condiiile de restituire a depozitelor media, garantnd c persoana creia i
se returnez s fie autorizat chiar i n cazul unei proceduri de urgen ?

08C04-05

Exist un control regulat al msurilor de securitate asigurate de compania


externa care se ocup de depozitarea arhivelor i a backup-urilor?

08C04-06

Exist un control regulat al procedurilor referitor la depozitul media


(transport i ntoarcere)?

08C04-07

Exist un control regulat al clauzelor contractuale care specific rela iile cu


companiile ce asigur depozitarea extern a arhivelor i a backup-urilor?

08C05

Verificarea i circuitul unui depozit arhivat

08C05-01

Sunt verificate regulat depozitele media ce con in date pe termen lung


(arhive) (fregvena update-urilor i clasificarea informa iilor)?

08C05-02

Depozitele de date pstrate pentru mult timp (arhivele) sunt copiate


periodic n noi depozite de date cu afectuarea mentenan ei?

08C05-03

Exist o verificare periodic a compatibilitii tehnice dintre depozitul de


date i soluiile operaionale folosite pentru restaurarea datelor?

08C05-04

Sunt realizate teste periodice privind reabilitarea arhivelor media?

08C05-05

Testele de recitire conin controale de autenticitate ale informa iilor


stocate?

08C05-06

Fiierele folosite pentru gestionarea depozitului de date sunt e antionate


i folosite sub un control strict? Un control strict presupune ca persoanele
autorizate ce au acces la fiiere s fie nregistrate i n numr limitat, ar
trebui s fie consolidat controlul accesului pentru a fi capabili s fie
modificai, i orice modificare s file nregistrat i auditat.

08C05-07

Procedurile de verificare a arhivelor depozite sunt controlate regulat?

08C06

Securitatea reelelor stocate (SAN: Zona de stocare a re elei i NAS)

08C06-01

Reelele de stocare sunt izolate fizic i logic fa de alte re ele?

08C06-02

Sunt reelele de stocare protejate de un firewall care permite doar fluxurile


de date i administrative legate de depozitare?

08C06-03

Este accesul la spaiile de stocare care fac obiectul unor autentificri


solide pentru elementele autorizate (servere i sta ii de administrare)?

08C06-04

Protocoalele privind stocarea de date con in protec ii mpotriva relurii?

08C06-05

Sunt stocate datele utiliznd o reea de stocare criptat nainte de


transmiterea la reea?

08C06-06

D soluiile, protejnd accesul la datele stocate n re eaua de stocare,


ofer garanii valabile i solide?
O soluie criptografic cu chei de lungime suficient este unul dintre mai
muli parametri pentru a lua n considerare (ca o func ie a algoritmului).
Recomandarea unei organizaii oficiale poate fi un factor de ncredere. Cel
puin soluia ar fi fost aprobat de ctre CISO.

08C06-07

Mecanismele de securitate protejeaz mpotriva infrac iunilor sau a


alterrii datelor?

08C06-08

Deconectarea sau bypass-ul mecanismelor de securitate sunt detectate


imediat i a semnalate unei echipe responsabile ?

08C06-09

Echipa este disponibil 24 de ore pe zi i capabil s intervin imediat?

08C06-10

Exist o procedur care detaliaz aciunile ce trebuie efectuate n caz de


eroare sau de alert?

08C07

Securitatea fizic a mediilor de tranziie

08C07-01

Este transferul mediilor ntre site-uri (intern sau extern) strict controlat
(proceduri specifice, urmrire sau containere securizate etc.)?

08C07-02

Exist dispozitive media marcate ca anonime, fr referin la o


clasificare, n timp c sunt n tranzit?

08C07-03

Orice anormalitate sau pierdere de date este raportat imediat?

08C07-04

Orice anormalitate sau pierdere de date est investigat?

08C07-05

Sunt controlate regulat transferurile de date media?

08D

Continuitatea service-ului

08D01

Organizarea mentenanei hardware (pentru echipamentele


operaionale)

08D01-01

Exist pentru toate echipamentele un contract de mentenan ?

08D01-02

Exist contracte specifice de mentenan pentru toate componentele


hardware care prevd o disponibilitate ridicat i pentru care nlocuirea se
face fr ntrzieri?

08D01-03

Contractele specific ntrzieri maxime nainte de interven ie i


compatibilitate cu cerinele de disponibilitate?

08D01-04

Detaliile din contracte prezint timpul i zilele de interven ii (de exemplu 24


ore/ 7 zile) compatibil cu cerinele de disponibilitate?

08D01-05

Contractele stipuleaz condiiile de escalare n func ie de dificultate?

08D01-06

Contractele au clauze pentru cazurile n care este dep i timpul stipulat


(penaliti, nlocuirea componentelor hardware, etc)? Este de dorit ca
aceste clauze s fie generale i aplicabile tuturor cazurilor indiferent de
motiv (dificulti tehnice, greve ale angajailor, etc.)?

08D01-07

Contractele de intretinere anticipeaza inlocuirea completa a


echipamentului in cazul in care o paguba importanta nu ar fi luata in
considerare in restaurare?

08D01-08

Contractele de intretinere sunt alegerea subcontractantilor si a


procedurilor asociate intretinerii in reglementarile de audit?

08D02

Organizarea softurilor de intretinere ( sisteme, aplicatii )

08D02-01

Sunt contracte de intretinere pentru toate produsele software


dobandite( sisteme software, middleware si aplicatii)?

08D02-02

Furnizorii ofera un centru de suport tehnic software care garanteaza o


asistenta telefonica rapida si competenta?

08D02-03

Contractele de intretinere software anticipeaza lansarea periodica de


versiuni nou luand in considerare toate corectiile aplicabile produsului?

Exista contracte specifice de ntreinere pentru produse software (sisteme,


middleware i aplicaii), care necesit ntrzieri corective pe care
intretinerea standard nu o poate acoperi?
08D02-04

08D02-05

Aceste contracte detaliaza interveniile intarziate maxime specifice,


compatibile cu cerinele de disponibilitate?

08D02-06

Contractele detaliaza intervalul de timp necesar si zilele de interventie


( 24h /7 zile ) compatibile cu cerinele de disponibilitate?

08D02-07

Contractele stipuleaza conditiile de crestere in caz de dificultate?


Aceste contracte specifica clauze specifice atunci cand un sistem
depaseste duratele specifice stabilite ( penalitati, inlocuirea hardware,
etc)?
Este de dorit ca aceste clauze sa fie generale si sa se aplice in toate
cazurile indiferent de motive ( dificultati tehnice, greva personalului, etc)

08D02-08

08D02-09

Sunt contractele de ntreinere, alegerea subcontractan ilor i a


procedurilor de ntreinere asociate supuse auditului periodic?

08D03

Procedurile de recuperare i de aplicare a planurilor n urma


incidentelor n timpul funcionrii

08D03-01

A fost stabilit o list, pentru toate aplica iile, a incidentelor care ar putea
aprea n timpul produciei i, pentru fiecare dintre acestea, gravitatea
consecinelor posibile?
Consecine critice se pot referi la coerena datelor i continuitatea
serviciului.

08D03-02

Pentru fiecare incident n timpul funcionrii au fost identificate mijloacele


corespunztoare de diagnosticare?

08D03-03

Pentru fiecare incident n timpul funcionrii, are o solu ie a fost stabilit,


precum i operaiunile de a efectua de ctre personalul de operare de
sistem?

08D03-04

Pentru fiecare incident posibil n timpul func ionrii, au o ntrziere de


rezoluie acceptabil i o procedur de cresterea care fost determinat n
cazul defectrii sau intarzierii aciunilor corective anticipate?

08D03-05

Sunt mijloacele de diagnostic, necesare personalului de func ionare a


sistemului, protejat mpotriva oricrei posibile inhibare sau modificrii
neautorizate?

08D03-06

Sunt mijloacele de corecie, necesare personalul de operare a sistemului,


pentru a rezolva un incident de funcionare critic protejat mpotriva oricrei
posibile inhibare sau modificrii neautorizate?

08D03-07

Exist teste regulate n ceea ce privete eficien a procedurilor i facilitatile


care ancheteaza i diagnosticheaza operarea aplica iilor?

08D03-08

Exita o verificarea periodica in ceea ce priveste actualizarea documentatiei


corespunzatoare?

08D03-09

Exista teste periodice facute cu privire la capacitatea efectiva de a


restaura date si de a reporni aplicatia dupa un incident desfasurat in timpul
operatiuni?

08D03-10

Pentru recuperarea datelor criptate, gestionarea cheilor prevede


recuperarea cheilor pierdute sau alterate?

08D04

Backup de configuraii software (sistem, aplica ii i parametrii de


configurare)

08D04-01

A fost stabilit un plan de rezerv, care sa acopere toate programele i sa


defineasca toate obiectele pentru a salva i frecventa backup -urile?

08D04-02

Planul acoper, de asemenea, parametrii de configurare middleware si


sistemul pentru a salva ?

08D04-03

Planul acopera, de asemenea, parametrii aplicatiei pentru a salva?

08D04-04

Exista un plan pus n aplicare prin rutine automate de produc ie?

08D04-05

Exist teste regulate pentru copiile de rezerv ale programelor (cod surs
i / sau executabilele) s permit restabilirea efectiv a mediului de
producie n orice moment?
Aceste teste ar trebui s ia n considerare toate copiile de rezerv
(inclusiv documentaia i fiierele parametri) ale elementelor legitime.

08D04-06

Sunt rutine de producie care asigur backup-uri protejate mpotriva


modificrilor ilicite sau nejustificate, prin mecanisme sigure?
Astfel de mecanisme ar putea fi sigiliu electronic sau orice alt sistem de
detectare a modificarilor echivalente.

08D04-07

Exista teste facute pentru readaptabilitatea backup-urilor?

08D04-08

Sunt toate planurile i procedurile software de backup supuse unui audit


regulat?

08D05

Copie de siguranta a datelor aplicatiei

08D05-01

A fost efectuat un studiu preliminar, coroborat cu utilizatorii, pentru a


identifica scenariile in care copiile de rezerv trebuie s fie capabil s
acopere?

08D05-02

A fost o analiz efectuat cu utilizatorii, n scopul de a defini pentru fiecare


fiier timpul maxim acceptabil ntre dou backup-uri?
Aceste studii trebuie s se bazeze pe capacitatea de a reconstrui
pierderea informaiilor i permit s se defineasc ciclul necesar de
rezerv.

08D05-03

Au fost realizate studii de sincronizare necesare ntre backup-uri legate


pentru toate platformele, n scopul de a asigura buna func ionare a
cererilor i coerena reluate a datelor necesare pentru aceast reluare?

08D05-04

Din studiile de mai sus, s-a facut un backup pentru proceduri care sa
cuprinda, pentru fiecare clas de fisiere, frecventa, detaliile de constituire
si sincronizarile necesare?

08D05-05

Backup-ul integreaza un plan de control, subliniind diferitele puncte de


control (dimensiunea fisierelor, durata etc) si frecventa acestora?

08D05-06

Planul de control mentioneaza actiunile ce trebuie realizate in cazul unui


incident sau a unei anomalii?

08D05-07

Este planul de backup actualizat de fiecare data cand mediul operatiunii


se schimba?
Actualizari ar trebui sa apara, in special, la momentul adaugarii sau
modificarii cererilor

08D05-08

Planul de rezerva a fost tradus in rutine operationale automate?

08D05-09

Sunt efectuate controale regulate pentru a se asigura ca o


pornirea/repornirea este posibila din backup-urile facute (adica un test
complet care verifica functionalitatea si absenta sincronizarii sau a
probleme de coerenta)?

08D05-10

Sunt rutine de producie pe care copii de rezerv efect sub control strict n
ceea ce privete modificarea ilicit sau nejustificat?
Un control strict necesit un control al accesului consolidat pentru a
modifica aceste rutine, o exploatare forestier i un audit al tuturor
modificrilor i / sau un control al integritii prin sigilare electronic a
rutine operaionale automate.

08D05-11

Face salvarea datelor i procedurile de reinere ofer garan ii de


respectare a reglementrilor i a angajamentelor din partea organiza iei n
ceea ce privete confidenialitatea i integritatea?

08D05-12

Mai sunt teste regulate pentru a reciti copii de siguran ale datelor
aplicaiei?

08D05-13

Sunt mai multe generaii de fiiere pstrate n mod sistematic, n scopul de


a proteja mpotriva oricror pierderi sau indescifrabil prin organizarea, de
exemplu, rotaia mediilor de stocare de rezerv?

08D05-14

Sunt toate planurile i procedurile de backup de date auditate n mod


regulat?

08D06

Planificarea de recuperare n caz de dezastru pentru opera iunile IT

08D06-01

Au toate scenariile care ar putea avea un impact asupra infrastructurii i


serviciilor IT a fost luate n considerare i, pentru fiecare scenariu,
consecinele n ceea ce privete indisponibilitate pentru utilizatorii
serviciului?

08D06-02

Pentru fiecare scenariu, i n acord cu utilizatorii, au o list i programul de


reluare a serviciului a fost definit?
Pierderea de informaii, mijloace pentru a le reconstrui i trebuie s fie
luate n considerare proceduri operaionale temporare. "

08D06-03

o soluie de recuperare de activitate a fost definit i pus n aplicare


pentru a rezolva fiecare scenariu identificat mai sus, n conformitate cu
cerinele utilizatorului?

08D06-04

Sunt resursele tehnice, organizatorice i umane suficiente pentru a


rspunde cerinelor organizaiei pentru continuitatea IT?
Acest lucru nseamn a fi capabil de a corecta deficien ele de personal "

08D06-05

Sunt resursele tehnice, organizatorice i umane educate pentru a


rspunde cerinelor organizaiei pentru continuitatea IT?
Acest lucru implic faptul de a instrui n mod adecvat tot personalul n
cauz.

08D06-06

Sunt toate aceste soluii descrise n detaliu n planurile de recuperare n


cazul dezastrelor, inclusiv condiiile de declanare a planului, ac iunile de a
executa, prioritile, actorii s mobilizeze i s datele de contact ale
acestora?

08D06-07

Sunt aceste planuri testate cel puin o dat pe an?

08D06-08

Sunt teste de mai sus n msur s garanteze c capacitatea personalului


i sistemele de recuperare pot face fa, sub sarcin opera ional deplin,
serviciile minime IT cerute de utilizatori?
ncercrile necesare pentru a obine aceast garan ie sunt, de preferin ,
teste complete de scal ale fiecrei variante de scenariu, care implic to i
utilizatorii. Rezultatele testelor trebuie s fie nregistrate i analizate, n
scopul de a mbunti capacitatea organiza iei de a rspunde la situa iile
avute n vedere.

08D06-09

n cazul n care soluiile de recuperare includ livrarea de componente


hardware (care nu poate fi declanat n timpul ncercrilor), exist un
angajament contractual de ctre productor sau oricrei pr i ter e
relevante (Locatorului, broker, distribuitor) pentru a livra hardware-ul de
nlocuire n termene fixe i anticipate ca a declarat n planul de redresare?

08D06-10

Are indisponibilitatea sau defectarea instala iei de recuperare a fost luat


n considerare i are o soluie de nlocuire a fost definit i validat (al doilea
nivel de recuperare)?

08D06-11

A fost validat aceast soluie (a doua recuperare nivel)?

08D06-12

Este soluia de recuperare utilizabil pentru o durat nelimitat i, n cazul


n care nu, a fost stabilit o urmrire pe solu ia de nlocuire?

08D06-13

Sunt existena, pertinena i actualizarea planurilor de servicii IT de


recuperare controlate n mod regulat?

08D06-14

Este actualizarea procedurilor de mai sus n cadrul planului de redresare


care face obiectul auditului periodic?

08D07

protecie anti-virus pentru servere de producie

08D07-01

Au msurile care trebuie luate de ctre personalul IT a fost definit astfel


nct s previn, s detecteze i s corecteze eventualele atacuri ale
codului ruvoitor (virus, spyware, altele)?

08D07-02

Serverele de producie (inclusiv servere office i e-mail), protejate de antivirus sau software-ul de cod rauvoitoare?

08D07-03

Sunt mai multe programe antivirus (de la diferii editori) simultan de


operare pentru protecia serverelor de operare?

08D07-04

Sunt produse software antivirus actualizat n mod regulat i n mod


automat (zilnic)?

08D07-05

Este un abonament organizat cu un centru de raspuns de urgenta capabil


sa avertizeze si sa anticipeze atacurile mari de virus la scara pentru care
software-ul antivirus instalat nu este inca pana n prezent?

08D07-06

Exista o comisie de urgenta care poate sa fie implementata rapid, in caz


de alerta sau de detectare a infectiei virale?

08D07-07

Activarea si actualizarea software-ului antivirus pe serverele fac obiectul


unui audit regulat?

08D08

Managementul sistemelor critice (in ceea ce priveste continuitatea


intretinerii)

08D08-01

Au fost analizate consecintele disparitiei unui furnizor (in caz de esec, o


eroare sau cerinta schimbarii) si a fost stabilita o lista de sisteme critice?
Acest lucru este valabil pentru furnizorii de hardware, software sau de
servicii.

08D08-02

Pentru toate sistemele critice, a fost analizata o solutie de corectie pentru


a face fata esecului sau disparitiei unui furnizor (lot de documentatie de
intretinere sau codul sursa cu o terta parte de incredere, de inlocuire a
hardware prin solutii standard de pe piata etc.)?

08D08-03

Exista o garantie ca solutiile corective ar putea fi rezolvate in termen de


intarzieri compatibile cu continuitatea activitatii si acceptata de catre
utilizatori?

08D08-04

Au fost luate in considerare si alte variante in cazul in care s-ar putea


intampina dificultati neprevazute?

08D08-05

Exista o revizuire periodica a sistemelor critice precum si solutii corective?

08D09

Planuri de urgenta pentru backup-uri (regres)

08D09-01

Backup-urile software si fisierele de configurare care permit restaurarea


mediului de productie sunt salvate intr-o locatie in afara spatiilor (backup
de recurs)?

08D09-02

Toate datele pentru backup sunt salvate in afara spatiilor (backup de


recurs)?

08D09-03

Se efectueaza teste regulate pentru a verifica ca pot fi citite copiile de


rezerva?

08D10

Mentinerea conturilor de utilizator

08D10-01

A fost definita intarzierea maxima acceptabila in cazul restituirii drepturilor


pentru utilizatori ca urmare a blocarii in mod accidental sau intentionat a
conturilor (aplicatie, sistem, retea)?

08D10-02

Procedura care trebuie urmata in cazul in care un cont este blocat este
definita?

08D10-03

Procedura este cunoscuta utilizatorilor?

08D10-04

Procedura respecta intarzierea maxima acceptabila in cazul blocarii mai


multor conturi? (refuzul de prestare a serviciului)

08D10-05

Exista permisa posibilitatea blocarii simultane a multor conturi?

08D10-06

Exista o procedura care trebuie urmata in cazul in care mai multe conturi
au fost blocate simultan?

08D10-07

Procedurile de conservare ale conturilor de utilizatori sunt auditate in mod


regulat?

08E

Gestionarea si tratarea incidentelor

08E01

Detectare online si rezolvarea evenimentelor anormale legate de IT si


a incidentelor

08E01-01

A fost facuta o analiza detaliata pe evenimentele sau succesiunea de


evenimente care pot dezvalui comportamente anormale sau actiuni ilicite,
deci, in consecinta, exista indicatori de monitorizare specifici sau au fost
identificate punctele de control?

08E01-02

Este sistemul echipat cu un sistem automat de monitorizare in timp real, in


cazul unei acumulari de evenimente anormale (de exemplu, incercari
nereusite de conectare de pe porturi nedeschise)?

08E01-03

Exista o aplicatie capabila sa analizeze individual anomaliile date in urma


diagnosticarii si sa declanaeze o alerta personalului operational?

08E01-04

Exista, in cadrul personalului operational, o echipa sau anumite persoane


disponibile 24 de ore pe zi, capabili sa rezolve situatiile in cazul unei alerte
dupa ce aplicatia a detectat o anomalie?

08E01-05

A fost definit, dupa fiecare caz de alerta, timpul de raspuns asteptat de la


echipa de supraveghere i nivelul corespunzator al personalului pentru a
satisface aceste asteptari?

08E01-06

Parametri definiti pentru alarma sunt protejati in mod corespunzator


(drepturi de acces restrictionat si autentificare) impotriva modificarilor
ilicite?

08E01-07

Inchiderea sistemului de alarma declanseaza o alerta catre echipa de


supraveghere?

08E01-08

Elementele care au permis detectarea unei anomalii sau a unui incident


sunt arhivate (de pe disc, caseta, DON etc)?

08E01-09

Procedurile de detectare a anomaliilor si disponibilitatea supravegherii


echipei fac obiectul auditului periodic?

08E02

Gestionarea offline a inregistrarilor si a jurnalelor

08E02-01

A fost efectuata o analiza detaliata a evenimentelor sau succesiunea


evenimentelor care pot avea impact asupra securitatii (refuzarea
conexiunii, reconfigurari, modificari de performanta, accesul la date sau
unelte etc)?

08E02-02

Sunt inregistrate aceste evenimente, precum si parametri utili pentru


analizarea ulterioara a acestora?

08E02-03

Exista o aplicatie capabila sa analizeze aceste inregistrari, precum si sa


masoare performanta si sa deduca statistici, tablou de bord, diagnosticare
anomalie etc., in vederea examinarii de catre o echipa competenta?

08E02-04

Structura responsabila de analiza acestor rezumate (sau jurnale de


incidente si evenimente legate de securitate) este obligata sa faca acest
lucru la intervale regulate de timp si are suficienta disponibilitate?

08E02-05

Raspunsul asteptat de la echipa de supraveghere a fost definit pentru


fiecare caz de alerta? Nivelul de disponibilitate este suficient pentru a
indeplini aceste asteptari?

08E02-06

Parametri care definesc elementele pentru inregistrare precum si


rezumatele sunt afectate de aceste elemente protejate strict impotriva
schimbarii neautorizate (drepturi limitate si autentificare puternica)?

08E02-07

Este vreo inhibitie a sistemului de inregistrare si de prelucrare semnalata


imediat de catre echipa de supraveghere?

08E02-08

Inregistrarile si rezumatul analizelor sunt pastrate pentru o perioada lunga


de timp?

08E02-09

Procedurile de inregistrare, prelucrarea si analiza inregistrarilor,


rezumatele, precum i disponibilitatea analizei corective reprezinta
obiectul echipei auditului periodic?

08E03

Managementul de sistem si de aplicare a incidentelor

08E03-01

Exista un call center care sa inregistreze toate incidentele?

08E03-02

Exista un call center 24 ore care sa acorde asistenta telefonica?

08E03-03

Exista un sistem care sa gestioneze incidentele?

08E03-04

Sistemul centralizeaza incidentele detectate atat de personalul operational


cat si de catre utilizatori?

08E03-05

Sistemul furnizeaza o urmarire sistematica pentru actiunile necesare?

08E03-06

Acest sistem include o clasificare a incidentelor prin generarea de statistici


si tablouri de bord destinate utilizarii de catre Ofiterul de securitate al
informatiei?

08E03-07

Este sistemul de gestionare a incidentelor controlat strict in ceea ce


priveste modificarea neautorizata sau accidentala?
Controlul strict necesita o protectie consolidata pentru a modifica
inregistrarile si reprezinta o pista de audit pentru toate modificarile
realizate sau chiar o protectie prin sigiliu electronic, pentru toate
modificarile inregistrate.

08E03-08

Este fiecare incident major asupra sistemelor sau a aplica iilor obiectul
unei monitorizri specifice (natura si descriere, prioritate, solutie tehnica,
analiza progresului, de asteptat rezolutie de plumb timp etc)?

08F

Controlul drepturilor administrative

08F01

Controlul drepturilor de acces administrativ acordate de sisteme

08F01-01

Au fost definite, in cadrul personalului operatiunilor de IT, profilurile


corespunzatoare fiecarui tip de activitate (administrare de sistem,
administrare de echipamente de securitate, monitorizare sistem,
gestionare de stocare a datelor si functii de backup etc)?

08F01-02

Au fost definite drepturile si privilegiile necesare pentru fiecare profil?

08F01-03

Procesul de atriburie a drepturilor speciale necesita autorizare formala de


gestionare (sau managerul responsabil pentru furnizorii externi de servicii)
la un nivel suficient de ridicat?

08F01-04

Este procesul de atribuire a drepturilor speciale alocat numai in raport cu


profilul titularului?

08F01-05

Procesul de garantare (modificare sau revocare) a drepturilor speciale


sunt controlate individual?
Un control strict necesita o recunoastere formala a semnaturii (electronica
sau nu) ale solicitantului, existenta unui control strict al accesului, in scopul
atribuirii sau modificarii drepturilor si care sa fie conectat la orice
modificare a drepturilor speciale si auditate

08F01-06

Exista un proces sistematic de eliminare ale drepturilor speciale la


momentul plecarii sau schimbarea rolului personalului operatiunilor de IT?

08F01-07

Exista un audit regulat, cel putin o data pe an, al tuturor drepturilor


speciale atribuite?

08F02

Autentificarea administratorilor si a personalului operational

08F02-01

Este protocolul de autentificare utilizat pentru administratorii sau detinatorii


de drepturi speciale considerate a fi sigure?
Un protocol de autentificare este considerat sigur in cazul in care nu este
susceptibil de a fi intrerupt de un dispozitiv de ascultare in retea sau
inoperabil de specialisti (in special prin parola de crack). O astfel de
securitate utilizeaza de obicei metode criptografice.

08F02-02

Sunt regulile, de exemplu, n cazul parolelor, considerate a fi foarte stricte?


Regulile stricte impun utilizarea unor parole netriviale testate, folosind un
amestec de diferite tipuri de caractere care sa aiba o lungime rezonabila
(zece caractere). Este de dorit ca aceste norme sa fi fost aprobate de
catre ofiterul de securitate al informatiilor

08F02-03

Exista un control consecvent al drepturilor administratorului, al contextului


sau, precum si al caracterului adecvat al acestui context, cu accesul
solicitat, conform regulilor formale de control ale accesului?

08F02-04

Sunt parametri de autentificare sub un control strict?


Un control strict impune ca lista de oameni capabili sa schimbe regulile
de autentificare, acreditarile in sine, precum si normele de supraveghere
ale tentativelor de conectare sa fie limitata, existand un control al
accesului consolidat pentru a putea modifica aceste drepturi si ca orice
modificare sa fie inregistrata si auditata si sa existe un audit general al
tuturor parametrilor de autentificare cel putin o data pe an.

08F02-05

Sunt procese care sa garanteze autentificarea sub un control strict?


Un control strict impune ca software-ul utilizat sa fi fost validat si sa fi fost
supus unui test regulat pentru integritate (sigiliu), precum si faptul ca se
efectueaza un audit al procedurilor si al proceselor de autentificare cel
putin o data pe an.

08F02-06

Exista un audit periodic al profilurilor privilegiate acordate efectiv?

08F02-07

Exista un audit periodic al procedurilor de acordare a drepturilor


privilegiate, precum i al parametrilor de securitate alocati pentru
protejarea profilurilor si a drepturilor?

08F03

Supravegherea aciunilor administratorilor sistemului

08F03-01

A fost efectuata o analiza detaliata a evenimentelor si a operatiunilor


efectuate cu drepturi administrative care pot avea un impact potential
asupra securitatii sistemului (configurarea sistemelor de securitate, acces
la informatii sensibile, utilizarea de instrumente sensibile, descarcarea sau
modificarea instrumentelor administrative etc?)

08F03-02

Aceste evenimente si parametri sunt inregistrati pentru analiza ulterioar a


acestora?

08F03-03

Exist un sistem capabil sa detecteze orice modificare sau stergere a unei


inregistrari anterioare si sa declanseze imediat o alarma unui manager?

08F03-04

Exista un rezumat al acestor evidene care sa permita conducerii sa


detecteze un comportament necorespunzator?

08F03-05

Exista un sistem care sa permita detectarea oricarei modificari a


parametrilor de inregistrare pentru a declansa imediat o alarma unui
manager?

08F03-06

Se declanseaza o alarma la un manager in momentul inregistrarii si


prelucrarii evenimentelor inregistrate in sistem?

08F03-07

Toate inregistrarile sau sinteza analizelor sunt protejate impotriva fasificarii


sau distrugerii?

08F03-08

Toate inregistrarile sau rezumatul analizelor sunt pastrate pentru o


perioada lunga de timp?

08F03-09

Procedurile care inregistreaza si proceseaza operatiuni privilegiate sunt


auditate in mod regulat?

08G

Procedurile de audit si de control in raport cu sistemele de informatii

08G01

Functionarea sistemelor de control de audit

08G01-01

Managementul a adoptat cerintele si procedurile impuse pentru auditarea


sistemelor informatice?

08G01-02

Regulile legate de audit al sistemului de informatii, procedurile relevante si


responsabilitatile asociate sunt definite si documentate?
Restrictiile se refera la tipul de acces la date si aplicatii, controalele
autorizate si procesarea, stergerea datelor sensibile obtinute, anumite
operatiuni de pavilion, ... si responsabilizarea persoanelor care efectueaza
auditul.

08G01-03

Auditorii sunt independenti de activitatile in cauza?

08G01-04

Operatiunile de audit sunt efectuate pentru datele critice inregistrate?

08G02

Protecia uneltelor i a rezultatelor auditului

08G02-01

Sunt instrumentele de audit protejate pentru a evita orice utilizare


neautorizata sau rauvoitoare?
Acest lucru este valabil in special pentru testarea accesului neautorizat si
evaluarile vulnerabilitatii.

08G02-02

Rezultatele auditului sunt protejate impotriva modificarilor sau divulgarilor?

08G02-03

Sunt delimitate activitatile auditorilor?


O astfel de delimitare este recomandata in special in cazu auditorii
externi

08H

Gestionarea arhivelor legate de IT

08H01

Organizarea managementului pentru arhivarea IT

08H01-01

Exista o organizatie care se ocupa de arhivarea fisierelor informatice care


necesita sa fie pastrate pe o perioada lunga de timp?

08H01-02

Exista o procedura care sa ii oblige pe utilizatori sa foloseasca serviciul de


arhivare pentru toate fisierele care necesita pastrarea pentru o perioada
lunga de timp?

08H01-03

O lista de conditii a fost stabilita si aprobata de catre fiecare proprietar de


date, fiind necesara in ceea ce priveste normele de arhivare?

08H01-04

Cerinele pentru arhivare extern (legala i reglementata) si interna sunt


definite i abordate de ctre entitatea care detine datele si acceptate de
managementul de top la cel mai nalt nivel?
Consecintele (juridice, financiare, imagine) de neconformitate (partiala
sau totala) a cerintelor de arhivare trebuie sa fie aprobate de catre
consiliul de manageri.

08H01-05

Contractele de servicii sunt negociate cu departamentul IT, considerat ca


fiind agent doar pentru date?
In fiecare acord trebuie s se menioneze cerin ele: con inutul arhivei,
durata de retenie, durabilitate, capacitatea de a urmari, imputabilitatea,
nepublicarea, procedurile i ntrzierea de eliminare, constrangeri
administrative etc. O separare clara trebuie sa fie stabilita intre continutul
arhivelor, sub responsabilitatea proprietarului de date, si recipientul
(media, discuri, casete, cartue) sub responsabilitatea departamentului IT.

08H01-06

Resursele necesare pentru arhivarea datelor sunt cunoscute si finantate


pe termen mai lung?

08H01-07

Exista teste de lizibilitate periodice ale arhivelor?

08H01-08

Managementul documenteaza si accepta posibilele modificari care rezulta


in urma evolutiei tehnologice sau de reglementare, care ar putea modifica
continutul sau recipientele din arhive?
Aceste evolutii nu pot fi evitate pe termen lung i toate reglementarile
externe trebuie sa fie respectate pentru a garanta conformitatea datelor cu
cele originale.

08H01-09

Sistemele hardware si software pentru prelucrarea arhivelor sunt


controlate periodic?

08H01-10

Exista un control regulat al procedurilor stabilitate pentru arhivarea,


precum si pentru orice abatere legata de proprietarii de date? Controlele
trebuie facute, de asemenea, si pentru eliminarea posibilitatilor de frauda
care implica persoanele responsabile cu operatiunile, precum si a celor
care ar putea avea acces la continut sau la recipient.

08H01-11

Procedurile referitoare la politica de arhivare sunt auditate in mod regulat?

08H02

Accesul managementului la arhivele IT

08H02-01

Conducerea a specificat conditiile si procedurile care trebuie urmate


pentru a avea acces la arhive?

08H02-02

Fiecare arhiva sau set de arhive are un proprietar desemnat?

08H02-03

Cererile pentru extrasele din arhive sunt acceptate doar de proprietarul


desemnat?

08H02-04

Autentificarea este o conditie de la proprietar?

08H02-05

Verificarea autentificarii este considerata a fi sigura?

08H02-06

Avand in vedere faptul ca utilizatorii nu au acces la arhive, departamentul


de arhiva pastreaza intotdeauna versiunea originala?

08H02-07

Accesul personalului la arhive se face printr-o autentificare sigura?

08H02-08

Fiecare accesare este inregistrata intr-un mod singur?

08H02-09

Transferul unei arhive sau a unei copii a solicitantului este efectuat ntr-un
mod sigur?

08H02-10

Conditiile de acces la arhivele si sistemele de securitate asociate sunt


supuse controlului periodic?

08H03

Managementul IT de siguranta a arhivelor

08H03-01

Locatiile de depozitare ale arhivelor sunt echipate cu detectoare adecvate


pentru incendii, precum si sisteme de stingere sau de detectare a
scurgerilor de apa si de evacuare?

08H03-02

Locatiile de depozitare ale arhivelor sunt echipate cu sisteme de control al


accesului si cu alarme?

08H03-03

Locatile sunt sunt depozitate arhivele media sunt sub supraveghere video
atunci cand nu sunt ocupate?

08H03-04

Locatile sunt sunt depozitate arhivele media sunt sub supraveghere video
permanenta?

08H03-05

Arhivele media sunt marcate fara a face referire la continut?

08H03-06

Tabelele sunt utilizate pentru a asocia continutul unei arhive media


inaccesibile personalului care gestioneaza arhivele media?

08H03-07

Exista o copie de siguranta pentru aceste tabele?

08H03-08

Oprirea sau intreruperea sistemelor de siguranta (foc, apa, punctul de


control, ssteme de detectare a intruziunilor) provoaca declansarea alarmei
de la un centru de monitorizare pentru interventie rapida?

08H03-09

Conditiile de depozitare pentru arhivele si sistemele de siguranta asociate


sunt auditate in mod regulat?

variant
R-V3

R-V4

Max

Min

Typ

E1

E2

E2

E3

E3

E2

E2

E2

R1

ISO 27002 Comentarii

2/9/2001

R1

C1

E1

E2

E2

5/11/2004

E3

5/11/2004

E2

5/11/2004

E3

5/11/2004

E3

5/11/2004

C1

E1

1/10/2002

E2

E2

9.2.1; 12.5.1

E2

12.4.1; 12.5.1

E2

12.4.1; 10.3.2

E2

12.4.1; 10.3.2

2
2

E3

E3

E3

3/10/2002

E3

11.4.4; 10.3.2

E3

11.4.4; 10.3.2

E2

3/10/2002

R1

4/12/2001

3/10/2001

E3

12.4.1; 6.1.4

E3

C1

E2

E2

E3

E3

12.4.1; 6.1.4

2/9/2004

E3

C1

E1

9.2.4; 9.2.6

E2

9.2.4; 9.2.6

E2

E3

C1

2 E2

4/11/2004

2 E2

4/11/2004

E3

4/11/2004

E3

E3

2 E3

2 E3

E2

R1

C1

4
4

E1
3

E1

4/11/2004

E1

E2

E2

E3

E2

E2

E2

C1

E2

1/10/2001

E2

1/10/2001

E2

1/10/2001

E2

1/10/2001

R1

C1

E1

2/10/2001

E2

2/10/2001

C1

2/10/2002

E2

2/10/2002

E2

2/10/2002

E3

2/10/2003

E1

E2

4/11/2004

E2

10.7.4; 12.6.1

E3

10/10/2006

R1

7/10/2004

E3

2/15/2002

R1

2/15/2002

R1

C1

2/15/2002

E1

E2

E2

E2

10.7.4; 12.6.1

R1

7/10/2004

E3

10.7.4; 15.2.2

R1

2/15/2002

R1

2/15/2002

E1

4/12/2001

R1

R2

R2

E2

R2

E3

C1

E1

7/10/2001

E2

7/10/2001

E2

7/10/2001

E2

10.7.1; 10.7.2

E3

10.7.1; 9.2.6

E2

E3

R1

C1

E1

E2

C1

E1

3 E2

3 E2

3 E3

R1

C1

R2

R2

E2

E2

E2

R1

C1

E1

E2

E2

E3

C2

C1

C1

7/10/2001

E2

8/10/2003

E2

E3

E2

E3

R2

E1

E1

E2

E3

3 E3

E2

R1

R1

R1

C1

3/12/2001

E1

E2

E2

E2

C1

E1

E2

E2

E3

R1

E3

E3

8/10/2003

C1

E1

E2

E2

2/9/2004

E2

E2

E3

R1

E3

C1

E1

E2

E2

E3

R1

R2

C1

C2

C1

E3

3/12/2002

E1

5/10/2001

E2

5/10/2001

E2

5/10/2001

E2

5/10/2001

E2

10.5.1; 14.1.5

R1

5/10/2001

R2

5/10/2001

C1

E1

5/10/2001

E1

5/10/2001

E1

5/10/2001

E2

5/10/2001

E3

5/10/2001

E3

5/10/2001

E2

5/10/2001

E2

5/10/2001

E2

10.5.1; 14.1.5

R1

5/10/2001

E3

5/10/2001

E2

5/10/2001

E3

5/10/2001

1
2

4
2

C1

E1

1/14/2003

E2

1/14/2003

2 E1

1/14/2003

E2

1/14/2003

E2

1/14/2003

E1

1/14/2003

E2

1/14/2005

E2

1/14/2005

E2

E2

E3

E3

C1

C1

E2

4/10/2001

E1

4/10/2001

E2

E2

E3

E2

C1

E2

E2

E2

E3

C1

E1

E1

E2

E1

E2

E2

E2

E3

E3

C1

E2

E3

E3

E3

E3

R1

R1

E2

C1

E1

E1

3 E2

E2

E3

R1

R1

E2

C1

E1

E2

E2

E2

E3

E3

R1

E2

E1

10.1.3; 11.2.2

E1

1/10/2003

E2

1/10/2003

E2

1/10/2003

3 R1

2/11/2002

E2

2/11/2004

C1

2/11/2004

2
1

4 E2

E2

E2

R1

R1

C1

C1

2/11/2004

E2

10.10.4;
10.6.1

E2

10.10.4;
10.6.1

E3

10/10/2004

3 E3

10/10/2004

E3

10/10/2004

E3

10/10/2004

E2

10/10/2004

E2

10/10/2004

C1

10/10/2004

E2

3/15/2001

E2

3/15/2001

E2

3/15/2001

E3

3/15/2001

E2

3/15/2002

E2

3/15/2002

E2

3/15/2002

E2

E2

E1

E1

13.2.3; 15.1.3

E2

1/15/2003

E2

1/15/2003

C1

E2
C1

C1

E2

E2

E2

E2

E3

3/15/2001

E3

E3

E3

E3

C1

E2

E2

E2

E2

E2

E2

E2

R1

C1