Documente Academic
Documente Profesional
Documente Cultură
Numar Intrebare
R-V1 R-V2 R-V3 R-V4
06A Securitatea procedurilor de operare
06A01 Securitatea in legatura cu personalul operational (salariati, furnizori sau furnizori de
servicii)
06A01-01 Exista o polita referitoare la securitate indreptata catre personalul care opereaza in retea,
acoperind toate aspectele securitatii informationale (confidentialitatea informatiilor,
disponibilitatea serviciilor si informatiilor, integritatea informatiilor si configurarilor, abilitatea de
a urmarii operatiilor, etc. )?
06A01-02 Este personalul care opereaza in retea obligat sa semneze o clauza contractuala prin care sa
ateste ca adera la clauzele politicii de securitate (indiferent de statut: personal permanent sau
temporar, studenti, etc.)?
06A01-03 Clauzele specifica in mod clar ca obligatia respectarii securitatii se aplica indiferent de suportul
informatiei (hartie, magneti, optic, etc.)?
06A01-04 Clauzele specifica in mod clar, daca este necesar si legal, faptul ca obligatia respectarii politicii
de securitate se aplica pe durata nedeterminata de timp?
Acestea se aplica in special clauzelor referitoare la confidentialitate, care ar trebui ( de cele
mai multe ori e chiar obligatoriu) sa continue dupa incheierea contractului, legand direct sau
indirect angajatul sau furnizorul de servicii sau partenerul de afaceri de companie.
06A01-05 Aceste clauze precizeaza clar ca personalul are obligatia de a nu tolera nicio actiune, venita
de la alte persoane, contrara cu regulile de securitate?
06A01-06 Semnarea acestor clauze reprezinta un angajament formal?
Pentru un angajament formal, personalul trebuie sa declare explicit ca prin semnarea
contractului a inteles si acceptat regulile de securitate
06A01-07 Toate aceste clauze de securitate sunt obligatori si pentru contractorii externi ce desfasoara
operatiuni in retea?
Contractorii trebuie sa se asigure ca personalul lor se logheaza individual si explicit in aceleasi
conditii ca si staful intern.
06A01-08 Exista un curs de pregatire obligatoriu si bine adaptat indreptat spre cei ce realizeaza
operatiunile in retea?
06A01-09 Acordurile de confidentialitate semnate de catre personal sunt pastrate in siguranta (cel putin
incuiate intr-un sertar)?
06A01-10 Acordurile de confidentialitate semnate de catre contractorii externi sunt pastrate in siguranta
(cel putin incuiate intr-un sertar)?
06A01-11 Exista un audit regulat, cel putin o data pe an, al aplicatiei, prin care sa se verifice procedurile
de logare ale personalului operational (angajati ai companiei sau prestatori de servicii)?
06A02-02 Deciziile de schimbare sunt bazate pe analize efectuate asupra capacitatii noilor echipamente
si sisteme pentru asigurarea rezistentei la volumul de munca, luandu-se in considerare o
previziune a evolutiei cererii?
06A02-03 Se tine cont de protectia fizica (access protejat, evitarea contactului unei persoane din exterior
cu echipamentul, eliminarea pericolelor fizice, conditii climatice favorabile, protectie antifulger,
protectie antipraf, etc.)?
06A02-04 Se efectueaza o evaluare, impreuna cu Birou de Securitate al Informatiilor, referitoare la
riscurile potentiale pe care le pot provoca in functionalitatea programelor achizitia sau
repararea unui soft sau al unui echipament?
06A02-05 Aceasta evaluare contine o analiza a riscurilor ce ar putea sa apara in urma schimbarilor
functionale?
06A02-06 Staff-ul operational a primit cursuri special concepute pentru a fi pregatiti in analiza riscurilor?
06A02-07 Staff-ul operational este ajutat cu sfaturi adecvate atunci cand au nevoie?
06A02-08 Masurile de securitate, de implementat pentru a preveni orice riscuri nou identificate, sunt
subiect pentru evaluare si control inainte de producerea noii versiuni?
06A02-09 Parametrii de securitate si regulile de configurare (stergea conturilor generice, schimbarea
parolelor generice, controlul accesului si parametrii de autentificare etc.) sunt detaliati si
actualizati si sunt revizuiti inainte de inceperea producerii unei noi versiuni?
06A02-10 Parametrii de securitate si regulile de configurare sunt controlate inainte ca o noua versiune sa
fie instalata si operata?
06A02-11 Este luat in considerare posibilul impact asupra continuitati activitatilor ca urmare a
schimbarilor de sistem?
06A02-12 Exista abateri de la analiza riscului prioritar si a controlului parametrilor de securitate avand ca
subiect strict procedurile ce necesita semnatura managerului senior?
06A02-13 Inceperea producerii unui echipament sau soft nou este posibila numai dupa consultarea staff-
ului operational?
06A02-14 Inceperea producerii unui echipament sau unui soft este posibila dupa un proces de validare si
autorizare?
06A02-15 Toate procedurile de control referitoare la inceperea producerii unui soft/echipament sunt
legate de audit?
06A03 Controlul operatiunilor de mentenanta
06A03-01 Se tine o evidenta a tuturor operatiilor de mentenanta?
06A03-02 Este obligatoriu ca toate operatiunile de mentenanta sa se termine cu o verificare sistematica
a tuturor parametrilor de securitate (cum au fost definite la inceputul producerii)
06A03-05 Este necesar refuzul semnat al unui manager in cazul in care procedurile mentionate
anterioare nu sunt verificate/indeplinite?
06A03-06 Totalitatea procedurilor de control referitoare la inceperea producerii unui soft/echipament
(dupa mentenanta) sunt supuse auditului?
06A04 Controlul mentenantei la distanta
06A04-01 In cazul mentenantei la distanta, exista o metoda securizata de autentificare a centrului de
mentenanta la distanta?
06A04-02 In cazul mentenantei la distanta, exista o metoda securizata de autentificare a personalului
care se ocupa de mentenanta?
06A04-03 Exista un set de proceduri care sa acopere atribuirea de drepturi de acces pentru un nou
membru al personalului de mentenante, revocarea drepturilor unui fost membru si atribuirea
de drepturi in situatii de urgenta?
06A04-04 Procedurile si protocoalele referitoare la schimbul si stocarea de date confidentiale au fost
aprobate de Biroul de Securitate a Informatiei sau de o organizatie specializata?
06A04-05 Utilizarea mentenantei la distanta necesita o intelegere anterioara (pentru fiecare utilizare) cu
personalul operativ (in functie de cererea furnizorului se specifica natura, data si ora
interventiei)?
06A04-06 Echipamentul alocat mentenantei la distanta este protejat impotriva inhibarii sau modificarii
conditiilor de acces, rezultand prin declansarea unei alarme?
06A04-07 Sunt auditate regulat toate procedurile de control pentru mentenanta la distanta?
06A05 Managementul Procedurilor de Operare a Operatiunilor in Retea
06A05-01 Procedurile referitoare la operatiile in retea rezulta dintr-un studiu efectuat pe toate cazurilor ce
ar trebui acoperite de respectivele proceduri (cazuri normale si accidente)?
06A07-03 Exista o verificare a integritatii sistemului dupa terminarea mentenantei? (fara virusi de tip
spyware sau Trojan, etc.)?
06A07-04 Exista o hotarare formala, semnata de un manager, necesara daca una din procedurile
amintite mai sus nu sunt observate?
06A07-05 Procedurile de mai sus sunt auditate regulat?
06A08 Managementul contractelor de Servicii de Retea
06A08-01 Nivelele de servicii au fost identificate pentru fiecare serviciu de retea?
Nivelele de servici sunt aplicate nu doar serviciilor prestate de utlizatori, dar si serviciilor cerute
si angajamentelor fiecarei parti incluse in contract.
06A08-02 Aceste nivele de servici au fost incluse in contractul semnat (indiferent daca serviciile sunt
asigurate intern sau de un furnizor extern)?
06A08-03 Managementul asigura aplicarea masurilor corespunzatoare?
06B01-01 Exista un document sau un set de documente sau o procedura operationala, derivata din
politicile de protectie a retelei si a regulilor de filtrare determinate, care sa detalieze toti
parametrii de securitate pentru un echipament de retea?
Totodata sa prezinte versiunea sistemului, facand posibila verificarea statutului actualizarilor.
06B01-02 Aceste documente cer stergerea conturilor predefinite sau generice si genereaza o lista
detaliata a acestor conturi?
06B01-03 Documentele sau procedurile impun o sincronizare bazata pe referinta de timp de incredere?
06B01-04 Acesti parametrii sunt setati si actualizati regulat in concordanta cu ultimele informatii si in
cooperare cu specialisti (auditori, consultari cu CERTs, etc)?
CERT : Computer Emergency Response Team. (Echipa Responsabila de Urgentele
Calculatoarelor)
06B01-05 Aceste documente (sau copii ale parametrilor instalati considerati referinte) sunt protejate prin
metode de securizare impotriva alterarilor ilicite?
06B01-06 Integritatea configurarii sistemelor este testata regulat impotriva configurarii teoretice asteptate
(cel putin saptamanal, daca nu la fiecare activare a sistemului)?
06B01-07 Auditurile regulate sunt bazate pe o lista a parametrilor specifici de securitate?
06B01-08 Auditurile regulate sunt bazate pe exceptii sau proceduri de indexare in caz de dificultati?
06C01-03 Au fost definite profiluri, ca parte a operatiunilor de retea, care sa corespunda fiecarui tip
activitate ( administrarea echipamentelor, administrarea echipamentelor de securitate,
managementul retelei, managementul copiilor de rezerva)?
06C01-04 Au fost definite drepturile administrative necesare pentru fiecare profil?
06C01-05 Procesul de atribuire a drepturilor administrative necesita autorizarea managementului ( sau a
managerului responsabil de furnizorii externi de servicii) de la un nivel suficient de inalt?
06C01-06 Procesul de atribuire a drepturilor administrative are efect unic in functie de profilul
detinatorului?
06C01-07 Procesul de acordare (modificare sau retragere) de drepturi speciale este strict controlat?
Un control strict necesita semnatura (electronica sau nu) a celui care cere drepturile, care sa
specifice ca va fi un control al accesului pentru a atribui sau modifica aceste drepturi si ca
orice modificare a drepturilor speciale va fi auditata.
06C01-08 Exista un proces sistematic de stergere a drepturilor administrative la data plecarii persoanei
din companie sau a modificarii rolului in cadrul acesteia?
06C01-09 Exista un audit regulat, cel putin o data pe an, al drepturilor administrative atribuite?
06C02 Autentificarea administratorilor si personalului operational
06C02-01 Procesul de autentificare al administratorilor de retea sau al detinatorilor de drepturi
administrative este considerat a fi securizat?
Un protocol de autentificare este considerat a fi securizat daca nu este susceptibil de a fi
descifrat de un instrument din retea sau de a deveni imposibil de operat din cauza unor
program ( programe de spart parole). O astfel de securitate foloseste deobicei metode
criptografice.
06C02-02 Aceste reguli sunt foarte stricte, spre exemplu in cazul parolelor?
Regulile stricte impun utilizarea unor parole testate, non-triviale si utilizarea unui mix de
caractere de diferite tipuri de o lungime rezonabila (10 sau mai multe caractere). Este de dorit
ca aceste reguli sa fie decise si aprobate inainte de CISO.
06C02-06 Sunt aceste procese care garanteaza autentificarea sub control strict?
Un control strict necesita ca soft-ul utilizat sa fie validat si sa treaca un test de integritate si ca
un audit anual sa existe pentru verificarea procedurilor si proceselor de autentificare.
06C03-02 Toate aceste evenimente sunt inregistrate intr-un fisier jurnal, la fel si parametrii necesari
analizei?
06C03-03 Exista un sistem care activeaza detectia modificarilor sau stergerilor inregistrarilor din trecut si
care sa declanseze o alarma catre manager?
06C03-04 Exista un sumar al acestor inregistrari care fac managementul sa detecteze comportamente
anormale?
06C03-05 Exista un sistem care detecteaza orice modificare a unor parametri de inregistrare si care
declanseaza imediat o alarma catre manager?
06C03-06 Inhibarea unei inregistrari in sistem si procesarea evenimentelor inregistrare declanseaza o
alarma managerilor?
06C03-07 Toate inregistrarile si analizele recapitulative sunt protejate impotriva distrugerii sau
modificarilor?
06C03-08 Toate intregistrarile si analizele recapitulative sunt pastrate pentru perioade lungi de timp?
06D02-02 Aceste rezultate de audit sunt protejate impotriva modificarilor sau divulgarii?
06D02-03 Utilitatea intrumentelor de audit si al rezultatelor este strict limitata?
Aceste limitari sunt recomandate pentru auditorii externi
P Max Min Typ ISO 27002 Comentarii
4 1 E1
4 E2
2 2 E3
4 2 E3
4 3 E3
4 3 E2
4 2 E2
2 E2
2 3 R1
2 3 R1
2 3 C1
2 2 E1 10.1.2
2 E2 10.3.1
2 E2 9.2.1
2 E2 12.4.1; 10.3.2
2 2 E2 12.4.1; 10.3.2
1 E3
4 E3
4 E2 10.3.2
4 E2 11.4.4; 10.3.2
4 E2 11.4.4; 10.3.2
2 E2 10.3.2
4 R1
4 2 E2 12.4.1; 6.1.4
2 3 E3 12.4.1; 6.1.4
2 3 C1
1 E2 9.2.4
4 2 E2
4 3 E3
4 3 E3
4 E3
2 3 C1
2 E2 11.4.4
4 2 E2 11.4.4
2 E3 11.4.4
4 E3
4 E2 11.4.4
2 2 R1
2 3 C1
4 E2 10.1.1
4 E2 10.1.1
4 E2 10.1.1
2 E2 10.1.1
2 R1
2 C1
4 C1 10.2.1
2 E2 10.2.1
4 E1 10.2.2
4 E2 10.2.2
2 E2 10.2.2
2 E3 10.2.3
4 E2 9.2.6; 9.2.4
4 E2 9.2.4
2 E2
4 E3
2 3 C1
4 E1 10.6.2
4 E2 10.6.2
2 C1 10.6.2
4 2 E1
4 2 E2
4 E2 10.10.6
2 3 E3
2 3 R1
4 2 E3 15.2.2
2 R1 10.1.4; 15.2.2
2 C1 10.1.4; 15.2.2
1 E2 10.1.4
4 2 E2
4 2 E2
4 3 R1
2 3 E2
4 E3
4 E3
4 E3
4 E3
2 3 C1
2 E1 11.1.1
2 E2
1 E1 10.1.3; 10.6.1;
11.2.2
4 2 E1 10.1.3; 10.6.1
4 2 E2 10.1.3
4 2 E2 10.1.3
4 2 3 R1 11.2.2
4 3 E2 11.2.4
1 2 C1 11.2.4
4 2 E2
2 2 E2
4 2 E2
4 E2
4 2 R1
4 3 R1
4 3 C1 11.2.4
4 3 C1
2 E2 10.10.4; 10.6.1
4 E2 10.10.4; 10.6.1
4 2 E3 10.10.4
4 3 E3 10.10.4
4 2 R1 10.10.4
4 3 E3 10.10.4
2 R1 10.10.4
2 R1 10.10.4
2 3 C1
4 E1
2 2 E2
2 2 E2
2 2 E3
4 2 E3
2 2 C1
4 E2 15.3.1
3 E2 15.3.1
2 E2 15.3.1
2 E3 15.3.1
2 E2 15.3.2
3 E2 15.3.2
3 E2 15.3.2
2 E2 15.3.2