Chestionar Audit: Operatiuni in retea 1 variant

Numar Intrebare
R-V1 R-V2 R-V3 R-V4
06A Securitatea procedurilor de operare
06A01 Securitatea in legatura cu personalul operational (salariati, furnizori sau furnizori de
servicii)
06A01-01 Exista o polita referitoare la securitate indreptata catre personalul care opereaza in retea,
acoperind toate aspectele securitatii informationale (confidentialitatea informatiilor,
disponibilitatea serviciilor si informatiilor, integritatea informatiilor si configurarilor, abilitatea de
a urmarii operatiilor, etc. )?

06A01-02 Este personalul care opereaza in retea obligat sa semneze o clauza contractuala prin care sa
ateste ca adera la clauzele politicii de securitate (indiferent de statut: personal permanent sau
temporar, studenti, etc.)?
06A01-03 Clauzele specifica in mod clar ca obligatia respectarii securitatii se aplica indiferent de suportul
informatiei (hartie, magneti, optic, etc.)?
06A01-04 Clauzele specifica in mod clar, daca este necesar si legal, faptul ca obligatia respectarii politicii
de securitate se aplica pe durata nedeterminata de timp?
Acestea se aplica in special clauzelor referitoare la confidentialitate, care ar trebui ( de cele
mai multe ori e chiar obligatoriu) sa continue dupa incheierea contractului, legand direct sau
indirect angajatul sau furnizorul de servicii sau partenerul de afaceri de companie.

06A01-05 Aceste clauze precizeaza clar ca personalul are obligatia de a nu tolera nicio actiune, venita
de la alte persoane, contrara cu regulile de securitate?
06A01-06 Semnarea acestor clauze reprezinta un angajament formal?
Pentru un angajament formal, personalul trebuie sa declare explicit ca prin semnarea
contractului a inteles si acceptat regulile de securitate
06A01-07 Toate aceste clauze de securitate sunt obligatori si pentru contractorii externi ce desfasoara
operatiuni in retea?
Contractorii trebuie sa se asigure ca personalul lor se logheaza individual si explicit in aceleasi
conditii ca si staful intern.

06A01-08 Exista un curs de pregatire obligatoriu si bine adaptat indreptat spre cei ce realizeaza
operatiunile in retea?
06A01-09 Acordurile de confidentialitate semnate de catre personal sunt pastrate in siguranta (cel putin
incuiate intr-un sertar)?
06A01-10 Acordurile de confidentialitate semnate de catre contractorii externi sunt pastrate in siguranta
(cel putin incuiate intr-un sertar)?
06A01-11 Exista un audit regulat, cel putin o data pe an, al aplicatiei, prin care sa se verifice procedurile
de logare ale personalului operational (angajati ai companiei sau prestatori de servicii)?

06A02 Controlul implementarii sau actualizarii de soft sau de hardware

06A02-01 Exista o procedura de control pentru schimbarea deciziei, echipament si evolutiile sistemului
(inregistrare, planificare, aprobare formala, comunicarea catre persoanele interesate, etc.)?

06A02-02 Deciziile de schimbare sunt bazate pe analize efectuate asupra capacitatii noilor echipamente
si sisteme pentru asigurarea rezistentei la volumul de munca, luandu-se in considerare o
previziune a evolutiei cererii?
06A02-03 Se tine cont de protectia fizica (access protejat, evitarea contactului unei persoane din exterior
cu echipamentul, eliminarea pericolelor fizice, conditii climatice favorabile, protectie antifulger,
protectie antipraf, etc.)?
06A02-04 Se efectueaza o evaluare, impreuna cu Birou de Securitate al Informatiilor, referitoare la
riscurile potentiale pe care le pot provoca in functionalitatea programelor achizitia sau
repararea unui soft sau al unui echipament?

06A02-05 Aceasta evaluare contine o analiza a riscurilor ce ar putea sa apara in urma schimbarilor
functionale?
06A02-06 Staff-ul operational a primit cursuri special concepute pentru a fi pregatiti in analiza riscurilor?

06A02-07 Staff-ul operational este ajutat cu sfaturi adecvate atunci cand au nevoie?
06A02-08 Masurile de securitate, de implementat pentru a preveni orice riscuri nou identificate, sunt
subiect pentru evaluare si control inainte de producerea noii versiuni?
06A02-09 Parametrii de securitate si regulile de configurare (stergea conturilor generice, schimbarea
parolelor generice, controlul accesului si parametrii de autentificare etc.) sunt detaliati si
actualizati si sunt revizuiti inainte de inceperea producerii unei noi versiuni?
06A02-10 Parametrii de securitate si regulile de configurare sunt controlate inainte ca o noua versiune sa
fie instalata si operata?
06A02-11 Este luat in considerare posibilul impact asupra continuitati activitatilor ca urmare a
schimbarilor de sistem?
06A02-12 Exista abateri de la analiza riscului prioritar si a controlului parametrilor de securitate avand ca
subiect strict procedurile ce necesita semnatura managerului senior?
06A02-13 Inceperea producerii unui echipament sau soft nou este posibila numai dupa consultarea staff-
ului operational?
06A02-14 Inceperea producerii unui echipament sau unui soft este posibila dupa un proces de validare si
autorizare?
06A02-15 Toate procedurile de control referitoare la inceperea producerii unui soft/echipament sunt
legate de audit?
06A03 Controlul operatiunilor de mentenanta
06A03-01 Se tine o evidenta a tuturor operatiilor de mentenanta?
06A03-02 Este obligatoriu ca toate operatiunile de mentenanta sa se termine cu o verificare sistematica
a tuturor parametrilor de securitate (cum au fost definite la inceputul producerii)

06A03-03 Este obligatoriu ca toate operatiunile de mentenanta sa se termine cu o verificare sistematica

a tuturor parametrilor de securitate a datelor inregistrate in program (tranzactii de inregistrat,
contextul tranzactiilor, durata retinerii in sistem etc.)?
06A03-04 Este obligatoriu ca toate operatiunile de mentenanta sa se termine cu o verificare sistematica
a parametrilor de control referitori la administrare (profil necesar, tip de autentificare,
eliminarea logarii clasice, etc.)?

06A03-05 Este necesar refuzul semnat al unui manager in cazul in care procedurile mentionate
anterioare nu sunt verificate/indeplinite?
06A03-06 Totalitatea procedurilor de control referitoare la inceperea producerii unui soft/echipament
(dupa mentenanta) sunt supuse auditului?
06A04 Controlul mentenantei la distanta
06A04-01 In cazul mentenantei la distanta, exista o metoda securizata de autentificare a centrului de
mentenanta la distanta?
06A04-02 In cazul mentenantei la distanta, exista o metoda securizata de autentificare a personalului
care se ocupa de mentenanta?
06A04-03 Exista un set de proceduri care sa acopere atribuirea de drepturi de acces pentru un nou
membru al personalului de mentenante, revocarea drepturilor unui fost membru si atribuirea
de drepturi in situatii de urgenta?
06A04-04 Procedurile si protocoalele referitoare la schimbul si stocarea de date confidentiale au fost
aprobate de Biroul de Securitate a Informatiei sau de o organizatie specializata?
06A04-05 Utilizarea mentenantei la distanta necesita o intelegere anterioara (pentru fiecare utilizare) cu
personalul operativ (in functie de cererea furnizorului se specifica natura, data si ora
interventiei)?
06A04-06 Echipamentul alocat mentenantei la distanta este protejat impotriva inhibarii sau modificarii
conditiilor de acces, rezultand prin declansarea unei alarme?
06A04-07 Sunt auditate regulat toate procedurile de control pentru mentenanta la distanta?
06A05 Managementul Procedurilor de Operare a Operatiunilor in Retea
06A05-01 Procedurile referitoare la operatiile in retea rezulta dintr-un studiu efectuat pe toate cazurilor ce
ar trebui acoperite de respectivele proceduri (cazuri normale si accidente)?

06A05-02 Procedurile sunt documentate si actualizate?

06A05-03 Procedurile pot fi accesate usor la cerere de orice persoana acreditata?
06A05-04 Managementul aproba schimbarile din proceduri?
06A05-05 Procedurile sunt protejate de modificari neautorizate?
06A05-06 Procedurile sunt auditate regulat pentru autenticitate si relevanta?
06A06 Managementul furnizorilor de servicii referitoare la retea
06A06-01 Se asigura periodic ca securitatea serviciilor de retea alocate furnizorilor sunt eficient
implementate si mentinute de catre acestia?
06A06-02 Se asigura ca furnizori s-au pregatit eficient pentru a se asigura ca serviciile sunt furnizate
dupa cum s-a stabilt?
06A06-03 Respectarea securitatii de catre furnizori este sub control si verificata periodic?
06A06-04 Se asigura faptul ca furnizorii raporteaza si documenteaza orice incident de securitate referitor
la retea?
06A06-05 Se realizeaza o revizuire regulata a acestor incidente cu furnizorul in cauza?
06A06-06 Schimbarile din relatiile contractuale (Sarcini obligatorii, nivelul serviciilor) sunt analizate
pentru a studia impactul asupra riscurilor potentiale?
06A07 Luare in considerare a confidentialitatii in timpul operatiunilor de mentenanta pentru
echipamentul de retea.
06A07-01 Exista o procedura care sa descrie in detaliu operatiile ce trebuie executate inaintea inceperii
lucrarilor de mentenanta pentru a se evita accesul acestora la datele critice/importante (chei
de criptare, protectie de retea, configurarea securitatii echipamentului, etc.)?

06A07-02 Exista o procedura sau o prevedere contractuala referitoare la personalul de mentenanta

(intern sau extern) care sa specifice ca orice suport care contine informatii importante trebuie
formatat inainte de indepartarea sa?

06A07-03 Exista o verificare a integritatii sistemului dupa terminarea mentenantei? (fara virusi de tip
spyware sau Trojan, etc.)?
06A07-04 Exista o hotarare formala, semnata de un manager, necesara daca una din procedurile
amintite mai sus nu sunt observate?
06A07-05 Procedurile de mai sus sunt auditate regulat?
06A08 Managementul contractelor de Servicii de Retea
06A08-01 Nivelele de servicii au fost identificate pentru fiecare serviciu de retea?
Nivelele de servici sunt aplicate nu doar serviciilor prestate de utlizatori, dar si serviciilor cerute
si angajamentelor fiecarei parti incluse in contract.
06A08-02 Aceste nivele de servici au fost incluse in contractul semnat (indiferent daca serviciile sunt
asigurate intern sau de un furnizor extern)?
06A08-03 Managementul asigura aplicarea masurilor corespunzatoare?

06B Setarea parametrilor si controlul configurarii hardware-ului si soft-ului

06B01 Controlul configurarii particularizarii si conformitatii echipamentului de retea

06B01-01 Exista un document sau un set de documente sau o procedura operationala, derivata din
politicile de protectie a retelei si a regulilor de filtrare determinate, care sa detalieze toti
parametrii de securitate pentru un echipament de retea?
Totodata sa prezinte versiunea sistemului, facand posibila verificarea statutului actualizarilor.

06B01-02 Aceste documente cer stergerea conturilor predefinite sau generice si genereaza o lista
detaliata a acestor conturi?
06B01-03 Documentele sau procedurile impun o sincronizare bazata pe referinta de timp de incredere?

06B01-04 Acesti parametrii sunt setati si actualizati regulat in concordanta cu ultimele informatii si in
cooperare cu specialisti (auditori, consultari cu CERTs, etc)?
CERT : Computer Emergency Response Team. (Echipa Responsabila de Urgentele
Calculatoarelor)

06B01-05 Aceste documente (sau copii ale parametrilor instalati considerati referinte) sunt protejate prin
metode de securizare impotriva alterarilor ilicite?
06B01-06 Integritatea configurarii sistemelor este testata regulat impotriva configurarii teoretice asteptate
(cel putin saptamanal, daca nu la fiecare activare a sistemului)?
06B01-07 Auditurile regulate sunt bazate pe o lista a parametrilor specifici de securitate?
06B01-08 Auditurile regulate sunt bazate pe exceptii sau proceduri de indexare in caz de dificultati?

06B01-09 Testele si dezvoltarea sistemului sunt separate de sistemul operational?

06B02 Controlul configurari accesului la retea al utilizatorilor echipamentului
06B02-01 Exista un document care sa detalieze toti parametri de verificat la statiile de lucru are
utilizatorilor referitor la conexiunile externe (modem, WIFI, etc.)?
06B02-02 Acesti parametrii sunt setati si actualizati regulat in concordanta cu ultimele informatii si in
cooperare cu specialisti (auditori, consultari cu CERTs, etc)?
06B02-03 Sunt aceste documente protejate impotriva modificarilor necuvenite sau ilicite cu metode de
securitate puternice (sigiliu electronic)?
06B02-04 Configurarea echipamentului de retea al utilizatorilor verificat sistematic pentru conformitatea
cu documentul de referinta?
06B02-05 Acest control este efectuat sistematic, pentru fiecare conexiune la internet?
06B02-06 Exista rutine automate care efectueaza analize sistematice asupra utilizarii telefonului de retea
pentru transmiterea datelor?
06B02-07 Exista rutine automate care sa testeze prezenta unei retele WiFi nedeclarate?
06B02-08 Utilizatorii statiei de lucru sunt protejati impotriva posibilitatii intalarii de soft-uri si a modificarii
de configuratii?
06B02-09 Exista un audit regulat al documentul de referinta al configurarii si este configurarea procedurii
de control executata regulat?
06C Controlul drepturilor administrative
06C01 Controlul drepturilor speciale de access la echipamentul de retea
06C01-01 A fost creat un regulament la nivel managerial privind drepturile de acces privilegiate, bazat pe
o analiza anterioara a cerintelor de securitate si a business-ului?
06C01-02 Regulamentul este documentat corespunzator, revizuit periodic si aprobat de manageri?

06C01-03 Au fost definite profiluri, ca parte a operatiunilor de retea, care sa corespunda fiecarui tip
activitate ( administrarea echipamentelor, administrarea echipamentelor de securitate,
managementul retelei, managementul copiilor de rezerva)?
06C01-04 Au fost definite drepturile administrative necesare pentru fiecare profil?
06C01-05 Procesul de atribuire a drepturilor administrative necesita autorizarea managementului ( sau a
managerului responsabil de furnizorii externi de servicii) de la un nivel suficient de inalt?

06C01-06 Procesul de atribuire a drepturilor administrative are efect unic in functie de profilul
detinatorului?
06C01-07 Procesul de acordare (modificare sau retragere) de drepturi speciale este strict controlat?
Un control strict necesita semnatura (electronica sau nu) a celui care cere drepturile, care sa
specifice ca va fi un control al accesului pentru a atribui sau modifica aceste drepturi si ca
orice modificare a drepturilor speciale va fi auditata.

06C01-08 Exista un proces sistematic de stergere a drepturilor administrative la data plecarii persoanei
din companie sau a modificarii rolului in cadrul acesteia?
06C01-09 Exista un audit regulat, cel putin o data pe an, al drepturilor administrative atribuite?
06C02 Autentificarea administratorilor si personalului operational
06C02-01 Procesul de autentificare al administratorilor de retea sau al detinatorilor de drepturi
administrative este considerat a fi securizat?
Un protocol de autentificare este considerat a fi securizat daca nu este susceptibil de a fi
descifrat de un instrument din retea sau de a deveni imposibil de operat din cauza unor
program ( programe de spart parole). O astfel de securitate foloseste deobicei metode
criptografice.

06C02-02 Aceste reguli sunt foarte stricte, spre exemplu in cazul parolelor?
Regulile stricte impun utilizarea unor parole testate, non-triviale si utilizarea unui mix de
caractere de diferite tipuri de o lungime rezonabila (10 sau mai multe caractere). Este de dorit
ca aceste reguli sa fie decise si aprobate inainte de CISO.

06C02-03 Pentru conectarea administratorilor la sistemul de supervizare se foloseste o autentificare

puternica ca si pentru conectarea sistemului de supervizare la echipamentele de retea?
Daca administratorul se conecteaza la un sistem de supervizare de tip HYPER (cum ar fi HP
OpenView, IBM TIVOLI, CA Unicenter, BMC Patrol sau Bull OpenMaster) cu autentificare
securizata si acces efectiv, un nivel de securitate echivalent este necesar pentru obiectele care
sunt in subordine (evitarea parolelor vizibile, acces public sau grupuri, acces prin telnet sau
SQL simplu) pentru a se evita actiunile malicioase asupra echipamentului.

06C02-04 Exista un control consistent al drepturilor administratorului, al contextului si al potrivirii acestui

context cu accesul cerut, facut pe reguli ale controlului de acces.
06C02-05 Parametrii de autentificare sunt sub control strict?
Un control strict necesita o lista a persoanelor capabile sa schimbe regulile de autentificare,
conturile si regulile pentru monitorizarea incercarilor de conectare trebuie sa fie limitate, astfel
ca va exista un acces special al unei persoane de control pentru a se putea efectua
modificarea acestor drepturi, iar aceste modificari ale drepturilor trebuie inregistrate si auditate,
fiind necesar sa existe un audit general cel putin o data pe an al tuturor parametrilor de
autentificare.

06C02-06 Sunt aceste procese care garanteaza autentificarea sub control strict?
Un control strict necesita ca soft-ul utilizat sa fie validat si sa treaca un test de integritate si ca
un audit anual sa existe pentru verificarea procedurilor si proceselor de autentificare.

06C02-07 Exista un audit regulat al profilelor existente cu drepturi administrative?

06C02-08 Exista un audit regulat al procedurilor de acordare a profilurilor si a securitatii parametrilor ce
protejeaza profilele si drepturile?
06C03 Supravegherea actiunilor administrative de pe retea
06C03-01 S-a efectuat o analiza detaliata a operatiilor realizate cu drepturi administrative care ar putea
avea un impact potential in securitatea retelei (configurarea securitatii sistemelor, accesul la
informatii importante, utilizarea de instrumente importante, descarcarea si modificarea
instrumentelor administrative)?

06C03-02 Toate aceste evenimente sunt inregistrate intr-un fisier jurnal, la fel si parametrii necesari
analizei?
06C03-03 Exista un sistem care activeaza detectia modificarilor sau stergerilor inregistrarilor din trecut si
care sa declanseze o alarma catre manager?
06C03-04 Exista un sumar al acestor inregistrari care fac managementul sa detecteze comportamente
anormale?
06C03-05 Exista un sistem care detecteaza orice modificare a unor parametri de inregistrare si care
declanseaza imediat o alarma catre manager?
06C03-06 Inhibarea unei inregistrari in sistem si procesarea evenimentelor inregistrare declanseaza o
alarma managerilor?
06C03-07 Toate inregistrarile si analizele recapitulative sunt protejate impotriva distrugerii sau
modificarilor?
06C03-08 Toate intregistrarile si analizele recapitulative sunt pastrate pentru perioade lungi de timp?

06C03-09 Procedurile pentru inregistrarea si analizarea operatiilor executate cu drepturi administrative

sunt auditate regulat?
06C04 Controlul instrumentelor operationale si a utilitatilor
06C04-01 Exista un inventar exhaustiv al instrumentelor de retea si a utilitatilor (drepturi administrative,
configurarea managementului, copii de rezerva, copii, restartari de sistem etc.) pentru fiecare
tip de profil al staff-ului operational?
06C04-02 Instrumentele pot fi utilizate doar de titularii profilelor corespunzatoare dupa ce au trecut de
indentificarea securizata?
06C04-03 Este interzisa adaugarea sau crearea de instrumente fara autentificarea formala?
06C04-04 Aceasta restrictie este pusa in aplicare regulat de o procedura automata care poate declansa
o alerta catre manager?
06C04-05 Drepturile atribuite echipei operationale le interzic modificarea instrumentelor operationale sau
cel putin exista un control al unor astfel de modificari cu declansarea unei alrme catre
manager?
06C04-06 Atribuirea profilelor si implementarea de masuri de securitate mentionate sunt auditate
regulat?
06D Auditul si procedurile de control de retea
06D01 Operatiunile de audit
06D01-01 Managementul a stabilit cerintele si procedurile de urmat in timpul auditului de retea?
06D01-02 Regulile legate de auditurile de retea, procedurile relevante si responsabilitatile asociate sunt
definite si documentate?
Limitele ce trebuie determinate se refera la tipul de acces la echipamente, controalele si
procesele autorizate, stergerea de date importante si imputernicirea celor ce conduc auditul.

06D01-03 Sunt auditorii independenti de activitatile auditate?

06D01-04 Sunt auditate datele cheie inregistrate?
06D01-05 Sunt bine delimitate posibilele actiuni ale auditorilor? Aceste limitari sunt recomandate pentru
auditorii externi
06D02 Protectia instrumentelor si rezultatele de audit
06D02-01 Intrumentele de audit sunt protejate pentru a evita orice utilizare neautorizata sau abuziva?
Se aplica testarilor de intruziune si a evaluarii vulnerabilitatii

06D02-02 Aceste rezultate de audit sunt protejate impotriva modificarilor sau divulgarii?
06D02-03 Utilitatea intrumentelor de audit si al rezultatelor este strict limitata?
Aceste limitari sunt recomandate pentru auditorii externi
 P Max Min Typ ISO 27002 Comentarii

4 1 E1

4 E2

2 2 E3

4 2 E3

4 3 E3

4 3 E2

4 2 E2

2 E2

2 3 R1

2 3 R1

2 3 C1

2 2 E1 10.1.2

2 E2 10.3.1

2 E2 9.2.1

2 E2 12.4.1; 10.3.2

2 2 E2 12.4.1; 10.3.2

1 E3

4 E3
4 E2 10.3.2

4 E2 11.4.4; 10.3.2
4 E2 11.4.4; 10.3.2

2 E2 10.3.2

4 R1

4 2 E2 12.4.1; 6.1.4

2 3 E3 12.4.1; 6.1.4

2 3 C1

1 E2 9.2.4
4 2 E2

4 3 E3

4 3 E3

4 E3

2 3 C1

2 E2 11.4.4

4 2 E2 11.4.4

2 E3 11.4.4

4 E3

4 E2 11.4.4

2 2 R1

2 3 C1

4 E2 10.1.1

4 E2 10.1.1
4 E2 10.1.1
2 E2 10.1.1
2 R1
2 C1

4 C1 10.2.1

2 E2 10.2.1

4 E1 10.2.2
4 E2 10.2.2
2 E2 10.2.2
2 E3 10.2.3

4 E2 9.2.6; 9.2.4

4 E2 9.2.4

2 E2

4 E3

2 3 C1

4 E1 10.6.2

4 E2 10.6.2

2 C1 10.6.2

4 2 E1

4 2 E2

4 E2 10.10.6

2 3 E3

2 3 R1

4 2 E3 15.2.2

2 R1 10.1.4; 15.2.2
2 C1 10.1.4; 15.2.2

1 E2 10.1.4

4 2 E2

4 2 E2

4 3 R1

2 3 E2

4 E3
4 E3

4 E3
4 E3

2 3 C1

2 E1 11.1.1

2 E2

1 E1 10.1.3; 10.6.1;
11.2.2

4 2 E1 10.1.3; 10.6.1
4 2 E2 10.1.3

4 2 E2 10.1.3

4 2 3 R1 11.2.2

4 3 E2 11.2.4

1 2 C1 11.2.4

4 2 E2

2 2 E2

4 2 E2

4 E2

4 2 R1

4 3 R1

4 3 C1 11.2.4
4 3 C1
2 E2 10.10.4; 10.6.1

4 E2 10.10.4; 10.6.1

4 2 E3 10.10.4

4 3 E3 10.10.4

4 2 R1 10.10.4

4 3 E3 10.10.4

2 R1 10.10.4

2 R1 10.10.4

2 3 C1

4 E1

2 2 E2

2 2 E2
2 2 E3

4 2 E3

2 2 C1

4 E2 15.3.1
3 E2 15.3.1

2 E2 15.3.1
2 E3 15.3.1
2 E2 15.3.2

3 E2 15.3.2

3 E2 15.3.2
2 E2 15.3.2