Skip to main content

8.34 Ochrona systemów informacyjnych podczas testowania audytów

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność, Ochrona
Koncepcje cyberbezpieczeństwa: Ochrona systemów i sieci, Ochrona informacji

Kontrola

Testy audytowe oraz inne działania zapewniające ocenę systemów operacyjnych powinny być zaplanowane i uzgodnione między testerem a odpowiednim kierownictwem.

Cel

Zminimalizowanie wpływu audytów i innych działań zapewniających na systemy operacyjne i procesy biznesowe.

Wytyczne

Należy przestrzegać następujących zasad: a) uzgodnienie żądań dostępu do systemów i danych z odpowiednim kierownictwem;
b) uzgodnienie i kontrolowanie zakresu technicznych testów audytowych;
c) ograniczenie testów audytowych do dostępu tylko do odczytu w odniesieniu do oprogramowania i danych. Jeśli dostęp tylko do odczytu nie jest dostępny do uzyskania niezbędnych informacji, testy powinny być wykonywane przez doświadczonego administratora, który posiada odpowiednie prawa dostępu w imieniu audytora;
d) w przypadku udzielenia dostępu, ustalenie i weryfikacja wymagań bezpieczeństwa (np. oprogramowanie antywirusowe i aktualizacje) urządzeń używanych do dostępu do systemów (np. laptopy, tablety) przed umożliwieniem dostępu;
e) dopuszczenie dostępu innego niż tylko do odczytu jedynie do odizolowanych kopii plików systemowych, ich usunięcie po zakończeniu audytu lub zapewnienie odpowiedniej ochrony, jeśli istnieje obowiązek przechowywania takich plików w ramach wymagań dokumentacji audytowej;
f) identyfikacja i uzgodnienie żądań specjalnego lub dodatkowego przetwarzania, takich jak uruchamianie narzędzi audytowych;
g) przeprowadzanie testów audytowych, które mogą wpływać na dostępność systemu, poza godzinami pracy;
h) monitorowanie i rejestrowanie wszelkiego dostępu w celach audytowych i testowych.

Inne informacje

Testy audytowe i inne działania zapewniające mogą również odbywać się na systemach rozwojowych i testowych, gdzie takie testy mogą wpłynąć na integralność kodu lub prowadzić do ujawnienia wrażliwych informacji przechowywanych w takich środowiskach.