J3qx

information archive

Сhecklist for Internal Audit. System

Posted by j3qx на Август 27, 2016

Сhecklist for Internal Audit. System ____________________

I. Список серверов

Просим предоставить списки серверов (по шаблону), либо ссылку на актуальную информацию в Confluence.

Будет заполнен шаблон в Excel

Будет предоставлена ссылка с актуальной информацией в Confluence

Расположен в ЦОД: ________________________

Не актуально, т.к. это внешняя система

II. Список пользователей и ролей

 Нужно предоставить:

  1. Список пользователей, которым предоставлен доступ к данной ИС
  2. Список ролей, предоставленных этим пользователям
  3. Скриншоты, подтверждающие предоставленные списки

Будет заполнен список в Excel (формат ФИО, список ролей)

Будет предоставлен список групп Active Directory, определяющих роли в ИС

Список будет предоставлен в формате _______________________________

Невозможно по причине ___________________________________________


III. Соответствие Регламенту управления полномочиями

Нужно подтвердить, что доступ в систему предоставляется только после должного согласования (через заявку в 6911 и получения согласования).

В частности:

Определен список администраторов ИС (в карточке ИС)


Доступ предоставляют только администраторы ИС.


Доступ предоставляется только после успешного прохождения процедуры согласования, через 6911, в соответствии с согласованной ролью.

Администраторы получают уведомления о увольнении пользователей и своевременно отзывают полномочия уволенных.

На текущий момент не выполняются следующие требования: ______________________________________________________________________________


IV. Журналирование событий

Необходимые данные:

Общее описание архитектуры ИС (достаточно ссылки в Confluence)

Описание форматов журналов регистрации событий

Список серверов журналов регистрации

Реализован ли на текущий момент централизованный сбор журналов регистрации

Описание типов событий, регистрируемых в журналах регистрации

Примеры отражения типовых бизнес операций в журналах регистрации

Другое описание: ___________________________________________________

V. Соответствие ППЗ (Политике Парольной Защиты)

Система автоматически требует:

Используется доменная аутентификация (пользователи и пароли в Active Directory)

Применяется доменная авторизация (роли из AD)

Пароли пользователей меняются не реже, чем раз в три месяца

Пароли администраторов меняются не реже, чем раз в месяц

Пароли могут применяться только сложные (строчные+прописные+цифры+спецсимволы) не ороче 8 символов (15 для администраторов)

После трёх попыток неправильного ввода пароля учётная запись блокируется на 45 минут

VI. Резервное копирование

Применяемое средство резервного копирования _________________________________

Периодичность, план резервного копирования ___________________________________

Схема ротации носителей резервного копирования ______________________________

Используется ли централизованное хранение резервных копий (на ленте) ___________

VII. Дополнительные вопросы

Есть процедура Change Management

Аудит проведен: ___________________

Ответственный за ИС: ______________________

Ответственный сотрудник ISD: ______________________

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: