poniedziałek, 1 marca, 2021

Odpowiedz na: Audyt IT

Home Forum Sektory Samorządy Audyt IT Odpowiedz na: Audyt IT

#13766
gapa
Uczestnik

PN-ISO/IEC 27001 ze stycznia 2007 zatytułowana „Technika informatyczna, Techniki bezpieczeństwa,Systemy zarządzania bezpieczeństwem informacji, Wymagania” w działach A.11.2-6
mówi że:
a) Przydzielanie haseł powinno być kontrolowane za pośrednictwem formalnego procesu zarządzania
b) Należy ograniczać i kontrolować przyznawanie i korzystanie z przywilejów
c) Należy ograniczać i ściśle kontrolować używanie systemowych programów narzędziowych, które umożliwiają obejście zabezpieczeń systemu lub aplikacji
d) Dostęp użytkowników i personelu obsługi technicznej do informacji oraz funkcji aplikacji powinien być ograniczany, zgodnie ze zdefiniowaną polityką kontroli dostępu
System, który pozwala administratorowi wykonywać opisane przez Scypiona cuda bez „śladu” nie spełnia powyższej normy i jest po prostu zły, tak jak zły (a nie „dobry&#8221:wink: jest informatyk, który z tego korzysta i taką sytuację toleruje.
Wpisywanie natomiast do procedur urzędowych prawa informatyka do posiadania spisu użytkowników i ich aktualnych haseł jest i śmieszne i straszne, tylko nie wiadomo co bardziej.