Audyt IT

[ajuri]

Mam do Was pytanie czy są jakieś wymogi dot. tego jak powinno wyglądać pomieszczenie w którym znajduje serwer, jakie warunki powinno spełniać. Jak powinien wyglądać dostep do serwerownii. W przepisach jest tylko zapis że dostep powinien być ograniczony. Czy z jakiś wytycznych , przepisów czy też norm wynika, że np. powinny być dzrzwi antywłamaniowe, czy też wystarczą zwykłe drzwi.
Zapoznałam się takimi przepisami jak:

1. Rozp. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

2. Ustawa o dostepie do informacji publicznej

3. Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne

4. Ustawa o prawie autorskim i prawach pokrewnych

5. rozporządzenie w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

6. rozporzadzenie w sprawie minimalnych wymagań systemów teleinformatycznych

Nie znalazłam nic w spr. serwera, a właściwie pomieszczenia, w którym znajduije się serwer czyli tzw. serwerownia

Wiem, że o informatyzacji mówią normy ISO np. PN-ISO/IEC 27001:2007 niestety nie wiem co się w tej normie znajduje i czy zawiera ona te informacje, o któe Was pytam.

Liczę na pomoc z Waszej strony pozdrawiam

[meg]

Jak byłeś na szkoleniu informatycznym z MF, to duzo mówło sie na ten temat. Robilismy nawet ćwiczenia odnośnie zabezpieczenia i procedur z tym związanym jesli chodzi o pożar, powódź , czy spadek zasilania w serwerowni. Materiały sa zawarte w segregatorze z tego szkolenia.

Pozdrawiam

[ajuri]

Byłam na tym szkoleniu, ogólnie przyjete jest, że w takich pomieszczeniach powinna być klimatycacja, czujnik dymu, gaśnica itp. chodzi mni jednak o to żeby przywołać konkretny przepis, standard czy też normę. Może właśnie w normach ISO, o których pisałam sa takie zapisy. Dostęp do nich jest płatny. Cóż pewnie będę musiała wydać na to pieniądze. A może Wy jeszce coś mi podpowiecie.

[alice]

Tak przy okazji audytu IT 😆 , czy w waszych jednostkach informatyk ma spis wszystkich haseł użytkowników, hasła BIOS, systemowe itd… U mnie w urzędzie informatyk zrobił sobie taki spis, ma być to wpisane do procedur (które mają wejść od lutego) i o każdej zmianie hasła należy go niezwłocznie informować. Czy nie ma za dużego dostępu? Po co mu to? Pozdrawiam

[scypion]

Administrator ma pełny dostęp do kompów i systemów. A spis i procedury są po to, by gdzy pani Iksińska zadzwoni z płaczem, że zapomniała swego hasła – informatyk bierze swój wykaz i mówi jakie miała.

[mareksp]

Owszem, administrator systemu może mieć pełny dostęp do systemu, ale z zachowaniem zasad rozliczalności. Oznacza to, że w żadnym przypadku nie powinien znać haseł użytkownika. Znając te hasła może się podszyć pod każdego i zrobić co chce w systemie na jego konto. Gdy administrator wykonuje jakieś czynności w systemie poprzez swoje konto administratora zostają zapisy zdarzeń (logów), pozwalające na ustalenie jakie działania i kiedy wykonywał i czy było to w zakresie jego uprawnień.
Jeśli ktoś zapomni hasła administrator wchodzi do systemu korzystając ze swoich uprawnień administratora, kasuje hasło użytkownika i ten wprowadza nowe hasło. Administrator powinien mieć wykaz „loginów” przyznanych poszczególnym użytkownikom, zakresy uprawnień dostępu oraz daty przyznania, zmian i cofnięcia uprawnień.

[scypion]

Czy zna czy nie zna – nie ma różnicy, z poziomu administratora można przecież zmieniać hasła.
Pamietaj też, że system prowadzi rejestr haseł użytkownika, które wcześniej używała, aby nie powtarzały się. Dobry informatyk zmieni hasło, dokona operacji i wyciagnie z bazy danych stare hasło – śladu nie będzie.

[gapa]

PN-ISO/IEC 27001 ze stycznia 2007 zatytułowana „Technika informatyczna, Techniki bezpieczeństwa,Systemy zarządzania bezpieczeństwem informacji, Wymagania” w działach A.11.2-6
mówi że:
a) Przydzielanie haseł powinno być kontrolowane za pośrednictwem formalnego procesu zarządzania
b) Należy ograniczać i kontrolować przyznawanie i korzystanie z przywilejów
c) Należy ograniczać i ściśle kontrolować używanie systemowych programów narzędziowych, które umożliwiają obejście zabezpieczeń systemu lub aplikacji
d) Dostęp użytkowników i personelu obsługi technicznej do informacji oraz funkcji aplikacji powinien być ograniczany, zgodnie ze zdefiniowaną polityką kontroli dostępu
System, który pozwala administratorowi wykonywać opisane przez Scypiona cuda bez „śladu” nie spełnia powyższej normy i jest po prostu zły, tak jak zły (a nie „dobry&#8221:wink: jest informatyk, który z tego korzysta i taką sytuację toleruje.
Wpisywanie natomiast do procedur urzędowych prawa informatyka do posiadania spisu użytkowników i ich aktualnych haseł jest i śmieszne i straszne, tylko nie wiadomo co bardziej.

[k-asiek]

Zgadzam się z Gapą, u mnie informatyk z pozycji administratora w razie potrzeby może nadać nowe hasło użytkownikowi, w żadnym razie nie wolno nikomu podawać swojego hasła dostępu. To są podstawy..

[Autor]

Wpisy