auditoria de sistema
Páginas: 6 (1447 palabras)
Publicado: 28 de abril de 2014
NORMAS DE CONTROL DE ACCESOS LÓGICOS
Introducción
Los controles de acceso lógico permitirán únicamente el ingreso a los usuarios autorizados por la dependencia correspondiente, y en el nivel asignado, sobre los datos o sistemas necesarios para desempeñar sus tareas habituales. Cabe aclarar que el término “Sistema” abarca a sistemas operativos, plataformas y/o aplicaciones tanto a nivelcentral (SIDIF gráfico y caracter) como local (CONPRE, SIGRAC, SLU, etc).
Normativa
1. Se deberá documentar un procedimiento, difundido en toda la Organización, para solicitar y dar efectivamente el alta, la baja, la modificación y la rehabilitación de usuarios en cualquier sistema.
En el caso de que una persona se desvincule del sector donde desempeñaba sus funciones, el Superior de la mismasolicitará en forma perentoria la baja del usuario y el Administrador lo inhabilitará inmediatamente en el sistema que corresponda.
Cuando se produzca la ausencia prolongada de un agente de sus funciones, su Superior inmediato solicitará, conforme los procedimientos previstos en el Anexo II, la inhabilitación temporaria de los accesos del usuario.
Todo Usuario inhabilitado solicitará larehabilitación a su Superior inmediato y éste al Administrador por los medios instrumentados en el procedimiento mencionado anteriormente. El Administrador del Sistema es el único autorizado a rehabilitar un usuario.
2. Cada persona autorizada a ingresar a los Sistemas tendrá en principio una única identificación personal (login) para el acceso a cualquier plataforma de hardware o software dondeesté autorizado. La relación entre la persona y su identificación es biunívoca, es decir, a una persona le corresponde una única identificación, y una identificación sólo se relaciona con una persona.
Esta relación vale para todos los usuarios excepto para los supervisores de los sistemas operativos (ej.: root, administrador, etc.) o los definidos por defecto en otros productos instalados (dba,oracle, system, etc.) que no puedan ser cambiados. Se deberá contar con una única persona responsable de las claves.
3. Por lo anterior, no deberán existir usuarios genéricos (usuarios agrupados bajo un password común para todos ellos) para la aplicación.
Si por razones técnicas o propias de la administración es necesaria la existencia de usuarios genéricos para el SIDIF Central, estos deberánser aprobados conjuntamente por la Contaduría General de la Nación y la Unidad Informática previa opinión del área de Seguridad Informática.
4. Se deshabilitarán todas las cuentas del proveedor que vengan instaladas por defecto en el producto adquirido (sistema operativo, software de base, herramienta, aplicación, etc.). Si no fuera técnicamente posible, se restringirán sus permisos de forma talde reducir al mínimo sus posibilidades de acceso a todos los recursos.
Asimismo se inhabilitarán cuentas de invitado “guest”.
Se verificará el cumplimiento de estos ítems luego de la instalación de cada versión, upgrade, patch, fix, etc.
5. Todo usuario en cualquier servidor o plataforma tendrá, sin excepción, una clave de ingreso (password). Sólo él y el Administrador del Sistema, podráncambiarla cuando lo deseen, y especialmente cuando sospeche que pueda estar comprometida o ser conocida por otros.
La responsabilidad del usuario de guardar en secreto su clave personal deberá quedar documentada en forma escrita.
6. La clave inicial del usuario se entregará utilizando un procedimiento seguro, verificando la identidad de la persona en forma fehaciente, y garantizando que sóloél es el que toma conocimiento de la misma.
Por excepción, la clave podrá ser retirada por un tercero contra la presentación de una nota formal debidamente firmada y autorizada por el interesado.
7. Preferentemente, las claves de ingreso de todos los usuarios estarán sujetas a las siguientes reglas:
Deberá tener una longitud de SEIS (6) caracteres como mínimo, conteniendo al menos una ...
Introducción
Los controles de acceso lógico permitirán únicamente el ingreso a los usuarios autorizados por la dependencia correspondiente, y en el nivel asignado, sobre los datos o sistemas necesarios para desempeñar sus tareas habituales. Cabe aclarar que el término “Sistema” abarca a sistemas operativos, plataformas y/o aplicaciones tanto a nivelcentral (SIDIF gráfico y caracter) como local (CONPRE, SIGRAC, SLU, etc).
Normativa
1. Se deberá documentar un procedimiento, difundido en toda la Organización, para solicitar y dar efectivamente el alta, la baja, la modificación y la rehabilitación de usuarios en cualquier sistema.
En el caso de que una persona se desvincule del sector donde desempeñaba sus funciones, el Superior de la mismasolicitará en forma perentoria la baja del usuario y el Administrador lo inhabilitará inmediatamente en el sistema que corresponda.
Cuando se produzca la ausencia prolongada de un agente de sus funciones, su Superior inmediato solicitará, conforme los procedimientos previstos en el Anexo II, la inhabilitación temporaria de los accesos del usuario.
Todo Usuario inhabilitado solicitará larehabilitación a su Superior inmediato y éste al Administrador por los medios instrumentados en el procedimiento mencionado anteriormente. El Administrador del Sistema es el único autorizado a rehabilitar un usuario.
2. Cada persona autorizada a ingresar a los Sistemas tendrá en principio una única identificación personal (login) para el acceso a cualquier plataforma de hardware o software dondeesté autorizado. La relación entre la persona y su identificación es biunívoca, es decir, a una persona le corresponde una única identificación, y una identificación sólo se relaciona con una persona.
Esta relación vale para todos los usuarios excepto para los supervisores de los sistemas operativos (ej.: root, administrador, etc.) o los definidos por defecto en otros productos instalados (dba,oracle, system, etc.) que no puedan ser cambiados. Se deberá contar con una única persona responsable de las claves.
3. Por lo anterior, no deberán existir usuarios genéricos (usuarios agrupados bajo un password común para todos ellos) para la aplicación.
Si por razones técnicas o propias de la administración es necesaria la existencia de usuarios genéricos para el SIDIF Central, estos deberánser aprobados conjuntamente por la Contaduría General de la Nación y la Unidad Informática previa opinión del área de Seguridad Informática.
4. Se deshabilitarán todas las cuentas del proveedor que vengan instaladas por defecto en el producto adquirido (sistema operativo, software de base, herramienta, aplicación, etc.). Si no fuera técnicamente posible, se restringirán sus permisos de forma talde reducir al mínimo sus posibilidades de acceso a todos los recursos.
Asimismo se inhabilitarán cuentas de invitado “guest”.
Se verificará el cumplimiento de estos ítems luego de la instalación de cada versión, upgrade, patch, fix, etc.
5. Todo usuario en cualquier servidor o plataforma tendrá, sin excepción, una clave de ingreso (password). Sólo él y el Administrador del Sistema, podráncambiarla cuando lo deseen, y especialmente cuando sospeche que pueda estar comprometida o ser conocida por otros.
La responsabilidad del usuario de guardar en secreto su clave personal deberá quedar documentada en forma escrita.
6. La clave inicial del usuario se entregará utilizando un procedimiento seguro, verificando la identidad de la persona en forma fehaciente, y garantizando que sóloél es el que toma conocimiento de la misma.
Por excepción, la clave podrá ser retirada por un tercero contra la presentación de una nota formal debidamente firmada y autorizada por el interesado.
7. Preferentemente, las claves de ingreso de todos los usuarios estarán sujetas a las siguientes reglas:
Deberá tener una longitud de SEIS (6) caracteres como mínimo, conteniendo al menos una ...
Leer documento completo
Regístrate para leer el documento completo.