Ingeniero
Páginas: 10 (2287 palabras)
Publicado: 26 de diciembre de 2012
Acceso general a datos y programas (Auditoría)
Virificar sí:
El acceso a los sistemas de producción (programas, comandos de procesamiento, archivos de datos, etc.) está debidamente controlado.
Una políticade seguridad de datos fue definida y acordada.
Se definieron, documentaron, y asignaron las responsabilidades para la administración de la seguridad de datos.
El software decontrol de acceso lógico está instalado y se mantiene conforme con los estándares definidos y acordados.
Los parámetros del sistema que definen el alcance de la protección provista por el software de control de acceso están autorizados por la gerencia y son revisados periódicamente por un funcionario independiente.
Existen procedimientos para identificar los recursos que deben ser protegidosy el nivel de protección que debe asignárseles.
El software de control de acceso provee protección por default a los recursos del sistema y a los datasets aún cuando no se hayan establecido reglas específicas.
El acceso a las instalaciones de administración del software de control de acceso está limitado a la función de seguridad de datos.
El acceso general a las funciones deprocesamiento (tal como se definen en los perfiles de seguridad) se establecen en virtud de una autorización por escrito.
El acceso a datos de alto riesgo y a programas utilitarios poderosos se registra en un log y este log es revisado por un funcionario independiente.
La autenticación de contraseñas (fueren éstas parte del software de control de acceso, del software de monitores de teleprocesamiento,del software de control de comunicaciones, del software de gestión de base de datos o de programas de aplicación individual) existe y asegura de que:
* se permite el acceso sólo mediante el uso de un logon válido y combinación de contraseñas (Los Identificadores de usuarios deben ser únicos y las contraseñas deben ser específicas a cada Identificador)
* el proceso de logon de los Identificadoresse desactiva automáticamente después de un número determinado de intentos fallidos en el proceso de logon o de un período determinado de inactividad
* los Identificadores de logon y las contraseñas de los empleados son dados de baja cuando estos abandonan la organización o son reasignados dentro de la misma organización
* se prohíbe el uso simultáneo del mismo Identificador de usuario en más deuna estación de trabajo
* el acceso está circunscripto a determinadas horas del día
* las opciones del menú exhibido por pantalla está circunscripto conforme a los privilegios definidos por el Identificador del usuario.
La autenticación de los Identificadores de terminales y los procedimientos de seguridad incluyen:
* inhabilitación automática después de un determinado número de intentosfallidos en el proceso de logon
* desconexión automática de las terminales después de un período determinado de inactividad
* ubicación en áreas de acceso circunscripto.
Los derechos de acceso de los usuarios se limitan a aquellas funciones de procesamiento y aquellos archivos de datos necesarios para que los usuarios cumplan con sus tareas normales.
Los cambios a los derechos de acceso delos usuarios deben:
* fundarse en autorización por escrito, la que debe conservarse como rastro de auditoría
* ser informados a la gerencia y revisados por ésta
Se controlará la confidencialidad de los contraseñas, en el sentido de que las contraseñas individuales:
* requeridas por el software de control de acceso sean cambiadas a intervalos regulares
* sean cambiadas por los usuarios cuandose demande o a pedido
* sean de un longitud mínima (por lo menos 6 caracteres) y su composición evite que sean adivinadas
* sean controladas por el sistema y rechazadas si son obviamente comunes o de la misma naturaleza que aquellas usadas previamente por el mismo usuario
* no aparezcan exhibidas en pantalla o escritas en la terminal o cerca de la misma
* no aparezcan impresas en los logs...
Virificar sí:
El acceso a los sistemas de producción (programas, comandos de procesamiento, archivos de datos, etc.) está debidamente controlado.
Una políticade seguridad de datos fue definida y acordada.
Se definieron, documentaron, y asignaron las responsabilidades para la administración de la seguridad de datos.
El software decontrol de acceso lógico está instalado y se mantiene conforme con los estándares definidos y acordados.
Los parámetros del sistema que definen el alcance de la protección provista por el software de control de acceso están autorizados por la gerencia y son revisados periódicamente por un funcionario independiente.
Existen procedimientos para identificar los recursos que deben ser protegidosy el nivel de protección que debe asignárseles.
El software de control de acceso provee protección por default a los recursos del sistema y a los datasets aún cuando no se hayan establecido reglas específicas.
El acceso a las instalaciones de administración del software de control de acceso está limitado a la función de seguridad de datos.
El acceso general a las funciones deprocesamiento (tal como se definen en los perfiles de seguridad) se establecen en virtud de una autorización por escrito.
El acceso a datos de alto riesgo y a programas utilitarios poderosos se registra en un log y este log es revisado por un funcionario independiente.
La autenticación de contraseñas (fueren éstas parte del software de control de acceso, del software de monitores de teleprocesamiento,del software de control de comunicaciones, del software de gestión de base de datos o de programas de aplicación individual) existe y asegura de que:
* se permite el acceso sólo mediante el uso de un logon válido y combinación de contraseñas (Los Identificadores de usuarios deben ser únicos y las contraseñas deben ser específicas a cada Identificador)
* el proceso de logon de los Identificadoresse desactiva automáticamente después de un número determinado de intentos fallidos en el proceso de logon o de un período determinado de inactividad
* los Identificadores de logon y las contraseñas de los empleados son dados de baja cuando estos abandonan la organización o son reasignados dentro de la misma organización
* se prohíbe el uso simultáneo del mismo Identificador de usuario en más deuna estación de trabajo
* el acceso está circunscripto a determinadas horas del día
* las opciones del menú exhibido por pantalla está circunscripto conforme a los privilegios definidos por el Identificador del usuario.
La autenticación de los Identificadores de terminales y los procedimientos de seguridad incluyen:
* inhabilitación automática después de un determinado número de intentosfallidos en el proceso de logon
* desconexión automática de las terminales después de un período determinado de inactividad
* ubicación en áreas de acceso circunscripto.
Los derechos de acceso de los usuarios se limitan a aquellas funciones de procesamiento y aquellos archivos de datos necesarios para que los usuarios cumplan con sus tareas normales.
Los cambios a los derechos de acceso delos usuarios deben:
* fundarse en autorización por escrito, la que debe conservarse como rastro de auditoría
* ser informados a la gerencia y revisados por ésta
Se controlará la confidencialidad de los contraseñas, en el sentido de que las contraseñas individuales:
* requeridas por el software de control de acceso sean cambiadas a intervalos regulares
* sean cambiadas por los usuarios cuandose demande o a pedido
* sean de un longitud mínima (por lo menos 6 caracteres) y su composición evite que sean adivinadas
* sean controladas por el sistema y rechazadas si son obviamente comunes o de la misma naturaleza que aquellas usadas previamente por el mismo usuario
* no aparezcan exhibidas en pantalla o escritas en la terminal o cerca de la misma
* no aparezcan impresas en los logs...
Leer documento completo
Regístrate para leer el documento completo.