Главная страница
Навигация по странице:

  • Владелец актива Несоответствие

  • Требование: Действия по исправлению ситуации

  • Аудитор Последующая проверка

  • Пример выполнения задания Примечание

  • Варианты заданий по выявленным несоответствиям

  • Варианты заданий по номеру в списке групп

    		•

    СМИБ. Внутренний аудит СМИБ-2 (задания_2) (4). Отчет о несоответствии


    Скачать 23.61 Kb.
    НазваниеОтчет о несоответствии
    Дата04.10.2022
    Размер23.61 Kb.
    Формат файлаdocx
    Имя файлаВнутренний аудит СМИБ-2 (задания_2) (4).docx
    ТипОтчет
    #714317

    Внутренний аудит СМИБ

    Отчет о несоответствии

    Департамент (отдел)
    Служба экономической и информационной безопасности
    Дата аудита:
    28.02.2018

    Руководитель:
    Минзов А.С.
    Аудитор:
    Иванов Д.И.

    Номер несоответствия:
    ВА-18/02






    Владелец актива
    Несоответствие:



    Существующая политика информационной безопасности предусматривает применение процедуры обнаружения несанкционированного оборудования в сетях, которая в настоящее время не выполняется.

    Требование:
    Действия по исправлению ситуации

    A.11.4.3 Идентификация оборудования в сетях

    • Уточнить Политику пользования информационными ресурсами, в том числе:

    • Произвести анализ программных средств, позволяющих производить мониторинг подключенных сетевых устройств;

    • Установить на сервер выбранное средство и протестировать его совместимость с существующими средствами ЗИ.

    Аудитор
    Последующая проверка

    Иванов Д.И.
    Обнаруженное несоответствия должно быть устранено к 14.03.2018

    Задание № 4

    Провести анализ выявленного аудитором несоответствия (пример в табл.1) в системе информационной безопасности (ГОСТ р ИСО/МЭК 27002) и предложить действия по его устранению.

    Таблица 1

    Пример выполнения задания

    Примечание

    В таблице 1 выделенные курсивом строки заполнить после анализа несоответствия и разработки действий по исправлению ситуации.

    Варианты заданий по выявленным несоответствиям:



    1. Ненадежная аутентификация удаленных пользователей, отсутствует настройка отключения при простое

    2. Отсутствует система контроля, связанная с проверкой целостности сообщений в информационной системе организации.

    3. Сотрудники организации не сообщают о потенциальных инцидентах информационной безопасности.

    4. Алгоритм сбора доказательств устарел и не учитывает недавнюю смену программного обеспечения, используемого в организации, сбор производится небрежно, хранение носит бессистемный характер.

    5. Не соблюдается порядок ведения журналов анализа регистрации неисправностей для обеспечения уверенности в том, что неисправности были соответствующим образом устранены;

    6. Разрешение на регистрацию неисправностей поручено не компетентному персоналу, а уровень регистрации, требуемый для отдельных систем, не определяться оценкой рисков.

    7. Не все версии программного обеспечения сохранены для восстановления системы в случае непредвиденных обстоятельств.

    8. Не обеспечена безопасность программного обеспечения при проведении его обновления.

    9. Слабый контроль при поддержке (проведения обновлении) поставщиком программного обеспечения.

    10. После увольнения персонала их учетные записи остаются в системе.

    11. Разрешение на вынос оборудования ИТ-отдела не оформляется.

    12. Отсутствует процедура увольнения сотрудника, допущенного к коммерческой тайне.

    13. Политика непрерывности бизнеса не отражает реальные условия прерывания бизнес-процессов и их восстановления.

    14. План осведомленности персонала не отражает реальные требования.

    15. Обновление программного обеспечения АСУ производится с отклонением от требований ГОСТ Р ИСО/МЭК 27002. Процедура обновления отсутствует.

    16. Инвентаризация активов и определение их ценности проводится нерегулярно, а учет изменений отсутствует.

    17. Результаты мониторинга СМИБ администрацией организации не анализируются, а результаты анализа не фиксируются.

    18. Политика резервирования копия БД отсутствует и обновления проводятся нерегулярно незакрепленным ответственностью персоналом.

    19. Политика использования беспроводных систем связи отсутствует. В организации используются общедоступные сети WI-FI.

    20. СКУД не идентифицируют личность входящего, а системы учета записей входа и выхода сотрудников отсутствует.

    21. Политики обработки сообщений электронной почты нет.

    22. Отсутствуют тренинги персонала по действиям в условиях инцидентов ИБ.

    Варианты заданий по номеру в списке групп

    1. 7, 18, 19

    2. 9,1, 22

    3. 10, 1, 6

    4. 12, 2, 8

    5. 13, 1, 21

    6. 14,15,16

    7. 17,18, 19

    8. 1,3, 4

    9. 2, 6, 7

    10. 4,2, 22

    11. 4, 3, 9

    12. 5,23,10

    13. 7,17,22

    14. 8,3,12

    15. 9, 4, 18

    16. 5, 6, 19

    17. 7, 2, 12

    18. 1, 3, 8

    19. 19, 11,13

    20. 20, 21, 1

    21. 3, 13, 20

    22. 19, 18, 17

    23. 4, 5 ,9

    24. 7,9,3

    25. 4,2, 22

    26. 4, 3, 9

    27. 5,23,10

    28. 7,17,22

    29. 8,3,12

    30. 9, 4, 18

    31. 5, 6, 22

    32. 7, 2, 11

    33. 1, 7, 8

    написать администратору сайта