Mechanizmy kontroli systemów informatycznych

Kontrola dostępu

 

  1. W jednostce wprowadzono fizyczne i logiczne środki ograniczenia dostępu do zasobów informatycznych (oprogramowania, plików, sprzętu itp.) odpowiednie do szacowanego ryzyka nieuprawnionego dostępu.
  2. W jednostce przyjęto zasady i procedury przydzielania i cofania dostępu do poszczególnych zasobów (np. danych, sieci, aplikacji, systemów); przydzielenie uprawnień jest dokumentowane; prowadzi się rejestr użytkowników i przydzielonego im dostępu.
  3. Dostęp do zasobów informatycznych jednostki mają wyłącznie uprawnione osoby odpowiednio do zakresu przydzielonego dostępu.
  4. Wprowadzono fizyczne i logiczne środki zapobiegania i wykrywania nieupraw­nionego dostępu do zasobów informatycznych; w przypadku wykrycia nieuprawnionego dostępu wyjaśnia się takie przypadki i podejmuje odpowiednie działania zaradcze.
  5. Pracownicy mają świadomość własnych obowiąz­ków w zakresie ochrony zasobów informatycz­nych oraz przestrzegają ustalonych zasad i procedur.
  6. W przypadku wycofania z użytkowania komputerów, dysków, nośników itp. lub zmiany ich przeznaczenia, usuwa się z nich wrażliwe dane i aplikacje.

 

 

 

Kontrola oprogramowania systemowego

 

  1. W jednostce wprowadzono odpowiednie środki kontroli dostępu do oprogramowania systemowego. W szczególności:
    • wdrożono odpowiednie zasady i procedury ograniczenia dostępu do oprogramowania systemowego,
    • dostęp do poszczególnych komponentów składowych oprogramowania systemowego jest ograniczony do jak najmniejszej liczby pracowników, których zadania uzasadniają przyznanie takiego dostępu,
    • przydzielenie dostępu do oprogramowania systemowego jest uzasadniane i dokumentowane,
    • dostęp programistów do oprogramowania systemowego i jego zakres jest okresowo poddawany przeglądowi w celu weryfikacji zasadności przyznanego zakresu dostępu w odniesieniu do zakresu obowiązków danego pracownika,
    • wszystkie ścieżki dostępu do oprogramowania systemowego i jego komponentów zostały zidentyfikowane i wprowadzono mechanizmy zapobiegające lub wykrywające nieuprawniony dostęp; korzystanie ze ścieżek dostępu jest monitorowane,
    • wdrożono odpowiednie zasady i mechanizmy, aby zapobiec i wykryć niewłaściwe wykorzystywanie narzędzi dostępnych w oprogramowaniu systemowym,
    • wejścia użytkowników do oprogramowania systemowego i ich działania są monitorowane, widoczne naruszenia są badane i podejmowane są odpowiednie działania zapobie­gawcze oraz dyscyplinarne,
    • zmiany (modyfikacje) dokonywane w oprogramowaniu syste­mowym są kontrolowane, aby zapewnić, że wdrożone będą tylko zatwierdzone i właściwie przetestowane zmiany.

 

 

Kontrola tworzenia i zmian w aplikacjach

 

  1. W jednostce funkcjonują mechanizmy kontroli, które zapobiegają działaniom polegającym na wprowadzaniu nieautoryzowanych aplikacji lub zmian w funkcjonujących aplikacjach i wykrywają te działania. W szczególności:
    • w jednostce używane są wyłącznie aplikacje zatwierdzone do użytku; wprowadzono jasne zasady i procedury zatwierdzania aplikacji do stosowania w jednostce,
    • wdrożono jasne zasady i procedury wnioskowania, dokonywania i zatwierdzania zmian w aplikacjach używanych w jednostce; proces dokonywania i zatwierdzania zmian jest dokumentowany,
    • zatwierdzania zmian w aplikacjach dokonują osoby odpowiedzialne za ten obszar działalności jednostki, który wspomagany jest poprzez te aplikacje,
    • w jednostce wprowadzono jasne zasady zabraniające samodzielnego instalowania i używania przez pracowników nieautoryzowanych aplikacji (np. oprogramowania z zasobów Internetu, prywatnego oprogramowania pracowników); wdrożono odpowiednie mechanizmy zapobiegające i wykrywające,
    • w jednostce stosowane jest oprogramowanie antywirusowe,
    • działanie nowych lub zmienionych aplikacji jest testowane przed zatwierdzeniem i wprowadzeniem do użytkowania,
    • wdrożono mechanizmy kontroli, które zapewniają, że nowe lub zmienione oprogramowanie otrzymają wszystkie jednostki, które mają je stosować,
    • w celu zapewnienia, że zatwierdzone aplikacje są chronione przed dokonywaniem nieautoryzowanych zmian lub zniszczeniem kopie oprogramowania przechowywane są w ściśle chronionych bibliotekach; dostęp do bibliotek jest ograniczony; wdrożono mechanizmy, które zapewniają właściwą identyfikację poszczególnych wersji danej aplikacji.

 

 

Podział obowiązków

 

  1. Kluczowe obowiązki dotyczące funkcjonowania systemów informatycznych zostały rozdzielone pomiędzy różne osoby, tak aby uniemożliwić nieuprawniony dostęp do zasobów lub danych. W szczególności:
    • żaden pojedynczy pracownik nie może wykonywać wszystkich kluczowych operacji w danym procesie,
    • zakres podziału obowiązków jest uzależniony od wielkości jednostki i ryzyka związanego z jej zasobami i działalnością,
    • zidentyfikowano zadania, których nie powinna wykonywać jedna osoba, i które powinny być przydzielone różnym osobom lub jednostkom organizacyjnym,
    • zostały wdrożone zasady i procedury służące zapewnieniu odpowiedniego podziału obowiązków,
    • podział obowiązków jest uzupełniony przez inne mechanizmy kontroli, np. monitorowanie, nadzór, kontrola dostępu;
    • opisy stanowisk jasno określają obowiązki pracowników oraz działania, których podejmowanie jest zabronione,
    • kierownictwo (przełożeni) dokonują okresowych przeglądów, aby upewnić się, że pracownicy wykonują swoje obowiązki zgodnie z przyjętymi w jednostce zasadami,
    • pracownicy i ich przełożeni znają i rozumieją swoje obowiązki oraz działania, których podejmowanie jest zabronione,
    • szczegółowe, pisemne procedury, np. w formie podręczników, pomagają pracownikom wykonywać ich obowiązki.

 

 

Ciągłość działalności

 

  1. Zapewnione są odpowiednie mechanizmy w celu utrzymania ciągłości działania systemów informatycz­nych, baz danych i aplikacji. W szczególności:
    • w procesie zarządzania ryzykiem uwzględnia się ryzyko związane z zasobami informatycznymi,
    • zidentyfikowano krytyczne operacje i dane, sporządzono ich listę i dokonano hierarchizacji,
    • zidentyfikowane zostały zasoby infor­matyczne, zarówno sprzętowe, jak i programowe, przy pomocy których prowadzone są krytyczne procesy i operacje,
    • opracowano plan przywracania (wznawiania) krytycznych operacji, jasno wskazujący porządek, w którym przywracane są poszczególne funkcje i operacje,
    • opracowano plan bezpieczeństwa informatycz­nego; plan jest okresowo oceniany i, jeżeli to konieczne, poprawiany,
    • opracowano plan awaryjny na wypadek poważnych zaburzeń i przerw w poprawnym działaniu sprzętu, systemów, sieci, baz danych i aplikacji; plan awaryjny jest okresowo testowany i, jeżeli to konieczne, poprawiany,
    • zaplanowano i wdrożono odpowiednie środki zaradcze na wypadek przerw w działaniu systemów informatycznych, np.: sporządzanie kopii awaryjnych, przechowywanie kopii awaryj­nych poza siedzibą jednostki, szkolenie pracow­ników, zasilanie awaryjne, czujniki i zabezpieczenia przeciwpożarowe i in.,
    • pracownicy zostali odpowiednio przeszkoleni i są świadomi swoich obowiązków w zakresie zapobiegania i reagowania w sytuacjach awaryjnych.

 

 

Kontrole aplikacyjne

 

  1. W szczególności:
    • poszczególne aplikacje użytkowe wyposażone są w odpowiednie aplikacyjne mechanizmy kontroli, których celem jest zapobieganie, wykrywanie i korygowanie błędów związanych z przetwarzaniem i przepływem informacji w systemie,
    • aplikacyjne mechanizmy kontroli funkcjonują na etapie wprowadzania danych, ich przetwarzania a także generowania informacji z systemu.

Źródło : Wytyczne do samooceny  kontroli finansowej w jednostce sektora finansów publicznych  mf.gov.pl