http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/kontrol-processa-podbora-kadrov/ http://www.microfinance.uz/kontrol-processa-podbora-kadrov/#comments Thu, 28 Aug 2008 13:18:14 +0000 admin http://www.microfinance.uz/2008/08/28/kontrol-processa-podbora-kadrov/ Если вас не очень интересуют все внутренние тонкости “кухни” обеспечения информационной безопасности, однако, вы хотите быть уверенными, что она тем не менее находится на должном уровне (например, вы — внешний аудитор для данной организации), можно порекомендовать следующую последовательность действий.
Во-первых, вам следует ознакомиться с письменными документами по информационной безопасности, которые присутствуют в организации. Какие конкретно документы должны входить в этот список, перечислено в главе 27, однако, общий совет может быть таким.
□ Ознакомьтесь со всеми имеющимися документами с точки зрения обычного пользователя, умеющего обращаться с графическим интерфейсом своего десктопа и знающего одно-два приложения типа текстового редактора или интернет-браузера. Оцените, какие плюсы вам принесло, как пользователю, ознакомление с этими документами.
□ Если позволяет квалификация, ознакомьтесь с документами с точки зрения продвинутого системного администратора и оцените, как вы можете использовать пробелы и ошибки в этих документах для своих целей.
Во-вторых, ознакомьтесь с уровнем знаний специалистов информационной безопасности (или хотя бы руководителя службы), изучив соответствующие сертификаты (с учетом их срока действия), а также историю прохождения обучения и перспективный план.
Далее, вам необходимо узнать, какие операционные системы используются в организации и какие основные приложения применяются для критически значимых производственных направлений. После этого вам необходимо получить (по возможности независимо от специалистов самой организации) проверочные анкеты по безопасности (англ. security checklist) для каждой операционной системы и приложения (большинство наиболее свежих вариантов этих анкет всегда доступно в Интернете). С помощью специалистов организации или, если имеется возможность, без них убедитесь, что соответствующие пункты анкет для системы исполнены. Если же нет — узнайте, почему так произошло.
Самые каверзные контролеры могут зайти в Интернет на сайты с последними известными уязвимостями в системах, прочитать их описания и узнать об имеющихся заплатках (англ. fix или patch) на эти уязвимости. При проверке систем необходимо проверить, были ли установлены на нее заплатки в соответствии с новыми обнаруженными уязвимостями. Наиболее известные из них — http://www.cert.org/ , http://www.securityfocus.com/ .
Есть и другой путь — предпринять (возможно, с помощью стороннего специалиста) тестовое вторжение в информационное пространство организации. Но это сложный способ не только технически (то есть то, что вы не смогли проникнуть внутрь, еще не означает, что уровень защиты хорош — быть может, просто квалификация взломщика невысока), но и с точки зрения законности (если это действительно тестовое, а не реальное вторжение, то необходимо заручиться согласием самой организации, причем в письменной форме с указанием способов разрешения всех возможных конфликтов в этой связи).

]]> http://www.microfinance.uz/kontrol-processa-podbora-kadrov/feed/ 0