Professional Documents
Culture Documents
APROBADO
POR: Seguridad lógica Auditoría Fecha:
Sistemas operativos - Generic
asignado Seg
und
Sub-Sec. auditoría Paso Fecha Árbi Iniciales
o. tro.
U SISTEMAS DE ENTENDIMIENTO
N
U 1.0 Organización
N Objetivo: Para asegurar que el equipo de auditoría tiene una clara comprensión de la
delimitación de responsabilidades para la administración y mantenimiento del sistema.
U 1.1 Determinar quién es responsable de la administración y mantenimiento de sistemas.
N Obtener
un organigrama actual, si está disponible.
se GESTIÓN DE LA SEGURIDAD
gu
nd
o
se 1.0 Roles y responsabilidades
gu Objetivo: Para asegurar que los roles y responsabilidades para la gestión de la seguridad se
han definido claramente y de manera adecuada.
nd
o
seg 1.1 Determinar quién es responsable de asegurar que el entorno de procesamiento está
un en
do cumplimiento de las políticas y normas de seguridad aplicables corporativa.
seg 1.2 Determinar si o no los sistemas adecuados y personal de administración de
un seguridad están involucrados en la definición de políticas y normas de seguridad
do corporativas para asegurar la aplicación de las políticas y normas en todo el
procesamiento
ambiente.
do ADMINISTRACIÓN DE
SEGURIDAD
do 1.0 Roles y responsabilidades
Objetivo: Para asegurar que los roles y responsabilidades para la administración de la
seguridad se han definido claramente y de manera adecuada.
do 1.1 Determinar si el papel y las responsabilidades del administrador de seguridad han
sido
formalmente definidos y documentados.
APROBADO
POR: Seguridad lógica Auditoría Fecha:
Sistemas operativos - Generic
asignado Seg
und
Sub-Sec. auditoría Paso Fecha Árbi Iniciales
o. tro.
do 1.2 Determinar si los individuos con responsabilidades de administración de seguridad
se dedican a la administración de la seguridad en una base de tiempo completo? Si
la administración de la seguridad es una responsabilidad a tiempo parcial,
determinar si los individuos con responsabilidades de administración de seguridad
tienen otras responsabilidades que son incompatibles con la función de
administración de la seguridad.
APROBADO
POR: Seguridad lógica Auditoría Fecha:
Sistemas operativos - Generic
asignado Seg
und
Sub-Sec. auditoría Paso Fecha Árbi Iniciales
o. tro.
re 4.3 Evaluar la configuración del sistema operativo actual para asegurarse de que los
ajustes están en conformidad con las políticas y estándares corporativos pertinentes
y se ajustan a las mejores prácticas.
re 4.3.1 Asegúrese de que todas las contraseñas por defecto para las cuentas del sistema
predefinidas han sido
cambiado.
re 4.3.2 Determinar si las configuraciones de perfiles de cuenta del sistema
predefinidas se han cambiado de la configuración de los proveedores. Si es
así, determinar por qué y evaluar la
efecto de los cambios en la seguridad del sistema.
re 4.3.3 Determinar si las configuraciones de perfiles de grupos predefinidos se han
cambiado de la configuración de los proveedores. Si es así, determinar por
qué y evaluar el efecto
de los cambios en la seguridad del sistema.
re 4.3.4 Asegúrese de que todas las cuentas de invitados se han desactivado o eliminado
del sistema.
re 4.3.5 Asegúrese de que las contraseñas asignadas para las cuentas de superusuario son
conocidos por
Sólo el personal de administración del sistema / seguridad apropiadas.
re 4.3.6 Asegúrese de que todos los servicios del sistema definidas han sido aprobados y
están en
cumplimiento de las políticas y normas de configuración relevantes.
re 4.3.7 Asegurar que los servicios de todos los sistemas están configurados para los
puertos apropiados del sistema.
re 4.3.8 Asegurar que los procesos están en su lugar para evitar que el sistema operativo
de ser
arrancado con los ajustes de configuración no autorizados.
NOTA: las secciones D a D 6.0 8.0 sólo son aplicables si los sistemas de seguridad
de terceros están instalados y confiar en mi gestión para el control de nivel del
sistema
acceso (por ejemplo, TopSecret).
re 6.0 Configuración del sistema de seguridad - Políticas y Normas
Objetivo: Para asegurar que las instalaciones de terceros y actualizaciones del sistema de
seguridad se configuran de acuerdo con las políticas y normas de seguridad y configuración
apropiadas.
re 6.1 Determinar si existen políticas y normas formales para la configuración de la
tercera
Copyright © 1999. Lanza M. Turcato. Todos los derechos Página 8
reservados.
sistema de seguridad de parte examinado.
re 6.2 Si existen políticas y normas, identificar cuál de estas políticas y normas son
aplicable al medio ambiente bajo estudio.
re 6.3 Determinar si los procedimientos están en su lugar para asegurar el cumplimiento
de las políticas y normas aplicables en todo el proceso de configuración para el
sistema de seguridad
instalaciones y actualizaciones.
APROBADO
POR: Seguridad lógica Auditoría Fecha:
Sistemas operativos - Generic
asignado Seg
und
Sub-Sec. auditoría Paso Fecha Árbi Iniciales
o. tro.
re 7.1 Asegúrese de que la instalación de proceso del sistema de seguridad /
actualización está sujeta a las directrices de gestión del cambio empresarial. No
hay más pruebas de los controles sobre los sistemas de mantenimiento del
software es necesario ya que estos controles se abordan en los programas de
auditoría de gestión del cambio.
re 7.2 Determinar si existen procedimientos documentados / las listas de comprobación
para apoyar la configuración
de los parámetros del sistema de seguridad durante el proceso de instalación /
actualización.
re 7.3 Determinar si se mantienen las imágenes de configuración estándar para asegurar la
la consistencia de todos los esfuerzos de configuración para el sistema de seguridad
que se examina.
re 7.4 Determinar si todas las configuraciones del sistema de seguridad han sido
debidamente autorizados, así como debidamente revisado y aprobado por la
dirección apropiada antes
de ser introducido en el entorno de producción.
re 7.5 Determinar si los expedientes adecuados son mantenidos para documentar todas las
modificaciones y
correcciones a los sistemas de seguridad de terceros.
re 7.6 Asegurar que los procedimientos configuración incluyen medidas para garantizar el
cumplimiento de todas
políticas corporativas y las normas pertinentes.
re 7.7 Asegúrese de que los registros apropiados son mantenidos para documentar todas
las desviaciones de
políticas corporativas y las normas pertinentes.
re 7.8 Determinar si las políticas y estándares de configuración del sistema de seguridad
que requieren
todas las contraseñas predeterminadas por los proveedores suministrado
para las cuentas del sistema predefinidas se cambian inmediatamente
después de la instalación o actualización,
todos los proveedores que no sean necesarios suministra cuentas del sistema,
es discapacitada o eliminado, y
todas las contraseñas de las cuentas del sistema con privilegios se
asignan al personal del sistema / administración de seguridad
apropiadas.
mi CONTROLES DE ACCESO
mi 1.0 Administración de cuentas
Objetivo: Para asegurar que los controles adecuados están en su lugar durante el proceso
de gestión de cuentas a nivel de sistema.
mi 1.1 Reunirse con el personal de administración de seguridad para obtener una
comprensión del proceso de gestión de cuentas. Considerar:
Son conscientes de las políticas corporativas y las normas pertinentes en
relación con la gestión de cuentas de usuario del sistema / administradores
de seguridad?
Se han desarrollado procedimientos formales de gestión de cuenta?
Son procedimientos formales en su lugar sobre la creación de nuevas
cuentas de usuario?
Son procedimientos formales en su lugar sobre la modificación
de las cuentas existentes?
Son procedimientos formales establecidos para asegurar que las
cuentas de nivel de sistema son discapacitados y / o eliminado con
prontitud para los empleados despedidos?
Son procedimientos formales para garantizar que el acceso del
usuario derechos son revisados y modificados para los empleados
transferidos de manera adecuada?
Se utilizan herramientas automatizadas de terceros?
Están elaborados de forma interna los scripts utilizados?
Son todas nuevas cuentas de nivel de sistema autorizado por la dirección
apropiada antes de la creación?
Se mantiene la documentación apropiada para apoyar la autorización de
todas las cuentas de nivel de sistema?
Se plantillas de cuenta de usuario utilizado para la configuración de nuevas
cuentas o hace el administrador de seguridad / sistema de puesta a punto
cada cuenta desde cero?
¿Todos los identificadores de nivel de sistema siguen una convención de
nomenclatura coherente?
Son todos los identificadores de cuenta única?
¿El departamento de Recursos Humanos establecerá personal de
administración de seguridad con informes periódicos de los empleados
despedidos y transferidos?
Se revisiones periódicas de los derechos de acceso de usuario completaron
mediante una gestión adecuada para garantizar que los derechos de acceso
siguen siendo acorde con las responsabilidades del trabajo del usuario?
Han sido los sistemas configurados para desactivar automáticamente las
cuentas que han estado inactivas por un período de tiempo excesivo
(por ejemplo, 90 días)?
mi 1.2 Si está disponible, revisar los procedimientos documentados en el lugar para
apoyar cuenta de usuario
las actividades de gestión.
mi 1.3 Solicitar una lista de todas las cuentas del sistema de la seguridad / sistemas
responsables
administrador.
mi 1.3.1 Revisar la lista de cuenta del sistema y determinar si todos los ID siguen una
constante
convención de nombres y cumplir con las normas existentes.
APROBADO
POR: Seguridad lógica Auditoría Fecha:
Sistemas operativos - Generic
asignado Seg
und
Sub-Sec. auditoría Paso Fecha Árbi Iniciales
o. tro.
mi 3.1 Reunirse con el personal de administración de seguridad para obtener una
comprensión de los controles sobre la configuración de perfiles de usuario.
Considerar:
Son estándares en su lugar sobre la configuración de perfiles de usuario?
Se privilegios y derechos de acceso concedidos a las cuentas de usuario
individuales o son otorgados a grupos y luego se asignan a los usuarios
mediante la asignación de usuarios a esos grupos?
Han definiciones de acceso estándar sido establecidos por la función de
trabajo o servicio (producto)?
¿Cómo se establecen los perfiles de usuario?
Se plantillas de perfil de usuario utilizado para crear nuevos perfiles de
usuario?
Se perfiles existentes copiados y modificados para crear un nuevo
perfil?
Son todos los nuevos perfiles de usuario creados a partir de cero?
Se configuran los perfiles de usuario para garantizar que los usuarios se
limitan a aplicaciones y menús adecuados?
Están restringidos a los usuarios el acceso a la línea de comandos del
sistema operativo en el entorno de producción?
Se colocan restricciones de tiempo en el uso de las cuentas?
Se colocan restricciones de estación en el uso de las cuentas?
mi 3.2 Seleccionar una muestra de cuentas de la cuenta del sistema listado solicitado en el
paso E
1.3.
mi 3.2.1 Revisar las actuales configuraciones de perfiles de usuario para cada una de las
cuentas incluidas en la muestra:
Asegúrese de que los perfiles de usuario se configuran de forma
segura y cumplen con las normas y estándares corporativos
aplicables.
Asegúrese de que los derechos de acceso y privilegios asignados a
cada usuario se corresponden con las responsabilidades del trabajo
del usuario.
Si se utilizan secuencias de comandos de inicio de sesión, asegúrese
de que los guiones de entrada están asegurados adecuadamente.
Asegúrese de que el directorio principal para cada cuenta está
correctamente referenciada y asegurado.
Asegúrese de que la cuenta no ha estado inactivo durante un período
de tiempo razonable (por ejemplo, mayor de 90 días).
mi 4.0 Perfil Grupo Configuraciones
Objetivo: Para asegurar que los controles adecuados están en su lugar sobre la
configuración de perfiles de grupo para asegurar que los derechos de acceso para los
usuarios asignados a los perfiles de grupo son proporcionales a las responsabilidades del
trabajo de los usuarios.
APROBADO
POR: Seguridad lógica Auditoría Fecha:
Sistemas operativos - Generic
asignado Seg
und
Sub-Sec. auditoría Paso Fecha Árbi Iniciales
o. tro.
mi 8.1 Reunirse con el personal de administración de seguridad para obtener un
entendimiento de los controles en el lugar sobre cuentas genéricas / compartidos:
Son cuentas genéricas / compartidos utilizados (esto es, operador, etc.)? Si
es así, en qué se basa?
Son conscientes de las normas en su lugar sobre la asignación y el uso
de estas cuentas del sistema / administradores de seguridad?
mi 8.2 Revisar la lista de cuentas adquiridas en el paso E 1.3 e identificar todas las cuentas
y las cuentas genéricas que parecen ser las cuentas compartidas.
mi 8.3 Si se identifican cuentas genéricas o compartido, discutir estas cuentas con un
manejo adecuado para determinar si el uso de estas cuentas es razonable
y con base en los requerimientos del negocio.
mi 8.4 Determinar si las políticas y normas en materia de cuentas genéricas / compartidos
están siendo
reunió.
APROBADO
POR: Seguridad lógica Auditoría Fecha:
Sistemas operativos - Generic
asignado Seg
und
Sub-Sec. auditoría Paso Fecha Árbi Iniciales
o. tro.
F 1.3.2 Evaluar la idoneidad de los derechos de acceso asignados a las cuentas y los
grupos identificados.
F 1.3.3 Determinar si el acceso universal (es decir, el mundo, todo el mundo) se ha
concedido a cualquiera de
los directorios del sistema o archivos.
F 1.4 Determinar si los archivos de sistema adecuados se han cifrado (es decir, archivos
de contraseñas).
F 1.5 Determinar si las secuencias de comandos, los procedimientos de comandos o
aplicaciones han sido
desarrollado, que tiene la capacidad de alterar directorio o archivo de seguridad.
APROBADO
POR: Seguridad lógica Auditoría Fecha:
Sistemas operativos - Generic
asignado Seg
und
Sub-Sec. auditoría Paso Fecha Árbi Iniciales
o. tro.
G NOTIFICACIÓN y Auditoría
R
A
M
O
G 1.0 Explotación florestal
R Objetivo: Para asegurarse de que los eventos de seguridad apropiados se registran para
proporcionar al personal de administración de seguridad con la capacidad de controlar
A adecuadamente la seguridad del sistema.
M
O
G 1.1 Determinar si el personal de administración y seguridad / sistemas están al tanto de
R las empresas
A normas que existen para la configuración de instalaciones de registro de auditoría
M del sistema.
O
G 1.2 Evaluar la configuración actual de las instalaciones de registro de auditoría del
R sistema:
A Se están registrando los eventos apropiados?
M intentos fallidos de inicio de sesión
O archivos y objetos de intentos de acceso fallidos
Cuenta y perfil de grupo adiciones, modificaciones y supresiones
Cambios en las configuraciones de seguridad del sistema
apagado del sistema y se reinicia
operaciones privilegiadas
El uso de los servicios públicos sensibles
El acceso a los archivos de datos críticos
Se escriben en las entradas de auditoría correspondientes archivos de registro
/ bases de datos?
Son recursos de auditoría de sistemas configurados para iniciarse
automáticamente durante el proceso de arranque / IPL?
Son configuraciones actuales en el cumplimiento de las políticas y
normas pertinentes?
G 1.3 Determinar si los archivos de registro de auditoría están asegurados
R adecuadamente.
A
M
O
G 1.4 Determinar si los archivos de registro de auditoría están respaldados en una base
R regular.
A
M
O
G 1.5 Determinar si los archivos de registro de auditoría se archivan en una base regular.
R
A
M
O
G 2.0 informes
R Objetivo: Para asegurar que los informes correspondientes se producen para resumir los
datos registrados en los registros de auditoría para que los eventos de seguridad pueden
A ser controlados de manera eficiente en el momento oportuno.
Copyright © 1999. Lanza M. Turcato. Todos los derechos Página
reservados. 15
M
O
G 2.0 Determinar si el personal de administración y seguridad / sistemas están al tanto de
R las empresas
A normas relativas a la presentación de informes de seguridad.
M
O
G 2.1 Evaluar los procesos y procedimientos de información de seguridad actual:
R Se generan informes de seguridad de forma regular?
A Se utilizan filtros para seleccionar datos de los archivos de registro de
M auditoría para generar informes significativos y útiles de seguridad?
O Se automatizan los medios de notificación activo:
Alertas publican en las consolas de sistema
páginas automáticas para los eventos de seguridad específicos
mensajes de correo electrónico automáticos generados por eventos de
seguridad específicos
Son los procesos de información de seguridad y los procedimientos
actuales en el cumplimiento de las políticas y normas pertinentes?
G 3.0 Supervisión
R Objetivo: Para garantizar que los procesos y procedimientos adecuados en el lugar para
controlar los informes de seguridad con el fin de detectar violaciónes de seguridad y los
A cambios no autorizados en las configuraciones de seguridad del sistema en el momento
M oportuno.
O
G 3.1 Determinar si el personal de administración y seguridad / sistemas están al tanto de
R las empresas
A normas relativas a la revisión de los registros de auditoría de seguridad.
M
O
firmado:
firmado: