| Gartner Group предоставила тест, который необходимо применять для проверки любого ASP, чьими услугами вы собираетесь воспользоваться. Ответ "нет" на любой из вопросов указывает на серьезную уязвимость и наличие риска для приложения и данных. Сетевой уровень: - Требует ли ASP двухфакторной идентификации для административного контроля всех маршрутизаторов и брандмауэров? Поддерживается ли 128-битное шифрование и двухфакторная идентификация для связи клиентской локальной сети с рабочей магистралью ASP?
- Проводит ли ASP (или опытная консалтинговая компания) проверку на проникновение извне не реже, чем раз в квартал, и аудит сетевой безопасности - хотя бы раз в год? Имеются ли документированные требования к безопасности клиентской сети (с функциями контроля)?
Платформа операционной системы (ОС) (обычно Windows NT или Unix): - Может ли ASP представить документы о правилах усиления ОС в своей сети и на других серверах? Усиление ОС включает: удаление всех ненужных служб (например, Telnet или FTP); отключение всех неиспользуемых каналов связи (например, портов TCP/IP); установку всех требуемых пэтчей безопасности; минимизацию учетных записей системного администратора и доступа к регистрации/аудиту системы.
- Если ASP располагает клиентские приложения на одном физическом сервере, есть ли у него документированный набор средств управления, которые обеспечивают разделение данных и информации о безопасности между приложениями клиентов?
Программное обеспечение: - Проверяет ли ASP надежность скриптов и кода интегрирования, которые добавляются к коммерческим приложениям? Как он это делает?
- Предусмотрены ли услуги по выявлению вторжения в приложение или транзакцию?
- Документированы ли стандарты и процессы безопасности, которые используются для создания интерфейсов с другими системами?
Операции: - Осуществляет ли ASP проверку личности работников, которые имеют административный доступ к серверам и приложениям?
- Может ли ASP представить документированные процессы для: оценки безопасности ОС и приложений; установки пэтчей безопасности и служебных пакетов?
- Применяется ли технология однократной записи для хранения контрольных отчетов и журналов безопасности?
- Имеются ли документированные процессы для выявления вторжения, реагирования на инцидент и эскалации/расследования инцидента?
- Является ли ASP членом Форума групп борьбы с компьютерными преступлениями (FIRST), а если нет, использует ли услуги организации - члена Форума? Применяет ли "аварийные" службы с теми же операциями и процедурами безопасности?
- Предоставляет ли системным пользователям услуги идентификации?
- Имеет ли документированные процессы для добавления, удаления и проверки ключей безопасности для всех пользователей?
- Если используется аутсорсинг услуг идентификации, есть ли у исполнителя документированный процесс для управления и проверки пользовательских ключей?
Конечные пользователи: - Имеет ли персонал ASP, отвечающий за безопасность, опыт работы в соответствующей области более 3 лет?
- Есть ли у более чем 75% такого персонала сертификат CISSP или другой сертификат специалиста по информационной безопасности?
- Может ли ASP представить документированные процессы системы поддержки для идентификации посетителей и переустановки (resetting) контроля доступа?
John Xenakis; xot@jxenakis.com. |
