Задачи контроля
|
Контрольные мероприятия
|
Осуществленные/отраженные мероприятия
|
Операции управляются в соответствующем порядке для поддержки программирования, исполнения, мониторинга и преемственности программ и ИТ процессов для обработки и записи полных, точных и надежных финансовых операций
|
Процедуры обработки в серии и он-лайн определены и выполнены, так что деятельность и/или операции обрабатываются до нормального завершения или восстановлены и перенастроены.
|
АИС ОМС с центрального офиса подключена к Территориальным агентствам, Государственному казначейству, ГП «Registru» и др. Все эти связи направлены на обмен информацией. Данный обмен информацией организован как серийная процедура. В определенный момент отдельные файлы отсылаются и принимаются, и после данные файлы загружаются в приложения. Согласно декларациям, полученным от субъекта, данные серийные процессы обозначены в Руководстве администратора АИС ОМС.
|
Регистры транзакций используются для отслеживания процессирования через систему и для проверки разрешений и сохранности процессирования в режиме реального времени.
|
Как было отмечено субъектом, регистры (записи) транзакций постоянно сохраняются и хранятся. Все же регистры транзакций не мониторизируются постоянно.
|
Доступ к элементам контроля производственной среды, автоматизированным средствам программирования и исполняемым программам определяется для ограничения возможности для соответствующих лиц выполнять, изменять, удалять или создавать.
|
Работники управления ИТ имеют право администратора для всех приложений компании. Некоторые пользователи обладают правами администратора на своих компьютерах. Так некоторые выполняемые программы (например, программы установки) и системные программы антивирус могут быть акцессированы, изменены или разактивированы несоответствующими лицами.
|
Данные управляются надлежащим образом для обеспечения разумной уверенности в том, что финансовые данные по-прежнему полны, точны и действительны в процессе обновления и хранения
|
Руководство и пользователи планируют и программируют создание резервных копий и сроки хранения копий, а также удаление и выдачу электронных носителей, тогда когда отпадает необходимость в их хранении. Руководство периодически пересматривает сроки хранения и выдачи записей.
|
Резервные копии хранятся на том же устройстве хранения, что и система. Они хранятся в течение двух месяцев. Когда нет свободного места, ответственное лицо из управления ИТ стирает самые старые резервные копии.
|
Все электронные носители (записи, учебники, руководства) маркируются надлежащим образом и своевременно отданы на хранение в безопасное без внешних пагубных воздействий место (высокие температуры, влажность и др.), чтобы свести к минимуму риск утери данных.
|
Копии не сохраняются на отдельных устройствах.
|
Резервные копии архивированы в другом месте, чтобы свести к минимуму риск утери данных.
|
Резервные копии не архивированы в другом месте.
|
Непрерывность чтения хранящихся резервных копий и данных периодически тестируется через восстановление или другими методами.
|
Ни один внутренний документ не предусматривает тестирование резервной копии. Были случаи, когда последняя резервная копия была восстановлена сверх базы данных для тестирования.
Не проведены процедуры тестирования читаемости резервных копий, значит не может быть подтверждена возможность их возмещения.
|
Помещения управляются адекватно для защиты целостности финансовой информации в том порядке, в котором она хранится в соответствующих компонентах ИТ инфраструктуры
|
Доступ в помещения для оборудования ИТ ограничен только для лиц с правом доступа для выполнения служебных обязанностей, по которому осуществляется мониторинг. Необходимо разрешение менеджера информационных технологий перед предоставлением доступа.
|
У входа стоят охранники. Серверная имеет металлическую входную дверь. Лишь два человека имеют ключи от серверной. Не установлена автоматизированная система безопасности (сенсор на двери), а также датчик движения и видеокамера. Не ведется учет доступа в серверную.
|
Руководство ввело проверку адекватности условий (например, альтернативные источники энергии, обнаружение и устранение дыма/огня) для защиты информационных ресурсов от возможного вторжения из вне (например, порывы ветра, вода, огонь). Руководство осуществляет мониторинг эффективности данных контролей, оценивает воздействие потенциальных угроз на информационные ресурсы и планирует систематическое проведение данных контролей.
|
Несмотря на то, что некоторое оборудование имеет сенсоры влажности или температуры (UPS, система кондиционирования), не предусмотрены датчики, предупреждающие о нарушении условий эксплуатации оборудования. Отсутствуют альтернативные источники питания (генераторы) или отдельные линии электросвязи для предотвращения уязвимости системы в случае сбоя поступления электроэнергии. Физический контроль доступа недостаточный. Оборудование не размещено на рекомендованной высоте от пола (15-20 см) для защиты от наводнения.
Система отопления была отключена. Окна зарешечены.
|
Настройка программ и систем обеспечения безопасности управляется надлежащим образом для защиты от несанкциониро-ванных изменений программ и данных, полученных при обработке или записи неполной, неточной или недействительной финансовой информации
|
Политики безопасности созданы и поддерживаются для обеспечения общего руководства и настройки безопасности данных в измененных или новых приложениях, структурах данных, сетевых программных обеспечениях и системах коммуникационного программного обеспечения. Руководство осуществляет контроль за соблюдением политики безопасности.
|
В ходе аудита, Приказом № 146-A от 9.10.2009 г., были утверждены: План действий по защите и обеспечении информационной безопасности в чрезвычайных ситуациях, Регистр рисков для информационной системы Национальной медицинской страховой компании, Положение об обеспечении информационной безопасности в НМСК в качестве политики информационной безопасности, Табель оценки воздействия рисков на информационную систему НМСК.
Вместе с тем указанный приказ не используется в соответствующем порядке и не может быть применен в некоторых случаях в рамках АИС ОМС. Руководство не провело мониторинг соответствия политики безопасности.
|
Пользователь должен иметь единый идентификатор пользователя для различия между пользователями и установить ответственность каждого.
|
АИС ОМС: Кажется, что пользователи имеют единый индикатор, как было видно из списка, вывешенного на экране. Все же мы не получили списки пользователей для тестирования, поскольку отсутствует возможность экспортировать данные в Excel. Также, было замечено, что некоторые имена пользователей и пароли использовались несколькими лицами.
Сеть: Не внедрена система менеджмента сети. Клиент использует самый простой инструмент – Microsoft Networks (стандартный инструмент Windows). В этой связи продолжение тестирования посчиталось нецелесообразным.
|
Идентификация пользователя (как на месте, так и на расстоянии) определяется при доступе в программу, к базам данных, программному обеспечению и коммуникационным сетям и системному программному обеспечению с паролю или при помощи других механизмов определения, согласно политикам безопасности субъекта. Использование паролей предусматривает периодические изменения, конфиденциальность и формат пароли (например, длина пароля, буквенно-цифровой контент).
|
При доступе в ОС Windows или АИС ОМС пользователи используют и пароль. Не применены какие-либо нормы относительно пароли.
В АИС ОМС учетные записи пользователей не заблокированы в результате неоднократного ошибочного введения одной пароли.
|
Возможность изменить общие параметры системы безопасности, в настройке приложений безопасности, структуры данных, программного обеспечения и коммуникационных сетей и программного обеспечения системы соответствующим персоналом.
|
Существует одна учетная запись администратора на сервере АИС ОМС. Как сообщил клиент, два человека используют одну и ту же учетную запись администратора.
Главный сервер HP Itanium используется только для АИС ОМС. Остальные серверы разделены, и соответственно, считаем достаточными объяснения только относительно главного сервера.
|
Определены ответственные лица (владельцы) за все приложения и элементы данных для установления ответственности за безопасность и сохранность данных.
|
Ответственные за данные могут быть определены, но отсутствует документ устанавливающий их.
В компании отсутствует обозначение требований относительно лица, ответственного за данные.
|
Безопасность систем внедрена, администрирована и зарегистрирована (журналы деятельности) в соответствующем порядке для защиты от несанкционированного доступа или изменений программ и данных в результате обработки или записи неполной, неточной или недействительной финансовой информации
|
Ответственные за приложения санкционируют характер и уровень прав доступа пользователя, и такие права периодически рассматриваются ответственными за приложения лицами для проверки факта если права доступа являются соответствующими.
|
С того момента, как в компании отсутствует данное обозначение, руководители департаментов требуют и авторизируют создание новых пользователей. Директоры ПМСУ, также, требуют создания новых пользователей. В ПМСУ есть два вида ролей: операторы и статистики.
|
Менеджер по безопасности информирован о сотрудниках, которые изменили роли и полномочия, были переведены или освобождены от занимаемых должностей. Права доступа таких работников незамедлительно изменены для обозначения их нового статуса.
|
Не используется шаблон для заявлений на предоставление права доступа. Все заявления написаны. В последнее время все заявления регистрируются в секретариате и их копии передаются департаменту ИТ.
|
Роль и полномочия относительно управления информационной безопасности определены и субъект ограничен соответствующем персоналом.
|
Существуют должностные требования для начальника ИТ подразделения и для других работников ИТ управления.
Персоналу ИТ предоставлены административные права для всех приложений в рамках компании.
|
Особо важные данные при передачи шифруются.
|
Данные АИС ОМС зашифрованы. Данные передаются через каналы VPN.
|
Антивирусные приложения установлены на всех компьютерах для защиты системы, программ и данных от неавторизированных изменений. Списки (база данных программы антивирус) вирусов систематически обновляются. Все программы и файлы данных сети систематически сканируются, используя обновленные списки.
|
Компания использует (антивирусную) программу AV Nod32 для рабочих станций. Отсутствует какое-либо приложение к серверу для управления всех рабочих станций с расстояния. Рабочие станции запрограммированы на еженедельное сканирование. Актуализация базы данных производится автоматически (одновременно с появлением на web).
Относительно сервера АИС ОМС: На сервере не установлена ни одна программа антивирус, поскольку АИС ОМС несовместима ни с одной из них.
|
Программы и системы закуплены или разработаны для обеспечения надлежащей обработки и точной, полной и действительной регистрации финансовой информации
|
Используется стабильная методология или процесс, утвержденный руководством, для отслеживания закупки, разработки, изменения и содержания приложений, баз данных, сетевых и коммуникационных программ; системных программ и оборудования для установления деятельности по разработке и содержанию субъекта.
|
НМСК не имеет методологию или форматизированный процесс отслеживания закупок, внедрения новых систем.
|
Существуют политики и процедуры предусматривающие, что запросы должны быть удовлетворены закупками, разработками, изменения системы или проект содержания должны быть определены и утверждены руководством при начале проекта.
|
НМСК не имеет политику или процедуру требующие, чтобы потребности пользователей были бы удовлетворены.
В компании отсутствует отдел «help desk», который должен отвечать на вопросы относительно системы.
|
Приложения, базы данных, сетевые и коммуникационные, программы системы и закупленное оборудование, разработанные и измененные, протестированные до внедрения согласно утвержденным планам тестирования.
|
Как было заверено субъектом, каждое приложение должно быть протестировано до внедрения.
Первоначально АИС ОМС была внедрена для экспериментального пользования. Все же в компании отсутствует политика относительно видов тестирования (тестирование системы и субъекта, тестирование интерфейса, параллельное тестирование, тестирование возможностей и тестирование признания пользователя (user acceptance testing) и др.), кто должен его проводить и кто должен признать успешное завершение тестирования.
|
Программы и системы внедрены соответствующим образом для оказания поддержки при обработке и точной, полной и действительной регистрации финансовой информации
|
Проблемы, выявленные в ходе тестирования приложений, баз данных, сетевых и коммуникационных программ, программ систем и закупленного оборудования, разработанных и измененных, задокументированы и впоследствии отслежены для исправления.
|
Как было заявлено субъектом любая проблема, возникшая в ходе тестирования была решена. Все же, не были задокументированы и зарегистрированы возникшие проблемы и их решения.
|
Приложения, базы данных, сетевые и коммуникационные программы, программы системы и оборудования разработаны, изменены, разработаны и протестированы в отдельной производственной среде. Доступ к среде развития и тестирования ограничен в соответствующем порядке.
|
Среда тестирования отделена от производственной среды, несмотря на то, что находится на том же логическом диске на сервере. Практически все конечные пользователи имеют доступ к обеим средам (обе ссылки на процесс производства и тестирования находятся на компьютерах пользователей). Для минимизации ошибочного доступа пользователи имеют другие имена для тестового приложения.
Один пользователь (в ТА Кишинэу, компьютер которого был проанализирован) должен был изменить системный путь доступа к базе данных в тестовой среде.
|
Пользователи проводят тестирование программ и систем в защищенной среде, отдельно от производственной, перед тем как закупленные программы и системы, разработанные или измененные, были бы внедрены.
|
В компании отсутствует политика в части вида тестирования, кто должен его проводить и кто должен акцептировать успешное завершение тестирования.
|
Изменения программ и систем управляются соответствующим образом, чтобы свести к минимуму вероятность операционных сбоев, несанкционированного изменения и ошибок, влияющих на точную, полную и действительную обработку финансовой информации
|
Заявления пользователей и другие запросы по изменению приложений, баз данных, сетевых и коммуникационных программ, системное программное обеспечение и оборудование, в том числе модернизация, исправление ошибок и неотложные изменения документированы и утверждены руководством для проверки, что все изменения производственной среды были документированы, протестированы и заверены.
|
Существует корреспонденция между НМСК, в том числе управления ИТ, МИТС и конечными пользователями, переданная ИТ управлением МИТС. Как было отмечено субъектом, не были получены адекватные ответы на все запросы.
Незначительные проблемы с пользователями решаются по мере их поступления (по телефону или устно) работниками ИТ управления. Незначительные проблемы не зарегистрированы в журнале инцидентов.
|
Руководство осуществляет мониторинг внедрения всех изменений, в том числе неотложных изменений (например, путем пересмотра реестров (журналов деятельности), всех изменений производственной среды) для проверки, что все утвержденные изменения были применены в производственной среде.
|
В компании отсутствует подобная деятельность.
|
Руководство осуществляет мониторинг, если только версии составленные производителем (законные) приложений, баз данных, сетевых и коммуникационных программ, системное программное обеспечение и оборудование используются в производстве, и что новые версии внедрены в соответствии с определенной ИТ стратегией, соответствующей планам и стратегиям субъекта.
|
Руководство не отслеживает тот факт, чтобы системные версии производителя (законные) были бы использованы в производстве и были бы внедрены в соответствии со стратегией ИТ.
Например: (a) Windows Server 2003, официально приобретенный не используется компанией из-за ошибок. Взамен установлена пиратская версия (незаконная), поскольку она более стабильна. (b) MS SQL Server – используется пробная версия (неподдерженная производителем), требующая переустановки каждые 180 дней.
|
Субъект составил письменные соглашения с внешними партнерами и/или распределителями информационных программ технической поддержки, в случае необходимости. Руководство мониторизирует соблюдение данных соглашений.
|
Договор с МИТС истек в июне 2009 года. До настоящего времени договор не был обновлен, но некоторые действия произведены МИТС.
|
