Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

12 Introduction La dépendance accrue vis-à-vis des actifs des systèmes d'inform

12 Introduction La dépendance accrue vis-à-vis des actifs des systèmes d'information pour l'exécution des fonctions critiques d'une organisation a renforcé la nécessité d'utiliser les audits des systèmes d'information comme contrôle pour garantir la confidentialité, l'intégrité et la disponibilité des ressources des systèmes d'information. Les principaux problèmes auxquels un auditeur de systèmes d'information est confronté sont le biais technologique apparent du sujet, l'absence d'approche d'audit normalisée et le manque de disponibilité de listes de contrôle normalisées. QUESTIONS IMPORTANTES DE SÉCURITÉ DANS LES BANQUES Les problèmes de sécurité importants impliqués dans un audit des systèmes d'information d'une banque, ainsi que d'autres organisations, sont les suivants : Gestion des accès utilisateurs L'auditeur doit vérifier les deux points suivants : 1. L'existence de procédures formelles contrôlant l'attribution des droits d'accès aux utilisateurs individuels. 2. Les procédures doivent couvrir tout le cycle de vie de l'accès des utilisateurs, de l'enregistrement de nouveaux utilisateurs à la désinscription. Enregistrement de l'utilisateur L'auditeur des systèmes d'information doit confirmer si le processus et la politique d'enregistrement des utilisateurs comprennent les 10 domaines suivants : 1. Utilisation d'identifiants d'utilisateur uniques afin qu'un utilisateur puisse être identifié à partir de l'identifiant utilisé pour accéder aux ressources du système d'information. 2. Les identifiants de groupe ne doivent être attribués que lorsque la nature du travail à effectuer l'exige. Les ID de groupe sont utilisés par plusieurs personnes et sont généralement attribués lorsque l'utilisateur récupère principalement des informations et n'en saisit aucune. Un exemple d'un tel profil est celui d'un auditeur. Le coût des licences individuelles peut également motiver l'audité à attribuer des ID de groupe afin qu'au lieu d'un seul utilisateur accédant à la ressource, plusieurs utilisateurs puissent y accéder avec le même ID. Les ID utilisateur définis par le système obligent souvent une organisation à les utiliser comme ID de groupe. Par exemple, si l'ID d'administrateur système défini par le système est «admin», toutes les personnes qui doivent utiliser les fonctionnalités administratives de l'application seront obligées d'utiliser le même ID. 12 3. Le propriétaire de l'actif doit autoriser des utilisateurs spécifiques à utiliser l'actif. 4. Le niveau d'accès accordé est conforme aux exigences fonctionnelles de l'utilisateur et est aligné sur la politique de sécurité du système d'information de l'audité. 5. Les utilisateurs doivent signer une déclaration contenant leurs droits d'accès respectifs et accepter les conditions d'utilisation. 6. Aucune ressource système n'est rendue accessible à quiconque avant la fin de la procédure d'autorisation. 7. Toutes les autorisations d'accès accordées sont documentées. 8. Les droits d'accès sont supprimés dès que l'utilisateur n'a plus besoin d'un tel accès et en particulier lorsque l'utilisateur a quitté l'organisation. 9. Les ID utilisateur et les comptes redondants sont identifiés périodiquement et supprimés. Ces ID utilisateur redondants ne sont pas réémis aux autres utilisateurs avant l'expiration d'un délai spécifique. Dans les cas d'identifiants génériques, cela peut ne pas être possible et des précautions supplémentaires doivent être prises pour réinitialiser le mot de passe utilisé par l'utilisateur précédent. 10. Les contrats de travail et les contrats de prestataires de services précisent que la violation des droits d'accès entraînera des procédures pénales. Authentification des utilisateurs Tous les utilisateurs, quel que soit leur profil fonctionnel, doivent avoir un identifiant unique (ID utilisateur) afin que les activités puissent ensuite être retracées, documentées et utilisées comme preuve légale, si nécessaire. La seule exception à cette règle est l'utilisation d'un ID générique et d'un ID de groupe lorsque des contrôles supplémentaires doivent être établis pour identifier les personnes utilisant l'actif. L'identification des utilisateurs individuels de l'actif informationnel peut être facilitée en adoptant la procédure suivante fondée sur les meilleures pratiques: 1. Attribution d'identifiants d'utilisateur uniques à chaque utilisateur individuel de l'actif des systèmes d'information. 2. Tenir le cessionnaire d'un ID utilisateur responsable de tous les actes, ou de l'absence de ceux-ci, accomplis sous l'ID utilisateur, sauf si le vol d'identité a été signalé et établi. 3. Établissement d'une piste d'audit de toutes les activités effectuées par n'importe quel ID utilisateur. Système de gestion des mots de passe L'auditeur des systèmes d'information doit vérifier si le système de gestion des mots de passe a mis en œuvre, entre autres, les 12 bonnes pratiques suivantes : 12 1. Utilisation de mots de passe individuels pour maintenir la responsabilité, sauf si l'accès de groupe est accordé à certaines ressources. 2. Les utilisateurs doivent pouvoir définir et modifier leur propre mot de passe et le processus doit inclure une procédure de confirmation pour contrôler les erreurs de saisie. 3. Définition et application d'une force minimale pour les mots de passe proposés par les utilisateurs, y compris les éléments suivants : A. Utilisation d'un nombre minimum de caractères. B. Application d'une combinaison de caractères alphabétiques, numériques et spéciaux. C. Interdiction d'utiliser un identifiant d'utilisateur, un nom d'utilisateur ou des informations similaires dans le cadre du mot de passe. D. Informer les utilisateurs des dangers liés à l'utilisation d'un mot de passe pouvant être lié à l'utilisateur, tel que la date de naissance ou le numéro de téléphone. D. Décourager l'écriture des mots de passe et les stocker dans un endroit accessible au public. 4. Partout où un mot de passe est temporaire accordé, les utilisateurs doivent être obligés de le changer à la première connexion. 5. Appliquer le changement des mots de passe à l'expiration d'une certaine période, que le mot de passe ait été ou non utilisé. 6. Une période de temps définie ou un nombre d'instances pour conserver l'historique d'un mot de passe, qui ne peut pas être réutilisé pendant une période définie. 7. Fournir un mot de passe de détresse pour les opérations sensibles, qui peut être utilisé pour alerter les administrateurs système, les autres membres du personnel et les forces de l'ordre lorsque l'accès est sous la contrainte. 8. Les mots de passe sont masqués à l'écran lorsqu'ils sont saisis, quels que soient les appareils utilisés. 9. Les fichiers de mot de passe ne sont pas stockés avec les données du système d'application. 10. Les mots de passe sont transmis et stockés sous une forme cryptée. 11. Le mot de passe par défaut fourni par le fournisseur ou l'agence d'exécution est modifié immédiatement après l'installation du matériel / logiciel. 12. Le partage de mots de passe est défini comme un manquement à une conduite acceptable entraînant des actions disciplinaires et judiciaires. Limitation des tentatives de connexion 12 L'auditeur des systèmes d'information doit vérifier si les deux meilleures pratiques suivantes sont prises en compte pour les tentatives de connexion non autorisées : 1. Suspension des ID utilisateur après un nombre défini de tentatives de connexion infructueuses. Dans le cas d'un système sensible, le nombre de tentatives peut être cumulatif sur plusieurs jours et remis à zéro uniquement si une connexion réussie a lieu. Une application courante de ce contrôle est dans le système d'accès utilisateur pour les services bancaires par Internet. Dans certains cas, la suspension est automatiquement levée à la fin de la journée, par exemple, le code PIN d'une carte bancaire. 2. Définition d'un délai maximal d'inactivité et de fin de session si le délai spécifié est dépassé. Une application commune se trouve aux guichets automatiques bancaires, qui annulent la connexion si aucune activité n'est observée pendant une période donnée. La plupart des sites sécurisés mettent fin à la session après une inactivité sur une période définie. Terminaux sans surveillance L'auditeur doit vérifier si des mesures appropriées, y compris les six suivantes, ont été mises en œuvre pour empêcher l'utilisation non autorisée d'un terminal sans surveillance connecté au système : 1. Déconnexion forcée après une période d'inactivité définie, qui nécessitera une nouvelle authentification de l'utilisateur avant que le travail puisse reprendre sur le terminal. 2. Arrêt obligatoire du terminal après une certaine heure de la journée ou une période d'inactivité. 3. Éduquer tous les utilisateurs, internes et externes, sur les exigences et les procédures de sécurité à observer pour protéger les terminaux sans surveillance. Les utilisateurs doivent également être informés de leurs responsabilités dans la mise en œuvre de cette protection. 4. Toutes les sessions actives doivent être terminées une fois que l'utilisateur a indiqué la fin de sa fonction. Dans le cas de fonctions impliquant un traitement sur une longue période de temps où la session ne peut pas être terminée malgré l'absence d'interface utilisateur, le système doit être sécurisé par un mécanisme de verrouillage approprié, y compris un économiseur d'écran protégé par mot de passe. 5. Lorsqu'un terminal termine une session avec le serveur, la session doit être terminée même lorsque le terminal est éteint sans se déconnecter. 6. Les terminaux situés dans des endroits sensibles ou impliqués dans des fonctions sensibles devraient s'arrêter automatiquement après une période d'inactivité définie. Cette fonction doit effacer séquentiellement l'écran du terminal, fermer l'application et déconnecter les sessions réseau après la période d'inactivité définie. 12 Restriction d'accès à l'information Les restrictions d'accès aux informations peuvent être appliquées en concevant des contrôles qui résolvent divers problèmes, dont les quatre suivants : 1. Les applications utilisées doivent fournir des privilèges d'accès basés sur les menus aux utilisateurs de uploads/s1/ conduire-une-mission-audit-si 1 .pdf