- Văn bản
- Lịch sử
AuditingThe auditing of a cloud sys
Auditing
The auditing of a cloud system has characteristics similar to auditing in the
software development life cycle (SDLC) in that the auditing plan must address
the following:
Determination of the audit’s scope
Determination of the audit’s objectives
Validation of the audit plan
Identifi cation of necessary resources
Conduct of the audit
Documentation of the audit
Validation of the audit results
Report of final results
The Information Systems Audit and Control Association (ISACA) has developed information systems (IS) audit standards, guidelines, and a code of ethics
for auditors that are directly applicable to cloud platforms. This information can
be found on the ISACA website at www.isaca.org. The cloud system security
policy should decompose the audit requirements to risk-based elements that
consider the following three types of audit-related risks:
Inherent risk— The susceptibility of a process to perform erroneously,
assuming that no internal controls exist
Detection risk— The probability that an auditor’s methods will not detect
a material error
Control risk— The probability that extant controls will not prevent or
detect errors in a timely fashion
84 Chapter 3 Cloud Computing Software Security Fundamentals
The cloud system security policy decomposition for auditing should also
consider organizational characteristics such as supervisory issues, institutional
ethics, compensation policies, organizational history, and the business environment. In particular, the following elements of the cloud system organizational
structure and management should be taken into account:
Organizational roles and responsibilities
Separation of duties
IS management
IS training
Qualifi cations of IS staff
Database administration
Third party–provided services
Managing of contracts
Service-level agreements (SLAs)
Quality management and assurance standards
Change management
Problem management
Project management
Performance management and indicators
Capacity management
Economic performance
Application of SOP 98-1,15
which is an accounting statement of position that defi nes how information technology software development
or acquisition costs are to be expended or capitalized
Expense management and monitoring
Information system security management
continuity management
The cloud policy decomposition for the audit component is recursive in that
the audit has to address the cloud system security policy, standards, guidelines,
and procedures. It should also delineate the three basic types of controls, which
are preventive, detective, and corrective; and it should provide the basis for a
qualitative audit risk assessment that includes the following:
cation of all relevant assets
Valuation of the assets
Chapter 3 Cloud Computing Software Security Fundamentals 85
Identifi cation of threats
Identifi cation of regulatory requirements
Identifi cation of organizational risk requirements
Identifi cation of the likelihood of threat occurrence
Defi nition of organizational entities or subgroupings
Review of previous audits
Determination of audit budget constraints
The cloud policy should ensure that auditing can pass a test of due care, which
is defined by the ISACA as “the level of diligence that a prudent and competent
person would exercise under a given set of circumstances.”
16
In the event that it is necessary to conduct forensic investigations in cloud
systems, the confidentiality and integrity of audit information must be protected
at the highest level of security.
In 1996, the ISACA introduced a valuable audit planning and execution tool,
the “Control Objectives for Information and Related Technology (COBIT)” document. As of this writing, COBIT is now in version 4.1. It is divided into four
domains comprising 34 high-level control objectives. These 34 control objectives
are further divided into 318 specific control objectives. COBIT defines a control
objectivethat is a goal aimed at preventing a set of risks from occurring . The
four COBIT domains are as follows:
Planning and organization (PO)— Provides direction to solution delivery
(AI) and service delivery (DS)
Acquisition and implementation (AI)— Provides the solutions and passes
them to be turned into services
Deliver and support (DS)— Receives the solutions and makes them available for end users
Monitor and evaluate (ME)— Monitors all processes to ensure that the
direction provided is followed
NIST 33 Security Principles
In June 2001, the National Institute of Standards and Technology’s Information
Technology Laboratory (ITL) published NIST Special Publication 800-27,
“Engineering Principles for Information Technology Security (EP-ITS),” to
assist in the secure design, development, deployment, and life cycle of information systems. The document was revised (Revision A) in 2004. It presents
33 security principles that begin at the design phase of the information system
or application and continue until the system’s retirement and secure disposal.
86 Chapter 3 Cloud Computing Software Security Fundamentals
Some of the 33 principles that are most applicable to cloud security policies and
management are as follows:
Principle 1 — Establish a sound security policy as the “foundation” for
design.
Principle 2 — Treat security as an integral part of the overall system design.
Principle 3 — Clearly delineate the physical and logical security boundaries governed by associated security policies.
Principle 6 — Assume that external systems are insecure.
Principle 7 — Identify potential trade-offs between reducing risk and
increased costs and decreases in other aspects of operational effectiveness.
Principle 16 — Implement layered security; ensure there is no single point
of vulnerability.
Principle 20 — Isolate public access systems from mission-critical resources
(e.g., data, processes, etc.).
Principle 21 — Use boundary mechanisms to separate computing systems
and network infrastructures.
Principle 25 — Minimize the system elements to be trusted.
Principle 26 — Implement least privilege.
Principle 32 — Authenticate users and processes to ensure appropriate
access control decisions both within and across domains.
Principle 33 — Use unique identities to ensure accountability
The auditing of a cloud system has characteristics similar to auditing in the
software development life cycle (SDLC) in that the auditing plan must address
the following:
Determination of the audit’s scope
Determination of the audit’s objectives
Validation of the audit plan
Identifi cation of necessary resources
Conduct of the audit
Documentation of the audit
Validation of the audit results
Report of final results
The Information Systems Audit and Control Association (ISACA) has developed information systems (IS) audit standards, guidelines, and a code of ethics
for auditors that are directly applicable to cloud platforms. This information can
be found on the ISACA website at www.isaca.org. The cloud system security
policy should decompose the audit requirements to risk-based elements that
consider the following three types of audit-related risks:
Inherent risk— The susceptibility of a process to perform erroneously,
assuming that no internal controls exist
Detection risk— The probability that an auditor’s methods will not detect
a material error
Control risk— The probability that extant controls will not prevent or
detect errors in a timely fashion
84 Chapter 3 Cloud Computing Software Security Fundamentals
The cloud system security policy decomposition for auditing should also
consider organizational characteristics such as supervisory issues, institutional
ethics, compensation policies, organizational history, and the business environment. In particular, the following elements of the cloud system organizational
structure and management should be taken into account:
Organizational roles and responsibilities
Separation of duties
IS management
IS training
Qualifi cations of IS staff
Database administration
Third party–provided services
Managing of contracts
Service-level agreements (SLAs)
Quality management and assurance standards
Change management
Problem management
Project management
Performance management and indicators
Capacity management
Economic performance
Application of SOP 98-1,15
which is an accounting statement of position that defi nes how information technology software development
or acquisition costs are to be expended or capitalized
Expense management and monitoring
Information system security management
continuity management
The cloud policy decomposition for the audit component is recursive in that
the audit has to address the cloud system security policy, standards, guidelines,
and procedures. It should also delineate the three basic types of controls, which
are preventive, detective, and corrective; and it should provide the basis for a
qualitative audit risk assessment that includes the following:
cation of all relevant assets
Valuation of the assets
Chapter 3 Cloud Computing Software Security Fundamentals 85
Identifi cation of threats
Identifi cation of regulatory requirements
Identifi cation of organizational risk requirements
Identifi cation of the likelihood of threat occurrence
Defi nition of organizational entities or subgroupings
Review of previous audits
Determination of audit budget constraints
The cloud policy should ensure that auditing can pass a test of due care, which
is defined by the ISACA as “the level of diligence that a prudent and competent
person would exercise under a given set of circumstances.”
16
In the event that it is necessary to conduct forensic investigations in cloud
systems, the confidentiality and integrity of audit information must be protected
at the highest level of security.
In 1996, the ISACA introduced a valuable audit planning and execution tool,
the “Control Objectives for Information and Related Technology (COBIT)” document. As of this writing, COBIT is now in version 4.1. It is divided into four
domains comprising 34 high-level control objectives. These 34 control objectives
are further divided into 318 specific control objectives. COBIT defines a control
objectivethat is a goal aimed at preventing a set of risks from occurring . The
four COBIT domains are as follows:
Planning and organization (PO)— Provides direction to solution delivery
(AI) and service delivery (DS)
Acquisition and implementation (AI)— Provides the solutions and passes
them to be turned into services
Deliver and support (DS)— Receives the solutions and makes them available for end users
Monitor and evaluate (ME)— Monitors all processes to ensure that the
direction provided is followed
NIST 33 Security Principles
In June 2001, the National Institute of Standards and Technology’s Information
Technology Laboratory (ITL) published NIST Special Publication 800-27,
“Engineering Principles for Information Technology Security (EP-ITS),” to
assist in the secure design, development, deployment, and life cycle of information systems. The document was revised (Revision A) in 2004. It presents
33 security principles that begin at the design phase of the information system
or application and continue until the system’s retirement and secure disposal.
86 Chapter 3 Cloud Computing Software Security Fundamentals
Some of the 33 principles that are most applicable to cloud security policies and
management are as follows:
Principle 1 — Establish a sound security policy as the “foundation” for
design.
Principle 2 — Treat security as an integral part of the overall system design.
Principle 3 — Clearly delineate the physical and logical security boundaries governed by associated security policies.
Principle 6 — Assume that external systems are insecure.
Principle 7 — Identify potential trade-offs between reducing risk and
increased costs and decreases in other aspects of operational effectiveness.
Principle 16 — Implement layered security; ensure there is no single point
of vulnerability.
Principle 20 — Isolate public access systems from mission-critical resources
(e.g., data, processes, etc.).
Principle 21 — Use boundary mechanisms to separate computing systems
and network infrastructures.
Principle 25 — Minimize the system elements to be trusted.
Principle 26 — Implement least privilege.
Principle 32 — Authenticate users and processes to ensure appropriate
access control decisions both within and across domains.
Principle 33 — Use unique identities to ensure accountability
0/5000
Kiểm toánKiểm toán của một hệ thống đám mây có đặc điểm tương tự kiểm tra trong các phần mềm phát triển cuộc sống chu kỳ (SDLC) trong đó kế hoạch kiểm định phải giải quyết Các tùy chọn sau:Xác định phạm vi của kiểm toánXác định mục tiêu của kiểm toánXác nhận của kiểm toán kế hoạchIdentifi cation của nguồn lực cần thiếtTiến hành kiểm toánTài liệu hướng dẫn của kiểm toánXác nhận của các kết quả kiểm toánBáo cáo kết quả cuối cùngThông tin hệ thống kiểm toán và kiểm soát Hiệp hội (ISACA) đã phát triển thông tin hệ thống (IS) kiểm tra tiêu chuẩn, hướng dẫn và quy tắc đạo Đức cho kiểm toán viên trực tiếp áp dụng cho nền tảng điện toán đám mây. Thông tin này có thể được tìm thấy trên các trang web ISACA tại www.isaca.org. An ninh hệ thống đám mây chính sách nên phân hủy các yêu cầu kiểm toán rủi ro dựa trên yếu tố mà xem xét ba loại sau đây của kiểm toán liên quan đến rủi ro:Vốn có nguy cơ-tính nhạy cảm của một quá trình thực hiện sai lầm, giả định rằng không có kiểm soát nội bộ tồn tạiRủi ro phát hiện — khả năng mà người kiểm tra phương pháp sẽ không phát hiện một lỗi vật liệuKiểm soát rủi ro — khả năng mà còn sinh tồn điều khiển sẽ không ngăn cản hoặc phát hiện lỗi một cách kịp thời84 chương 3 Cloud máy tính phần mềm bảo mật cơ bảnĐám mây hệ thống an ninh chính sách phân hủy cho kiểm toán nên cũng xem xét các đặc điểm tổ chức chẳng hạn như vấn đề giám sát, thể chế Đạo Đức, chính sách bồi thường, tổ chức lịch sử, và môi trường kinh doanh. Đặc biệt, các yếu tố sau đây của hệ thống đám mây tổ chức cấu trúc và quản lý nên được đưa vào tài khoản:Tổ chức các vai trò và trách nhiệmLy thân của nhiệm vụIS quản lýĐào tạo Qualifi cation IS nhân viênQuản lý cơ sở dữ liệu Bên thứ ba-cung cấp dịch vụQuản lý hợp đồngThỏa thuận cấp dịch vụ (SLAs)Tiêu chuẩn quản lý và bảo đảm chất lượngQuản lý thay đổiVấn đề quản lýQuản lý dự ánQuản lý hiệu quả và chỉ sốNăng lực quản lýHoạt động kinh tếCác ứng dụng của SOP 98-1,15đó là một tuyên bố kế toán của vị trí đó nes defi làm thế nào phát triển phần mềm công nghệ thông tin hoặc mua lại chi phí phải được sử dụng hoặc HoaChi phí quản lý và giám sátQuản lý an ninh hệ thống thông tinliên tục quản lýĐám mây chính sách phân hủy cho các thành phần kiểm toán là đệ quy trong đó kiểm toán có để giải quyết các chính sách bảo mật hệ thống đám mây, tiêu chuẩn, hướng dẫn, và thủ tục. Nó cũng nên phân định ba loại cơ bản của điều khiển, mà Phòng ngừa, thám tử, và khắc phục; và nó sẽ cung cấp cơ sở cho một chất lượng kiểm toán đánh giá rủi ro bao gồm những điều sau đây:cation của tất cả các tài sản có liên quanĐịnh giá tài sảnChương 3 Cloud máy tính phần mềm bảo mật cơ bản 85Identifi cation của mối đe dọaIdentifi cation của yêu cầu quản lýIdentifi cation của yêu cầu tổ chức rủi roIdentifi cation của khả năng xảy ra mối đe dọaDEFI nition của tổ chức tổ chức hoặc subgroupingsNhận xét của kiểm toán trướcXác định kiểm toán ràng buộc ngân sáchChính sách đám mây nên đảm bảo rằng kiểm toán có thể vượt qua một thử nghiệm của chăm sóc, mà được xác định bởi ISACA như "mức độ siêng năng mà một thận trọng và có thẩm quyền người nào thực hiện theo một tập hợp các tình huống."16Trong trường hợp đó nó là cần thiết để tiến hành các điều tra pháp y trong đám mây Hệ thống, bảo mật và tính toàn vẹn của thông tin kiểm toán phải được bảo vệ ở cấp độ cao nhất của an ninh.Năm 1996, ISACA giới thiệu một có giá trị kiểm tra lập kế hoạch và thực hiện công cụ, tài liệu "kiểm soát mục tiêu cho thông tin và liên quan đến công nghệ (COBIT)". Bài viết này, COBIT là bây giờ ở phiên bản 4,1. Nó được chia thành bốn lĩnh vực bao gồm 34 cao cấp kiểm soát mục tiêu. Những mục tiêu kiểm soát 34 được chia ra thành 318 kiểm soát cụ thể mục tiêu. COBIT xác định một điều khiển objectivethat là một mục tiêu nhằm mục đích ngăn ngừa một tập hợp các rủi ro xảy ra. Các bốn COBIT tên miền là như sau:Lập kế hoạch và tổ chức (PO) — cung cấp hướng để cung cấp giải pháp (AI) và cung cấp dịch vụ (DS)Mua lại và thực hiện (AI) — cung cấp giải pháp và Pass họ được chuyển thành dịch vụCung cấp và hỗ trợ (DS) — nhận được các giải pháp và làm cho họ có sẵn cho người dùng cuốiGiám sát và đánh giá (tôi)-theo dõi tất cả các quy trình để đảm bảo rằng các hướng cung cấp được theo sauNIST 33 an ninh nguyên tắcTháng 6 năm 2001, viện tiêu chuẩn và của công nghệ thông tin Công nghệ phòng thí nghiệm (ITL) xuất bản ấn phẩm đặc biệt NIST 800-27, "Kỹ thuật nguyên tắc cho an ninh công nghệ thông tin (EP-của nó)," để hỗ trợ an toàn thiết kế, phát triển, triển khai và chu kỳ sống của hệ thống thông tin. Các tài liệu chỉnh sửa (sửa đổi A) vào năm 2004. Nó trình bày 33 nguyên tắc bảo mật bắt đầu lúc giai đoạn thiết kế hệ thống thông tin hoặc ứng dụng và tiếp tục cho đến khi nghỉ hưu và xử lý an toàn của hệ thống. 86 chương 3 Cloud máy tính phần mềm bảo mật cơ bảnMột số các nguyên tắc 33 đặt áp dụng đối với điện toán đám mây chính sách an ninh và quản lý là như sau:Principle 1-thiết lập một chính sách bảo mật âm thanh như là nền tảng"" cho thiết kế.Principle 2-xử lý bảo mật như một phần của thiết kế hệ thống tổng thể.Principle 3-rõ ràng phân định ranh giới bảo mật vật lý và hợp lý quản lý theo chính sách bảo mật liên quan.Principle 6-giả định rằng bên ngoài hệ thống là không an toàn.Principle 7 — xác định tiềm năng thương mại-offs giữa giảm rủi ro và chi phí gia tăng và giảm trong khía cạnh khác của hoạt động hiệu quả.Principle 16-thực hiện lớp an ninh; đảm bảo không có điểm duy nhất dễ bị tổn thương. Principle 20-cô lập hệ thống truy cập công cộng từ nhiệm vụ quan trọng tài nguyên (ví dụ như, dữ liệu, quy trình, vv).Principle 21-sử dụng cơ chế ranh giới để tách hệ thống máy tính và cơ sở hạ tầng mạng.Principle 25-giảm thiểu các yếu tố hệ thống để được tin cậy.Principle 26-thực hiện ít nhất là đặc quyền.Principle 32-xác thực người dùng và quy trình để đảm bảo phù hợp truy cập điều khiển quyết định cả hai bên trong và qua các tên miền.Principle 33-sử dụng nhận dạng duy nhất để đảm bảo trách nhiệm
đang được dịch, vui lòng đợi..
Kiểm toán
Việc kiểm toán của một hệ thống điện toán đám mây có đặc điểm tương tự như kiểm toán trong
vòng đời phát triển phần mềm (SDLC) trong đó các kế hoạch kiểm toán phải giải quyết
như sau:
Xác định của kiểm toán phạm vi
xác định của kiểm toán mục tiêu
Xác nhận của kế hoạch kiểm toán
cation Identifi của cần thiết nguồn lực
xử của các kiểm toán
Tài liệu của kiểm toán
Xác nhận của kiểm toán kết quả
Báo cáo kết quả chính thức
của Hệ thống thông tin Hiệp hội Kiểm toán và Kiểm soát (ISACA) đã phát triển hệ thống thông tin (IS) chuẩn mực kiểm toán, hướng dẫn và quy tắc đạo đức
cho kiểm toán viên trực tiếp áp dụng đối với đám mây nền tảng. Thông tin này có thể
được tìm thấy trên các trang web ISACA tại www.isaca.org. An ninh hệ thống điện toán đám mây
chính sách phân hủy nên yêu cầu kiểm toán đến các yếu tố nguy cơ dựa trên
xem xét ba loại sau đây của các rủi ro liên quan đến kiểm toán:
Vốn có rủi ro Các tính nhạy cảm của một quá trình thực hiện sai lầm,
giả định rằng không có kiểm soát nội bộ tồn tại
phát hiện rủi ro Xác suất rằng phương pháp của kiểm toán viên sẽ không phát hiện ra
một lỗi nguyên liệu
Kiểm soát rủi ro Xác suất để điều khiển còn tồn tại sẽ không ngăn chặn hoặc
phát hiện lỗi một cách kịp thời
84 Chương 3 Cloud Computing Phần mềm bảo mật cơ bản
Hệ thống điện toán đám mây phân hủy chính sách bảo mật cho các kiểm toán cũng nên
xem xét đặc điểm tổ chức chẳng hạn như vấn đề giám sát, chế
đạo đức, chính sách bồi thường, lịch sử tổ chức và môi trường kinh doanh. Đặc biệt, các yếu tố sau đây của các hệ thống điện toán đám mây tổ chức
cơ cấu và quản lý nên được đưa vào tài khoản:
vai trò và trách nhiệm của tổ chức
Tách nhiệm vụ
quản lý IS
IS đào tạo
cation Qualifi của nhân viên IS
chính quyền cơ sở dữ liệu
dịch vụ của bên thứ ba cung cấp,
quản lý các hợp đồng
thỏa thuận dịch vụ cấp (SLAs)
tiêu chuẩn quản lý chất lượng và đảm bảo
Thay đổi quản lý
Vấn đề quản lý
quản lý dự án
Quản lý hiệu quả và các chỉ số
quản lý năng lực
hiệu suất kinh tế
ứng dụng của SOP 98-1,15
đó là một tuyên bố kế toán của vị trí đó DEFI nes cách phát triển phần mềm công nghệ thông tin
chi phí hoặc mua lại là để được chi tiêu vốn hoặc
quản lý chi phí và theo dõi
thông tin quản lý bảo mật hệ thống
quản lý liên tục
Các chính sách phân hủy đám mây cho các thành phần kiểm toán là đệ quy trong đó
có việc kiểm toán để giải quyết các chính sách an ninh hệ thống điện toán đám mây, các tiêu chuẩn, hướng dẫn,
và các thủ tục. Nó cũng cần phân định ba loại cơ bản của điều khiển, đó
là dự phòng, thám tử, và khắc phục; và nó sẽ cung cấp cơ sở cho một
đánh giá rủi ro kiểm toán định tính bao gồm những điều sau đây:
cation của tất cả các tài sản có liên quan
Xác định giá trị tài sản
Chương 3 Cloud Phần mềm máy tính an Fundamentals 85
Identifi cation của các mối đe dọa
Identifi cation các yêu cầu pháp
cation Identifi rủi ro của tổ chức yêu cầu
cation Identifi về khả năng đe dọa xảy ra
Defi Định nghĩa của tổ chức các thực thể hoặc subgroupings
xét của kiểm toán trước
Xác định các ràng buộc ngân sách kiểm toán
đám mây Chính sách phải đảm bảo kiểm toán mà có thể vượt qua một thử nghiệm chăm sóc do, mà
được định nghĩa bởi các ISACA là "mức độ siêng năng mà một thận trọng và có thẩm quyền
người sẽ thực hiện theo một tập hợp các tình huống. "
16
Trong trường hợp nó là cần thiết để tiến hành điều tra pháp y trong đám mây
các hệ thống, bảo mật và tính toàn vẹn của thông tin kiểm toán phải được bảo vệ
ở mức độ bảo mật cao nhất .
Trong năm 1996, các ISACA giới thiệu một kế hoạch kiểm toán và thực hiện công cụ có giá trị,
các "Mục tiêu kiểm soát thông tin và công nghệ liên quan (COBIT)" tài liệu. Theo văn bản này, COBIT hiện đang ở phiên bản 4.1. Nó được chia thành bốn
lĩnh vực bao gồm 34 mục tiêu kiểm soát mức độ cao. Những mục tiêu kiểm soát 34
được chia thành 318 mục tiêu kiểm soát cụ thể. COBIT xác định một điều khiển
objectivethat là một mục tiêu nhằm ngăn chặn một tập hợp các rủi ro xảy ra. Các
bốn lĩnh COBIT như sau:
Kế hoạch và tổ chức (PO) - Cung cấp hướng tới giải pháp giao hàng
(AI) và cung cấp dịch vụ (DS)
Mua lại và thực hiện (AI) - Cung cấp các giải pháp và chuyển
chúng được chuyển sang các dịch vụ
Cung cấp và hỗ trợ (DS) - Nhận được các giải pháp và làm cho họ có sẵn cho người dùng cuối
Giám sát và đánh giá (ME) - Màn hình tất cả các quy trình để đảm bảo rằng các
hướng cung cấp được tiếp
NIST 33 Nguyên tắc bảo mật
Trong tháng 6 năm 2001, Viện Tiêu chuẩn và Công nghệ thông tin
Phòng thí nghiệm Công nghệ (ITL) xuất bản Ấn phẩm đặc biệt NIST 800-27,
"Nguyên tắc Kỹ thuật Công nghệ An ninh Thông tin (EP-ITS)," để
hỗ trợ trong việc thiết kế an toàn, phát triển, triển khai, và chu kỳ sống của các hệ thống thông tin. Tài liệu này được sửa đổi (Revision A) vào năm 2004. Nó trình bày
33 nguyên tắc bảo mật mà bắt đầu ở giai đoạn thiết kế của các hệ thống thông tin
hoặc ứng dụng và tiếp tục cho đến khi nghỉ hưu của hệ thống và xử lý an toàn.
86 Chương 3 Cloud Phần mềm máy tính An ninh cơ bản
Một số 33 nguyên tắc được áp dụng nhiều nhất để đám mây chính sách an ninh và
quản lý như sau:
Principle 1 - Thiết lập một chính sách an ninh âm thanh như "nền tảng" cho
thiết kế.
Principle 2 - Xử lý bảo mật như là một phần không thể thiếu trong việc thiết kế hệ thống tổng thể.
Nguyên tắc 3 - Rõ ràng xác định ranh giới an ninh vật lý và logic chi phối bởi chính sách bảo mật liên quan.
Principle 6 - Giả sử rằng các hệ thống bên ngoài là không an toàn.
Principle 7 - Xác định tiềm năng thương mại-off giữa giảm rủi ro và
chi phí tăng và giảm trong các khía cạnh khác của hoạt động . hiệu quả
Principle 16 - Thực hiện bảo mật nhiều lớp; đảm bảo không có điểm duy nhất
của tổn thương.
Principle 20 - Cô lập hệ thống truy cập công cộng từ các nguồn tài nguyên cực kỳ quan trọng
(ví dụ, dữ liệu, quy trình, vv).
Principle 21 - Sử dụng cơ chế ranh giới để phân biệt các hệ thống máy tính
và cơ sở hạ tầng mạng.
Principle 25 - Giảm thiểu các yếu tố hệ thống để được tin cậy.
Principle 26 - Thực hiện các đặc quyền tối thiểu.
Principle 32 - Xác thực người sử dụng và quy trình để đảm bảo phù hợp
quyết định điều khiển truy cập cả trong và giữa các lĩnh vực.
Principle 33 - Sử dụng bản sắc độc đáo để đảm bảo trách nhiệm giải trình
Việc kiểm toán của một hệ thống điện toán đám mây có đặc điểm tương tự như kiểm toán trong
vòng đời phát triển phần mềm (SDLC) trong đó các kế hoạch kiểm toán phải giải quyết
như sau:
Xác định của kiểm toán phạm vi
xác định của kiểm toán mục tiêu
Xác nhận của kế hoạch kiểm toán
cation Identifi của cần thiết nguồn lực
xử của các kiểm toán
Tài liệu của kiểm toán
Xác nhận của kiểm toán kết quả
Báo cáo kết quả chính thức
của Hệ thống thông tin Hiệp hội Kiểm toán và Kiểm soát (ISACA) đã phát triển hệ thống thông tin (IS) chuẩn mực kiểm toán, hướng dẫn và quy tắc đạo đức
cho kiểm toán viên trực tiếp áp dụng đối với đám mây nền tảng. Thông tin này có thể
được tìm thấy trên các trang web ISACA tại www.isaca.org. An ninh hệ thống điện toán đám mây
chính sách phân hủy nên yêu cầu kiểm toán đến các yếu tố nguy cơ dựa trên
xem xét ba loại sau đây của các rủi ro liên quan đến kiểm toán:
Vốn có rủi ro Các tính nhạy cảm của một quá trình thực hiện sai lầm,
giả định rằng không có kiểm soát nội bộ tồn tại
phát hiện rủi ro Xác suất rằng phương pháp của kiểm toán viên sẽ không phát hiện ra
một lỗi nguyên liệu
Kiểm soát rủi ro Xác suất để điều khiển còn tồn tại sẽ không ngăn chặn hoặc
phát hiện lỗi một cách kịp thời
84 Chương 3 Cloud Computing Phần mềm bảo mật cơ bản
Hệ thống điện toán đám mây phân hủy chính sách bảo mật cho các kiểm toán cũng nên
xem xét đặc điểm tổ chức chẳng hạn như vấn đề giám sát, chế
đạo đức, chính sách bồi thường, lịch sử tổ chức và môi trường kinh doanh. Đặc biệt, các yếu tố sau đây của các hệ thống điện toán đám mây tổ chức
cơ cấu và quản lý nên được đưa vào tài khoản:
vai trò và trách nhiệm của tổ chức
Tách nhiệm vụ
quản lý IS
IS đào tạo
cation Qualifi của nhân viên IS
chính quyền cơ sở dữ liệu
dịch vụ của bên thứ ba cung cấp,
quản lý các hợp đồng
thỏa thuận dịch vụ cấp (SLAs)
tiêu chuẩn quản lý chất lượng và đảm bảo
Thay đổi quản lý
Vấn đề quản lý
quản lý dự án
Quản lý hiệu quả và các chỉ số
quản lý năng lực
hiệu suất kinh tế
ứng dụng của SOP 98-1,15
đó là một tuyên bố kế toán của vị trí đó DEFI nes cách phát triển phần mềm công nghệ thông tin
chi phí hoặc mua lại là để được chi tiêu vốn hoặc
quản lý chi phí và theo dõi
thông tin quản lý bảo mật hệ thống
quản lý liên tục
Các chính sách phân hủy đám mây cho các thành phần kiểm toán là đệ quy trong đó
có việc kiểm toán để giải quyết các chính sách an ninh hệ thống điện toán đám mây, các tiêu chuẩn, hướng dẫn,
và các thủ tục. Nó cũng cần phân định ba loại cơ bản của điều khiển, đó
là dự phòng, thám tử, và khắc phục; và nó sẽ cung cấp cơ sở cho một
đánh giá rủi ro kiểm toán định tính bao gồm những điều sau đây:
cation của tất cả các tài sản có liên quan
Xác định giá trị tài sản
Chương 3 Cloud Phần mềm máy tính an Fundamentals 85
Identifi cation của các mối đe dọa
Identifi cation các yêu cầu pháp
cation Identifi rủi ro của tổ chức yêu cầu
cation Identifi về khả năng đe dọa xảy ra
Defi Định nghĩa của tổ chức các thực thể hoặc subgroupings
xét của kiểm toán trước
Xác định các ràng buộc ngân sách kiểm toán
đám mây Chính sách phải đảm bảo kiểm toán mà có thể vượt qua một thử nghiệm chăm sóc do, mà
được định nghĩa bởi các ISACA là "mức độ siêng năng mà một thận trọng và có thẩm quyền
người sẽ thực hiện theo một tập hợp các tình huống. "
16
Trong trường hợp nó là cần thiết để tiến hành điều tra pháp y trong đám mây
các hệ thống, bảo mật và tính toàn vẹn của thông tin kiểm toán phải được bảo vệ
ở mức độ bảo mật cao nhất .
Trong năm 1996, các ISACA giới thiệu một kế hoạch kiểm toán và thực hiện công cụ có giá trị,
các "Mục tiêu kiểm soát thông tin và công nghệ liên quan (COBIT)" tài liệu. Theo văn bản này, COBIT hiện đang ở phiên bản 4.1. Nó được chia thành bốn
lĩnh vực bao gồm 34 mục tiêu kiểm soát mức độ cao. Những mục tiêu kiểm soát 34
được chia thành 318 mục tiêu kiểm soát cụ thể. COBIT xác định một điều khiển
objectivethat là một mục tiêu nhằm ngăn chặn một tập hợp các rủi ro xảy ra. Các
bốn lĩnh COBIT như sau:
Kế hoạch và tổ chức (PO) - Cung cấp hướng tới giải pháp giao hàng
(AI) và cung cấp dịch vụ (DS)
Mua lại và thực hiện (AI) - Cung cấp các giải pháp và chuyển
chúng được chuyển sang các dịch vụ
Cung cấp và hỗ trợ (DS) - Nhận được các giải pháp và làm cho họ có sẵn cho người dùng cuối
Giám sát và đánh giá (ME) - Màn hình tất cả các quy trình để đảm bảo rằng các
hướng cung cấp được tiếp
NIST 33 Nguyên tắc bảo mật
Trong tháng 6 năm 2001, Viện Tiêu chuẩn và Công nghệ thông tin
Phòng thí nghiệm Công nghệ (ITL) xuất bản Ấn phẩm đặc biệt NIST 800-27,
"Nguyên tắc Kỹ thuật Công nghệ An ninh Thông tin (EP-ITS)," để
hỗ trợ trong việc thiết kế an toàn, phát triển, triển khai, và chu kỳ sống của các hệ thống thông tin. Tài liệu này được sửa đổi (Revision A) vào năm 2004. Nó trình bày
33 nguyên tắc bảo mật mà bắt đầu ở giai đoạn thiết kế của các hệ thống thông tin
hoặc ứng dụng và tiếp tục cho đến khi nghỉ hưu của hệ thống và xử lý an toàn.
86 Chương 3 Cloud Phần mềm máy tính An ninh cơ bản
Một số 33 nguyên tắc được áp dụng nhiều nhất để đám mây chính sách an ninh và
quản lý như sau:
Principle 1 - Thiết lập một chính sách an ninh âm thanh như "nền tảng" cho
thiết kế.
Principle 2 - Xử lý bảo mật như là một phần không thể thiếu trong việc thiết kế hệ thống tổng thể.
Nguyên tắc 3 - Rõ ràng xác định ranh giới an ninh vật lý và logic chi phối bởi chính sách bảo mật liên quan.
Principle 6 - Giả sử rằng các hệ thống bên ngoài là không an toàn.
Principle 7 - Xác định tiềm năng thương mại-off giữa giảm rủi ro và
chi phí tăng và giảm trong các khía cạnh khác của hoạt động . hiệu quả
Principle 16 - Thực hiện bảo mật nhiều lớp; đảm bảo không có điểm duy nhất
của tổn thương.
Principle 20 - Cô lập hệ thống truy cập công cộng từ các nguồn tài nguyên cực kỳ quan trọng
(ví dụ, dữ liệu, quy trình, vv).
Principle 21 - Sử dụng cơ chế ranh giới để phân biệt các hệ thống máy tính
và cơ sở hạ tầng mạng.
Principle 25 - Giảm thiểu các yếu tố hệ thống để được tin cậy.
Principle 26 - Thực hiện các đặc quyền tối thiểu.
Principle 32 - Xác thực người sử dụng và quy trình để đảm bảo phù hợp
quyết định điều khiển truy cập cả trong và giữa các lĩnh vực.
Principle 33 - Sử dụng bản sắc độc đáo để đảm bảo trách nhiệm giải trình
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- 5. Select the option for creating a new
- 1. Introduction 2. The Youtube Method Ta
- It supports individual office, ministry
- the receiver normally incurs no personal
- expenditures
- One of the side effects of the free food
- kênh của bạn là contenid
- đoàn kết
- how often do you write a letter? do you
- Register
- May remy
- There are three basic levels in the U.S
- is debt a fact of life
- Tôi không biết.tôi thấy khó chịu khi tôi
- Tiếp đến xếp thứ 3,4, 5 lần lượt là Aust
- duy trì
- how often do you write a letter? do you
- A famous rebel-but was he really?MICK JA
- eat 10 brains without exceeding 5 zombie
- Tại các nước đang phát triển, bệnh siđa,
- fill
- gloves
- Uykucu
- 1. Introduction 2. The Youtube Method Ta
