- Văn bản
- Lịch sử
AuditingThe auditing of a cloud sys
Auditing
The auditing of a cloud system has characteristics similar to auditing in the
software development life cycle (SDLC) in that the auditing plan must address
the following:
Determination of the audit’s scope
Determination of the audit’s objectives
Validation of the audit plan
Identifi cation of necessary resources
Conduct of the audit
Documentation of the audit
Validation of the audit results
Report of final results
The Information Systems Audit and Control Association (ISACA) has developed information systems (IS) audit standards, guidelines, and a code of ethics
for auditors that are directly applicable to cloud platforms. This information can
be found on the ISACA website at www.isaca.org. The cloud system security
policy should decompose the audit requirements to risk-based elements that
consider the following three types of audit-related risks:
Inherent risk— The susceptibility of a process to perform erroneously,
assuming that no internal controls exist
Detection risk— The probability that an auditor’s methods will not detect
a material error
Control risk— The probability that extant controls will not prevent or
detect errors in a timely fashion
84 Chapter 3 Cloud Computing Software Security Fundamentals
The cloud system security policy decomposition for auditing should also
consider organizational characteristics such as supervisory issues, institutional
ethics, compensation policies, organizational history, and the business environment. In particular, the following elements of the cloud system organizational
structure and management should be taken into account:
Organizational roles and responsibilities
Separation of duties
IS management
IS training
Qualifi cations of IS staff
Database administration
Third party–provided services
Managing of contracts
Service-level agreements (SLAs)
Quality management and assurance standards
Change management
Problem management
Project management
Performance management and indicators
Capacity management
Economic performance
Application of SOP 98-1,15
which is an accounting statement of position that defi nes how information technology software development
or acquisition costs are to be expended or capitalized
Expense management and monitoring
Information system security management
Business continuity management
The cloud policy decomposition for the audit component is recursive in that
the audit has to address the cloud system security policy, standards, guidelines,
and procedures. It should also delineate the three basic types of controls, which
are preventive, detective, and corrective; and it should provide the basis for a
qualitative audit risk assessment that includes the following:
Identifi cation of all relevant assets
Valuation of the assets
Chapter 3 Cloud Computing Software Security Fundamentals 85
Identifi cation of threats
Identifi cation of regulatory requirements
Identifi cation of organizational risk requirements
Identifi cation of the likelihood of threat occurrence
Defi nition of organizational entities or subgroupings
Review of previous audits
Determination of audit budget constraints
The cloud policy should ensure that auditing can pass a test of due care, which
is defined by the ISACA as “the level of diligence that a prudent and competent
person would exercise under a given set of circumstances.”
16
In the event that it is necessary to conduct forensic investigations in cloud
systems, the confidentiality and integrity of audit information must be protected
at the highest level of security.
In 1996, the ISACA introduced a valuable audit planning and execution tool,
the “Control Objectives for Information and Related Technology (COBIT)” document. As of this writing, COBIT is now in version 4.1. It is divided into four
domains comprising 34 high-level control objectives. These 34 control objectives
are further divided into 318 specific control objectives. COBIT defines a control
objectivethat is a goal aimed at preventing a set of risks from occurring . The
four COBIT domains are as follows:
Planning and organization (PO)— Provides direction to solution delivery
(AI) and service delivery (DS)
Acquisition and implementation (AI)— Provides the solutions and passes
them to be turned into services
Deliver and support (DS)— Receives the solutions and makes them available for end users
Monitor and evaluate (ME)— Monitors all processes to ensure that the
direction provided is followed
NIST 33 Security Principles
In June 2001, the National Institute of Standards and Technology’s Information
Technology Laboratory (ITL) published NIST Special Publication 800-27,
“Engineering Principles for Information Technology Security (EP-ITS),” to
assist in the secure design, development, deployment, and life cycle of information systems. The document was revised (Revision A) in 2004. It presents
33 security principles that begin at the design phase of the information system
or application and continue until the system’s retirement and secure disposal.
86 Chapter 3 Cloud Computing Software Security Fundamentals
Some of the 33 principles that are most applicable to cloud security policies and
management are as follows:
Principle 1 — Establish a sound security policy as the “foundation” for
design.
Principle 2 — Treat security as an integral part of the overall system design.
Principle 3 — Clearly delineate the physical and logical security boundaries governed by associated security policies.
Principle 6 — Assume that external systems are insecure.
Principle 7 — Identify potential trade-offs between reducing risk and
increased costs and decreases in other aspects of operational effectiveness.
Principle 16 — Implement layered security; ensure there is no single point
of vulnerability.
Principle 20 — Isolate public access systems from mission-critical resources
(e.g., data, processes, etc.).
Principle 21 — Use boundary mechanisms to separate computing systems
and network infrastructures.
Principle 25 — Minimize the system elements to be trusted.
Principle 26 — Implement least privilege.
Principle 32 — Authenticate users and processes to ensure appropriate
access control decisions both within and across domains.
Principle 33 — Use unique identities to ensure accountability
The auditing of a cloud system has characteristics similar to auditing in the
software development life cycle (SDLC) in that the auditing plan must address
the following:
Determination of the audit’s scope
Determination of the audit’s objectives
Validation of the audit plan
Identifi cation of necessary resources
Conduct of the audit
Documentation of the audit
Validation of the audit results
Report of final results
The Information Systems Audit and Control Association (ISACA) has developed information systems (IS) audit standards, guidelines, and a code of ethics
for auditors that are directly applicable to cloud platforms. This information can
be found on the ISACA website at www.isaca.org. The cloud system security
policy should decompose the audit requirements to risk-based elements that
consider the following three types of audit-related risks:
Inherent risk— The susceptibility of a process to perform erroneously,
assuming that no internal controls exist
Detection risk— The probability that an auditor’s methods will not detect
a material error
Control risk— The probability that extant controls will not prevent or
detect errors in a timely fashion
84 Chapter 3 Cloud Computing Software Security Fundamentals
The cloud system security policy decomposition for auditing should also
consider organizational characteristics such as supervisory issues, institutional
ethics, compensation policies, organizational history, and the business environment. In particular, the following elements of the cloud system organizational
structure and management should be taken into account:
Organizational roles and responsibilities
Separation of duties
IS management
IS training
Qualifi cations of IS staff
Database administration
Third party–provided services
Managing of contracts
Service-level agreements (SLAs)
Quality management and assurance standards
Change management
Problem management
Project management
Performance management and indicators
Capacity management
Economic performance
Application of SOP 98-1,15
which is an accounting statement of position that defi nes how information technology software development
or acquisition costs are to be expended or capitalized
Expense management and monitoring
Information system security management
Business continuity management
The cloud policy decomposition for the audit component is recursive in that
the audit has to address the cloud system security policy, standards, guidelines,
and procedures. It should also delineate the three basic types of controls, which
are preventive, detective, and corrective; and it should provide the basis for a
qualitative audit risk assessment that includes the following:
Identifi cation of all relevant assets
Valuation of the assets
Chapter 3 Cloud Computing Software Security Fundamentals 85
Identifi cation of threats
Identifi cation of regulatory requirements
Identifi cation of organizational risk requirements
Identifi cation of the likelihood of threat occurrence
Defi nition of organizational entities or subgroupings
Review of previous audits
Determination of audit budget constraints
The cloud policy should ensure that auditing can pass a test of due care, which
is defined by the ISACA as “the level of diligence that a prudent and competent
person would exercise under a given set of circumstances.”
16
In the event that it is necessary to conduct forensic investigations in cloud
systems, the confidentiality and integrity of audit information must be protected
at the highest level of security.
In 1996, the ISACA introduced a valuable audit planning and execution tool,
the “Control Objectives for Information and Related Technology (COBIT)” document. As of this writing, COBIT is now in version 4.1. It is divided into four
domains comprising 34 high-level control objectives. These 34 control objectives
are further divided into 318 specific control objectives. COBIT defines a control
objectivethat is a goal aimed at preventing a set of risks from occurring . The
four COBIT domains are as follows:
Planning and organization (PO)— Provides direction to solution delivery
(AI) and service delivery (DS)
Acquisition and implementation (AI)— Provides the solutions and passes
them to be turned into services
Deliver and support (DS)— Receives the solutions and makes them available for end users
Monitor and evaluate (ME)— Monitors all processes to ensure that the
direction provided is followed
NIST 33 Security Principles
In June 2001, the National Institute of Standards and Technology’s Information
Technology Laboratory (ITL) published NIST Special Publication 800-27,
“Engineering Principles for Information Technology Security (EP-ITS),” to
assist in the secure design, development, deployment, and life cycle of information systems. The document was revised (Revision A) in 2004. It presents
33 security principles that begin at the design phase of the information system
or application and continue until the system’s retirement and secure disposal.
86 Chapter 3 Cloud Computing Software Security Fundamentals
Some of the 33 principles that are most applicable to cloud security policies and
management are as follows:
Principle 1 — Establish a sound security policy as the “foundation” for
design.
Principle 2 — Treat security as an integral part of the overall system design.
Principle 3 — Clearly delineate the physical and logical security boundaries governed by associated security policies.
Principle 6 — Assume that external systems are insecure.
Principle 7 — Identify potential trade-offs between reducing risk and
increased costs and decreases in other aspects of operational effectiveness.
Principle 16 — Implement layered security; ensure there is no single point
of vulnerability.
Principle 20 — Isolate public access systems from mission-critical resources
(e.g., data, processes, etc.).
Principle 21 — Use boundary mechanisms to separate computing systems
and network infrastructures.
Principle 25 — Minimize the system elements to be trusted.
Principle 26 — Implement least privilege.
Principle 32 — Authenticate users and processes to ensure appropriate
access control decisions both within and across domains.
Principle 33 — Use unique identities to ensure accountability
0/5000
Kiểm toánKiểm toán của một hệ thống đám mây có đặc điểm tương tự kiểm tra trong các phần mềm phát triển cuộc sống chu kỳ (SDLC) trong đó kế hoạch kiểm định phải giải quyết Các tùy chọn sau:Determination phạm vi của kiểm toánDetermination mục tiêu của kiểm toánValidation kế hoạch kiểm toánIdentifi cation của nguồn lực cần thiếtConduct của kiểm toánDocumentation của kiểm toánValidation của kết quả kiểm toánReport của kết quả cuối cùngThông tin hệ thống kiểm toán và kiểm soát Hiệp hội (ISACA) đã phát triển thông tin hệ thống (IS) kiểm tra tiêu chuẩn, hướng dẫn và quy tắc đạo Đức cho kiểm toán viên trực tiếp áp dụng cho nền tảng điện toán đám mây. Thông tin này có thể được tìm thấy trên các trang web ISACA tại www.isaca.org. An ninh hệ thống đám mây chính sách nên phân hủy các yêu cầu kiểm toán rủi ro dựa trên yếu tố mà xem xét ba loại sau đây của kiểm toán liên quan đến rủi ro:Nguy cơ inherent — tính nhạy cảm của một quá trình thực hiện sai lầm, giả định rằng không có kiểm soát nội bộ tồn tạiNguy cơ Detection — khả năng mà người kiểm tra phương pháp sẽ không phát hiện một lỗi vật liệuNguy cơ Control — khả năng mà còn sinh tồn điều khiển sẽ không ngăn cản hoặc phát hiện lỗi một cách kịp thời84 chương 3 Cloud máy tính phần mềm bảo mật cơ bảnĐám mây hệ thống an ninh chính sách phân hủy cho kiểm toán nên cũng xem xét các đặc điểm tổ chức chẳng hạn như vấn đề giám sát, thể chế Đạo Đức, chính sách bồi thường, tổ chức lịch sử, và môi trường kinh doanh. Đặc biệt, các yếu tố sau đây của hệ thống đám mây tổ chức cấu trúc và quản lý nên được đưa vào tài khoản:Organizational vai trò và trách nhiệmSeparation nhiệm vụIS quản lýIS đào tạo Qualifi cation IS nhân viênQuản trị Database Third Đảng-cung cấp dịch vụManaging của hợp đồngThỏa thuận cấp Service (SLAs)Quality quản lý và đảm bảo tiêu chuẩnChange quản lýProblem quản lýProject quản lýPerformance quản lý và chỉ sốCapacity quản lýEconomic hiệu suấtApplication của SOP 98-1,15đó là một tuyên bố kế toán của vị trí đó nes defi làm thế nào phát triển phần mềm công nghệ thông tin hoặc mua lại chi phí phải được sử dụng hoặc HoaExpense quản lý và giám sátInformation hệ thống quản lý an ninhBusiness liên tục quản lýĐám mây chính sách phân hủy cho các thành phần kiểm toán là đệ quy trong đó kiểm toán có để giải quyết các chính sách bảo mật hệ thống đám mây, tiêu chuẩn, hướng dẫn, và thủ tục. Nó cũng nên phân định ba loại cơ bản của điều khiển, mà Phòng ngừa, thám tử, và khắc phục; và nó sẽ cung cấp cơ sở cho một chất lượng kiểm toán đánh giá rủi ro bao gồm những điều sau đây:Identifi cation của tất cả các tài sản có liên quanValuation của tài sảnChương 3 Cloud máy tính phần mềm bảo mật cơ bản 85Identifi cation của mối đe dọaIdentifi cation của yêu cầu quản lýIdentifi cation của yêu cầu tổ chức rủi roIdentifi cation của khả năng xảy ra mối đe dọaDEFI nition của tổ chức tổ chức hoặc subgroupingsReview của kiểm toán trướcDetermination của ràng buộc ngân sách kiểm toánChính sách đám mây nên đảm bảo rằng kiểm toán có thể vượt qua một thử nghiệm của chăm sóc, mà được xác định bởi ISACA như "mức độ siêng năng mà một thận trọng và có thẩm quyền người nào thực hiện theo một tập hợp các tình huống."16Trong trường hợp đó nó là cần thiết để tiến hành các điều tra pháp y trong đám mây Hệ thống, bảo mật và tính toàn vẹn của thông tin kiểm toán phải được bảo vệ ở cấp độ cao nhất của an ninh.Năm 1996, ISACA giới thiệu một có giá trị kiểm tra lập kế hoạch và thực hiện công cụ, tài liệu "kiểm soát mục tiêu cho thông tin và liên quan đến công nghệ (COBIT)". Bài viết này, COBIT là bây giờ ở phiên bản 4,1. Nó được chia thành bốn lĩnh vực bao gồm 34 cao cấp kiểm soát mục tiêu. Những mục tiêu kiểm soát 34 được chia ra thành 318 kiểm soát cụ thể mục tiêu. COBIT xác định một điều khiển objectivethat là một mục tiêu nhằm mục đích ngăn ngừa một tập hợp các rủi ro xảy ra. Các bốn COBIT tên miền là như sau:Planning và tổ chức (PO) — cung cấp hướng để cung cấp giải pháp (AI) và cung cấp dịch vụ (DS)Acquisition và thực hiện (AI) — cung cấp giải pháp và Pass họ được chuyển thành dịch vụDeliver và hỗ trợ (DS) — nhận được các giải pháp và làm cho họ có sẵn cho người dùng cuốiMonitor và đánh giá (tôi)-theo dõi tất cả các quy trình để đảm bảo rằng các hướng cung cấp được theo sauNIST 33 an ninh nguyên tắcTháng 6 năm 2001, viện tiêu chuẩn và của công nghệ thông tin Công nghệ phòng thí nghiệm (ITL) xuất bản ấn phẩm đặc biệt NIST 800-27, "Kỹ thuật nguyên tắc cho an ninh công nghệ thông tin (EP-của nó)," để hỗ trợ an toàn thiết kế, phát triển, triển khai và chu kỳ sống của hệ thống thông tin. Các tài liệu chỉnh sửa (sửa đổi A) vào năm 2004. Nó trình bày 33 nguyên tắc bảo mật bắt đầu lúc giai đoạn thiết kế hệ thống thông tin hoặc ứng dụng và tiếp tục cho đến khi nghỉ hưu và xử lý an toàn của hệ thống. 86 chương 3 Cloud máy tính phần mềm bảo mật cơ bảnMột số các nguyên tắc 33 đặt áp dụng đối với điện toán đám mây chính sách an ninh và quản lý là như sau:Principle 1-thiết lập một chính sách bảo mật âm thanh như là nền tảng"" cho thiết kế.Principle 2-xử lý bảo mật như một phần của thiết kế hệ thống tổng thể.Principle 3-rõ ràng phân định ranh giới bảo mật vật lý và hợp lý quản lý theo chính sách bảo mật liên quan.Principle 6-giả định rằng bên ngoài hệ thống là không an toàn.Principle 7 — xác định tiềm năng thương mại-offs giữa giảm rủi ro và chi phí gia tăng và giảm trong khía cạnh khác của hoạt động hiệu quả.Principle 16-thực hiện lớp an ninh; đảm bảo không có điểm duy nhất dễ bị tổn thương. Principle 20-cô lập hệ thống truy cập công cộng từ nhiệm vụ quan trọng tài nguyên (ví dụ như, dữ liệu, quy trình, vv).Principle 21-sử dụng cơ chế ranh giới để tách hệ thống máy tính và cơ sở hạ tầng mạng.Principle 25-giảm thiểu các yếu tố hệ thống để được tin cậy.Principle 26-thực hiện ít nhất là đặc quyền.Principle 32-xác thực người dùng và quy trình để đảm bảo phù hợp truy cập điều khiển quyết định cả hai bên trong và qua các tên miền.Principle 33-sử dụng nhận dạng duy nhất để đảm bảo trách nhiệm
đang được dịch, vui lòng đợi..
Kiểm toán
Việc kiểm toán của một hệ thống điện toán đám mây có đặc điểm tương tự như kiểm toán trong
vòng đời phát triển phần mềm (SDLC) trong đó các kế hoạch kiểm toán phải giải quyết
như sau:
Determination của của kiểm toán phạm vi
Determination các mục tiêu của kiểm toán
Validation kế hoạch kiểm toán
cation Identifi các nguồn lực cần thiết
Conduct của kiểm toán
của kiểm toán Documentation
Validation của kiểm toán kết quả
Report của kết quả cuối cùng
của hệ thống thông tin kiểm toán và kiểm soát Association (ISACA) đã phát triển hệ thống thông tin (IS) chuẩn mực kiểm toán, hướng dẫn, và một Quy tắc đạo đức
cho các kiểm toán viên có thể áp dụng trực tiếp đến các nền tảng điện toán đám mây. Thông tin này có thể
được tìm thấy trên các trang web ISACA tại www.isaca.org. An ninh hệ thống điện toán đám mây
chính sách phân hủy nên yêu cầu kiểm toán đến các yếu tố nguy cơ dựa trên
xem xét ba loại sau đây của rủi ro kiểm toán liên quan đến:
Inherent rủi ro Các tính nhạy cảm của một quá trình thực hiện sai lầm,
giả định rằng không có kiểm soát nội bộ tồn tại
Detection rủi ro Xác suất mà các phương pháp kiểm toán viên sẽ không phát hiện ra
một lỗi nguyên
Control rủi ro Xác suất để điều khiển còn tồn tại sẽ không ngăn chặn hoặc
phát hiện lỗi một cách kịp thời
84 Chương 3 Phần mềm Cloud Computing an Fundamentals
Các phân hủy chính sách an ninh hệ thống điện toán đám mây cho kiểm toán nên cũng
xem xét đặc điểm tổ chức như các vấn đề giám sát, chế
đạo đức, chính sách bồi thường, lịch sử tổ chức và môi trường kinh doanh. Đặc biệt, các yếu tố sau đây của các hệ thống điện toán đám mây tổ chức
cơ cấu và quản lý nên được đưa vào tài khoản:
vai trò và trách nhiệm Organizational
Separation nhiệm vụ
quản lý IS
IS đào tạo
cation Qualifi của nhân viên IS
chính Database
Third dịch vụ của bên cung cấp-
Managing hợp đồng
thỏa thuận Service cấp (SLAs)
quản lý và đảm bảo các tiêu chuẩn Quality
Change quản lý
quản lý Problem
Project quản lý
quản lý Performance và các chỉ số
quản lý Capacity
Economic hiệu
Application của SOP 98-1,15
mà là một báo cáo kế toán của vị trí đó DEFI nes cách phát triển phần mềm công nghệ thông tin
chi phí hoặc thu thập được để được chi tiêu hoặc vốn
quản lý và giám sát Expense
Information quản lý bảo mật hệ thống
quản lý liên tục Business
Các chính sách phân hủy đám mây cho các thành phần kiểm toán là đệ quy trong đó
có việc kiểm toán để giải quyết các hệ thống điện toán đám mây chính sách bảo mật, các tiêu chuẩn, hướng dẫn,
và các thủ tục. Nó cũng cần phân định ba loại cơ bản của điều khiển, đó
là dự phòng, thám tử, và khắc phục; và nó sẽ cung cấp cơ sở cho một
đánh giá rủi ro kiểm toán định tính bao gồm những điều sau đây:
Identifi cation của tất cả các tài sản có liên quan
Valuation của tài sản
Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 85
Identifi cation của các mối đe dọa
Identifi cation các yêu cầu pháp
cation Identifi các yêu cầu về rủi ro của tổ chức
Identifi cation của các khả năng đe dọa xảy ra
Defi Định nghĩa của các đơn vị tổ chức hoặc subgroupings
Review của cuộc đánh giá trước
Determination của ràng buộc ngân sách kiểm toán
đám mây Chính sách phải đảm bảo kiểm toán mà có thể vượt qua một bài kiểm tra thận trọng, mà
được xác định bởi các ISACA là "mức độ của sự tích cực mà một thận trọng và có thẩm quyền
người sẽ thực hiện theo một tập hợp các tình huống. "
16
Trong trường hợp nó là cần thiết để tiến hành điều tra pháp y trong đám mây
các hệ thống, bảo mật và tính toàn vẹn của thông tin kiểm toán phải được bảo vệ
ở mức độ bảo mật cao nhất.
Trong năm 1996, các ISACA giới thiệu một kế hoạch kiểm toán và thực hiện công cụ có giá trị,
các "Mục tiêu kiểm soát thông tin và công nghệ liên quan (COBIT)" tài liệu. Theo văn bản này, COBIT hiện đang ở phiên bản 4.1. Nó được chia thành bốn
lĩnh vực bao gồm 34 mục tiêu kiểm soát mức độ cao. Những mục tiêu kiểm soát 34
được chia thành 318 mục tiêu kiểm soát cụ thể. COBIT xác định một điều khiển
objectivethat là một mục tiêu nhằm ngăn chặn một tập hợp các rủi ro xảy ra. Các
bốn lĩnh COBIT như sau:
Planning và tổ chức (PO) - Cung cấp hướng tới giải pháp giao hàng
(AI) và cung cấp dịch vụ (DS)
Acquisition và thực hiện (AI) - Cung cấp các giải pháp và chuyển
chúng được chuyển sang dịch vụ
cung cấp và hỗ trợ (DS) - Nhận được các giải pháp và làm cho họ có sẵn cho người dùng cuối
Monitor và đánh giá (ME) - Màn hình tất cả các quy trình để đảm bảo rằng các
hướng cung cấp được tiếp
NIST 33 Nguyên tắc bảo mật
Trong tháng 6 năm 2001, Viện Quốc gia về Tiêu chuẩn và Công nghệ thông tin của
Phòng thí nghiệm Công nghệ (ITL) xuất bản Ấn phẩm đặc biệt NIST 800-27,
"Nguyên tắc Kỹ thuật Công nghệ An ninh Thông tin (EP-ITS)," để
hỗ trợ trong việc thiết kế an toàn, phát triển, triển khai, và chu kỳ sống của các hệ thống thông tin. Tài liệu này được sửa đổi (Revision A) vào năm 2004. Nó trình bày
33 nguyên tắc bảo mật mà bắt đầu ở giai đoạn thiết kế của các hệ thống thông tin
hoặc ứng dụng và tiếp tục cho đến khi nghỉ hưu của hệ thống và xử lý an toàn.
86 Chương 3 Cloud Phần mềm máy tính An ninh cơ bản
Một số 33 nguyên tắc được áp dụng nhiều nhất để đám mây chính sách an ninh và
quản lý như sau:
Principle 1 - Thiết lập một chính sách an ninh âm thanh như "nền tảng" cho
thiết kế.
Principle 2 - Xử lý bảo mật như là một phần không thể thiếu trong việc thiết kế hệ thống tổng thể.
Nguyên tắc 3 - Rõ ràng xác định ranh giới an ninh vật lý và logic chi phối bởi chính sách bảo mật liên quan.
Principle 6 - Giả sử rằng các hệ thống bên ngoài là không an toàn.
Principle 7 - Xác định tiềm năng thương mại-off giữa giảm rủi ro và
chi phí tăng và giảm trong các khía cạnh khác của hoạt động . hiệu quả
Principle 16 - Thực hiện bảo mật nhiều lớp; đảm bảo không có điểm duy nhất
của tổn thương.
Principle 20 - Cô lập hệ thống truy cập công cộng từ các nguồn tài nguyên cực kỳ quan trọng
(ví dụ, dữ liệu, quy trình, vv).
Principle 21 - Sử dụng cơ chế ranh giới để phân biệt các hệ thống máy tính
và cơ sở hạ tầng mạng.
Principle 25 - Giảm thiểu các yếu tố hệ thống để được tin cậy.
Principle 26 - Thực hiện các đặc quyền tối thiểu.
Principle 32 - Xác thực người sử dụng và quy trình để đảm bảo phù hợp
quyết định điều khiển truy cập cả trong và giữa các lĩnh vực.
Principle 33 - Sử dụng bản sắc độc đáo để đảm bảo trách nhiệm giải trình
Việc kiểm toán của một hệ thống điện toán đám mây có đặc điểm tương tự như kiểm toán trong
vòng đời phát triển phần mềm (SDLC) trong đó các kế hoạch kiểm toán phải giải quyết
như sau:
Determination của của kiểm toán phạm vi
Determination các mục tiêu của kiểm toán
Validation kế hoạch kiểm toán
cation Identifi các nguồn lực cần thiết
Conduct của kiểm toán
của kiểm toán Documentation
Validation của kiểm toán kết quả
Report của kết quả cuối cùng
của hệ thống thông tin kiểm toán và kiểm soát Association (ISACA) đã phát triển hệ thống thông tin (IS) chuẩn mực kiểm toán, hướng dẫn, và một Quy tắc đạo đức
cho các kiểm toán viên có thể áp dụng trực tiếp đến các nền tảng điện toán đám mây. Thông tin này có thể
được tìm thấy trên các trang web ISACA tại www.isaca.org. An ninh hệ thống điện toán đám mây
chính sách phân hủy nên yêu cầu kiểm toán đến các yếu tố nguy cơ dựa trên
xem xét ba loại sau đây của rủi ro kiểm toán liên quan đến:
Inherent rủi ro Các tính nhạy cảm của một quá trình thực hiện sai lầm,
giả định rằng không có kiểm soát nội bộ tồn tại
Detection rủi ro Xác suất mà các phương pháp kiểm toán viên sẽ không phát hiện ra
một lỗi nguyên
Control rủi ro Xác suất để điều khiển còn tồn tại sẽ không ngăn chặn hoặc
phát hiện lỗi một cách kịp thời
84 Chương 3 Phần mềm Cloud Computing an Fundamentals
Các phân hủy chính sách an ninh hệ thống điện toán đám mây cho kiểm toán nên cũng
xem xét đặc điểm tổ chức như các vấn đề giám sát, chế
đạo đức, chính sách bồi thường, lịch sử tổ chức và môi trường kinh doanh. Đặc biệt, các yếu tố sau đây của các hệ thống điện toán đám mây tổ chức
cơ cấu và quản lý nên được đưa vào tài khoản:
vai trò và trách nhiệm Organizational
Separation nhiệm vụ
quản lý IS
IS đào tạo
cation Qualifi của nhân viên IS
chính Database
Third dịch vụ của bên cung cấp-
Managing hợp đồng
thỏa thuận Service cấp (SLAs)
quản lý và đảm bảo các tiêu chuẩn Quality
Change quản lý
quản lý Problem
Project quản lý
quản lý Performance và các chỉ số
quản lý Capacity
Economic hiệu
Application của SOP 98-1,15
mà là một báo cáo kế toán của vị trí đó DEFI nes cách phát triển phần mềm công nghệ thông tin
chi phí hoặc thu thập được để được chi tiêu hoặc vốn
quản lý và giám sát Expense
Information quản lý bảo mật hệ thống
quản lý liên tục Business
Các chính sách phân hủy đám mây cho các thành phần kiểm toán là đệ quy trong đó
có việc kiểm toán để giải quyết các hệ thống điện toán đám mây chính sách bảo mật, các tiêu chuẩn, hướng dẫn,
và các thủ tục. Nó cũng cần phân định ba loại cơ bản của điều khiển, đó
là dự phòng, thám tử, và khắc phục; và nó sẽ cung cấp cơ sở cho một
đánh giá rủi ro kiểm toán định tính bao gồm những điều sau đây:
Identifi cation của tất cả các tài sản có liên quan
Valuation của tài sản
Chương 3 Cloud Computing Phần mềm bảo mật cơ bản 85
Identifi cation của các mối đe dọa
Identifi cation các yêu cầu pháp
cation Identifi các yêu cầu về rủi ro của tổ chức
Identifi cation của các khả năng đe dọa xảy ra
Defi Định nghĩa của các đơn vị tổ chức hoặc subgroupings
Review của cuộc đánh giá trước
Determination của ràng buộc ngân sách kiểm toán
đám mây Chính sách phải đảm bảo kiểm toán mà có thể vượt qua một bài kiểm tra thận trọng, mà
được xác định bởi các ISACA là "mức độ của sự tích cực mà một thận trọng và có thẩm quyền
người sẽ thực hiện theo một tập hợp các tình huống. "
16
Trong trường hợp nó là cần thiết để tiến hành điều tra pháp y trong đám mây
các hệ thống, bảo mật và tính toàn vẹn của thông tin kiểm toán phải được bảo vệ
ở mức độ bảo mật cao nhất.
Trong năm 1996, các ISACA giới thiệu một kế hoạch kiểm toán và thực hiện công cụ có giá trị,
các "Mục tiêu kiểm soát thông tin và công nghệ liên quan (COBIT)" tài liệu. Theo văn bản này, COBIT hiện đang ở phiên bản 4.1. Nó được chia thành bốn
lĩnh vực bao gồm 34 mục tiêu kiểm soát mức độ cao. Những mục tiêu kiểm soát 34
được chia thành 318 mục tiêu kiểm soát cụ thể. COBIT xác định một điều khiển
objectivethat là một mục tiêu nhằm ngăn chặn một tập hợp các rủi ro xảy ra. Các
bốn lĩnh COBIT như sau:
Planning và tổ chức (PO) - Cung cấp hướng tới giải pháp giao hàng
(AI) và cung cấp dịch vụ (DS)
Acquisition và thực hiện (AI) - Cung cấp các giải pháp và chuyển
chúng được chuyển sang dịch vụ
cung cấp và hỗ trợ (DS) - Nhận được các giải pháp và làm cho họ có sẵn cho người dùng cuối
Monitor và đánh giá (ME) - Màn hình tất cả các quy trình để đảm bảo rằng các
hướng cung cấp được tiếp
NIST 33 Nguyên tắc bảo mật
Trong tháng 6 năm 2001, Viện Quốc gia về Tiêu chuẩn và Công nghệ thông tin của
Phòng thí nghiệm Công nghệ (ITL) xuất bản Ấn phẩm đặc biệt NIST 800-27,
"Nguyên tắc Kỹ thuật Công nghệ An ninh Thông tin (EP-ITS)," để
hỗ trợ trong việc thiết kế an toàn, phát triển, triển khai, và chu kỳ sống của các hệ thống thông tin. Tài liệu này được sửa đổi (Revision A) vào năm 2004. Nó trình bày
33 nguyên tắc bảo mật mà bắt đầu ở giai đoạn thiết kế của các hệ thống thông tin
hoặc ứng dụng và tiếp tục cho đến khi nghỉ hưu của hệ thống và xử lý an toàn.
86 Chương 3 Cloud Phần mềm máy tính An ninh cơ bản
Một số 33 nguyên tắc được áp dụng nhiều nhất để đám mây chính sách an ninh và
quản lý như sau:
Principle 1 - Thiết lập một chính sách an ninh âm thanh như "nền tảng" cho
thiết kế.
Principle 2 - Xử lý bảo mật như là một phần không thể thiếu trong việc thiết kế hệ thống tổng thể.
Nguyên tắc 3 - Rõ ràng xác định ranh giới an ninh vật lý và logic chi phối bởi chính sách bảo mật liên quan.
Principle 6 - Giả sử rằng các hệ thống bên ngoài là không an toàn.
Principle 7 - Xác định tiềm năng thương mại-off giữa giảm rủi ro và
chi phí tăng và giảm trong các khía cạnh khác của hoạt động . hiệu quả
Principle 16 - Thực hiện bảo mật nhiều lớp; đảm bảo không có điểm duy nhất
của tổn thương.
Principle 20 - Cô lập hệ thống truy cập công cộng từ các nguồn tài nguyên cực kỳ quan trọng
(ví dụ, dữ liệu, quy trình, vv).
Principle 21 - Sử dụng cơ chế ranh giới để phân biệt các hệ thống máy tính
và cơ sở hạ tầng mạng.
Principle 25 - Giảm thiểu các yếu tố hệ thống để được tin cậy.
Principle 26 - Thực hiện các đặc quyền tối thiểu.
Principle 32 - Xác thực người sử dụng và quy trình để đảm bảo phù hợp
quyết định điều khiển truy cập cả trong và giữa các lĩnh vực.
Principle 33 - Sử dụng bản sắc độc đáo để đảm bảo trách nhiệm giải trình
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- traveling business
- business travelling
- 13. Remove the check mark from the Auto-
- Khi quá trình nhận kết thúc, màn hình sẽ
- thảo
- chết
- • This is the Shopping Cart application
- they are called bubble houses,and you se
- rates
- tử
- Tôi không biết.tôi nhìn trộm cậu nhiều h
- The list at the bottom displays the name
- what facilities are necessary for confer
- I have not been paid, paid the first mon
- Đứng thứ 2 là Nhật Bản với 800,000 người
- A small vial containing a fragrant, red
- slupdate('sys') replaces blocks in model
- Prince
- I did not dare if movie
- The study methodology included both desk
- A famous rebel-but was he really?MICK JA
- they are called bubble houses,and you se
- take
- even
