Аудит мейнфрейма

Эта статья написана как руководство или руководство . Пожалуйста, помогите переписать эту статью и удалить советы или инструкции. ( сентябрь 2015 г. )

Аудит мэйнфрейма — это комплексная проверка компьютерных процессов, безопасности и процедур с выдачей рекомендаций по улучшению.

Мэйнфрейм . непросто определить У большинства людей мэйнфрейм ассоциируется с большим компьютером, но мэйнфреймы с каждым днем ​​становятся все меньше. Термины «мэйнфрейм» и «корпоративный сервер» сближаются. Суперкомпьютеры обычно используются из-за их скорости и сложности, а мэйнфреймы используются для хранения больших объемов конфиденциальных данных. Мэйнфреймы, как правило, являются наиболее безопасным, эффективным и экономичным вариантом вычислений для организаций, занимающихся транзакциями на уровне предприятия.

Организации в разных отраслях предъявляют разные требования к аудиту и безопасности. Некоторыми факторами, влияющими на требования организаций, являются: нормативные требования и другие внешние факторы; управление, цели и деловая практика; и производительность организаций по сравнению с отраслью. Эту информацию можно получить путем проведения внешних исследований, опроса сотрудников, посещения центра обработки данных и наблюдения за деятельностью, консультаций с техническими экспертами, а также изучения руководств и бизнес-планов компаний.

Еще одним фактором, который следует учитывать, является уровень доступа сотрудников к мэйнфрейму, а также наличие и соблюдение политик паролей. Доказательства внедрения можно получить, запросив руководства для сотрудников, оценив программное обеспечение и истории пользователей, а также путем физического наблюдения за окружающей средой. (Гальегос, 2004).

Физический доступ также представляет интерес. Достаточно ли защищены кабели между сетью и центром обработки данных от повреждений и перехвата? Этого можно достичь путем правильной прокладки кабелей, шифрования и хорошей топологии сети. Необходимо получить физическое наблюдение за местом прокладки кабелей и подтверждение процедур безопасности. Тесты средств контроля должны проводиться для выявления любых дополнительных слабых мест.

Имеет ли мэйнфрейм доступ к соответствующему источнику бесперебойного питания ? Имеются ли физические средства контроля, такие как значки мощности для доступа, устройства пожаротушения и замки, для защиты центра обработки данных (и мейнфрейма внутри) от кражи, манипуляций или повреждения? Для обеспечения этих требований необходимо физическое наблюдение.

• Какие меры контроля предусмотрены для обеспечения постоянного обновления системы?
• Настроено ли программное обеспечение на выполнение обновлений или это делают системные специалисты?
• Должен быть предусмотрен контроль для предотвращения несанкционированного манипулирования или кражи данных.
• правильность разделения обязанностей Также необходимо проверить . Системы внутреннего контроля компании необходимо протестировать, чтобы определить, эффективны ли они.
• Необходимо изучить образцы записей в системе, чтобы убедиться в эффективности средств контроля, а также необходимо расследовать несанкционированные и подозрительные аннулированные транзакции. (Гальегос, 2004 г.)
• Есть ли в системе какие-либо процессы, которые могут без необходимости поставить под угрозу другие компоненты?
• Должны быть предусмотрены процедуры и меры для минимизации риска несанкционированного доступа через бэкдоры в системе, такие как Таблица свойств программы (PPT).
• Должен существовать точный контрольный журнал, который можно отслеживать. (Группа Хендерсона, октябрь 2001 г.)

• Внедрено ли и обеспечивается ли надлежащее разделение обязанностей , а также имеются ли технологии и процедуры, обеспечивающие непрерывный и точный контрольный журнал?
• Необходимо установить меры контроля для минимизации риска ненужного и несанкционированного входа в систему, а также для защиты паролей.
• Для сканирования системы следует использовать методы компьютерного аудита (идеальным вариантом является непрерывный мониторинг) с наблюдением людей для проверки процедур, например, для проверки соблюдения таких протоколов, как разделение обязанностей.
• Программное обеспечение безопасности, такое как RACF, ACF2 и Top Secret, необходимо постоянно проверять, чтобы убедиться, что оно обеспечивает необходимую безопасность и требуется ли дополнительная защита, например, новые брандмауэры. (Группа Хендерсона, август 2002 г.). Эти продукты являются основным механизмом контроля доступа мэйнфрейма, поэтому при анализе следует проявлять особую осторожность. Убедитесь, что используются правильные типы пользователей и что совместное использование учетных данных никогда не допускается.

• Заботится о производительности и управлении системой.
• Способно ли оно ограничить несанкционированный доступ и манипулирование данными?

После выполнения необходимых тестов и процедур определите, достаточны ли полученные доказательства для вынесения заключения и рекомендации.

Мэйнфреймы, несмотря на свою надежность, содержат так много данных, что необходимо принимать меры предосторожности для защиты хранимой на них информации и целостности системы. Безопасность обеспечивается следующими методами:

• Физический контроль над мейнфреймом и его компонентами.
• Методы шифрования.
• Внедрение процедур, которые предотвращают ненужные и несанкционированные входы в систему, а также обеспечивают запись, вывод или обработку данных и доступность аудитору. Это особенно важно для людей с повышенными привилегиями.
• Программное обеспечение безопасности, такое как RACF, ACF2 и Top Secret.
• Постоянное тестирование системы безопасности для выявления потенциальных слабых мест.
• Надлежащая защита бэкдор-доступа.
• Постоянное изучение методов для определения эффективности.

Чтобы оценить эффективность этих средств внутреннего контроля, аудитор должен проводить внешние исследования, при необходимости физически наблюдать за средствами контроля, тестировать средства контроля, проводить проверки по существу и, когда это целесообразно, использовать компьютерные методы аудита.

• Гальегос Ф., Сенфт С., Мэнсон Д., Гонсалес К. (2004). Контроль и аудит информационных технологий. (2-е изд.) Бока-Ратон, Флорида: Публикации Ауэрбаха.
• Мессье-младший, В., Ф. (2003) Аудиторские и аудиторские услуги: систематический подход. (3-е изд.) Нью-Йорк: МакГроу-Хилл/Ирвин.
• Ликер, М., Д. (2003). Словарь по вычислительной технике и коммуникациям. Нью-Йорк: МакГроу-Хилл
• Филип, Г. (2000). Издательство Чикагского университета: Энциклопедия науки и технологий. Чикаго, Иллинойс: Издательство Чикагского университета.
• О'Брайен, Дж., А. (2002). Информационные системы управления: управление информационными технологиями на предприятии электронного бизнеса. 5-е изд. Нью-Йорк: МакГроу-Хилл/Ирвин.

• Проект «История вычислений» (обновлено 15 января 2006 г.). Мейнфрейм. Проверено 27 января 2006 г.
• Mainframes.com (без даты). Проверено 27 января 2006 г.
• The Henderson Group (октябрь 2001 г.) Новости аудита мейнфреймов: выпуск № 1 . Также выпуски 2 , 3 и 4 из того же источника. Проверено 27 января 2006 г.