论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 上一页  1, 2
作者 内容
 文章标题 : Re: IS审计师发现客户电脑中的病毒时该怎么办?
帖子发表于 : 2010-08-07 13:29 
离线
高级用户

注册: 2010-03-07 02:43
最近: 2018-01-05 15:24
拥有: 3,360.00 安全币

奖励: 222 安全币
在线: 1791 点
帖子: 237
楼主处理事件表现出的态度是很积极主动的,这点应该肯定。但处理方法我个人觉得是错误的,不管保护自身利益还是组织的利益我觉得楼主应该再好好考虑下这个问题。我个人观点:

首先应该明白咱们不是在家里执行杀软,想当然就干。而是在企业环境中执行,这样的环境中在操作系统上执行杀毒程序是具有一定风险的,我们设想下:如果执行杀软删除带毒系统文件导致系统崩溃、数据无法恢复或带毒数据被杀软删除造成信息资产的损失,这个责任谁来承担?而这种损失是任何组织机构不可能接受的。在管理比较规范的企业对于杀毒软件操作和出现情况的怎么来响应处理等方面的策略文档都是很详细的,安策略中应包括在某种特定的情况下就算发现了病毒也不允许执行杀毒操作。因为这一切都是完成我们的最终目标:保证信息系统的正常运行和保护组织机构的信息资产不受损失。这是我们的核心目标,一定要搞清楚。我们的工作不是做一个点就可以,而是一个面,一个整体,牵一发而动全身,不能大意。以我个人的理解也可以这么说:如果病毒不对信息系统和资产造成任何伤害和妨碍;清除它可能需要花费很大的代价或清除过程中的操作会对信息系统产生不良影响的情况下,甚至可以漠视它的存在。另外楼主回复中说的杀软自动清除病毒模式,我个人认为安全专家设置杀软的时候不应该为自动清除,这对于安全专家来说这是一个低级失误。诺顿误杀系统文件的事件中很多就是错误配置为自动清除病毒模式,update后导致了信息系统的可用性被破坏。

综上所说,对于审计师来说是超越了你本身的职责;如果你不清楚相关安全策略和应急响应处理流程就执行操作,任何人都没有特权这样做,也是不可取的;。一旦发生意外情况,你属于违规的操作导致了比感染病毒本身更大的损失,那么可能没有人会同情在卷铺盖的你。如果我是审计师的话,发生这种情况,我的身份和普通的员工没有区别,迅速进入应急响应流程,也就是说审计师应该像普通员工一样向该收到报告的人进行安全事件报告(就算是审计师也没有任何特权越权违规操作)。等待应急响应小组来处理。如果我是你们企业的安全工程师我就会找你谈谈的,呵呵~~~


--------本帖迄今已累计获得28安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: IS审计师发现客户电脑中的病毒时该怎么办?
帖子发表于 : 2012-08-23 11:02 
离线
中级用户

注册: 2006-02-09 17:21
最近: 2015-04-28 14:38
拥有: 1,108.20 安全币

奖励: 383 安全币
在线: 2123 点
帖子: 60
首先,这里提到的IS审计师应该是外部的,所以还是觉得专家说得有道理些,
1、职责所在:IS审计师的职责是发现问题,虽然可以提些改善建议,但不是直接就帮忙解决。
2、处理流程:每个单位都有自己处理病毒的流程和方法,所以还是请本单位的安全管理人员来处理比较妥当。
3、风险评估:如果客户正在发送一封很紧急的邮件或在跑一个很重要的程式,而病毒的影响有限,那么立即拔掉网线所造成的后果很可能比病毒造成的影响更大。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: IS审计师发现客户电脑中的病毒时该怎么办?
帖子发表于 : 2012-08-23 11:06 
离线
中级用户

注册: 2006-02-09 17:21
最近: 2015-04-28 14:38
拥有: 1,108.20 安全币

奖励: 383 安全币
在线: 2123 点
帖子: 60
首先,从描述中的IS审计师应该是外部的,所以还是觉得专家说得有道理些:
1、IS审计师的职责是发现问题,虽然可以提些改善建议,但不是直接就协助解决。
2、每个单位都有病毒的处理流程和方法,所以还是请本单位的安全管理员处理比较妥当。
3、如果客户正在发送一封紧急邮件或在跑一个重要的程式,而病毒的影响有限或已经被防毒软体隔离了,那么断掉网线造成的影响可能会比病毒造成的影响更大。


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: IS审计师发现客户电脑中的病毒时该怎么办?
帖子发表于 : 2012-08-23 12:32 
离线
高级用户

注册: 2007-03-30 13:49
最近: 2016-04-15 14:31
拥有: 10.40 安全币

奖励: 0 安全币
在线: 3513 点
帖子: 266
这个问题,其实没有那么复杂。
首先,应该理解审计师是什么?
简单来说审应该是审查、检查,计就是测量、核算。那审计师就是负责审查和测量别人工作成果或过程的人员。
第二,审计师应该做什么?
审计师或ISACA的审计章程中,都有一条,独立性!这是作任何审计都应该遵守的。
对于IT审计或财务审计,如果你发现你的审计对象正在遭受到某种风险的响应。那你要做的,不是自己去动手将这个风险给直接消除,而是应该及时通知相关的人员(你的审计小组的负责人,审计对象的相关负责人员或相关业务负责人员),由他们来及时地、采取合理地处置措施。
而你,作为审计人员,可以比较冷静地观察他们整个处理程序,以便更好地发现这个事件处理过程中是否存在可以改进的地方,还可以对该事件作进一步地了解沟通,如询问为什么会发生这样的事件?是否有相关的预防措施来防止它发生?如果有,是不是措施要进行更新?如果没有,是否在后期有什么预防措施?发生这个事件对当前业务的响应有多大?是否有应对这个事件的响应机制?在这次事件解决过程中,该机制是否有指导作用?后期是否有对该事件进行总结分析等。。。
我个人是非常不建议审计师直接去采取措施的。
原因:1、违反审计职业道德;
   2、你采取的措施,可能导致现场证据丢失,不利于进行问题总结分析;
   3、由于你不能全面地了解业务运行情况,而贸然采取的措施所带来的响应(比如关机可能会导致整个业务中断,而中毒可能只是对机器性能有点影响)可能给更大;
   4、你采取的措施,可能也无法观察到他们整个应急响应,或影响他们后期的措施;
个人建议:
  第一时间通知相关人员,然后观察他们响应,当然可以给予一些比较合适的建议或最佳操作建议。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 上一页  1, 2

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012