Académique Documents
Professionnel Documents
Culture Documents
08 Sop - IT Production Environment
08 Sop - IT Production Environment
Numar
08A
08A01
08A01-01
08A01-02
08A01-03
08A01-04
08A01-05
08A01-06
08A01-07
08A01-08
08A01-09
08A01-10
08A01-11
08A02
08A02-01
08A02-02
08A02-03
08A02-04
08A02-05
08A02-06
08A02-07
08A02-08
08A03
08A03-01
08A03-02
08A03-03
08A03-04
08A03-05
08A03-06
08A03-07
08A03-08
08A03-09
08A03-10
08A03-11
08A03-12
08A03-13
08A03-14
08A03-15
08A03-16
08A04
08A04-01
08A04-02
08A04-03
08A04-04
08A04-05
08A04-06
08A05
08A05-01
08A05-02
08A05-03
08A05-04
08A05-05
08A06
08A06-01
08A06-02
08A06-03
08A06-04
08A06-05
08A06-06
08A06-07
08A06-08
08A06-09
08A06-10
08A07
08A07-01
08A07-02
08A07-03
08A07-04
08A07-05
08A07-06
08A07-07
08A07-08
08A07-09
08A07-10
08A08
08A08-01
08A08-02
08A08-03
08A08-04
08A08-05
08A08-06
08A09
08A09-01
08A09-02
08A09-03
08A09-04
08A09-05
08A09-06
08B
08B01
08B01-01
08B01-02
08B01-03
08B01-04
08B01-05
08B01-06
08B01-07
08B01-08
08B01-09
08B02
08B02-01
08B02-02
08B02-03
08B02-04
08B02-05
08B02-06
08B02-07
08B02-08
08B03
08B03-01
08B03-02
08B03-03
08B03-04
08B03-05
08B03-06
08B03-07
08B03-08
08C
08C01
08C01-01
08C01-02
08C01-03
08C01-04
08C01-05
08C01-06
08C01-07
08C01-08
08C01-09
08C02
08C02-01
08C02-02
08C02-03
08C03
08C03-01
08C03-02
08C03-03
08C03-04
08C03-05
08C03-06
08C03-07
08C03-08
08C03-09
08C03-10
08C03-11
08C03-12
08C03-13
08C04
08C04-01
08C04-02
08C04-03
08C04-04
08C04-05
08C04-06
08C04-07
08C05
08C05-01
08C05-02
08C05-03
08C05-04
08C05-05
08C05-06
08C05-07
08C06
08C06-01
08C06-02
08C06-03
08C06-04
08C06-05
08C06-06
08C06-07
08C06-08
08C06-09
08C06-10
08C07
08C07-01
08C07-02
08C07-03
08C07-04
08C07-05
08D
08D01
08D01-01
08D01-02
08D01-03
08D01-04
08D01-05
08D01-06
08D01-07
08D01-08
08D02
08D02-01
08D02-02
08D02-03
08D02-04
08D02-05
08D02-06
08D02-07
08D02-08
08D02-09
08D03
08D03-01
08D03-02
08D03-03
08D03-04
08D03-05
08D03-06
08D03-07
08D03-08
08D03-09
08D03-10
08D04
08D04-01
08D04-02
08D04-03
08D04-04
08D04-05
08D04-06
08D04-07
08D04-08
08D05
08D05-01
08D05-02
08D05-03
08D05-04
08D05-05
08D05-06
08D05-07
08D05-08
08D05-09
08D05-10
08D05-11
08D05-12
08D05-13
08D05-14
08D06
08D06-01
08D06-02
08D06-03
08D06-04
08D06-05
08D06-06
08D06-07
08D06-08
08D06-09
08D06-10
08D06-11
08D06-12
08D06-13
08D06-14
08D07
08D07-01
08D07-02
08D07-03
08D07-04
08D07-05
08D07-06
08D07-07
08D08
08D08-01
08D08-02
08D08-03
08D08-04
08D08-05
08D09
08D09-01
08D09-02
08D09-03
08D10
08D10-01
08D10-02
08D10-03
08D10-04
08D10-05
08D10-06
08D10-07
08E
08E01
08E01-01
08E01-02
08E01-03
08E01-04
08E01-05
08E01-06
08E01-07
08E01-08
08E01-09
08E02
08E02-01
08E02-02
08E02-03
08E02-04
08E02-05
08E02-06
08E02-07
08E02-08
08E02-09
08E03
08E03-01
08E03-02
08E03-03
08E03-04
08E03-05
08E03-06
08E03-07
08E03-08
08F
08F01
08F01-01
08F01-02
08F01-03
08F01-04
08F01-05
08F01-06
08F01-07
08F02
08F02-01
08F02-02
08F02-03
08F02-04
08F02-05
08F02-06
08F02-07
08F03
08F03-01
08F03-02
08F03-03
08F03-04
08F03-05
08F03-06
08F03-07
08F03-08
08F03-09
08G
08G01
08G01-01
08G01-02
08G01-03
08G01-04
08G02
08G02-01
08G02-02
08G02-03
08H
08H01
08H01-01
08H01-02
08H01-03
08H01-04
08H01-05
08H01-06
08H01-07
08H01-08
08H01-09
08H01-10
08H01-11
08H02
08H02-01
08H02-02
08H02-03
08H02-04
08H02-05
08H02-06
08H02-07
08H02-08
08H02-09
08H02-10
08H03
08H03-01
08H03-02
08H03-03
08H03-04
08H03-05
08H03-06
08H03-07
08H03-08
08H03-09
Chestionar de Audit : Mediul de Productie IT
Intrebare
Securitatea procedurilor operationale
Luarea in considerare a securitatii in relatia cu personalul operational ( personal permanent si temporar)
Exista o politica de securitate specific destinata personalului operational, in legatura cu sistemele de informatii?
Aceasta politica ar trebui sa acopere cerintele pentru protectia informatiei, bunurilor fizice si a proceselor si sa
mentioneze comportamentele interzise
Este personalul de operare ale sistemelor informatice obligat să semneze clauzele contractuale de aderare la această
politică de securitate (indiferent de statutul lor: personal permanent sau temporar, studenți etc.)?
Fac aceste clauze clar faptul că obligația de a respecta această politică de securitate se aplică informațiilor, in sensul
larg al termenului (în funcție de suport: hârtie, magnetic, optic, etc)?
Fac aceste clauze clar faptul ca, dacă este necesar și posibil din punct de vedere legal, obligația de a respecta politica
de securitate se aplică fără a se limita la un interval de timp?
Acest lucru se aplică, în special, la clauzele referitoare la confidențialitate, pot (și de multe ori trebuie) să continue,
după încheierea legaturii contractuale (directe sau indirecte) dintre angajat si furnizorul de servicii sau partener al
companiei
Fac aceste clauze clar faptul că personalul are obligația de a nu tolera nicio acțiune contrară securității din partea altor
persoane?
Reprezintă semnarea acestor clauze un angajament formal?
În scopul de a realiza un angajament oficial, personalul trebuie să menționeze în mod explicit că semnătura
presupune că a înțeles și acceptat politica de securitate
Sunt aceste aceleași clauze obligatorii pentru antreprenorii care lucrează cu sistemele de operatii?
Practic, antreprenorii trebuie să se asigure că personalul lor semneaza în mod individual și explicit, în aceleași condiții
ca personalul intern.
Există un curs obligatoriu și bine adaptat de formare destinat personalului de exploatare a sistemelor?
Sunt acordurile de conformitate cu politica de securitate, semnate de personal, pastrate în siguranță (cel puțin într-un
dulap încuiat)?
Sunt acordurile de conformitate cu politica de securitate, semnate de contractantii externi, pastrate în siguranță (cel
puțin într-un dulap încuiat)?
Există un audit regulat, cel puțin o dată pe an, a aplicării efective a procedurii de semnare de către personalul
operațional (angajat direct de către societate sau indirect, printr-o companie de servicii)?
Controlul instrumentelor operaționale și a utilităților
Au fost definite diferite profiluri pentru sisteme personalului de operare (administrarea și gestionarea configurațiilor,
administrarea echipamentelor de securitate, monitorizare, audit și investigare)?
Are fiecare din membrii personalului de funcționare a sistemelor atribuit unul dintre aceste profiluri?
Au fost verificate exhaustiv si enumerate pentru fiecare profil toate instrumentele de sistem sensibile si utilitatile
(drepturi de administrare, de gestionare a configurației, backup-uri, copii, reporniri la cald, etc.) ?
Este posibil numai pentru titularii unui anumit profil sa utilizeze instrumentele și utilitarele subsecvente pentru o
autentificare puternica, corespunzatoare (smart card sau card token)?
Este interzisa crearea sau adăugarea de instrumente sau utilitare sensibile fără autorizație formală?
Există un control regulat automatizat pentru a pune în aplicare această regulă, care declanșează o alertă catre un
manager adecvat?
Previne separarea drepturilor personalului de operare a sistemelor modificarea exagerata a instrumentelor sau a
utilităților sensibile, sau cel puțin, exista un control de rutina care sa verifice daca nicio modificare nu a fost făcută și
care ar putea declanșa o alerta managerul în cazul în care acest lucru se intampla?
Acordarea de profiluri administrative și punerea în aplicare a măsurilor de securitate menționate mai sus fac obiectul
auditului periodic?
Controlul de acceptare a introducerii sistemelor sau de modificare a sistemelor.
Sunt incluse aici sisteme de operare, aplicații și middleware asociate
Sunt deciziile de a schimba sau a actualiza echipamentele și sistemele supuse semnificativ unei proceduri de control
(de înregistrare, planificare, aprobare formală, comunicare tuturor persoanelor implicate etc.)?
Sunt deciziile de schimbare, bazate pe o analiza a capacității noilor echipamente și sisteme de a asigura sarcina
necesară și luarea considerare a evoluției cererilor previzibile?
Iau in considerare instalarile o protecție fizică (acces protejat, nicio vedere directa din exterior asupra echipamentelor,
fără amenințări fizice multiple, condițiile meteorologice, de protecție împotriva trăsnete, protecție împotriva prafului
etc.)?
Exista vreo funcționalitate nouă sau modificată legată de un sistem nou sau de o versiune nouă a unui sistem,
documentata în mod sistematic înainte de a trece în producție?
Este o astfel de funcționalitate nouă (sau o modificare în funcționalitate) legată de un nou sistem sau o nouă versiune
a unui sistem, revizuita în mod oficial și sistematic în legătură cu funcția de securitate IT?
Include această reexaminare o analiză a riscurilor care pot rezulta din modificări?
A fost luat în considerare eventualul impact al modificărilor sistemelor în ceea ce privește planurile de continuitate?
Exista derogări de la analiza și controlul preliminar al parametrilor de securitate a riscurilor, supuse unor proceduri
stricte, inclusiv o semnătură din partea conducerii superioare?
Poate începerea producției de noi sisteme și aplicații să fie efectuata numai de către personalul implicat în operațiuni?
Este începutul producției de noi versiuni ale sistemelor sau aplicații posibil prin utilizarea unui proces de validare și
autorizare definite?
Este nevoie de o autorizatie formală, semnată de un manager responsabil, necesară în cazul în care nu sunt
respectate procedurile menționate mai sus?
Există o clauză cu caracter obligatoriu în contractele de personal de întreținere care prevăd că orice mediu de stocare
care conțineau date sensibile să fie distruse înainte de eliminare?
Considerații privind confidențialitatea în timpul întreținerii sistemelor de producție
Există o procedură care descrie, în detaliu, toate operațiunile necesare a fi executate înainte de a contacta
responsabilii de întreținere, în scopul de a preveni ca personalul de întreținere sa aiba acces la datele operaționale de
producție (deconectarea matricei de discuri și cartușe, ștergerea datelor operaționale, etc.)?
Există o clauză cu caracter obligatoriu în contractele cu personalul de întreținere care prevăd că orice mediu de
stocare care conține date sensibile să fie distruse înainte de eliminare?
Există o procedură de verificare a integrității sistemului după intervenția de întreținere (absența spyware sau troieni
etc)?
Este o autorizatie formală, semnată de un manager responsabil, necesară în cazul în care nu sunt respectate
procedurile menționate mai sus?
Sunt procedurile de mai sus supuse unui audit periodic?
Controlul de întreținere de la distanță
În cazul întreținerii de la distanță, este accesul biroului de întreținere la distanță supus unei proceduri de autentificare
securizată?
În cazul întreținerii de la distanță, este personalul de întreținere supus unei proceduri de autentificare securizată?
Există un set de proceduri referitoare la acordarea și revocarea drepturilor de acces pentru agenții de întreținere la
distanță și acordarea drepturilor în situații de urgență?
Au fost aprobate procedurile și protocoalele de transmitere și de păstrare a convențiilor secrete (în cazul întreținerii de
la distanță) de către ofițerul de securitate de informații sau de un specialist calificat?
Necesita utilizarea liniei de întreținere de la distanță acordul prealabil (pentru fiecare utilizare) a personalului de
operare ale sistemului (la cerere de către producător sau de editor, specificând natura, data și ora intervenției)?
Sunt protejate prin criptare datele sau schimburile de comenzi în timpul întreținerii de la distanță ?
Sunt protejate pentru control al integrității (etanșare) datele sau schimburile de comenzi în timpul întreținerii de la
distanță ?
Este utilizarea liniei de întreținere de la distanță sub control strict?
Un control strict presupune că fiecare utilizare a liniei, numele operatoruli de întreținere și acțiunile desfășurate sa fie
înregistrate și să existe un audit ulterior al caracterului adecvat al acțiunilor și conformitatea acestora cu normele
stabilite de către managerii de întreținere.
Sunt echipamentele accesibile pentru întreținere de la distanță protejate împotriva inhibării sau modificarea condițiilor
de acces pentru întreținere la distanță (de exemplu, prin declanșarea unei alarme)?
Sunt procedurile de control pentru întreținere de la distanță auditate în mod regulat?
Asigură sistemul de distribuție pentru documente imprimate și rapoarte o protecție împotriva furtului (blocat dulapuri și
cutii care transportă în timpul transportului)?
Asigură sistemul de distribuție pentru documente imprimate și rapoarte o protecție împotriva consultarii indiscrete ?
Solicită sistemul de distribuție pentru documente imprimate și rapoarte ca destinatarul să fie autentificat înainte de
livrarea lor?
Sunt documentele și rapoartele tipărite etichetate în mod anonim, fără să arate nici o clasificare specială?
Sunt aceste măsuri adaptate la nivelul maxim de securitate a informațiilor continute (depozitare temporară în cutii
puternice blocate și livrare personala pentru informații foarte sensibile)?
Sunt documentele și rapoartele imprimate sensibile vechi distruse într-un mod sigur, astfel încât să nu poată fi
exploatate?
Sunt procedurile de securitate pentru distribuirea de materiale tipărite auditate în mod regulat?
Gestionarea procedurilor de operare pentru producția IT
Procedurile de operare rezultă din studiul cazurilor generale care urmează să fie acoperite prin procedura menționată
(cazuri de funcționare normale și incidente)?
Sunt procedurile de operare disponibile imediat, la cerere, de către orice persoană acreditată?
Se asigura în mod regulat ca serviciile de securitate alocate furnizorilor de bunuri si servicii sunt implementate și
menținute de către acestia în mod eficient?
Se asigură faptul că furnizorii sau prestatorii de servicii au pregătit în mod eficient dispozițiile adecvate pentru a se
asigura că serviciile sunt furnizate conform celor convenite?
Este revizuita în mod regulat respectarea dispozițiilor de securitate de către furnizorii sau prestatorii de serivicii ?
Este garantat faptul că furnizorii raporteaza și documenteaza orice incident de securitate cu privire la informații sau
sisteme?
Există o revizuire periodică a acestor incidente sau defecțiuni cu furnizorii de bunuri si servicii în cauză?
Exista modificări ale relațiilor contractuale (obligații, nivelele de servicii, etc.), analizate pentru riscuri potențiale
rezultate?
Controlul de configurații hardware și software
Controlul conformității parametrilor și configurațiilor sistemelor
Există un document (sau un set de documente) sau o procedura operaționala care descrie toți parametrii de securitate
pentru sisteme?
Un astfel de document ar trebui să fie derivat din politica de securitate și să descrie toate regulile de filtrare stabilite.
Acesta ar trebui să menționeze, de asemenea, trimiterea la versiunile în sistem, astfel încât să se verifice starea
actualizărilor.
Acest document presupune ca toate conturile generice sau implicite sa fie șterse și lista lor să fie stabilită?
Versiunile sistemului, stabile și parametrizate se actualizeză regulat în linie cu ultimele informații? Aceasta trebuie
facut în cooperare cu autoritățile certificate.(auditori specializați, înscrierea la un centru de service, consultații regulate
cu CERT, etc.)
Documentul sau procedura rezultată impune o caracteristică de sincronizare, bazată pe o referință fiabilă de timp?
Ducumentele de referință sunt protejate, prin metode sigure, împotriva modificării premature sau ilicite (sigilare)?
Este verificată integritatea configurațiilor sistemului, regulat (măcar săptămânal) dacă nu la fiecare pornire a
sistemului, împotriva configurațiilor teoretic așteptate?
Sunt audituri periodice efectuate pentru respectarea specificațiilor pentru parametrii de securitate?
Sunt audituri regulate efectuate ca urmare a procedurilor de exceptare și escaladare în cazul dificultăților și
a problemelor de instalare?
Mediul de testare și dezvoltare este separat de mediul operațional?
Controlul de confomitate al configurațiilor software operaționale (inclusiv pachetele)
Există un document (sau un set de documente) sau o procedură operațională care să descrie parametrii de securitate
pentru toate aplicațiile? Acești parametrii trebuie să rezulte din securitatea arhitecturală reținută pentru aplicații
Sunt audituri periodice efectuate datorită posibilelor diferențe între parametrii de securitate așteptați și cei efectiv
implementați?
Sunt audituri regulate efectuate ca urmare a procedurilor de exceptare și escaladare în cazul dificultăților și
a problemelor de instalare?
Controlul de conformitate al referinței programului (codul sursă și executabilii)
Operațiile IT de gestionare realizează o versiune de referință pentru fiecare produs instalat în producție (cod sursă și
executabile)?
Este versiunea de referință protejată de toate posibilile modificări ilicite sau premature? (semnătura electronică
păstrată de un manager senior, sigiliu electronic, etc.)?
Este considerată această protecție ca fiind de ne atins (sigilată printr-un algoritm criptografic aprobat de Directorul de
Securitate al Informației)?
Este controlat automat sigiliul (în caz contrar poate exista o semnătură autorizată) la fiecare nouă instalare?
Este o verificare făcută pentru dovada originii și integrității pentru modulul de întreținere primit sau o versiune nouă, de
la editor sau producător (pentru sistemele de operare)?
Sigiliul sau instrumentele de control al sigiliului sunt protejate de orice utilizare neautorizată?
Inhibarea controlului automat al sigiliului generează o atenționare unui manager?
Există control regulat al protecției procedurilor de refecrințe ale programelor?
Managementului depozitelor media de date și programe
Managementul depozitelor media
Sunt controlate toate mutările dintr-o colecție de către o persoană sau de către un departament responsabil?
Toate elementele media folosite în operații sunt controlate de către aceași persoană sau departament?
Mutarile depozitelor media sunt înregistrate sistematic (data și ora, responsabilul, etc)?
Cedarea depozitelor media sunt înregistrate sistematic (data și ora, responsabilul, etc)?
După 24 ore de control, sistemle automate de detectare a focului, inundației și a umidității sunt în măsură să detecteze
în timp real o greșeală, o dezactivare sau o alarmă?
Exită o procedură sau o rutină automată care să genereze o intervenție imediată a personalului specializat în cazul
unei alarme (a sistemului de control al accesului sau a sistemului de detectare a incidentelor)?
Securitatea fizică a depozitelor de media (păstrat într-un loc extern)
Securitatea depozitelor arhivate este făcută de o companie specializată, care oferă o garanție contractuală a
securității?
Contractul semnat cu o companie asigură un nivel înalt al securității depozitelor media (autentificare complexa, control
al punctelor de acces și a ieșirilor de urgență, detectarea intrușilor, supraveghere video, protecție împotriva riscurilor
naturale, echipă de intervenție, etc)?
Procedura folosită de transfer către depozitulș extern presupune un nivel ridicat de securitate (cum ar fi containere
securizate și transportatori acreditați de companie)?
Există clauze contractuale sau acte adiționale prin care se stipulează condițiile de restituire a depozitelor media,
garantând că persoana căreia i se returneză să fie autorizată chiar și în cazul unei proceduri de urgență?
Există un control regulat al măsurilor de securitate asigurate de compania externa care se ocupă de depozitarea
arhivelor și a backup-urilor?
Există un control regulat al procedurilor referitor la depozitul media (transport și întoarcere)?
Există un control regulat al clauzelor contractuale care specifică relațiile cu companiile ce asigură depozitarea externă
a arhivelor și a backup-urilor?
Verificarea și circuitul unui depozit arhivat
Sunt verificate regulat depozitele media ce conțin date pe termen lung (arhive) (fregvența update-urilor și clasificarea
informațiilor)?
Depozitele de date păstrate pentru mult timp (arhivele) sunt copiate periodic în noi depozite de date cu afectuarea
mentenanței?
Există o verificare periodică a compatibilității tehnice dintre depozitul de date și soluțiile operaționale folosite pentru
restaurarea datelor?
Sunt realizate teste periodice privind reabilitarea arhivelor media?
Testele de recitire conțin controale de autenticitate ale informațiilor stocate?
Fișierele folosite pentru gestionarea depozitului de date sunt eșantionate și folosite sub un control strict? Un control
strict presupune ca persoanele autorizate ce au acces la fișiere să fie înregistrate și în număr limitat, ar trebui să fie
consolidat controlul accesului pentru a fi capabili să fie modificați, și orice modificare să file înregistrată și auditată.
Furnizorii ofera un centru de suport tehnic software care garanteaza o asistenta telefonica rapida si competenta?
Contractele de intretinere software anticipeaza lansarea periodica de versiuni nou luand in considerare toate corectiile
aplicabile produsului?
Exista contracte specifice de întreținere pentru produse software (sisteme, middleware și aplicații), care necesită
întârzieri corective pe care intretinerea standard nu o poate acoperi?
Aceste contracte detaliaza intervențiile intarziate maxime specifice, compatibile cu cerințele de disponibilitate?
Contractele detaliaza intervalul de timp necesar si zilele de interventie ( 24h /7 zile ) compatibile cu cerințele de
disponibilitate?
Contractele stipuleaza conditiile de crestere in caz de dificultate?
Aceste contracte specifica clauze specifice atunci cand un sistem depaseste duratele specifice stabilite ( penalitati,
inlocuirea hardware, etc)?
Este de dorit ca aceste clauze sa fie generale si sa se aplice in toate cazurile indiferent de motive ( dificultati tehnice,
greva personalului, etc)
Sunt contractele de întreținere, alegerea subcontractanților și a procedurilor de întreținere asociate supuse auditului
periodic?
Procedurile de recuperare și de aplicare a planurilor în urma incidentelor în timpul funcționării
A fost stabilită o listă, pentru toate aplicațiile, a incidentelor care ar putea apărea în timpul producției și, pentru fiecare
dintre acestea, gravitatea consecințelor posibile?
Consecințe critice se pot referi la coerența datelor și continuitatea serviciului.
Pentru fiecare incident în timpul funcționării au fost identificate mijloacele corespunzătoare de diagnosticare?
Pentru fiecare incident în timpul funcționării, are o soluție a fost stabilită, precum și operațiunile de a efectua de către
personalul de operare de sistem?
Pentru fiecare incident posibil în timpul funcționării, au o întârziere de rezoluție acceptabilă și o procedură de
cresterea care fost determinată în cazul defectării sau intarzierii acțiunilor corective anticipate?
Sunt mijloacele de diagnostic, necesare personalului de funcționare a sistemului, protejat împotriva oricărei posibile
inhibare sau modificării neautorizate?
Sunt mijloacele de corecție, necesare personalul de operare a sistemului, pentru a rezolva un incident de funcționare
critic protejat împotriva oricărei posibile inhibare sau modificării neautorizate?
Există teste regulate în ceea ce privește eficiența procedurilor și facilitatile care ancheteaza și diagnosticheaza
operarea aplicațiilor?
Exita o verificarea periodica in ceea ce priveste actualizarea documentatiei corespunzatoare?
Exista teste periodice facute cu privire la capacitatea efectiva de a restaura date si de a reporni aplicatia dupa un
incident desfasurat in timpul operatiuni?
Pentru recuperarea datelor criptate, gestionarea cheilor prevede recuperarea cheilor pierdute sau alterate?
Backup de configurații software (sistem, aplicații și parametrii de configurare)
A fost stabilit un plan de rezervă, care sa acopere toate programele și sa defineasca toate obiectele pentru a salva și
frecventa backup -urile?
Planul acoperă, de asemenea, parametrii de configurare middleware si sistemul pentru a salva ?
Planul acopera, de asemenea, parametrii aplicatiei pentru a salva?
Exista un plan pus în aplicare prin rutine automate de producție?
Există teste regulate pentru copiile de rezervă ale programelor (cod sursă și / sau executabilele) să permită
restabilirea efectivă a mediului de producție în orice moment?
Aceste teste ar trebui să ia în considerare toate copiile de rezervă (inclusiv documentația și fișierele parametri) ale
elementelor legitime.
Sunt rutine de producție care asigură backup-uri protejate împotriva modificărilor ilicite sau nejustificate, prin
mecanisme sigure?
Astfel de mecanisme ar putea fi sigiliu electronic sau orice alt sistem de detectare a modificarilor echivalente.
Exista teste facute pentru readaptabilitatea backup-urilor?
Sunt toate planurile și procedurile software de backup supuse unui audit regulat?
Copie de siguranta a datelor aplicatiei
A fost efectuat un studiu preliminar, coroborat cu utilizatorii, pentru a identifica scenariile in care copiile de rezervă
trebuie să fie capabil să acopere?
A fost o analiză efectuată cu utilizatorii, în scopul de a defini pentru fiecare fișier timpul maxim acceptabil între două
backup-uri?
Aceste studii trebuie să se bazeze pe capacitatea de a reconstrui pierderea informațiilor și permit să se definească
ciclul necesar de rezervă.
Au fost realizate studii de sincronizare necesare între backup-uri legate pentru toate platformele, în scopul de a
asigura buna funcționare a cererilor și coerența reluate a datelor necesare pentru această reluare?
Din studiile de mai sus, s-a facut un backup pentru proceduri care sa cuprinda, pentru fiecare clasă de fisiere,
frecventa, detaliile de constituire si sincronizarile necesare?
Backup-ul integreaza un plan de control, subliniind diferitele puncte de control (dimensiunea fisierelor, durata etc) si
frecventa acestora?
Planul de control mentioneaza actiunile ce trebuie realizate in cazul unui incident sau a unei anomalii?
Este planul de backup actualizat de fiecare data cand mediul operatiunii se schimba?
Actualizari ar trebui sa apara, in special, la momentul adaugarii sau modificarii cererilor
Planul de rezerva a fost tradus in rutine operationale automate?
Sunt efectuate controale regulate pentru a se asigura ca o pornirea/repornirea este posibila din backup-urile facute
(adica un test complet care verifica functionalitatea si absenta sincronizarii sau a probleme de coerenta)?
Sunt rutine de producție pe care copii de rezervă efect sub control strict în ceea ce privește modificarea ilicită sau
nejustificată?
Un control strict necesită un control al accesului consolidat pentru a modifica aceste rutine, o exploatare forestieră și
un audit al tuturor modificărilor și / sau un control al integrității prin sigilare electronică a rutine operaționale automate.
Face salvarea datelor și procedurile de reținere oferă garanții de respectare a reglementărilor și a angajamentelor din
partea organizației în ceea ce privește confidențialitatea și integritatea?
Mai sunt teste regulate pentru a reciti copii de siguranță ale datelor aplicației?
Sunt mai multe generații de fișiere păstrate în mod sistematic, în scopul de a proteja împotriva oricăror pierderi sau
indescifrabil prin organizarea, de exemplu, rotația mediilor de stocare de rezervă?
Sunt toate planurile și procedurile de backup de date auditate în mod regulat?
Planificarea de recuperare în caz de dezastru pentru operațiunile IT
Au toate scenariile care ar putea avea un impact asupra infrastructurii și serviciilor IT a fost luate în considerare și,
pentru fiecare scenariu, consecințele în ceea ce privește indisponibilitate pentru utilizatorii serviciului?
Pentru fiecare scenariu, și în acord cu utilizatorii, au o listă și programul de reluare a serviciului a fost definit?
Pierderea de informații, mijloace pentru a le reconstrui și trebuie să fie luate în considerare proceduri operaționale
temporare. "
o soluție de recuperare de activitate a fost definită și pusă în aplicare pentru a rezolva fiecare scenariu identificat mai
sus, în conformitate cu cerințele utilizatorului?
Sunt resursele tehnice, organizatorice și umane suficiente pentru a răspunde cerințelor organizației pentru
continuitatea IT?
Acest lucru înseamnă a fi capabil de a corecta deficiențele de personal "
Sunt resursele tehnice, organizatorice și umane educate pentru a răspunde cerințelor organizației pentru continuitatea
IT?
Acest lucru implică faptul de a instrui în mod adecvat tot personalul în cauză.
Sunt toate aceste soluții descrise în detaliu în planurile de recuperare în cazul dezastrelor, inclusiv condițiile de
declanșare a planului, acțiunile de a executa, prioritățile, actorii să mobilizeze și să datele de contact ale acestora?
Sunt mai multe programe antivirus (de la diferiți editori) simultan de operare pentru protecția serverelor de operare?
Sunt produse software antivirus actualizat în mod regulat și în mod automat (zilnic)?
Este un abonament organizat cu un centru de raspuns de urgenta capabil sa avertizeze si sa anticipeze atacurile mari
de virus la scara pentru care software-ul antivirus instalat nu este inca pana în prezent?
Exista o comisie de urgenta care poate sa fie implementata rapid, in caz de alerta sau de detectare a infectiei virale?
Activarea si actualizarea software-ului antivirus pe serverele fac obiectul unui audit regulat?
Managementul sistemelor critice (in ceea ce priveste continuitatea intretinerii)
Au fost analizate consecintele disparitiei unui furnizor (in caz de esec, o eroare sau cerinta schimbarii) si a fost stabilita
o lista de sisteme critice?
Acest lucru este valabil pentru furnizorii de hardware, software sau de servicii.
Pentru toate sistemele critice, a fost analizata o solutie de corectie pentru a face fata esecului sau disparitiei unui
furnizor (lot de documentatie de intretinere sau codul sursa cu o terta parte de incredere, de inlocuire a hardware prin
solutii standard de pe piata etc.)?
Exista o garantie ca solutiile corective ar putea fi rezolvate in termen de intarzieri compatibile cu continuitatea activitatii
si acceptata de catre utilizatori?
Au fost luate in considerare si alte variante in cazul in care s-ar putea intampina dificultati neprevazute?
Exista o revizuire periodica a sistemelor critice precum si solutii corective?
Planuri de urgenta pentru backup-uri (regres)
Backup-urile software si fisierele de configurare care permit restaurarea mediului de productie sunt salvate intr-o
locatie in afara spatiilor (backup de recurs)?
Toate datele pentru backup sunt salvate in afara spatiilor (backup de recurs)?
Se efectueaza teste regulate pentru a verifica ca pot fi citite copiile de rezerva?
Mentinerea conturilor de utilizator
A fost definita intarzierea maxima acceptabila in cazul restituirii drepturilor pentru utilizatori ca urmare a blocarii in mod
accidental sau intentionat a conturilor (aplicatie, sistem, retea)?
Procedura care trebuie urmata in cazul in care un cont este blocat este definita?
Procedura este cunoscuta utilizatorilor?
Procedura respecta intarzierea maxima acceptabila in cazul blocarii mai multor conturi? (refuzul de prestare a
serviciului)
Exista permisa posibilitatea blocarii simultane a multor conturi?
Exista o procedura care trebuie urmata in cazul in care mai multe conturi au fost blocate simultan?
Procedurile de conservare ale conturilor de utilizatori sunt auditate in mod regulat?
Gestionarea si tratarea incidentelor
Detectare online si rezolvarea evenimentelor anormale legate de IT si a incidentelor
A fost facuta o analiza detaliata pe evenimentele sau succesiunea de evenimente care pot dezvalui comportamente
anormale sau actiuni ilicite, deci, in consecinta, exista indicatori de monitorizare specifici sau au fost identificate
punctele de control?
Este sistemul echipat cu un sistem automat de monitorizare in timp real, in cazul unei acumulari de evenimente
anormale (de exemplu, incercari nereusite de conectare de pe porturi nedeschise)?
Exista o aplicatie capabila sa analizeze individual anomaliile date in urma diagnosticarii si sa declanaeze o alerta
personalului operational?
Exista, in cadrul personalului operational, o echipa sau anumite persoane disponibile 24 de ore pe zi, capabili sa
rezolve situatiile in cazul unei alerte dupa ce aplicatia a detectat o anomalie?
A fost definit, dupa fiecare caz de alerta, timpul de raspuns asteptat de la echipa de supraveghere și nivelul
corespunzator al personalului pentru a satisface aceste asteptari?
Parametri definiti pentru alarma sunt protejati in mod corespunzator (drepturi de acces restrictionat si autentificare)
impotriva modificarilor ilicite?
Inchiderea sistemului de alarma declanseaza o alerta catre echipa de supraveghere?
Elementele care au permis detectarea unei anomalii sau a unui incident sunt arhivate (de pe disc, caseta, DON etc)?
Procedurile de detectare a anomaliilor si disponibilitatea supravegherii echipei fac obiectul auditului periodic?
Gestionarea offline a inregistrarilor si a jurnalelor
A fost efectuata o analiza detaliata a evenimentelor sau succesiunea evenimentelor care pot avea impact asupra
securitatii (refuzarea conexiunii, reconfigurari, modificari de performanta, accesul la date sau unelte etc)?
Sunt inregistrate aceste evenimente, precum si parametri utili pentru analizarea ulterioara a acestora?
Exista o aplicatie capabila sa analizeze aceste inregistrari, precum si sa masoare performanta si sa deduca statistici,
tablou de bord, diagnosticare anomalie etc., in vederea examinarii de catre o echipa competenta?
Structura responsabila de analiza acestor rezumate (sau jurnale de incidente si evenimente legate de securitate) este
obligata sa faca acest lucru la intervale regulate de timp si are suficienta disponibilitate?
Raspunsul asteptat de la echipa de supraveghere a fost definit pentru fiecare caz de alerta? Nivelul de disponibilitate
este suficient pentru a indeplini aceste asteptari?
Parametri care definesc elementele pentru inregistrare precum si rezumatele sunt afectate de aceste elemente
protejate strict impotriva schimbarii neautorizate (drepturi limitate si autentificare puternica)?
Este vreo inhibitie a sistemului de inregistrare si de prelucrare semnalata imediat de catre echipa de supraveghere?
Este fiecare incident major asupra sistemelor sau a aplicațiilor obiectul unei monitorizări specifice (natura si descriere,
prioritate, solutie tehnica, analiza progresului, de asteptat rezolutie de plumb timp etc)?
Controlul drepturilor administrative
Controlul drepturilor de acces administrativ acordate de sisteme
Au fost definite, in cadrul personalului operatiunilor de IT, profilurile corespunzatoare fiecarui tip de activitate
(administrare de sistem, administrare de echipamente de securitate, monitorizare sistem, gestionare de stocare a
datelor si functii de backup etc)?
Au fost definite drepturile si privilegiile necesare pentru fiecare profil?
Procesul de atriburie a drepturilor speciale necesita autorizare formala de gestionare (sau managerul responsabil
pentru furnizorii externi de servicii) la un nivel suficient de ridicat?
Este procesul de atribuire a drepturilor speciale alocat numai in raport cu profilul titularului?
Procesul de garantare (modificare sau revocare) a drepturilor speciale sunt controlate individual?
Un control strict necesita o recunoastere formala a semnaturii (electronica sau nu) ale solicitantului, existenta unui
control strict al accesului, in scopul atribuirii sau modificarii drepturilor si care sa fie conectat la orice modificare a
drepturilor speciale si auditate
Exista un proces sistematic de eliminare ale drepturilor speciale la momentul plecarii sau schimbarea rolului
personalului operatiunilor de IT?
Exista un audit regulat, cel putin o data pe an, al tuturor drepturilor speciale atribuite?
Autentificarea administratorilor si a personalului operational
Este protocolul de autentificare utilizat pentru administratorii sau detinatorii de drepturi speciale considerate a fi
sigure?
Un protocol de autentificare este considerat sigur in cazul in care nu este susceptibil de a fi intrerupt de un dispozitiv
de ascultare in retea sau inoperabil de specialisti (in special prin parola de crack). O astfel de securitate utilizeaza de
obicei metode criptografice.
Sunt regulile, de exemplu, în cazul parolelor, considerate a fi foarte stricte?
Regulile stricte impun utilizarea unor parole netriviale testate, folosind un amestec de diferite tipuri de caractere care
sa aiba o lungime rezonabila (zece caractere). Este de dorit ca aceste norme sa fi fost aprobate de catre ofiterul de
securitate al informatiilor
Exista un control consecvent al drepturilor administratorului, al contextului sau, precum si al caracterului adecvat al
acestui context, cu accesul solicitat, conform regulilor formale de control ale accesului?
Sunt parametri de autentificare sub un control strict?
Un control strict impune ca lista de oameni capabili sa schimbe regulile de autentificare, acreditarile in sine, precum
si normele de supraveghere ale tentativelor de conectare sa fie limitata, existand un control al accesului consolidat
pentru a putea modifica aceste drepturi si ca orice modificare sa fie inregistrata si auditata si sa existe un audit general
al tuturor parametrilor de autentificare cel putin o data pe an.
Sunt procese care sa garanteze autentificarea sub un control strict?
Un control strict impune ca software-ul utilizat sa fi fost validat si sa fi fost supus unui test regulat pentru integritate
(sigiliu), precum si faptul ca se efectueaza un audit al procedurilor si al proceselor de autentificare cel putin o data pe
an.
Exista un audit periodic al profilurilor privilegiate acordate efectiv?
Exista un audit periodic al procedurilor de acordare a drepturilor privilegiate, precum și al parametrilor de securitate
alocati pentru protejarea profilurilor si a drepturilor?
Supravegherea acțiunilor administratorilor sistemului
A fost efectuata o analiza detaliata a evenimentelor si a operatiunilor efectuate cu drepturi administrative care pot avea
un impact potential asupra securitatii sistemului (configurarea sistemelor de securitate, acces la informatii sensibile,
utilizarea de instrumente sensibile, descarcarea sau modificarea instrumentelor administrative etc?)
Există un sistem capabil sa detecteze orice modificare sau stergere a unei inregistrari anterioare si sa declanseze
imediat o alarma unui manager?
Exista un rezumat al acestor evidențe care sa permita conducerii sa detecteze un comportament necorespunzator?
Exista un sistem care sa permita detectarea oricarei modificari a parametrilor de inregistrare pentru a declansa imediat
o alarma unui manager?
Se declanseaza o alarma la un manager in momentul inregistrarii si prelucrarii evenimentelor inregistrate in sistem?
Toate inregistrarile sau sinteza analizelor sunt protejate impotriva fasificarii sau distrugerii?
Toate inregistrarile sau rezumatul analizelor sunt pastrate pentru o perioada lunga de timp?
Procedurile care inregistreaza si proceseaza operatiuni privilegiate sunt auditate in mod regulat?
Procedurile de audit si de control in raport cu sistemele de informatii
Functionarea sistemelor de control de audit
Managementul a adoptat cerintele si procedurile impuse pentru auditarea sistemelor informatice?
Regulile legate de audit al sistemului de informatii, procedurile relevante si responsabilitatile asociate sunt definite si
documentate?
Restrictiile se refera la tipul de acces la date si aplicatii, controalele autorizate si procesarea, stergerea datelor
sensibile obtinute, anumite operatiuni de pavilion, ... si responsabilizarea persoanelor care efectueaza auditul.
Auditorii sunt independenti de activitatile in cauza?
Operatiunile de audit sunt efectuate pentru datele critice inregistrate?
Protecția uneltelor și a rezultatelor auditului
Sunt instrumentele de audit protejate pentru a evita orice utilizare neautorizata sau rauvoitoare?
Acest lucru este valabil in special pentru testarea accesului neautorizat si evaluarile vulnerabilitatii.
Rezultatele auditului sunt protejate impotriva modificarilor sau divulgarilor?
Sunt delimitate activitatile auditorilor?
O astfel de delimitare este recomandata in special in cazuș auditorii externi
Gestionarea arhivelor legate de IT
Organizarea managementului pentru arhivarea IT
Exista o organizatie care se ocupa de arhivarea fisierelor informatice care necesita sa fie pastrate pe o perioada lunga
de timp?
Exista o procedura care sa ii oblige pe utilizatori sa foloseasca serviciul de arhivare pentru toate fisierele care necesita
pastrarea pentru o perioada lunga de timp?
O lista de conditii a fost stabilita si aprobata de catre fiecare proprietar de date, fiind necesara in ceea ce priveste
normele de arhivare?
Cerințele pentru arhivare externă (legala și reglementata) si interna sunt definite și abordate de către entitatea care
detine datele si acceptate de managementul de top la cel mai înalt nivel?
Consecintele (juridice, financiare, imagine) de neconformitate (partiala sau totala) a cerintelor de arhivare trebuie sa
fie aprobate de catre consiliul de manageri.
Contractele de servicii sunt negociate cu departamentul IT, considerat ca fiind agent doar pentru date?
In fiecare acord trebuie să se menționeze cerințele: conținutul arhivei, durata de retenție, durabilitate, capacitatea de a
urmari, imputabilitatea, nepublicarea, procedurile și întârzierea de eliminare, constrangeri administrative etc. O
separare clara trebuie sa fie stabilita intre continutul arhivelor, sub responsabilitatea proprietarului de date, si
recipientul (media, discuri, casete, cartușe) sub responsabilitatea departamentului IT.
Resursele necesare pentru arhivarea datelor sunt cunoscute si finantate pe termen mai lung?
Exista teste de lizibilitate periodice ale arhivelor?
Managementul documenteaza si accepta posibilele modificari care rezulta in urma evolutiei tehnologice sau de
reglementare, care ar putea modifica continutul sau recipientele din arhive?
Aceste evolutii nu pot fi evitate pe termen lung și toate reglementarile externe trebuie sa fie respectate pentru a
garanta conformitatea datelor cu cele originale.
Sistemele hardware si software pentru prelucrarea arhivelor sunt controlate periodic?
Exista un control regulat al procedurilor stabilitate pentru arhivarea, precum si pentru orice abatere legata de
proprietarii de date? Controlele trebuie facute, de asemenea, si pentru eliminarea posibilitatilor de frauda care implica
persoanele responsabile cu operatiunile, precum si a celor care ar putea avea acces la continut sau la recipient.
4 E1 2/9/2001
4 E2
2 2 E2
4 2 E3
4 3 E3
4 3 E2
4 2 E2
2 E2
2 3 R1
2 3 R1
2 3 C1
4 E1
4 E2
4 E2 5/11/2004
2 2 E3 5/11/2004
2 2 E2 5/11/2004
2 2 E3 5/11/2004
4 2 E3 5/11/2004
2 2 C1
4 E1 1/10/2002
2 E2 3/10/2001
2 E2 9.2.1; 12.5.1
4 2 E2 12.4.1; 12.5.1
2 E2 12.4.1; 10.3.2
2 2 E2 12.4.1; 10.3.2
1 E3
4 E3
4 2 E3 3/10/2002
4 E3 11.4.4; 10.3.2
4 E3 11.4.4; 10.3.2
2 E2 3/10/2002
4 R1 4/12/2001
2 2 E3 12.4.1; 6.1.4
2 2 E3 12.4.1; 6.1.4
2 3 C1
1 E2 2/9/2004
4 2 E2
4 3 E3
4 3 E3
4 E3
2 3 C1
4 E1 9.2.4; 9.2.6
4 E2 9.2.4; 9.2.6
2 E2
2 3 E3
2 3 C1
2 2 E2 4/11/2004
4 2 E2 4/11/2004
2 E3 4/11/2004
4 E3
4 3 E3 4/11/2004
4 2 E3
4 2 E3
4 3 E2
2 2 R1
2 3 C1
4 E1
4 3 E1
4 3 E1
4 3 E2
4 3 E2
4 3 E3
4 E2
4 E2
4 3 E2
2 3 C1
4 E2 1/10/2001
4 E2 1/10/2001
4 E2 1/10/2001
4 E2 1/10/2001
2 R1
2 C1
4 E1 2/10/2001
2 E2 2/10/2001
4 C1 2/10/2002
4 E2 2/10/2002
2 E2 2/10/2002
2 E3 2/10/2003
4 2 E1
4 2 E2 4/11/2004
2 3 E2 10.7.4; 12.6.1
4 E3 10/10/2006
2 3 R1 7/10/2004
4 2 E3 2/15/2002
2 R1 2/15/2002
2 R1 2/15/2002
1 C1
4 2 E1
2 2 E2
4 2 E2
2 3 E2 10.7.4; 12.6.1
4 2 R1 7/10/2004
4 2 E3 10.7.4; 15.2.2
2 R1 2/15/2002
2 R1 2/15/2002
4 2 E1 4/12/2001
2 R1
4 R2
4 R2
4 E2
4 R2
4 E3
4 C1
4 E1 7/10/2001
4 E2 7/10/2001
4 E2 7/10/2001
4 E2 10.7.1; 10.7.2
1 E3 10.7.1; 9.2.6
4 E2
4 E3
4 2 R1
4 3 C1
4 E1
4 2 E2
4 3 C1
4 E1
4 3 E2
4 3 E2
4 3 E3
2 2 R1
2 3 C1
4 2 R2
4 3 R2
2 E2
4 E2
4 E2 7/10/2001
2 2 R1
2 2 C1
4 E1
4 3 E2
4 E2 8/10/2003
4 E3
2 3 C2
2 3 C1
2 3 C1
4 E2
4 E2
2 E3
4 E2
4 E3
4 3 R2
2 3
4 E1
4 2 E1
4 3 E2
2 E3
4 3 E3 3/12/2001
2 2 E2
4 3 R1
4 2 R1
4 2 R1
3 C1
2 E1 8/10/2003
4 E2
2 E2
2 E2
2 3 C1
2 E1 2/9/2004
4 E2
4 2 E2
4 2 E3
4 3 R1
4 3 E3
4 E3
2 3 C1
4 E1
2 E2
4 E2
4 E2
4 2 E2
4 2 E3
4 3 R1
4 3 E3
2 3 C1
4 E1
4 E2
4 E2
2 E3
2 3 R1
2 3 R2
2 C1
2 C2
2 3 C1
2 E3 3/12/2002
4 E1 5/10/2001
4 3 E2 5/10/2001
4 3 E2 5/10/2001
2 3 E2 5/10/2001
4 2 E2 10.5.1; 14.1.5
4 3 R1 5/10/2001
2 3 R2 5/10/2001
2 3 C1
1 E1 5/10/2001
2 E1 5/10/2001
2 E1 5/10/2001
4 2 E2 5/10/2001
2 E3 5/10/2001
2 E3 5/10/2001
2 E2 5/10/2001
2 E2 5/10/2001
4 2 E2 10.5.1; 14.1.5
4 3 R1 5/10/2001
1 E3 5/10/2001
2 3 E2 5/10/2001
4 E3 5/10/2001
2 3 C1
4 E1 1/14/2003
4 2 E2 1/14/2003
4 2 E1 1/14/2003
4 E2 1/14/2003
4 E2 1/14/2003
4 E1 1/14/2003
4 2 E2 1/14/2005
4 3 E2 1/14/2005
4 2 E2
2 3 E2
2 3 E3
2 3 E3
2 3 C1
2 3 C1
2 3 E2 4/10/2001
4 E1 4/10/2001
4 E2
4 2 E2
4 3 E3
4 3 E2
2 3 C1
2 E2
2 E2
2 2 E2
2 3 E3
2 3 C1
4 3 E1
4 2 E1
2 3 E2
4 E1
4 E2
2 E2
2 2 E2
4 3 E3
4 3 E3
2 2 C1
4 E2
4 E3
4 E3
4 2 E3
4 E3
4 3 R1
4 3 R1
2 E2
2 3 C1
2 E1
4 E1
4 2 3 E2
4 E2
4 E3
4 R1
4 R1
2 E2
2 C1
2 E1
2 E2
1 E2
4 2 E2
4 E3
4 E3
4 3 R1
4 E2
1 E1 10.1.3; 11.2.2
4 2 E1 1/10/2003
4 2 E2 1/10/2003
4 2 E2 1/10/2003
4 2 3 R1 2/11/2002
2 E2 2/11/2004
1 2 C1 2/11/2004
4 4 E2
2 E2
4 E2
4 2 R1
4 3 R1
4 3 C1 2/11/2004
4 3 C1
10.10.4;
2 E2 10.6.1
10.10.4;
4 E2 10.6.1
4 2 E3 10/10/2004
4 3 E3 10/10/2004
4 2 E3 10/10/2004
4 E3 10/10/2004
2 E2 10/10/2004
2 E2 10/10/2004
2 C1 10/10/2004
4 E2 3/15/2001
3 E2 3/15/2001
2 E2 3/15/2001
2 E3 3/15/2001
3 E2 3/15/2002
3 E2 3/15/2002
2 E2 3/15/2002
4 E2
4 E2
4 1 E1
4 E1 13.2.3; 15.1.3
4 1 E2 1/15/2003
2 1 E2 1/15/2003
4 C1
4 2 E2
2 C1
4 2 C1
4 3
2 E2 3/15/2001
4 E2
4 2 E2
4 2 E2
4 3 E3
4 3 E3
4 3 E3
4 3 E3
4 3 E3
3 2 C1
3 2 E2
3 E2
2 3 E2
2 3 E2
3 E2
3 3 E2
3 3 E2
3 3 R1
3 2 C1