Transcript 6.1.8 Niezależny przegląd bezpieczeństwa informacji

Polski Komitet Normalizacyjny
POLSKA NORMA
PN-ISO/IEC 17799
Technika informatyczna Techniki bezpieczeństwa
Praktyczne zasady zarządzania bezpieczeństwem
informacji
Co to jest bezpieczeństwo informacji?
Informacje to aktywa, które podobnie jak inne ważne aktywa biznesowe, są
niezbędne do działalności biznesowej organizacji i z tego powodu zaleca się ich
odpowiednią ochronę. Jest to szczególnie ważne w coraz bardziej zintegrowanym
środowisku biznesowym. W wyniku coraz większego uzależnienia od sieci,
informacje są narażone na stale zwiększającą się liczbę i coraz większą
różnorodność zagrożeń i podatności.
Informacja może przybierać różne formy. Może być wydrukowana lub zapisana
odręcznie na papierze, przechowywana elektronicznie, przesyłana pocztą lub
za pomocą urządzeń elektronicznych, wyświetlana w formie filmów lub
wypowiadana w czasie rozmowy. Niezależnie od tego, jaką formę przybiera lub
za pomocą jakich środków jest udostępniana lub przechowywana, zaleca się,
aby zawsze była w odpowiedni sposób chroniona.
Bezpieczeństwo informacji oznacza jej ochronę przed szerokim
spektrum zagrożeń w celu zapewnienia ciągłości działania,
minimalizacji ryzyka i maksymalizacji zwrotu z inwestycji oraz
możliwości biznesowych.
Bezpieczeństwo informacji można osiągnąć, wdrażając odpowiedni
zestaw środków, którymi mogą być polityki, procesy, procedury,
struktury organizacyjne oraz funkcje oprogramowania i sprzętu.
Zaleca się, aby te zabezpieczenia były ustanawiane, wdrażane,
monitorowane, przeglądane i w razie potrzeby ulepszane tak, aby
zapewnić spełnienie poszczególnych celów związanych z
bezpieczeństwem oraz prowadzoną działalnością biznesową
organizacji. Zaleca się, aby działania te były powiązane z
pozostałymi procesami zarządzania funkcjonującymi w organizacji.
Dlaczego bezpieczeństwo informacji jest potrzebne?
Informacja oraz wspierające ją procesy, systemy i sieci są ważnymi aktywami
biznesowymi. Identyfikacja, osiągnięcie, utrzymywanie i doskonalenie
bezpieczeństwa informacji może być niezbędne do utrzymania
konkurencyjnej pozycji rynkowej, płynności finansowej, zyskowności,
zgodności z wymogami prawnymi i wizerunku organizacji.
Organizacje, ich systemy informacyjne i sieci są narażone na zagrożenia
bezpieczeństwa pochodzące z wielu różnych źródeł, włączając w to
przestępstwa przy użyciu komputera, szpiegostwo, sabotaż, wandalizm,
pożar czy powódź. Powodujące szkody złośliwe kody, włamania
komputerowe, ataki typu „odmowa usługi”, stają się bardziej powszechne,
bardziej ambitne i coraz bardziej wyrafinowane.
Bezpieczeństwo informacji jest ważne zarówno dla sektora publicznego, jak
prywatnego, służąc ochronie infrastruktury krytycznej. W obu sektorach
bezpieczeństwo informacji może funkcjonować jako dźwignia biznesu, np.
umożliwiając wprowadzenie e-rządu lub e-gospodarki oraz unikanie lub
redukowanie odpowiednich ryzyk. Wzajemne przenikanie się sieci
publicznych i prywatnych oraz współużytkowanie zasobów informacyjnych
utrudnia utrzymanie kontroli dostępu. Tendencja wprowadzania
rozproszonego przetwarzania także osłabia efektywność centralnych,
specjalizowanych mechanizmów zarządzania.
Wiele systemów informacyjnych nie zostało zaprojektowanych tak, aby były
bezpieczne. Bezpieczeństwo, które może być osiągnięte za pomocą
środków technicznych, jest ograniczone i zaleca się wspieranie go poprzez
odpowiednie zarządzanie i procedury. Określenie, jakie mechanizmy
zarządzania zaleca się stosować, wymaga starannego i szczegółowego
planowania. Zarządzanie bezpieczeństwem informacji wymaga, jako
minimum, udziału wszystkich pracowników organizacji. Może także
wymagać współpracy akcjonariuszy, dostawców, stron trzecich, klientów lub
innych podmiotów zewnętrznych. Potrzebne może być także
specjalistyczne, zewnętrzne doradztwo.
Jak określić wymagania bezpieczeństwa?
Jest bardzo ważne, aby organizacja określiła swoje wymagania
bezpieczeństwa. Istnieją trzy ich główne źródła.
1. Pierwsze źródło wynika z szacowania ryzyka dotyczącego
organizacji, przy uwzględnieniu całościowej strategii biznesowej i
celów organizacji. Dzięki szacowaniu ryzyka można zidentyfikować
zagrożenia dla aktywów, ocenić podatności na zagrożenia i
prawdopodobieństwo wystąpienia skutków oraz estymować
potencjalne skutki.
2. Drugim źródłem są przepisy prawne, statutowe, regulacje
wewnętrzne, zobowiązania kontraktowe, jakie organizacja, jej
partnerzy handlowi, wykonawcy oraz dostawcy usług mają wypełnić,
oraz środowisko społeczno-kulturowe, w jakim funkcjonują.
3. Trzecim źródłem jest specyficzny zbiór zasad, celów i wymagań
dotyczących przetwarzania informacji, które organizacja
wypracowała dla wsparcia swojej działalności.
Szacowanie ryzyka dotyczącego bezpieczeństwa
Wymagania bezpieczeństwa określa się przez metodyczne szacowanie
ryzyk dla bezpieczeństwa. Zaleca się, aby nakłady na zabezpieczenia
odpowiadały potencjalnym stratom, jakie mogą spowodować naruszenia
bezpieczeństwa.
Wyniki szacowania ryzyka umożliwią wskazanie i określenie
odpowiednich działań zarządczych i priorytetów dla zarządzania ryzykami
bezpieczeństwa informacji, oraz wdrożenie mechanizmów zarządzania
wybranych w celu ochrony przed tymi ryzykami.
Zaleca się okresowe powtarzanie szacowania ryzyka, aby uwzględnić
wszelkie zmiany, które mogą wpływać na jego wyniki.
Wybór zabezpieczeń
W momencie, gdy wymagania bezpieczeństwa oraz ryzyka zostały
zidentyfikowane i decyzje odnośnie do postępowania z ryzykami zostały
podjęte, zaleca się wybranie i wdrożenie odpowiednich zabezpieczeń,
aby zapewnić, że ryzyka są redukowane do akceptowalnego poziomu.
Zabezpieczenia mogą być wybrane z niniejszej normy, innych zbiorów
zabezpieczeń lub, jeśli zachodzi potrzeba, mogą zostać opracowane
nowe zabezpieczenia w celu spełnienia określonych wymagań. Wybór
zabezpieczeń zależy od decyzji organizacji opartych na kryteriach
akceptowania ryzyka, wariantów postępowania z ryzykiem oraz od
ogólnego podejścia do zarządzania ryzykiem wprowadzonego w
organizacji. Zaleca się, aby wybór zabezpieczeń uwzględniał
odpowiednie krajowe i międzynarodowe przepisy prawne i regulacje
wewnętrzne.
Punkt wyjścia bezpieczeństwa informacji
Grupa zabezpieczeń może być uznawana za punkt wyjścia do wdrażania
bezpieczeństwa informacji. Wynikają one z podstawowych wymogów prawa lub
są uznawane za powszechną praktykę w bezpieczeństwie informacji.
Zabezpieczenia uważane za najważniejsze dla organizacji z prawnego punktu
widzenia, w zależności od stosownej jurysdykcji, to:
a) ochrona i poufność danych osobowych;
b) ochrona zapisów organizacji;
c) prawa do własności intelektualnej.
Zabezpieczenia uznawane za powszechną praktykę w zakresie bezpieczeństwa
informacji obejmują:
a) dokument polityki bezpieczeństwa informacji;
b) przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji;
c) uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa
informacji;
d) poprawne przetwarzanie w aplikacjach;
e) zarządzanie podatnościami technicznymi;
f) zarządzanie ciągłością działania;
g) zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz
udoskonaleniami.
Krytyczne czynniki sukcesu
Doświadczenie wskazuje, że zakończone sukcesem wdrożenie bezpieczeństwa
informacji w organizacji często zależy od następujących, krytycznych czynników:
a)polityki bezpieczeństwa informacji, celów i działań w zakresie bezpieczeństwa
informacji, które odzwierciedlają cele biznesowe;
b)podejścia oraz struktury służącej wdrażaniu, utrzymaniu, monitorowaniu i doskonaleniu
bezpieczeństwa informacji, które jest zgodne z kulturą organizacji;
c)widocznego wsparcia i zaangażowania na wszystkich szczeblach kierowniczych;
d)właściwego zrozumienia wymagań bezpieczeństwa informacji, szacowania ryzyka i
zarządzania ryzykiem;
e)skutecznego propagowania bezpieczeństwa informacji wśród kierownictwa,
pracowników i innych podmiotów, w sposób umożliwiający osiągnięcie efektu
uświadomienia
f)rozpowszechniania zaleceń dotyczących bezpieczeństwa informacji wśród kadry
zarządzającej, pracowników i innych podmiotów;
g)finansowania działań związanych z zarządzaniem bezpieczeństwem informacji;
h)zapewnienia odpowiedniej świadomości, kształcenia i szkoleń;
i)ustanowienia skutecznego procesu zarządzania incydentami związanymi z
bezpieczeństwem informacji;
j)wdrożenia systemu pomiaru do oceny efektywności zarządzania bezpieczeństwem
informacji oraz mechanizmów sprzężenia zwrotnego służących doskonaleniu tego
systemu.
4. Szacowanie i postępowanie z ryzykiem
4.1 Szacowanie ryzyk bezpieczeństwa
•Zaleca się, aby szacowanie ryzyka zidentyfikowało ryzyka, nadało im wartość i
priorytet w stosunku do kryteriów akceptowania ryzyka i celów właściwych dla
organizacji. Zaleca się, aby wyniki wskazywały i określały właściwe działania
zarządcze i priorytety zarządzania ryzykami bezpieczeństwa informacji oraz
wdrażania zabezpieczeń wybranych do ochrony przed tymi ryzykami. Proces
szacowania ryzyka i wyboru zabezpieczeń może być powtarzany kilkukrotnie,
aby objąć różne części organizacji lub pojedyncze systemy informacyjne.
•Zaleca się, aby szacowanie ryzyka opierało się na systematycznym podejściu
do estymowania wielkości ryzyka (analiza ryzyka) oraz procesie porównywania
estymowanego ryzyka zgodnie z kryteriami oceny znaczenia ryzyka (ocena
ryzyka).
•Zaleca się, aby szacowanie ryzyka było wykonywane w regularnych odstępach
czasu, aby uwzględnić zmiany wymagań bezpieczeństwa i ryzyk, np. w
przypadku znaczącej zmiany stanu aktywów, zagrożeń, podatności, skutków
wystąpienia zagrożenia czy wyników oceny ryzyka. Zaleca się, aby szacowania
ryzyka było prowadzone w sposób metodyczny, umożliwiający uzyskanie
porównywalnych i powtarzalnych rezultatów.
•Zaleca się, aby szacowanie ryzyka bezpieczeństwa miało jasno zdefiniowany
zakres, aby było skuteczne oraz, jeśli to konieczne, zawierało odniesienie do
szacowania ryzyka w innych obszarach.
4.2 Postępowanie z ryzykami bezpieczeństwa
Zaleca się, aby przed rozważeniem postępowania z ryzykiem, organizacja
wybrała kryteria pozwalające określić, czy ryzyko może zostać
zaakceptowane, czy nie. Ryzyko może być zaakceptowane, jeśli,
przykładowo, z oszacowania wynika, że ryzyko jest małe lub koszty
jakiegokolwiek postępowania z tym ryzykiem są dla organizacji
nieuzasadnione. Zaleca się dokumentowanie takich decyzji.
Zaleca się, aby po przeprowadzeniu szacowania ryzyka, podjąć decyzję
dotyczącą dalszego postępowania z każdym zidentyfikowanym ryzykiem.
Możliwe sposoby postępowania z ryzykiem obejmują:
a) zastosowanie odpowiednich zabezpieczeń redukujących ryzyko;
b) świadome i obiektywne zaakceptowanie ryzyk, jeśli w oczywisty sposób są
zgodne z polityką organizacji i spełniają kryteria akceptowania ryzyka;
c) unikanie ryzyka poprzez niedopuszczanie działań, które mogłyby
spowodować wystąpienie ryzyka;
d) przekazywanie ryzyk na inne podmioty, np. ubezpieczycieli lub dostawców.
Dla ryzyk, w stosunku do których podjęto decyzję o stosowaniu
odpowiednich zabezpieczeń, zaleca się wybór i wdrożenie tych
zabezpieczeń tak, aby spełniały wymagania określone przez
szacowanie ryzyka. Zaleca się, aby zabezpieczenia zapewniały, że
ryzyko zostało zredukowane do akceptowalnego poziomu, biorąc pod
uwagę:
a) wymagania i ograniczenia w zakresie krajowego i międzynarodowego
prawa oraz regulacji wewnętrznych;
b) cele organizacji;
c) wymagania i ograniczenia eksploatacyjne;
d) koszty wdrożenia i eksploatacji w stosunku do redukowanego ryzyka
oraz wymagań i ograniczeń organizacji;
e) potrzebę zrównoważenia kosztów związanych z wdrożeniem i
działaniem zabezpieczeń z prawdopodobnymi szkodami, jakie mogą
wyniknąć z naruszenia bezpieczeństwa.
5. Polityka bezpieczeństwa
5.1 Polityka bezpieczeństwa informacji
Cel: Zapewnienie, że kierownictwo wspiera i kieruje
bezpieczeństwem informacji zgodnie z wymaganiami
biznesowymi i właściwymi przepisami prawa oraz
regulacjami wewnętrznymi.
Zaleca się, aby kierownictwo ustaliło jasny kierunek działań
zgodny z celami biznesowymi oraz demonstrowało wsparcie
i zaangażowanie w bezpieczeństwo informacji przez
opracowanie i stosowanie w organizacji polityki
bezpieczeństwa informacji.
5.1.1 Dokument polityki bezpieczeństwa informacji
Zaleca się, aby dokument polityki bezpieczeństwa informacji został zatwierdzony
przez kierownictwo, opublikowany i podany do wiadomości wszystkim
pracownikom i właściwym stronom zewnętrznym.
Zaleca się udostępnienie polityki bezpieczeństwa informacji użytkownikom w całej
organizacji w formie właściwej, dostępnej i zrozumiałej dla czytelników, do których
jest adresowana.
5.1.2 Przegląd polityki bezpieczeństwa informacji
Aby zapewnić ciągłą przydatność, adekwatność i skuteczność polityki
bezpieczeństwa informacji, zaleca się jej przeglądanie w zaplanowanych
odstępach czasu lub w przypadku wystąpienia znaczących zmian.
6. Organizacja bezpieczeństwa informacji
6.1 Organizacja wewnętrzna
Cel: Zarządzanie bezpieczeństwem informacji wewnątrz organizacji.
Zaleca się ustanowienie struktury organizacyjnej w celu inicjowania i kontroli
wdrażania bezpieczeństwa informacji w organizacji.
Zaleca się, aby kierownictwo zatwierdziło politykę bezpieczeństwa informacji,
przypisało odpowiedzialności związane z bezpieczeństwem, koordynowało i
poddawało przeglądom wdrażanie bezpieczeństwa w organizacji.
Jeśli zachodzi taka potrzeba, to zaleca się wskazanie i udostępnianie na potrzeby
organizacji źródła specjalistycznej wiedzy z zakresu bezpieczeństwa informacji.
Zaleca się wypracowanie kontaktów z zewnętrznymi specjalistami lub grupami,
włączając w to odpowiednie organy tak, aby mieć aktualną wiedzę o trendach
rynkowych, zdolności monitorowania standardów i metod szacowania oraz
zapewnienia odpowiednich punktów wymiany informacji w przypadku obsługi
incydentu związanego z bezpieczeństwem informacji. Zaleca się też promowanie
interdyscyplinarnego podejścia do bezpieczeństwa informacji.
6.1.1 Zaangażowanie kierownictwa w bezpieczeństwo informacji
Zaleca się, aby kierownictwo aktywnie wspierało bezpieczeństwo w
organizacji przez wskazanie wyraźnego kierunku działania, demonstrowanie
zaangażowania, jednoznaczne przypisanie i przyjmowanie odpowiedzialności
w zakresie bezpieczeństwa informacji.
Zaleca się, aby kierownictwo określiło potrzebę, wewnętrznego lub
zewnętrznego, specjalistycznego doradztwa z zakresu bezpieczeństwa
informacji oraz dokonywało przeglądów i koordynowało wyniki takiego
doradztwa w organizacji.
6.1.2 Koordynacja bezpieczeństwa informacji
Zaleca się, aby działania w zakresie bezpieczeństwa informacji były
koordynowane przez reprezentantów różnych części organizacji pełniących
odpowiednie role i funkcje.
6.1.3 Przypisanie odpowiedzialności w zakresie
bezpieczeństwa informacji
Zaleca się, aby wszelka odpowiedzialność związana z bezpieczeństwem
informacji była wyraźnie zdefiniowana.
Zaleca się, aby obszary, za które te osoby są odpowiedzialne, były jasno
określone; w szczególności zaleca się, aby:
a) aktywa i procesy bezpieczeństwa związane z każdym systemem były
zidentyfikowane i jasno zdefiniowane;
b) dla każdego aktywu lub procesu bezpieczeństwa był wyznaczony
podmiot za nie odpowiedzialny oraz szczegóły tej odpowiedzialności były
udokumentowane;
c) poziomy uprawnień były wyraźnie określone i udokumentowane.
6.1.4 Proces autoryzacji środków przetwarzania informacji
Zaleca się zdefiniowanie i wdrożenie procesu autoryzacji przez
kierownictwo nowych środków przetwarzania informacji.
6.1.5 Umowy o zachowaniu poufności
Zaleca się, aby wymagania dla umów o zachowaniu poufności i nieujawnianiu
informacji, odzwierciedlające potrzeby organizacji w zakresie ochrony informacji,
były określone i regularnie przeglądane.
Zaleca się, aby umowy o zachowaniu poufności i nieujawnianiu informacji były
zgodne z odpowiednimi przepisami prawa i regulacjami wewnętrznymi.
Zaleca się, aby wymagania dla umów o zachowaniu poufności i nieujawnianiu
informacji były przeglądane okresowo oraz w przypadkach, gdy pojawią się
zmiany wpływające na te wymagania.
6.1.6 Kontakty z organami władzy
Zaleca się utrzymywanie odpowiednich kontaktów z właściwymi organami
władzy.
Atakowane z Internetu organizacje mogą potrzebować wsparcia stron
trzecich (np. dostawców usług internetowych lub operatorów
telekomunikacyjnymi), aby podjąć odpowiednie działania wobec źródła ataku.
6.1.7 Kontakty z grupami zainteresowania bezpieczeństwem
Zaleca się utrzymywanie kontaktów z grupami zainteresowania
bezpieczeństwem, specjalistycznymi forami związanymi z bezpieczeństwem
oraz profesjonalnymi stowarzyszeniami.
6.1.8 Niezależny przegląd bezpieczeństwa informacji
Zaleca się, aby podejście organizacji do zarządzania bezpieczeństwem
informacji oraz jego realizacja (tzn. cele stosowania zabezpieczeń,
zabezpieczenia, polityki, procesy i procedury bezpieczeństwa informacji) były
poddawane niezależnym przeglądom w zaplanowanych odstępach czasu lub
wtedy, gdy wystąpiły w nich znaczące zmiany.
6.2 Strony zewnętrzne
Cel: Utrzymanie bezpieczeństwa informacji należących do organizacji oraz
środków przetwarzania informacji, do których mają dostęp, za pomocą których
przetwarzają, komunikują się lub którymi zarządzają strony zewnętrzne.
Zaleca się, aby bezpieczeństwo informacji należących do organizacji oraz
środków przetwarzania informacji nie zmniejszało się przy wprowadzeniu
produktów lub usług stron zewnętrznych.
Zaleca się, aby wszelki dostęp stron zewnętrznych do środków przetwarzania
informacji należących do organizacji, do przetwarzania i do przekazywania
informacji był kontrolowany.
Wszędzie tam, gdzie działalność biznesowa wymaga współpracy ze stronami
zewnętrznymi, która może wymagać dostępu do informacji należących do
organizacji oraz środków przetwarzania informacji, lub gdy niezbędne jest
otrzymanie lub dostarczenie produktu lub usługi od/dla strony zewnętrznej, zaleca
się przeprowadzenie szacowania ryzyka, w celu określenia implikacji dla
bezpieczeństwa i wymagań dla zabezpieczeń. Zaleca się, aby zabezpieczenia
były uzgodnione ze stroną zewnętrzną.
6.2.1 Określanie ryzyk związanych ze stronami zewnętrznymi
Przed przyznaniem dostępu stronom zewnętrznym, zaleca się zidentyfikowanie
ryzyk dla informacji należących do organizacji i środków przetwarzania
informacji, związanych z tymi stronami.
Zaleca się, aby dostęp stron zewnętrznych do informacji należących do
organizacji był zabroniony do momentu wdrożenia odpowiednich zabezpieczeń
oraz, jeśli to wykonalne, aby podpisano umowę określającą zasady i warunki
połączenia lub dostępu oraz tryby współpracy. W ogólności, zaleca się, aby
wszelkie wymagania bezpieczeństwa oraz zabezpieczenia lokalne wynikające
ze współpracy ze stroną zewnętrzną były odzwierciedlone w umowie.
Należy upewnić się, że strona zewnętrzna jest świadoma swoich zobowiązań,
akceptuje odpowiedzialności i zobowiązania związane z dostępem,
przetwarzaniem, przekazywaniem lub zarządzaniem informacjami należącymi
do organizacji lub środkami przetwarzania informacji.
6.2.2 Bezpieczeństwo w kontaktach z klientami
Zaleca się wprowadzenie wszystkich zidentyfikowanych wymagań
bezpieczeństwa przed przyznaniem klientom dostępu do informacji lub aktywów
należących do organizacji.
6.2.3 Bezpieczeństwo w umowach ze stroną trzecią
Zaleca się, aby umowy ze stronami trzecimi, dotyczące dostępu, przetwarzania,
przekazywania lub zarządzania informacjami lub środkami przetwarzania
informacji, należącymi do organizacji lub dodania produktu lub usługi do
środków przetwarzania informacji, obejmowały wszystkie stosowne wymagania
bezpieczeństwa.
Jeśli bezpieczeństwo informacji zostało przekazane na zewnątrz, to zaleca się,
aby umowa określała, w jaki sposób strona trzecia zagwarantuje, że odpowiedni
poziom bezpieczeństwa, zdefiniowany przez szacowanie ryzyka, będzie
utrzymany oraz w jaki sposób bezpieczeństwo będzie dostosowywane do
zmieniających się ryzyk.
7 Zarządzanie aktywami
7.1 Odpowiedzialność za aktywa
Cel: Osiągnięcie i utrzymanie odpowiedniego poziomu ochrony aktywów
organizacji.
Zaleca się, aby wszystkie aktywa były zinwentaryzowane i wszystkie miały
wyznaczonego właściciela.
Zaleca się, aby określić właścicieli wszystkich aktywów oraz przydzielić im
odpowiedzialność za utrzymanie odpowiednich zabezpieczeń. Wdrożenie
określonych zabezpieczeń może być delegowane przez właściciela, jednak
pozostaje on nadal odpowiedzialny za właściwą ochronę aktywów.
7.1.1 Inwentaryzacja aktywów
Zaleca się, aby wszystkie aktywa były jasno zidentyfikowane oraz aby był
sporządzony i utrzymywany rejestr wszystkich ważnych aktywów.
7.1.2 Własność aktywów
Zaleca się, aby wszystkie informacje i aktywa związane ze środkami
przetwarzania informacji miały właściciela w postaci wyznaczonej części
organizacji.
Przedmiotem własności może być:
a) proces biznesowy;
b) określony zbiór działań;
c) aplikacja;
d) określony zbiór danych.
7.1.3 Akceptowalne użycie aktywów
Zaleca się określenie, udokumentowanie i wdrożenie zasad
dopuszczalnego korzystania z informacji oraz aktywów związanych
ze środkami przetwarzania informacji.
8 Bezpieczeństwo zasobów ludzkich
8.1 Przed zatrudnieniem
Cel: Zapewnienie, że pracownicy, wykonawcy oraz użytkownicy
reprezentujący stronę trzecią rozumieją swoje obowiązki i są
odpowiedni do wyznaczonych im ról oraz zredukowanie ryzyka
kradzieży, naruszenia i niewłaściwego korzystania z urządzeń.
Zaleca
się
określenie
wymagań
bezpieczeństwa
przed
zatrudnieniem w odpowiednim opisie stanowiska pracy oraz
zasadach i warunkach zatrudnienia.
Zaleca się, aby wszyscy kandydaci do zatrudnienia, wykonawcy
oraz użytkownicy reprezentujący stronę trzecią byli starannie
sprawdzani, szczególnie w przypadku naboru na wrażliwe
stanowiska.
Jeśli pracownicy, wykonawcy oraz użytkownicy reprezentujący
stronę trzecią korzystają ze środków przetwarzania informacji, to
zaleca się, aby podpisali umowę precyzującą ich zadania i
odpowiedzialność w zakresie bezpieczeństwa.
8.1.1 Role i odpowiedzialności
Zaleca się, aby role i odpowiedzialności pracowników, wykonawców oraz użytkowników
reprezentujących stronę trzecią były w zakresie bezpieczeństwa określone i
udokumentowane zgodnie z polityką bezpieczeństwa informacji w organizacji.
8.1.2 Postępowanie sprawdzające
Zaleca się przeprowadzenie weryfikacji wszystkich kandydatów do zatrudnienia,
wykonawców oraz użytkowników reprezentujących stronę trzecią zgodnie z odpowiednimi
przepisami prawa, regulacjami wewnętrznymi i etyką oraz proporcjonalnie do wymagań
biznesowych, klasyfikacji informacji, która ma być udostępniona, oraz dostrzeżonych
ryzyk.
Zaleca się, aby weryfikacja uwzględniała prywatność, ochronę danych osobowych i
regulacje prawne dotyczące zatrudnienia oraz, gdzie to dozwolone, zawierała:
a) dostępność satysfakcjonujących referencji, np. jednego świadectwa pracy i jednej
referencji osobistej;
b) sprawdzenie (kompletności i dokładności) przedstawionego życiorysu;
c) potwierdzenie deklarowanego wykształcenia i kwalifikacji zawodowych;
d) niezależne potwierdzenie tożsamości (paszport lub podobny dokument);
e) bardziej szczegółowe sprawdzenia, takie jak sprawdzenie zadłużenia lub
niekaralności.
Zasady i warunki zatrudnienia
Zaleca się, aby częścią zobowiązań kontraktowych pracowników,
wykonawców oraz użytkowników reprezentujących stronę trzecią było
uzgodnienie i podpisanie zasad i warunków umowy zatrudnienia,
precyzującej ich obowiązki oraz obowiązki organizacji w zakresie
bezpieczeństwa informacji.
Zaleca się, aby organizacja zapewniła, że pracownicy, wykonawcy oraz
użytkownicy reprezentujący stronę trzecią akceptują zasady i warunki
związane z bezpieczeństwem informacji, odpowiednie do rodzaju
i zakresu przyznanego im dostępu do aktywów organizacji powiązanych z
systemami informacyjnymi i usługami.
Zaleca się, aby w uzasadnionych przypadkach, odpowiedzialność zawarta w
zasadach i warunkach zatrudnienia rozciągały się na określony czas po
ustaniu stosunku pracy.
8.2 Podczas zatrudnienia
Cel: Zapewnienie, że pracownicy, wykonawcy oraz użytkownicy reprezentujący
stronę trzecią są świadomi zagrożeń i innych aspektów bezpieczeństwa informacji,
swoich obowiązków i odpowiedzialności prawnej oraz są wyposażeni w środki
wspomagające politykę bezpieczeństwa organizacji podczas swej normalnej pracy
oraz minimalizujące ryzyko błędów ludzkich.
Zaleca się określenie odpowiedzialności kierownictwa w celu zapewnienia, że
przepisy dotyczące bezpieczeństwa będą przestrzegane podczas całego okresu
zatrudnienia osoby w organizacji.
Aby minimalizować ryzyka bezpieczeństwa, zaleca się zapewnienie pracownikom,
wykonawcom oraz użytkownikom reprezentującym strony trzecie właściwego
poziomu świadomości, kształcenia i szkoleń w zakresie procedur bezpieczeństwa i
poprawnego korzystania ze środków przetwarzania informacji. Zaleca się także
wprowadzenie formalnego procesu dyscyplinarnego związanego z naruszeniami
bezpieczeństwa.
8.2.1 Odpowiedzialność kierownictwa
Zaleca się, aby kierownictwo wymagało od pracowników, wykonawców
oraz użytkowników reprezentujących stronę trzecią stosowania
bezpieczeństwa zgodnie z wprowadzonymi w organizacji politykami
i procedurami.
8.2.2 Uświadamianie, kształcenie i szkolenia z zakresu
bezpieczeństwa informacji
Zaleca się, aby wszyscy pracownicy organizacji oraz, gdzie jest to
wskazane, wykonawcy i użytkownicy reprezentujący stronę trzecią
zostali odpowiednio przeszkoleni oraz byli regularnie informowani o
uaktualnieniach polityk i procedur obowiązujących w organizacji, które
są związane z wykonywaną przez nich pracą.
8.2.3 Postępowanie dyscyplinarne
Zaleca się wdrożenie formalnego procesu postępowania dyscyplinarnego
wobec pracowników, którzy naruszyli bezpieczeństwo.
8.3 Zakończenie lub zmiana zatrudnienia
Cel: Zapewnienie, że pracownicy, wykonawcy i użytkownicy
reprezentujący stronę trzecią odchodzą z organizacji lub zmieniają
stanowisko w sposób zorganizowany.
Zaleca się, aby przypisano odpowiedzialność za zarządzanie
odejściem z organizacji pracowników, wykonawców i użytkowników
reprezentujących stronę trzecią oraz za zakończenie go zwrotem
wszelkiego sprzętu i odebraniem wszystkich praw dostępu.
Zaleca się, aby zmiana obowiązków lub zatrudnienia wewnątrz
organizacji była traktowana jak zakończenie pracy lub
indywidualnych obowiązków zgodnie z informacjami podanymi w
tym rozdziale, a każde nowe zatrudnienie było przeprowadzone w
sposób opisany w rozdziale 8.1.
8.3.1 Odpowiedzialność związana z zakończeniem zatrudnienia
Zaleca się jasne określenie i przypisanie odpowiedzialności związanej z
zakończeniem lub zmianą zatrudnienia.
8.3.2 Zwrot aktywów
Zaleca się, aby wszyscy pracownicy, wykonawcy i użytkownicy
reprezentujący stronę trzecią zwrócili wszystkie posiadane aktywa
organizacji w momencie zakończenia stosunku pracy, kontraktu lub umowy.
8.3.3 Odebranie praw dostępu
Zaleca się, aby prawa dostępu pracowników, wykonawców, użytkowników
reprezentujących stronę trzecią do informacji i środków przetwarzania
informacji były odebrane w momencie zakończenia stosunku pracy, kontraktu
lub umowy, lub zmodyfikowane zgodnie z zaistniałymi zmianami
zatrudnienia.
9 Bezpieczeństwo fizyczne i środowiskowe
9.1 Obszary bezpieczne
Cel: Zapewnienie ochrony przed nieautoryzowanym dostępem fizycznym,
uszkodzeniami lub zakłóceniami w siedzibie organizacji oraz w odniesieniu do
informacji.
Zaleca się, aby krytyczne lub wrażliwe środki przetwarzania informacji były
umieszczane w obszarach bezpiecznych, chronionych fizyczną granicą przez
odpowiednie bariery bezpieczeństwa oraz zabezpieczenia wejścia. Zaleca się, aby
były one chronione fizycznie przed nieuprawnionym dostępem fizycznym,
uszkodzeniami lub zakłóceniami pracy.
Zaleca się zastosowanie ochrony współmiernej do zidentyfikowanych ryzyk.
9.1.1 Fizyczna granica obszaru bezpiecznego
Zaleca się, aby granice obszaru bezpiecznego (bariery, takie jak ściany,
bramki wejściowe na kartę lub recepcja z obsługą) były stosowane w celu
ochrony obszarów zawierających informacje i środki przetwarzania
informacji.
9.1.2 Fizyczne wejścia
Zaleca się ochronę obszarów bezpiecznych przez odpowiednie fizyczne zabezpieczenia
wejścia zapewniające, że tylko autoryzowany personel ma przyznane prawa dostępu.
9.1.3 Zabezpieczanie biur, pomieszczeń i urządzeń
Zaleca się zaprojektowanie i stosowanie ochrony fizycznej biur, pomieszczeń i urządzeń.
9.1.4 Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi
Zaleca się opracowanie i stosowanie ochrony fizycznej przed zniszczeniami spowodowanymi
przez pożar, zalanie, trzęsienie ziemi, wybuch, niepokoje społeczne i inne formy naturalnych lub
spowodowanych przez człowieka katastrof.
9.1.5 Praca w obszarach bezpiecznych
Zaleca się opracowanie i stosowanie mechanizmów ochrony fizycznej oraz wytycznych do pracy
w obszarach bezpiecznych.
9.1.6 Obszary publicznie dostępne, dostaw i załadunku
Zaleca się nadzorowanie punktów dostępu, takich jak obszary dostaw i załadunku oraz innych
punktów, przez które nieuprawnione osoby mogą wejść do ośrodka i, jeśli to możliwe,
odizolowanie ich od środków przetwarzania informacji w celu uniknięcia nieautoryzowanego
dostępu.
9.2 Bezpieczeństwo
sprzętu
Cel: Zapobieganie utracie, uszkodzeniu, kradzieży lub naruszeniu aktywów oraz
przerwaniu działalności organizacji.
Zaleca się ochronę sprzętu przed zagrożeniami fizycznymi i środowiskowymi.
Ochrona sprzętu (włączając w to sprzęt wykorzystywany poza siedzibą oraz
wynoszone mienie) jest niezbędna do redukowania ryzyka nieautoryzowanego dostępu
do informacji i ochrony przed utratą lub uszkodzeniem. Zaleca się, aby uwzględniała
ona również lokalizację i zbywanie sprzętu. Specjalne zabezpieczenia mogą być
wymagane w celu ochrony przed fizycznymi zagrożeniami oraz ochrony instalacji
wspomagających, takich jak zasilanie lub okablowanie.
9.2.1 Lokalizacja i ochrona sprzętu
Zaleca się lokalizację i ochronę sprzętu w taki sposób, aby redukować ryzyka
wynikające z zagrożeń środowiskowych oraz możliwości nieautoryzowanego
dostępu.
9.2.2 Systemy wspomagające
Zaleca się ochronę sprzętu przed awariami zasilania lub zakłóceniami
spowodowanymi przez awarie systemów wspomagających.
9.2.3 Bezpieczeństwo okablowania
Zaleca się, aby okablowanie zasilające i telekomunikacyjne służące do
przesyłania danych lub wspomagające usługi informacyjne było chronione
przed przejęciem lub uszkodzeniem.
9.2.4 Konserwacja sprzętu
Dla zapewnienia ciągłej dostępności i integralności sprzętu zaleca się
prawidłową jego konserwację.
9.2.5 Bezpieczeństwo sprzętu poza siedzibą
Zaleca się ochronę sprzętu pozostającego poza siedzibą przy uwzględnieniu
różnych ryzyk związanych z pracą poza siedzibą organizacji.
9.2.6 Bezpieczne zbywanie lub przekazywanie do ponownego
użycia
Zaleca się sprawdzanie wszystkich składników sprzętu zawierającego
nośniki informacji, aby przed jego zbyciem upewnić się, że wszystkie
informacje wrażliwe i licencjonowane oprogramowanie zostały usunięte lub
bezpiecznie nadpisane.
9.2.7 Wynoszenie mienia
Zaleca się, aby sprzęt, informacje lub oprogramowanie nie były wynoszone
bez uprzedniego zezwolenia.
10 Zarządzanie systemami i sieciami
10.1 Procedury eksploatacyjne i zakresy odpowiedzialności
Cel: Zapewnienie prawidłowej i bezpiecznej eksploatacji środków przetwarzania
informacji.
Zaleca się ustanowienie procedur i przypisanie odpowiedzialności w zakresie
zarządzania i eksploatacji wszystkich środków przetwarzania informacji. W zakres
tych
czynności
wchodzi
także
opracowanie
odpowiednich
procedur
eksploatacyjnych.
W celu ograniczenia ryzyka nadużycia systemu na skutek zaniedbania lub
rozmyślnego działania, tam gdzie to możliwe, zaleca się rozdzielanie obowiązków.
10.1.1 Dokumentowanie procedur eksploatacyjnych
Zaleca się, aby procedury eksploatacyjne były udokumentowane,
utrzymywane i dostępne dla wszystkich użytkowników, którzy ich
potrzebują.
10.1.2 Zarządzanie zmianami
Zaleca się kontrolowanie zmian w środkach przetwarzania informacji i
systemach.
10.1.3 Rozdzielanie obowiązków
W celu ograniczenia możliwości nieuprawnionej lub nieumyślnej
modyfikacji lub niewłaściwego użycia aktywów organizacji, zaleca się
rozdzielanie obowiązków i zakresów odpowiedzialności.
10.1.4 Oddzielanie urządzeń rozwojowych, testowych i
eksploatacyjnych
Zaleca się oddzielanie urządzeń rozwojowych i testowych od
eksploatacyjnych w celu zredukowania ryzyk nieupoważnionego dostępu
lub zmian w systemach eksploatacyjnych.
10.2 Zarządzanie usługami dostarczanymi przez strony trzecie
Cel: Wdrożenie i utrzymanie odpowiedniego poziomu bezpieczeństwa informacji i
dostaw usług zgodnie z umowami serwisowymi zawartymi ze stronami trzecimi.
Aby zapewnić, że wszystkie dostarczane usługi spełniają wszystkie wymagania
ustalone z trzecią stroną, zaleca się, aby organizacja sprawdzała realizację umów,
monitorowała zgodność z nimi i zarządzała zmianami.
10.2.1 Dostarczanie usług
Zaleca się zapewnienie, że zabezpieczenia, definicje usług oraz poziomy dostaw
zawarte w umowach serwisowych ze stronami trzecimi są wdrożone, wykonywane i
utrzymywane przez stronę trzecią.
10.2.2 Monitorowanie i przegląd usług strony trzeciej
Zaleca się regularne monitorowanie i przegląd usług, raportów i zapisów dostarczanych
przez stronę trzecią oraz regularne przeprowadzanie audytów.
10.2.3 Zarządzanie zmianami usług strony trzeciej
Zaleca się, aby zmiany w dostarczaniu usług, włączając w to utrzymanie i doskonalenie
istniejących polityk bezpieczeństwa, procedur i zabezpieczeń, były zarządzane z
uwzględnieniem krytyczności związanych z tym systemów i procesów biznesowych
oraz ponownego szacowania ryzyk.
10.3 Planowanie i odbiór systemów
Cel: Minimalizowanie ryzyka awarii systemów.
Uprzednie planowanie i przygotowanie jest wymagane w celu dostarczenia systemu o
wymaganej wydajności i zapewnienia dostępności odpowiedniej pojemności i zasobów.
Zaleca się przewidywanie przyszłej pojemności systemów, aby uniknąć ryzyka ich
przeciążenia.
Zaleca
się
ustanowienie,
udokumentowanie
i
przetestowanie
wymagań
eksploatacyjnych nowych systemów, zanim zostaną zaakceptowane i wprowadzone do
użytku.
10.3.1 Zarządzanie pojemnością systemów
Zaleca się monitorowanie i dostrajanie wykorzystania zasobów oraz przewidywanie
przyszłej pojemności systemów, aby zapewnić ich właściwą wydajność.
10.3.2 Odbiór systemu
Zaleca się opracowanie kryteriów odbioru nowych systemów informacyjnych,
uaktualnień i nowych wersji oraz odpowiednich testów systemów prowadzonych w
fazie rozwojowej przed ich odbiorem.
10.4 Ochrona przed kodem złośliwym i kodem mobilnym
Cel: Ochrona integralności informacji i oprogramowania.
Należy przedsięwziąć środki ostrożności, aby zapobiegać i wykrywać wprowadzenie
oprogramowania złośliwego i nieautoryzowanego kodu mobilnego.
Oprogramowanie oraz środki przetwarzania informacji są podatne na wprowadzenie
kodu złośliwego, takiego jak wirusy i robaki komputerowe, konie trojańskie i bomby
logiczne. Zaleca się, aby użytkownicy byli świadomi zagrożeń związanych z takimi
programami. Tam gdzie to możliwe, zaleca się, aby kierownictwo wprowadzało
zabezpieczenia zapobiegające, wykrywające i usuwające kod złośliwy oraz nadzorujące
kod mobilny.
10.4.1 Zabezpieczenia przed kodem złośliwym
Zaleca się wdrożenie zabezpieczeń zapobiegających, wykrywających i usuwających kod
złośliwy oraz właściwych procedur uświadamiania użytkowników.
10.4.2 przed kodem mobilnym
Jeśli korzystanie z kodu mobilnego jest autoryzowane, to zaleca się skonfigurowanie
systemu w taki sposób, aby uprawniony kod działał zgodnie z jasno określoną polityką
bezpieczeństwa, natomiast nieuprawniony kod nie mógł się uruchomić.
10.5 Kopie zapasowe
Cel: Zapewnienie integralności i dostępności informacji oraz środków przetwarzania
informacji.
Zaleca się wprowadzenie rutynowych procedur tworzenia i odtwarzania zapasowych
kopii danych realizujących uzgodnioną politykę tworzenia kopii zapasowych.
10.5.1 Zapasowe kopie informacji
Zaleca się regularne tworzenie i testowanie kopii zapasowych informacji i
oprogramowania zgodnie z ustaloną polityką wykonywania kopii
zapasowych.
10.6 Zarządzanie bezpieczeństwem sieci
Cel: Zapewnienie
wspomagającej.
ochrony
informacji
w
sieciach
oraz
ochrony
infrastruktury
Bezpieczne zarządzanie sieciami, które mogą obejmować swym zasięgiem całą
organizację, wymaga starannego rozważenia przepływów danych, skutków prawnych,
monitorowania i ochrony.
Ponadto, w celu ochrony wrażliwych informacji przechodzących przez sieci publiczne,
mogą być wymagane dodatkowe zabezpieczenia.
10.6.1 Zabezpieczenia sieci
W celu ochrony przed zagrożeniami i utrzymania bezpieczeństwa systemów i aplikacji
sieciowych, w tym przesyłanych informacji, zaleca się odpowiednie zarządzanie i
nadzorowanie sieci.
10.6.2 Bezpieczeństwo usług sieciowych
Zaleca się, aby wymagania odnoszące się do elementów bezpieczeństwa, poziomu usług,
zarządzania wszystkimi usługami sieciowymi były określone i włączone do odpowiednich
umów na dostarczanie tych usług, niezależnie od tego, czy są one realizowane własnymi
środkami, czy zlecane na zewnątrz.
10.7 Obsługa nośników
Cel: Zapobieganie nieautoryzowanemu ujawnieniu, modyfikacji,
zniszczeniu aktywów oraz przerwom w działalności biznesowej.
usunięciu
lub
Zaleca się nadzorowanie i fizyczną ochronę nośników.
Zaleca się wdrożenie odpowiednich procedur eksploatacyjnych w celu ochrony
dokumentów, nośników komputerowych (np. taśm, dysków), danych wejściowych i
wyjściowych oraz dokumentacji systemowej przed nieautoryzowanym ujawnieniem,
modyfikacją, usunięciem i zniszczeniem.
10.7.1 Zarządzanie nośnikami wymiennymi
Zaleca się wdrożenie procedur zarządzania nośnikami wymiennymi.
10.7.2 Niszczenie nośników
Zaleca się, aby nośniki, które nie będą już dłużej wykorzystywane, były niszczone w
sposób bezpieczny i pewny, zgodnie z formalnymi procedurami.
10.7.3 Procedury postępowania z informacjami
Zaleca się wdrożenie procedur postępowania z informacjami oraz ich przechowywania w
celu ochrony przed nieautoryzowanym ujawnieniem lub niewłaściwym użyciem.
10.7.4 Bezpieczeństwo dokumentacji systemowej
Zaleca się ochronę dokumentacji systemowej przed nieuprawnionym dostępem.
10.8 Wymiana informacji
Cel: Utrzymanie bezpieczeństwa informacji i oprogramowania
wymienianego wewnątrz organizacji oraz z każdym podmiotem
zewnętrznym.
Zaleca się, aby wymiana informacji i oprogramowania między
organizacjami była oparta na formalnej polityce wymiany,
przeprowadzana zgodnie z umowami wymiany i zgodna ze
stosownymi przepisami prawa (patrz rozdział 15).
Zaleca się wdrożenie procedur i standardów ochrony
przekazywanych informacji i nośników fizycznych zawierających
przekazywane informacje.
10.8.1 Polityki i procedury wymiany informacji
Zaleca się, aby formalne polityki wymiany informacji, procedury i zabezpieczenia były
wdrożone w celu ochrony wymiany informacji przekazywanej przy użyciu wszelkich
rodzajów środków komunikacji.
10.8.2 Umowy wymiany informacji
W celu wymiany informacji i oprogramowania pomiędzy organizacją i stronami
zewnętrznymi zaleca się zawieranie umów wymiany informacji.
10.8.3 Transportowanie nośników fizycznych
Zaleca się ochronę nośników zawierających informacje przed
nieautoryzowanym dostępem, niewłaściwym użyciem lub
uszkodzeniem podczas transportu poza fizyczne granice organizacji.
10.8.4 Wiadomości elektroniczne
Zaleca się odpowiednie zabezpieczenie informacji zawartych w
wiadomościach elektronicznych.
10.8.5 Biznesowe systemy informacyjne
Zaleca się opracowanie i wdrożenie polityk i procedur dla ochrony
informacji związanej z połączeniami między biznesowymi systemami
informacyjnymi.
10.9 Usługi handlu elektronicznego
Cel: Zapewnienie bezpieczeństwa usług handlu elektronicznego
oraz ich bezpiecznego używania.
Zaleca się rozważenie implikacji bezpieczeństwa związanych z
usługami handlu elektronicznego, włączając w to transakcje on-line,
oraz wymagania dla zabezpieczeń. Zaleca się również rozważenie
integralności i dostępności informacji publikowanych elektronicznie
w publicznie dostępnych systemach.
10.9.1 Handel elektroniczny
Zaleca się, aby informacja związana z handlem elektronicznym, przesyłana w sieciach
publicznych, była chroniona przed działaniami oszukańczymi, kwestionowaniem umów
oraz nieautoryzowanym ujawnieniem lub modyfikacją.
10.9.2 Transakcje on-line
Zaleca się ochronę informacji zawartych w transakcjach on-line w celu zapobiegania
niekompletności transmisji, błędnemu rutingowi, nieautoryzowanym zmianom,
nieautoryzowanym ujawnieniem, nieautoryzowanym kopiowaniem lub powtórzeniem.
10.9.3 Informacje publicznie dostępne
Zaleca się, aby integralność informacji umieszczanej na publicznie dostępnych
systemach była chroniona przed nieuprawnioną modyfikacją.
10.10 Monitorowanie
Cel: Wykrywanie nieautoryzowanych działań związanych z przetwarzaniem
informacji.
Zaleca się monitorowanie systemów oraz rejestrowanie zdarzeń związanych z
bezpieczeństwem informacji. Zaleca się, aby dzienniki operatorów oraz
rejestrowanie błędów były wykorzystywane do identyfikacji problemów w
systemach informacyjnych.
Zaleca się, aby w zakresie monitorowania i rejestrowania zdarzeń organizacja
działała zgodnie z odpowiednimi wymogami prawa.
Zaleca się stosowanie monitorowania do sprawdzenia skuteczności
wprowadzonych zabezpieczeń oraz do weryfikacji zgodności z modelem polityki
dostępu.
10.10.1 Dziennik audytu
Zaleca się tworzenie i przechowywanie przez uzgodniony czas dzienników audytu
rejestrujących działania użytkowników oraz zdarzenia związane z bezpieczeństwem
informacji dla potrzeb przyszłych postępowań wyjaśniających oraz monitorowania kontroli
dostępu.
10.10.2 Monitorowanie użycia systemu
Zaleca się wdrożenie procedur monitorowania użycia środków przetwarzania informacji
oraz regularne przeglądanie wyników działań monitorujących.
10.10.3 Ochrona informacji zawartej w dziennikach
Zaleca się ochronę podsystemów logowania oraz informacji zawartej w
dziennikach przed manipulacją i nieautoryzowanym dostępem.
10.10.4 Dzienniki administratora i operatora
Zaleca się rejestrowanie działań administratorów i operatorów systemów.
10.10.5 Rejestrowanie błędów
Zaleca się rejestrowanie i analizowanie błędów oraz podjęcie
odpowiednich działań.
10.10.6 Synchronizacja zegarów
Zaleca się synchronizację zegarów wszystkich stosownych systemów
przetwarzania informacji w organizacji lub domenie bezpieczeństwa z
uzgodnionym, dokładnym źródłem czasu.
11 Kontrola dostępu
11.1 Wymagania biznesowe wobec kontroli dostępu
Cel: Kontrolowanie dostępu do informacji.
Zaleca się, aby dostęp do informacji, środków przetwarzania
informacji i procesów biznesowych był kontrolowany w oparciu
o potrzeby biznesowe i wymagania bezpieczeństwa.
Zaleca się, aby zasady kontroli dostępu uwzględniały politykę
dotyczącą rozpowszechniania informacji przyznawania uprawnień.
11.1.1 Polityka kontroli dostępu
Zaleca się ustanowienie, udokumentowanie i przeglądanie polityki kontroli dostępu na
podstawie potrzeb biznesowych i wymagań bezpieczeństwa.
Zaleca się, aby zasady kontroli dostępu oraz prawa każdego użytkownika lub grupy
użytkowników były jasno określone w polityce kontroli dostępu. Zabezpieczenia
dostępu mogą być zarówno logiczne jak i fizyczne, lecz zaleca się ich wspólne
traktowanie. Zaleca się, aby użytkownikom i dostawcom usług przekazać wyraźny
opis wymagań organizacji, które ma spełniać kontrola dostępu.
11.2 Zarządzanie dostępem użytkowników
Cel: Zapewnienie dostępu autoryzowanym użytkownikom
nieuprawnionemu dostępowi do systemów informacyjnych.
i
zapobieganie
Zaleca się opracowanie formalnych procedur kontroli przyznawania praw dostępu do
systemów informacyjnych i usług.
Zaleca się, aby procedury obejmowały wszystkie etapy ”cyklu życia” dostępu
użytkownika, od początkowej rejestracji nowych użytkowników do końcowego
wyrejestrowania użytkowników, którzy nie wymagają już dostępu do systemów i usług
informacyjnych. Zaleca się, aby tam gdzie to właściwe, specjalną uwagę zwrócić na
potrzebę kontrolowania przyznawania uprzywilejowanych praw dostępu, które
pozwalają użytkownikom obejść zabezpieczenia systemu.
11.2.1 Rejestracja użytkowników
Zaleca się, aby przyznawanie i odbieranie dostępu do wszystkich systemów
i usług informacyjnych oparte było na formalnej procedurze rejestrowania i
wyrejestrowywania użytkowników.
11.2.2 Zarządzanie przywilejami
Zaleca się, aby przyznawanie i korzystanie z przywilejów było
ograniczone i kontrolowane.
11.2.3 Zarządzanie hasłami użytkowników
Zaleca się, aby przydzielanie haseł było kontrolowane za
pośrednictwem formalnego procesu zarządzania.
11.2.4 Przegląd praw dostępu użytkowników
Zaleca się, aby kierownictwo dokonywało regularnych
przeglądów praw użytkowników na podstawie formalnego
procesu.
11.3 Odpowiedzialność użytkowników
Cel: Zapobieganie nieautoryzowanemu dostępowi użytkowników oraz naruszeniu
bezpieczeństwa lub kradzieży informacji i środków przetwarzania informacji.
Współdziałanie uprawnionych użytkowników jest decydujące dla skuteczności
bezpieczeństwa.
Zaleca się, aby użytkownicy byli świadomi swojej odpowiedzialności za
utrzymanie skutecznej kontroli dostępu, szczególnie w odniesieniu do haseł i
zabezpieczenia swojego sprzętu.
W celu redukowania ryzyka nieautoryzowanego dostępu lub uszkodzenia
dokumentów papierowych, nośników i środków przetwarzania informacji, zaleca
się wprowadzenie polityki czystego biurka i czystego ekranu.
11.3.1 Używanie haseł
Zaleca się, aby podczas wyboru i używania haseł użytkownicy
postępowali zgodnie ze sprawdzonymi praktykami bezpieczeństwa.
11.3.2 Pozostawianie sprzętu użytkownika bez opieki
Zaleca się, aby użytkownicy zapewnili odpowiednią ochronę sprzętu
pozostawionego bez opieki.
11.3.3 Polityka czystego biurka i czystego ekranu
Zaleca się wprowadzenie polityki czystego biurka dla dokumentów
papierowych i nośników, a dla środków przetwarzania informacji –
polityki czystego ekranu.
11.4 Kontrola dostępu do sieci
Cel: Ochrona usług sieciowych przed nieautoryzowanym dostępem.
Zaleca się kontrolowanie dostępu zarówno do wewnętrznych, jak i zewnętrznych
usług sieciowych.
Aby dostęp użytkowników do sieci i usług sieciowych
bezpieczeństwa usług sieciowych, zaleca się zastosowanie:
nie
naruszał
a) odpowiednich interfejsów między siecią organizacji a sieciami należącymi do
innych organizacji lub sieciami publicznymi;
b) odpowiednich mechanizmów uwierzytelniania użytkowników i urządzeń;
c) wymuszania kontroli dostępu użytkowników do usług informatycznych.
11.4.1 Polityka dotycząca korzystania z usług sieciowych
Zaleca się zapewnienie użytkownikom dostępu tylko do tych usług, do których
mają określoną autoryzację.
11.4.2 Uwierzytelnianie użytkowników przy połączeniach zewnętrznych
Zaleca się stosowanie odpowiednich metod uwierzytelniania przy dostępie
zdalnych użytkowników.
11.4.3 Identyfikacja urządzeń w sieciach
Zaleca się rozważenie automatycznej identyfikacji urządzeń jako środka
uwierzytelniania połączeń z określonych lokalizacji lub urządzeń.
11.4.4 Ochrona zdalnych portów diagnostycznych i konfiguracyjnych
Zaleca się kontrolę fizyczną i logiczną dostępu do portów diagnostycznych i
konfiguracyjnych.
11.4.5 Rozdzielanie sieci
Zaleca się rozdzielenie w sieciach grup usług informacyjnych, użytkowników
i systemów informacyjnych.
11.4.6 Kontrola połączeń sieciowych
Zaleca się, aby we współużytkowanych sieciach, szczególnie tych, które
wykraczają poza granice organizacji, możliwość podłączania się
użytkowników była ograniczona zgodnie z polityką kontroli dostępu oraz
wymaganiami aplikacji biznesowych.
11.4.7 Kontrola rutingu w sieciach
Zaleca się wdrożenie kontroli rutingu w sieciach, aby zapewnić, że
połączenia pomiędzy komputerami i przepływ informacji nie naruszają
polityki dostępu do aplikacji biznesowych.
11.5 Kontrola dostępu do systemów operacyjnych
Cel: Ochrona przed nieuprawnionym dostępem do systemów operacyjnych.
Zaleca się stosowanie mechanizmów bezpieczeństwa, aby ograniczyć dostęp
do systemu operacyjnego tylko dla autoryzowanych użytkowników.
Zaleca się, aby mechanizmy te umożliwiały:
a) uwierzytelnianie autoryzowanych użytkowników, zgodnie z polityką kontroli
dostępu;
b) rejestrowanie udanych i nieudanych prób dostępu do systemu;
c) rejestrowanie korzystania z przywilejów systemowych;
d) generowanie alarmów w przypadku naruszenia reguł bezpieczeństwa
systemu;
e) zapewnianie odpowiednich środków uwierzytelniania;
f) tam gdzie to właściwe, ograniczanie czasu połączeń użytkowników.
11.5.1 Procedury bezpiecznego logowania się
Zaleca się, aby dostęp do systemów operacyjnych był kontrolowany za pomocą
procedur bezpiecznego logowania się.
11.5.2 Identyfikacja i uwierzytelnianie użytkowników
Zaleca się, aby wszyscy użytkownicy mieli unikalne identyfikatory (ID użytkownika) do
swojego osobistego i wyłącznego użytku oraz aby była zastosowana odpowiednia
technika uwierzytelnienia dla sprawdzenia deklarowanej tożsamości użytkownika.
11.5.3 System zarządzania hasłami
Zaleca się zapewnienie, że systemy zarządzania hasłami opierają się na
interaktywnych mechanizmach zapewniających hasła odpowiedniej jakości.
11.5.4 Użycie systemowych programów narzędziowych
Zaleca się ograniczenie i ścisłe kontrolowane używania systemowych
programów narzędziowych, które umożliwiają obejście zabezpieczeń systemu
lub aplikacji.
11.5.5 Zamykanie sesji po określonym czasie
Zaleca się zamykanie nieaktywnych sesji po przekroczeniu zdefiniowanego
okresu braku aktywności.
11.5.6 Ograniczanie czasu trwania połączenia
Dla zapewnienia dodatkowego bezpieczeństwa aplikacji o wysokim ryzyku
zaleca się ograniczenie czasu trwania połączenia.
11.6 Kontrola dostępu do aplikacji i informacji
Cel: Ochrona przed nieautoryzowanym dostępem do informacji przechowywanych
w aplikacjach.
W celu ograniczenia dostępu do aplikacji zalecane jest stosowanie środków
bezpieczeństwa.
Zaleca się, aby dostęp logiczny do informacji i aplikacji był ograniczony wyłącznie do
autoryzowanych użytkowników. Trzeba zapewnić, aby aplikacje:
a) kontrolowały dostęp użytkowników do informacji i swoich funkcji, zgodnie ze
zdefiniowaną polityką kontroli dostępu uwzględniającą cele działalności
biznesowej;
b) chroniły przed nieuprawnionym dostępem jakiegokolwiek oprogramowania
narzędziowego, systemowego lub złośliwego, które może obejść zabezpieczenia
systemu lub aplikacji;
c) uniemożliwiały naruszenie bezpieczeństwa innych systemów, z którymi są
współużytkowane zasoby informacyjne.
11.6.1 Ograniczanie dostępu do informacji
Zaleca się ograniczanie dostępu użytkowników i personelu obsługi technicznej do
informacji oraz funkcji aplikacji zgodnie ze zdefiniowaną polityką dostępu.
11.6.2 Izolowanie systemów wrażliwych
Zaleca się, aby systemy wrażliwe miały dedykowane (izolowane) środowiska
przetwarzania.
11.7 Przetwarzanie mobilne i praca na odległość
Cel: Zapewnienie bezpieczeństwa informacji przy przetwarzaniu mobilnym i pracy na
odległość.
Zaleca się, aby wymagana ochrona była współmierna do ryzyka wprowadzanego
przez te specyficzne formy pracy. Przy stosowaniu przetwarzania mobilnego, zaleca
się rozważenie ryzyka pracy w środowisku pozbawionym ochrony i zastosowanie
odpowiednich zabezpieczeń. W przypadku pracy na odległość, zaleca się, aby
organizacja stosowała ochronę miejsca wykonywania tej pracy i zapewniła
odpowiednią organizację tej formy pracy.
11.7.1 Przetwarzanie i komunikacja mobilna
Zaleca się wprowadzenie formalnej polityki oraz zastosowanie odpowiednich
zabezpieczeń w celu ochrony przed ryzykiem wynikającym z użycia
przetwarzania mobilnego i środków komunikacji mobilnej.
11.7.2 Praca na odległość
Zaleca się opracowanie i wdrożenie polityk, planów operacyjnych i procedur
dla czynności wykonywanych w ramach pracy na odległość.
12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych
12.1 Wymagania bezpieczeństwa systemów informacyjnych
Cel: Zapewnienie,
informacyjnych.
że
bezpieczeństwo
jest
integralną
częścią
systemów
Systemy informacyjne obejmują systemy operacyjne, infrastrukturę, aplikacje
biznesowe, produkty „z półki”, usługi i aplikacje własne tworzone przez użytkownika.
Projektowanie i wdrażanie systemów informacyjnych, wspomagających procesy
biznesowe, może być krytycznym czynnikiem bezpieczeństwa. Zaleca się, aby
wymagania bezpieczeństwa były zidentyfikowane i uzgodnione przed opracowaniem
i/lub wdrożeniem systemów informacyjnych.
Zaleca się, aby wszystkie wymagania bezpieczeństwa były zidentyfikowane w fazie
opracowywania wymagań dotyczących projektu, a ponadto uzasadnione, uzgodnione
i udokumentowane jako część ogólnego biznesowego modelu systemu
informacyjnego.
12.1.1 Analiza i opis wymagań bezpieczeństwa
Zaleca się, aby deklaracje wymagań biznesowych dotyczących nowych
systemów lub rozszerzeń dla istniejących systemów zawierały wymagania
dotyczące zabezpieczeń.
12.2 Poprawne przetwarzanie w aplikacjach
Cel: Ochrona przed błędami, utratą, nieuprawnioną modyfikacją lub nadużyciem
informacji w aplikacjach.
W celu zapewnienia poprawności przetwarzania zaleca się, aby właściwe
zabezpieczenia były zaprojektowane jako część aplikacji, w tym aplikacji tworzonych
przez użytkowników. Zaleca się, aby zabezpieczenia te obejmowały weryfikację
danych wejściowych, wewnętrznego przetwarzania i danych wyjściowych.
W systemach, które przetwarzają lub mają wpływ na szczególnie wrażliwe, cenne
lub krytyczne aktywa organizacji, mogą być wymagane dodatkowe zabezpieczenia.
Zaleca się, aby zabezpieczenia były określane na podstawie wymagań
bezpieczeństwa i szacowania ryzyka.
12.2.1 Potwierdzanie poprawności danych wejściowych
Zaleca się sprawdzanie poprawności danych wejściowych do aplikacji w
celu zapewnienia, że są poprawne i właściwe.
12.2.2 Kontrola przetwarzania wewnętrznego
W celu wykrywania uszkodzeń informacji w wyniku błędów przetwarzania lub
działań umyślnych, zaleca się wprowadzenie w systemach potwierdzania
poprawności przetwarzania.
12.2.3 Integralność wiadomości
Zaleca się określenie wymagań zapewnienia autentyczności i ochrony
integralności wiadomości w aplikacjach oraz określenie i wdrożenie
odpowiednich zabezpieczeń.
12.2.4 Potwierdzanie poprawności danych wyjściowych
Zaleca się, aby dane wyjściowe z aplikacji podlegały sprawdzeniu
poprawności w celu zapewnienia, że przetwarzanie przechowywanych
informacji jest właściwe i odpowiednie do okoliczności.
12.3 Zabezpieczenia kryptograficzne
Cel: Ochrona poufności, autentyczności
mechanizmy kryptograficzne.
i
integralności
informacji
poprzez
Zaleca się opracowanie polityki korzystania z zabezpieczeń kryptograficznych.
Należy też wprowadzić zarządzanie kluczami wspierające korzystanie z technik
kryptograficznych.
12.3.1 Polityka korzystania z zabezpieczeń kryptograficznych
Zaleca się opracowanie i wdrożenie polityki korzystania z zabezpieczeń
kryptograficznych w celu ochrony informacji.
12.3.2 Zarządzanie kluczami
Zaleca się wdrożenie systemu zarządzania kluczami, który umożliwi
organizacji korzystanie z technik kryptograficznych.
12.4 Bezpieczeństwo plików systemowych
Cel: Zapewnianie bezpieczeństwa plików systemowych.
Zaleca się, aby dostęp do plików systemowych był kontrolowany, a projekty
informatyczne oraz działalność wspomagająca prowadzone w bezpieczny sposób.
Zaleca się dołożenie wszelkich starań, aby uniknąć ujawnienia wrażliwych danych
w środowiskach testowych.
12.4.1 Zabezpieczenie eksploatowanego oprogramowania
Zaleca się wprowadzenie procedur kontroli instalacji oprogramowania w
eksploatowanych systemach.
12.4.2 Ochrona systemowych danych testowych
Zaleca się, aby dane testowe były starannie dobrane, chronione i
kontrolowane.
12.4.3 Kontrola dostępu do kodów źródłowych programów
Zaleca się ograniczanie dostępu do kodów źródłowych programów.
12.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej
Cel: Utrzymywanie bezpieczeństwa informacji oraz oprogramowania aplikacyjnego.
Zaleca się ścisły
wspomagającym.
nadzór
nad
środowiskiem
projektowym
i
środowiskiem
Zaleca się, aby kierownicy odpowiedzialni za aplikacje byli również odpowiedzialni za
zabezpieczenia środowiska projektowego i wspomagającego. Zaleca się też, aby
zapewnili, że wszystkie proponowane zmiany w systemach są przeglądane w celu
sprawdzenia, czy nie naruszają bezpieczeństwa zarówno systemu, jak i środowiska
eksploatacyjnego.
12.5.1 Procedury kontroli zmian
Zaleca się nadzorowanie wprowadzania zmian za pomocą formalnych
procedur kontroli zmian.
12.5.2 Techniczny przegląd aplikacji po zmianach w systemie
operacyjnym
Po dokonaniu zmian w systemach operacyjnych, zaleca się przeprowadzenie
przeglądu krytycznych aplikacji biznesowych oraz ich przetestowanie, aby
uzyskać pewność, że zmiany nie miały niekorzystnego wpływu na działalność
organizacji lub bezpieczeństwo.
12.5.3 Ograniczenia dotyczące zmian w pakietach
oprogramowania
Zaleca się, aby zmiany w oprogramowaniu były minimalne, ograniczane do
zmian niezbędnych, a wszelkie zmiany były ściśle nadzorowane.
12.5.4 Wyciek informacji
Zaleca się przeciwdziałanie możliwościom wycieku informacji.
12.5.5 Prace rozwojowe nad oprogramowaniem powierzane
firmie zewnętrznej
Zaleca się nadzorowanie i monitorowane przez organizację prac
rozwojowych nad oprogramowaniem powierzonych firmie zewnętrznej.
12.6 Zarządzanie podatnościami technicznymi
Cel: Redukowanie ryzyk wynikających z wykorzystania opublikowanych podatności
technicznych.
Zaleca się wdrożenie zarządzania podatnościami technicznymi w sposób skuteczny,
systematyczny i powtarzalny oraz uwzględnienie środków potwierdzających
efektywność zarządzania. Zaleca się uwzględnienie eksploatowanych systemów
operacyjnych oraz wszystkich innych używanych aplikacji.
12.6.1Nadzór nad podatnościami technicznymi
Zaleca się uzyskiwanie aktualnych informacji o technicznych
podatnościach wykorzystywanych systemów informacyjnych, szacowanie
stopnia narażenia organizacji na podatności i wdrażanie odpowiednich
środków adekwatnych do związanych z nimi ryzyk.
13 Zarządzanie incydentami związanymi z bezpieczeństwem
informacji
13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem
informacji i słabości
Cel: Zapewnienie, że zdarzenia związane z bezpieczeństwem informacji oraz słabości
związane z systemami informacyjnymi, są zgłaszane w sposób umożliwiający szybkie
podjęcie działań korygujących.
Zaleca się wdrożenie formalnych procedur zgłaszania i eskalowania zdarzeń. Zaleca
się, aby wszyscy pracownicy, wykonawcy i użytkownicy reprezentujący stronę trzecią
byli uświadomieni w zakresie procedur zgłaszania różnych typów zdarzeń oraz
słabości, które mogą mieć wpływ na bezpieczeństwo aktywów organizacji. Zaleca się
ponadto, aby byli zobowiązani do niezwłocznego zgłaszania wszystkich zdarzeń
związanych z bezpieczeństwem informacji oraz słabości do wyznaczonego punktu
kontaktowego.
13.1.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem
informacji
Zaleca się zgłaszanie zdarzeń związanych z bezpieczeństwem informacji poprzez
odpowiednie kanały organizacyjne tak szybko, jak to możliwe.
13.1.2 Zgłaszanie słabości systemu bezpieczeństwa
Zaleca się, aby wszyscy pracownicy, wykonawcy i użytkownicy reprezentujący stronę
trzecią korzystający z systemów informacyjnych i usług byli zobowiązani do zgłaszania
zaobserwowanych lub podejrzewanych słabości bezpieczeństwa w systemach lub
usługach.
13.2 Zarządzanie incydentami związanymi z bezpieczeństwem
informacji oraz udoskonaleniami
Cel: Zapewnienie, że stosowane jest spójne i efektywne podejście do zarządzania incydentami
związanymi z bezpieczeństwem informacji.
Zaleca się wprowadzenie odpowiedzialności i procedur skutecznej obsługi zdarzeń związanych z
bezpieczeństwem informacji oraz słabości jako reakcji na ich zgłoszenie. Zaleca się wdrożenie
procesu ciągłego doskonalenia w celu reagowania, monitorowania, oceny i całościowego
zarządzania incydentami związanymi z bezpieczeństwem informacji.
Wszędzie tam, gdzie jest to wymagane, zaleca się gromadzenie dowodów w celu zapewnienia
zgodności z wymaganiami prawnymi.
13.2.1 Odpowiedzialność i procedury
Zaleca się wprowadzenie odpowiedzialności kierownictwa oraz procedur zapewniających
szybką, efektywną i uporządkowaną reakcję na incydenty związane z bezpieczeństwem
informacji.
13.2.2 Wyciąganie wniosków z incydentów związanych z
bezpieczeństwem informacji
Zaleca się, aby w organizacji istniały mechanizmy umożliwiające liczenie i monitorowanie
rodzajów, rozmiarów i kosztów incydentów związanych z bezpieczeństwem informacji.
13.2.3 Gromadzenie materiału dowodowego
Jeśli działania podejmowane po wystąpieniu incydentu związanego z bezpieczeństwem
informacji obejmują kroki prawne (natury cywilnoprawnej lub karnej), to zaleca się
zgromadzenie, zachowanie i przedstawienie materiału dowodowego zgodnie z zasadami
materiału dowodowego obowiązującymi w odnośnej jurysdykcji (jurysdykcjach).
14 Zarządzanie ciągłością działania
14.1 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
Cel: Przeciwdziałanie przerwom w działalności biznesowej oraz ochrona krytycznych procesów
biznesowych przed rozległymi awariami systemów informacyjnych lub katastrofami oraz zapewnienie
wznowienia działalności w wymaganym czasie.
Zaleca się wprowadzenie procesu zarządzania ciągłością działania tak, aby zminimalizować wpływ
utraty i odtwarzania aktywów informacyjnych na organizację (co może wynikać z katastrof
naturalnych, wypadków, awarii urządzeń oraz celowego działania) do akceptowalnego poziomu
poprzez kombinację zabezpieczeń prewencyjnych i służących do odtwarzania. Zaleca się, aby
proces ten określał krytyczne procesy biznesowe i integrował wymagania bezpieczeństwa informacji
odnoszące się do ciągłości działania z wymaganiami ciągłości działania związanymi z takimi
aspektami, jak eksploatacja, personel, materiały, transport i urządzenia.
Zaleca się, aby analiza wpływu biznesowego uwzględniała konsekwencje wynikające z katastrof,
awarii zabezpieczeń, utraty usług oraz ich dostępności. Zaleca się opracowanie i wdrożenie planów
awaryjnych, aby zapewnić możliwość przywrócenia procesów biznesowych w wymaganym czasie.
Zaleca się, aby bezpieczeństwo informacji było integralną częścią całościowego procesu
zapewnienia ciągłości działania oraz wszystkich innych procesów zarządzania w organizacji.
Zaleca się, aby zarządzanie ciągłością działania obejmowało: środki umożliwiające identyfikowanie i
ograniczanie ryzyk, traktowane jako rozszerzenie ogólnego procesu szacowania ryzyka,
ograniczanie skutków niszczących incydentów oraz zapewnienie, że wymagane dla procesów
biznesowych informacje będą z łatwością dostępne.
14.1.1 Włączanie bezpieczeństwa informacji do procesu zarządzania
ciągłością działania
Zaleca się opracowanie i utrzymywanie w całej organizacji zarządzanego procesu
zapewnienia ciągłości działania, który określa wymagania bezpieczeństwa informacji
potrzebne do zapewnienia ciągłości działania organizacji.
14.1.2 Ciągłość działania i szacowanie ryzyka
Zaleca się zidentyfikowanie zdarzeń, które mogą spowodować przerwanie procesów
biznesowych, łącznie z prawdopodobieństwem i wpływem ich wystąpienia oraz
konsekwencjami dla bezpieczeństwa informacji.
14.1.3 Opracowanie i wdrożenie planów ciągłości uwzględniających
bezpieczeństwo informacji
Zaleca się opracowanie i wdrożenie planów utrzymania lub odtworzenia działalności,
zapewniających dostępność informacji na wymaganym poziomie i w wymaganym czasie po
wystąpieniu przerwy lub awarii krytycznych procesów biznesowych.
14.1.4 Struktura planowania ciągłości działania
Zaleca się zachowanie jednolitej struktury planów ciągłości działania, aby zapewnić, że
wszystkie plany oraz wymagania bezpieczeństwa informacji są ze sobą zgodne oraz w celu
zidentyfikowania priorytetów testowania i utrzymania.
14.1.5 Testowanie, utrzymywanie i ponowna ocena planów ciągłości
działania
Zaleca się regularne testowanie i uaktualnianie planów ciągłości działania tak, aby zapewnić
ich aktualność i efektywność.
15 Zgodność
15.1 Zgodność z przepisami prawnymi
Cel: Unikanie naruszania jakichkolwiek przepisów prawa, zobowiązań wynikających
z ustaw, regulacji wewnętrznych lub umów oraz jakichkolwiek wymagań
bezpieczeństwa.
Na projektowanie, eksploatowanie, używanie i zarządzanie systemami
informacyjnymi mogą mieć wpływ wymagania bezpieczeństwa wynikające z ustaw,
regulacji wewnętrznych i umów.
Zaleca się, aby pracownicy działu prawnego organizacji lub inni odpowiednio
wykwalifikowani prawnicy zapewniali doradztwo w zakresie wymagań prawnych.
Wymagania wynikające z przepisów prawa są różne w różnych krajach i mogą być
różne dla informacji tworzonych w jednym kraju i przesyłanych do innego kraju (tzn.
transgraniczny przepływ danych).
15.1.1 Określenie odpowiednich przepisów prawnych
Zaleca się, aby wszelkie wymagania wynikające z ustaw, zarządzeń i umów oraz
podejście organizacji do ich wypełniania były wyraźnie określone, udokumentowane i
aktualizowane dla każdego systemu informacyjnego w organizacji.
15.1.2 Prawo do własności intelektualnej
Zaleca się wprowadzenie odpowiednich procedur w celu zapewnienia zgodności z
wymaganiami wynikającymi z przepisów prawa, regulacji wewnętrznych i umów,
dotyczących użytkowania materiałów, które mogą być objęte prawami do własności
intelektualnej, oraz używania prawnie zastrzeżonego oprogramowania.
15.1.3 Ochrona zapisów organizacji
Zaleca się ochronę ważnych zapisów organizacji przed utratą, zniszczeniem
lub sfałszowaniem zgodnie z wymaganiami ustawowymi, regulacjami
wewnętrznymi oraz wymaganiami biznesowymi i kontraktowymi.
15.1.4 Ochrona danych osobowych i prywatność informacji
dotyczących osób fizycznych
Zaleca się zapewnienie zgodności ochrony danych osobowych i prywatności
z odpowiednimi przepisami prawa, regulacjami wewnętrznymi i, jeśli to
wymagane, z zapisami odpowiednich umów.
15.1.5 Zapobieganie nadużyciu środków przetwarzania
informacji
Zaleca się wprowadzenie sankcji w przypadku korzystania przez
użytkowników ze środków przetwarzania informacji w nieautoryzowanych
celach.
15.1.6 Regulacje dotyczące zabezpieczeń kryptograficznych
Zaleca się używanie zabezpieczeń kryptograficznych zgodnie z
odpowiednimi umowami, prawem i regulacjami wewnętrznymi.
15.2 Zgodność z politykami bezpieczeństwa i normami oraz
zgodność techniczna
Cel: Zapewnianie zgodności systemów z normami i politykami bezpieczeństwa
organizacji.
Zaleca się regularne przeglądy zabezpieczeń systemów informacyjnych.
Takie przeglądy zaleca się prowadzić zgodnie z odpowiednimi politykami
bezpieczeństwa, a platformy technologiczne i systemy informacyjne zaleca się
audytować pod kątem ich zgodności z odpowiednimi normami wdrażania zabezpieczeń
oraz udokumentowanymi zabezpieczeniami.
15.2.1 Zgodność z politykami bezpieczeństwa i normami
Zaleca się, aby kierownicy zapewnili, że wszystkie procedury bezpieczeństwa
obszaru, za który są odpowiedzialni, są wykonywane prawidłowo, tak aby
osiągnąć zgodność z politykami bezpieczeństwa
i normami.
15.2.2 Sprawdzanie zgodności technicznej
Zaleca się regularne sprawdzanie systemów informacyjnych pod kątem
zgodności z normami wdrażania bezpieczeństwa.
15.3 Rozważania dotyczące audytu systemów informacyjnych
Cel: Maksymalizowanie efektywności procesu audytu systemu informacyjnego i
minimalizowanie zakłóceń z niego wynikających lub na niego wpływających.
Zaleca się zapewnienie zabezpieczeń chroniących eksploatowane systemy i
narzędzia audytu podczas prowadzenia audytów systemów informacyjnych.
Ponadto, jest wymagana ochrona w celu zapewnienia integralności i zapobiegania
nadużyciom narzędzi. audytu.
15.3.1 Zabezpieczenia audytu systemów informacyjnych
Aby minimalizować ryzyko zakłóceń procesów biznesowych, zaleca się
staranne planowanie i uzgadnianie wymagań audytu oraz działań
związanych ze sprawdzaniem eksploatowanych systemów.
15.3.2 Ochrona narzędzi audytu systemów informacyjnych
Zaleca się ochronę dostępu do narzędzi audytu systemów informacyjnych,
aby zapobiec nadużyciom lub naruszeniu bezpieczeństwa.