Deklaracja stosowania

Transkrypt

1 Strona:1/28 A.5 Polityka A.5.1 Prowadzenie kierownictwa w zakresie Cel: Zapewnienie, że kierownictwo wspiera i kieruje bezpieczeństwem zgodnie z wymaganiami biznesowymi i właściwymi przepisami prawa oraz regulacjami wewnętrznymi. A A Przegląd polityk A.6 Organizacja Zestaw polityk powinien zostać zdefiniowany, zatwierdzony przez kierownictwo, opublikowany i podany do wiadomości pracownikom oraz właściwym stronom zewnętrznym. będą poddawane przeglądom w zaplanowanych odstępach czasu albo w razie wystąpienia istotnych zmian celem zapewnienia ich nieprzerwanej przydatności, adekwatności i skuteczności. Polityka Zarządzania wydana w postaci załącznika do Księgi SZ, zatwierdzona i zakomunikowana pracownikom poprzez umieszczenie na tablicy oraz na stronie intranetowej. Ocena przydatności stanowi jedną z danych wejściowych do przeglądu poszczególnych procesów. aktualności Polityk podczas przeglądu Przy każdym audicie wewnętrznym A.6.1 Organizacja wewnętrzna Cel: Ustanowienie ramowych wytycznych dla kierownictwa w zakresie inicjowania oraz kontroli wdrożenia i stosowania w obrębie organizacji.. A A A Stanowiska i zakresy odpowiedzialn ości Rozgraniczenie obowiązków Kontakt z władzami Należy określić i przydzielić wszystkie zakresy odpowiedzialności dotyczące. Wchodzące w konflikt obowiązki i obszary odpowiedzialności powinny zostać oddzielone dla ograniczenia sposobności do nieupoważnionej lub niezamierzonej modyfikacji albo nadużycia aktywów organizacji. Odpowiednie kontakty z właściwymi Zakresy odpowiedzialności obowiązków i uprawnień znajdują się w aktach osobowych oraz zawarte są w Instrukcji Obowiązki obszary odpowiedzialności zostały oddzielone. Każdy pracownik ma przypisane imiennie aktywa niezbędne do jego pracy. Terminowe udzielanie aktualności akt oraz podczas przeglądu przy auditach Analiza zaangażowania

2 Strona:2/28 A A Kontakt z specjalnymi grupami zainteresowani a Bezpieczeństw o w zarządzaniu projektami władzami powinny być utrzymywane odpowiedzi na wszelką korespondencję Urzędową Odpowiednie kontakty z właściwymi grupami zainteresowania lub innymi forami specjalizującymi się w bezpieczeństwie i stowarzyszeniami zawodowymi powinny być utrzymywane. Bezpieczeństwo powinno być uwzględnione w zarządzaniu projektami, bez względu na typ projektu. Kontakty z właściwymi grupami zainteresowania lub innymi forami specjalizującymi się w bezpieczeństwie i stowarzyszeniami zawodowymi są utrzymywane przez Właściciela lub osobę przez niego wyznaczoną. Polityka ciągłością działania., w umowach na usługi projektowe. kierownictwa i przeglądu Analiza zaangażowania kierownictwa i przeglądu. Analiza podczas auditów i przeglądu. - A.6.2 Urządzenia mobilne i praca na odległość Cel: Zapewnienie pracy na odległość i używania urządzeń mobilnych. A Polityka dla urządzeń mobilnych Należy przyjąć politykę i zastosować wspomagające środki w celu opanowania ryzyk wprowadzanych przez stosowanie z urządzeń mobilnych. Instrukcja 4 Bezpieczna eksploatacja informatycznego. 12 Zasady postępowania z komputerami przenośnymi. Polityka postępowania ze sprzętem i nośnikami Minimum raz w roku A Praca na odległość Należy wdrożyć politykę i zastosować wspomagające środki w celu ochrony W przypadku pracy na odległość w Spółce stosowana jest Polityka.

3 Strona:3/28 A.7 Bezpieczeństwo zasobów ludzkich otwieranych, przetwarzanych lub zapisywanych w miejscach świadczenia pracy na odległość. A.7.1 Przed zatrudnieniem Cel: Zapewnienie, aby pracownicy i wykonawcy rozumieli swoją odpowiedzialność i byli odpowiedni do zadań, których pełnienie zamierza się im powierzyć. A A Postępowanie sprawdzające Zasady i warunki zatrudnienia Wszystkich kandydatów do zatrudnienia należy poddać weryfikacji pod kątem wykształcenia i doświadczenia zgodnie z odpowiednimi przepisami prawa, regulacjami i etyką oraz proporcjonalnie do wymagań biznesowych, klasyfikacji, do których uzyskają dostęp oraz dostrzeżonych ryzyk. Uzgodnienia kontraktowe z pracownikami i wykonawcami powinny określać zakresy odpowiedzialności dotyczące dla nich i dla organizacji. Zasady opisane w Księdze ZSZ p.6.2 Zasady opisane w Księdze ZSZ p.6.2 zasobów ludzkich zasobów ludzkich A.7.2 W trakcie trwania zatrudnienia Cel: Zapewnienie, aby pracownicy i wykonawcy byli świadomi swoich zakresów odpowiedzialności i je spełniali. A A Odpowiedzialn ość kierownictwa Świadomość, wykształcenie i szkolenie Kierownictwo powinno wymagać od wszystkich pracowników i wykonawców stosowania zasad zgodnie z ustanowionymi w organizacji politykami i procedurami. Wszyscy pracownicy organizacji, a w stosownych przypadkach także wykonawcy powinni zostać uświadomieni, otrzymać odpowiednie wykształcenie i szkolenie oraz być regularnie Instrukcja. Polityka oraz polityka fizycznego zasobów Zapisy w Księdze ZSZ p.6.2 a także podczas przeglądów zasobów ludzkich.. Minimum raz w roku Minimum raz w roku

4 Strona:4/28 informowani o aktualizacjach polityk i procedur obowiązujących w organizacji, stosownie do wykonywanej przez nich pracy. Wyjaśnienie: Słowo "zatrudnienie" oznacza tu dowolną z następujących sytuacji: zatrudnienie osób (tymczasowe lub długoterminowe), nadanie lub zmiana obowiązków, przydzielenie kontraktów oraz zakończenie dowolnego z tych uzgodnień. A Proces dyscyplinarny Powinien istnieć formalny i podany do wiadomości proces dyscyplinarny, uruchomiany w stosunku do pracowników, którzy dopuścili się naruszenia. W przypadku, gdy pracownik przekracza swoje uprawnienia lub nie wypełnia zapisów umowy o prace (zakres obowiązków, uprawnień i odpowiedzialności) oraz nie przestrzega zapisów w Politykach podlega odpowiedzialności dyscyplinarnej zgodnie Kodeksem Pracy. A.7.3 Zakończenie lub zmiana zatrudnienia Cel: Ochrona interesów organizacji, jako część procesu zmiany lub zakończenia zatrudnienia A Odpowiedzialn ość związana z zakończeniem lub zmianą zatrudnienia A.8 Zarządzanie aktywami Należy zdefiniować, podać do wiadomości pracownikom i wykonawcom oraz egzekwować zakresy odpowiedzialności i obowiązki, pozostające w mocy po zakończeniu lub zmianie zatrudnienia. Polityka fizycznego zasobów Instrukcja Bezpieczeństwa 5 Polityka nadawania uprawnień do kadrami oraz podczas przeglądów księgi SZ.. A.8.1 Odpowiedzialność za aktywa Cel: Zidentyfikowanie aktywów organizacji i zdefiniowanie odpowiednich obowiązków ich ochrony A Inwentaryzacja aktywów Należy zidentyfikować aktywa związane z informacją i środkami przetwarzania, a ich spis powinien zostać sporządzony i utrzymywany. Wszystkie ważne aktywa z punktu widzenia zostały zinwentaryzowane przy zastosowaniu programu Microsoft Excel. (dot. szacowania ryzyka) i przeglądu.

5 Strona:5/28 A A A Własność aktywów Akceptowalne użycie aktywów Zwrot aktywów Aktywa utrzymywane w spisie powinny stanowić własność. Zasady akceptowalnego użycia oraz aktywów związanych z informacjami i środkami przetwarzania powinny być określone, udokumentowane i wdrożone. Wszyscy pracownicy i użytkownicy reprezentujący strony zewnętrzne powinni zwrócić wszelkie posiadane aktywa organizacji z chwilą ustania stosunku pracy albo zakończenia ich kontraktu lub umowy. Wszystkie zasoby informacyjne oraz aktywa związane z przetwarzaniem maja swoich właścicieli, tj. osoby odpowiedzialne za dany zasób lub aktywa. Polityka fizycznego zasobów. Polityka nadawania uprawnień do Polityka fizycznego zasobów, Księga ZSZ Polityka nadawania uprawnień do (dot. szacowania ryzyka) zasobów fizycznego zasobów A.8.2 Klasyfikacja Cel: Zapewnienie, uzyskiwania przez informacje poziomu ochrony odpowiedniego do ich znaczenia dla organizacji. A A A Klasyfikacja Oznaczanie Postępowanie z informacjami Informacje powinny być klasyfikowane pod kątem wymagań prawnych, wartości, stopnia krytyczności i wrażliwości na nieautoryzowane ujawnienie lub modyfikację. Należy opracować i wdrożyć odpowiedni zestaw procedur do oznaczania, zgodnie ze schematem klasyfikacji przyjętym przez organizację. Należy opracować i wdrożyć procedury postępowania z informacjami, zgodnie ze Procedura nadzoru nad dokumentami i zapisami Procedura nadzoru nad dokumentami i zapisami klasyfikowania Podczas każdego auditu wewnętrznego. Podczas każdego auditu wewnętrznego.

6 Strona:6/28 schematem klasyfikacji przyjętym przez organizację. A.8.3 Obsługa nośników Cel: Zapobieganie nieautoryzowanemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu przechowywanych na nośnikach. A A A Zarządzanie nośnikami wymiennymi Likwidacja nośników Transportowa nie nośników fizycznych A.9 Kontrola dostępu Należy wdrożyć procedury nośnikami wymiennymi, zgodnie ze schematem klasyfikacji przyjętym przez organizację. Nośniki, które nie będą dłużej potrzebne, należy likwidować w sposób bezpieczny, z wykorzystaniem formalnych procedur. Nośniki zawierające informacje należy zabezpieczyć przed nieautoryzowanym dostępem, niewłaściwym użyciem lub uszkodzeniem podczas transportu. Polityka postępowania ze sprzętem i nośnikami danych Instrukcja Polityka postępowania ze sprzętem i nośnikami danych Polityka postępowania ze sprzętem i nośnikami danych postępowania ze sprzętem i nośnikami danych oraz Instrukcji... A.9.1 Wymagania biznesowe wobec kontroli dostępu Cel: Ograniczenie i urządzeń przetwarzających informacje A Polityka kontroli dostępu Polityka kontroli dostępu powinna być ustanowiona, udokumentowana i poddawana przeglądowi w oparciu o wymagania prowadzonej działalności i Polityka oraz Polityka fizycznego zasobów Polityka nadawania uprawnień do oraz fizycznego.

7 Strona:7/28 zasobów. A Dostęp do sieci i usług sieciowych Użytkownicy powinni mieć dostęp tylko do takich sieci i usług sieciowych, do których otrzymali określoną autoryzację. Polityka Polityka nadawania uprawnień do. A.9.2 Zarządzanie dostępem użytkowników Cel: Zapewnienie autoryzowanego dostępu użytkowników i uniemożliwienie nieautoryzowanego systemów i usług. A Rejestracja i wyrejestrowani e użytkowników Należy wdrożyć formalny proces rejestracji i wyrejestrowania użytkowników dla umożliwienia przyznawania i odbierania praw dostępu. Polityka nadawania uprawnień do Instrukcja Bezpieczeństwa 5. A Umożliwienie dostępu użytkownikom Należy wdrożyć formalny proces umożliwiania użytkownikom dostępu w celu przyznawania lub odbierania praw dostępu dla wszystkich rodzajów użytkowników do wszystkich systemów i usług. Polityka nadawania uprawnień do procedura Bezpieczeństwa A Zarządzanie uprzywilejowan ymi prawami dostępu Należy ograniczać i kontrolować przydzielanie i korzystanie z uprzywilejowanych praw dostępu. Polityka Przywileje przyznawane są pracownikom tylko przez Prezesa Każdorazowo przed przyznaniem przywilejów. A Zarządzanie tajnymi informacjami uwierzytelniając ymi użytkowników Należy kontrolować przydzielanie niejawnych uwierzytelniających za pomocą formalnego procesu. Polityka Bezpieczeństwa A Przegląd praw dostępu użytkowników Właściciele aktywów powinni przeprowadzać przeglądy praw dostępu użytkowników w regularnych odstępach czasu. Polityka Bezpieczeństwa 6 Polityka nadawania uprawnień do.

8 Strona:8/28 A Odbieranie lub modyfikowanie praw dostępu Prawa dostępu wszystkich pracowników i użytkowników reprezentujących strony zewnętrzne do i środków przetwarzania należy odebrać z chwilą ustania stosunku pracy lub zakończenia ich kontraktu lub umowy albo zmodyfikować zgodnie z zaistniałymi zmianami. Polityka Bezpieczeństwa 5 Polityka nadawania uprawnień do, Polityka fizycznego zasobów A.9.3 Odpowiedzialność użytkowników Cel: Uczynienie użytkowników odpowiedzialnymi za zabezpieczenie ich uwierzytelniających. A Korzystanie z niejawnych uwierzytelniając ych Należy wymagać od użytkowników przestrzegania praktyk organizacji w zakresie korzystania z niejawnych uwierzytelniających A.9.4 Kontrola systemów i aplikacji Cel: Zapobieganie nieautoryzowanemu dostępowi do systemów i aplikacji. A A A A Ograniczanie Procedury bezpiecznego logowania się System hasłami Używanie uprzywilejowan ych programów użytkowych Dostęp do i funkcji systemowych programów narzędziowych należy ograniczyć zgodnie z polityką kontroli dostępu. Zawsze gdy wymaga tego polityka kontroli dostępu, dostęp do systemów i aplikacji należy kontrolować za pomocą procedur bezpiecznego logowania się. Systemy hasłami powinny być interaktywne i zapewniać stosowanie haseł odpowiedniej jakości. Należy ograniczać i ściśle kontrolować używanie programów użytkowych, które umożliwiają obejście zabezpieczeń systemów lub aplikacji. Polityka Bezpieczeństwa 7,9 Dostęp do i funkcji systemowych aplikacji jest ograniczony zgodnie z Polityką system operacyjny zabezpieczony jest wg zapisów w Instrukcji. Polityka oraz Instrukcja 7,8 Dostęp do systemowych programów narzędziowych jest kontrolowany i procesu.. Podczas każdego auditu wewnętrznego...

9 Strona:9/28 A Kontrola kodu źródłowego programu A.10 Kryptografia Należy ograniczać dostęp do kodu źródłowego programu. nadzorowany przez Informatyka. W Spółce są 2 poziomy : z poziomu użytkownika i Informatyka. Tylko Informatyk oraz użytkownik ma możliwość systemowych programów narzędziowych. Prowadzony jest Rejestr dopuszczonego. Użytkownicy nie mają uprawnień do zmiany i edycji kodu źródłowego programu. A.10.1 Zabezpieczenia kryptograficzne Cel: Zapewnienie prawidłowego i efektywnego używania kryptografii w celu ochrony poufności, autentyczności i/lub integralności. A A Polityka korzystania z zabezpieczeń kryptograficzny ch Zarządzanie kluczami Należy opracować i wdrożyć politykę korzystania z zabezpieczeń kryptograficznych do ochrony. Należy opracować i wdrożyć politykę dotyczącą korzystania, ochrony i czasu życia kluczy kryptograficznych dla całego czasu ich życia. A.11 Bezpieczeństwo fizyczne i środowiskowe Polityka Polityka... A.11.1 Obszary bezpieczne Cel: Zapobieganie nieautoryzowanemu fizycznemu dostępowi, uszkodzeniu i zagłuszaniu organizacji i jej środków przetwarzania. A Fizyczna granica obszaru Należy określić i stosować granice Opis w Polityce.

10 Strona:10/28 A A A A A bezpiecznego Fizyczne wejścia biur, urządzeń Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi Praca w obszarach bezpiecznych Obszary dostaw i załadunku obszaru bezpiecznego w celu ochrony obszarów zawierających informacje i środki przetwarzania. Należy chronić obszary bezpieczne za pomocą odpowiednich fizycznych zabezpieczeń wejścia celem zapewnienia, żeby tylko upoważniony personel miał do nich dostęp. Należy zaprojektować i stosować ochronę fizyczną biur, pomieszczeń i urządzeń. Należy zaprojektować i stosować ochronę fizyczną przed skutkami klęsk żywiołowych, złośliwych ataków lub wypadków. Należy zaprojektować i stosować procedury do pracy w obszarach bezpiecznych. Punkty dostępu, takie jak obszary dostaw i załadunku oraz inne punkty, przez które osoby nieupoważnione mogą wejść do posesji, należy kontrolować, a w miarę możliwości odizolować od środków przetwarzania w fizycznego zasobów Opis w polityce fizycznego zasobów Opis w Polityce fizycznego zasobów. Opis Polityce fizycznego zasobów Polityka fizycznego zasobów Polityka fizycznego zasobów fizycznego zasobów fizycznego zasobów. fizycznego zasobów. fizycznego Podczas każdego auditu wewnętrznego... Podczas każdego auditu wewnętrznego..

11 Strona:11/28 celu uniknięcia nieautoryzowanego dostępu. zasobów A.11.2 Sprzęt Cel: Zapobieganie utracie, uszkodzeniu, kradzieży lub naruszeniu aktywów oraz przerwaniu działalności organizacji. A A A A A Rozmieszczeni e i ochrona sprzętu Systemy wspomagające Bezpieczeństw o okablowania Konserwacja sprzętu Usuwanie aktywów Sprzęt należy rozmieścić i chronić celem obniżenia ryzyka wynikającego z zagrożeń i niebezpieczeństw środowiskowych oraz możliwości nieautoryzowanego dostępu. Sprzęt należy chronić przed awariami zasilania i innymi zakłóceniami spowodowanymi przez awarie systemów wspomagających. Okablowanie zasilające i telekomunikacyjne służące do przesyłania danych lub wspomagające usługi informacyjne należy chronić przed przejęciem, zakłóceniami lub uszkodzeniem. Sprzęt należy prawidłowo konserwować, aby zapewnić jego ciągłą dostępność i integralność. Sprzęt, informacje lub oprogramowanie nie mogą być wynoszone poza teren bez Polityka fizycznego zasobów Sprzęt jest chroniony przed awariami zasilania i innymi zakłóceniami elektrycznymi poprzez: Urządzenie UPS znajdują się przy każdym komputerze. Kable zasilające / sieciowe są schowane, tak, aby zabezpieczyć je przed uszkodzeniem. Sprzęt jest na bieżąco konserwowany i przeglądany w ramach zawartych umów serwisowych-drukarki natomiast sprzęt komputerowy przeglądany jest przez informatyka. Instrukcja 2 Polityka postepowania podczas audytów, inwentaryzacji sprzętu oraz fizycznego zasobów Cykliczne przeglądy instalacji. Cykliczne przeglądy sprzętu, czyszczenie, konserwacja.... Raz na pół roku. Raz na rok

12 Strona:12/28 uprzedniego pisemnego upoważnienia. ze sprzętem i nośnikami A A A A Bezpieczeństw o sprzętu i aktywów poza terenem organizacji Bezpieczna likwidacja sprzętu lub przywrócenie go do użytku Sprzęt użytkownika bez dozoru Polityka czystego biurka i czystego ekranu Środki należy stosować do aktywów znajdujących się na obcym terenie z uwzględnieniem różnych zagrożeń wynikłych z wykonywania pracy poza terenem organizacji. Wszystkie elementy sprzętu zawierające nośniki należy sprawdzić, aby upewnić się, że wszelkie dane wrażliwe i licencjonowane oprogramowanie zostały z nich usunięte lub bezpiecznie nadpisane przed likwidacją lub przywróceniem do użytku. Użytkownicy powinni się upewnić, że sprzęt pozostawiony bez dozoru ma odpowiednią ochronę. A.12 Bezpieczeństwo eksploatacji Należy przyjąć politykę czystego biurka dla dokumentów papierowych i wymiennych nośników oraz politykę czystego ekranu dla środków przetwarzania. Instrukcja 2 Polityka postepowania ze sprzętem i nośnikami Polityka postępowania ze sprzętem i nośnikami danych. Polityka zasad postępowania w ZSZ Polityka zasad postępowania w ZSZ A.12.1 Procedury eksploatacyjne i zakresy odpowiedzialności Cel: Zapewnienie prawidłowej i bezpiecznej eksploatacji środków przetwarzania. A Udokumentowa ne procedury eksploatacyjne Procedury eksploatacyjne powinny być udokumentowane i dostępne dla wszystkich użytkowników, którym są potrzebne. Wszystkie procedury eksploatacyjne są umieszczone i dostępne na stronie Wyrywkowa weryfikacja urządzeń, spełnienia wymogów postępowania ze sprzętem i nośnikami danych przed każdym zbyciem sprzętu. Wyrywkowa weryfikacja stosowania wykonywana przez Informatyka Wyrywkowa weryfikacja stosowania wykonywana przez Prezesa Raz na rok. Przed każdym zbyciem sprzętu. podczas auditów. Na bieżąco. Raz na miesiąc..

13 Strona:13/28 intranetowej. A A A Zarządzanie zmianami Zarządzanie pojemnością Oddzielanie środowisk rozwojowych, testowych i eksploatacyjnyc h Zmiany w organizacji, procesach biznesowych, środkach przetwarzania i systemach, mające wpływ na bezpieczeństwo powinny być nadzorowane. Wykorzystanie zasobów należy monitorować, regulować oraz sporządzać projekcje potrzeb pojemności celem zapewnienia jego wymaganej wydajności. Należy oddzielać środowiska rozwojowe, testowe i eksploatacyjne, aby zredukować ryzyko nieupoważnionego dostępu do środowiska eksploatacyjnego lub wprowadzenia w nim zmian. Wszelkie zmiany w organizacji mające wpływ na bezpieczeństwo są nadzorowane przez Właściciela Zarządzanie pojemnością informatycznego nadzorowany jest przez informatyka. Polityka tworzenia kopii zapasowych Zmiany są testowane w niezależnym środowisku testowym (bieżącej kopii wersji usługowej). Po pozytywnym wyniku testów zmiany można przenieść na środowisko usługowe. Środowisko rozwojowe jest całkowicie niezależne od środowiska usługowego. Osobą testująca zmiany i nowe rozwiązania nie powinien być autor zmian i nowych funkcjonalności.. infrastruktury oraz instrukcji A.12.2 Ochrona przed złośliwym oprogramowaniem Cel: Zapewnienie ochrony i środków przetwarzania przed złośliwym oprogramowaniem. A Zabezpieczenia przed złośliwym oprogramowani em Należy wdrożyć do wykrywania, zapobiegania i przywracania do normalnego stanu Wdrożone przeciwko złośliwemu oprogramowaniu kontroli....

14 Strona:14/28 A.12.3 Kopie zapasowe Cel: Ochrona przed utratą danych. A Zapasowe kopie celem ochrony przed złośliwym oprogramowaniem, w połączeniu z odpowiednim uświadomieniem użytkowników. Należy wykonywać i regularnie testować zapasowe kopie, i obrazów zgodnie z ustaloną polityką wykonywania kopii zapasowych. A.12.4 Rejestrowanie i monitorowanie Cel: Rejestrowanie zdarzeń i generowanie dowodów. A A Rejestrowanie zdarzeń Ochrona w dziennikach Należy utworzyć, utrzymywać i regularnie przeglądać dzienniki zdarzeń do zapisywania czynności użytkowników, wyjątków, defektów i zdarzeń związanych z bezpieczeństwem. Należy chronić urządzenia rejestrujące i informacje zawarte w dziennikach przed nieumiejętnym manipulowaniem przez osoby niepowołane oraz przed nieupoważnionym dostępem. oprogramowanie antywirusowe, firewall software owy, program antywirusowy okresowa automatyczna aktualizacja i automatyczne skanowanie otwieranych/używanych bieżących programów i dokumentów oraz właściwe postępowanie i uświadamianie użytkowników. Polityka tworzenia kopii zapasowych Prowadzone są automatyczne logi w systemach informatycznym. Polityka systemy p.2.3 Polityka tworzenia kopii zapasowych Polityka p. 2.3 oraz podczas auditu. tworzenia kopii zapasowych. tworzenia kopii zapasowych logów Okresowe przeglądy logowania i alertów w systemach weryfikacja tworzenia kopii zapasowych dzienników.. Raz na 3 miesiące. Raz na 6 miesiące.

15 Strona:15/28 A A Dzienniki administratora i operatora Synchronizacja zegarów Czynności administratora i operatora powinny być rejestrowane, a dzienniki chronione i regularnie przeglądane. Zegary wszystkich odpowiednich systemów przetwarzania w obrębie organizacji lub domeny powinny być zsynchronizowane z jednym wzorcowym źródłem czasu. A.12.5 Nadzorowanie eksploatacyjnego Cel: Zapewnienie integralności systemów eksploatacyjnych. A Instalacja oprogramowan ia w systemach eksploatacyjny ch Należy wdrożyć procedury sprawowania nadzoru nad instalacją w systemach eksploatacyjnych. A.12.6 Zarządzanie podatnością techniczną Cel: Uniemożliwianie wykorzystania podatności technicznych. A A Zarządzanie podatnościami technicznymi Ograniczenia dotyczące instalacji oprogramowani a Należy na bieżąco uzyskiwać informacje o podatnościach technicznych używanych systemów informacyjnych, oceniać narażenie organizacji na te podatności i podejmować stosowne środki celem zniwelowania towarzyszącego im ryzyka. Należy ustanowić i wdrożyć zasady instalowania przez użytkowników. Monitorowane poprzez bieżącą analizę logów Administratorów. Czas jest automatycznie synchronizowany z serwerami z Internetu. Polityka systemy Polityka kontroli Techniczna podatność informacyjnego i informatycznego na zagrożenia związane z bezpieczeństwem jest zidentyfikowana (Szacowanie ryzyka) oraz jest stale kontrolowana i aktualizowana. Polityka kontroli A.12.7 Uwarunkowania audytów systemów informacyjnych Cel: Zminimalizowanie wpływu czynności audytowych na systemach eksploatacyjnych Okresowe przeglądy logowania i alertów w systemach przez Prezesa lub Informatyka. procesu oraz podczas przeglądu. podczas auditu Raz na pół roku. Co 3 miesiące... Raz na 3 miesiące

16 Strona:16/28 A Zabezpieczenia audytowe systemów informacyjnych Należy starannie zaplanować i uzgodnić wymagania i czynności audytowe pociągające za sobą weryfikację systemów eksploatacyjnych, aby zminimalizować przerwy w procesach biznesowych. A.13 Bezpieczeństwo wymiany Polityka kontroli kontroli. A.13.1 Zarządzanie bezpieczeństwem sieci Cel: Zapewnienie ochrony w sieciach oraz używanych w nich pomocniczych środkach przetwarzania. A A A Zabezpieczenia sieciowe Bezpieczeństw o usług sieciowych Oddzielanie w sieciach Należy zarządzać sieciami i nadzorować je, aby chronić informacje w systemach i aplikacjach. Należy określić mechanizmy, poziomy obsługi i wymagania zarządcze dla wszystkich usług sieciowych i zawrzeć je w umowach o świadczenie usług sieciowych, niezależnie od tego czy te usługi są realizowane środkami własnymi lub w ramach outsourcingu. Należy oddzielać w sieciach grupy usług informacyjnych, użytkowników i systemy informatyczne. Polityka Polityka (po uruchomieniu łącza zapasowego zgodnie z umową z firmą 3S) oraz Polityka szacowania ryzyka Wspólna sieć dla użytkowników, oddzielna dla zewnętrznych. Fizyczne rozdzielenie sieci. kontroli oraz szacowania ryzyka procesu A.13.2 Przesyłanie Cel: Utrzymanie przesyłanej w obrębie organizacji i z dowolnym podmiotem zewnętrznym. A i procedury przesyłania Należy wprowadzić formalne polityki, procedury i dla ochrony przesyłu poprzez wykorzystanie wszystkich typów środków wymiany. Polityka Fizycznego zasobów....

17 Strona:17/28 A A A Umowy o przesyłaniu System poczty elektronicznej Umowy o poufności lub nieujawnianiu Umowy powinny odnosić się do bezpiecznego przesyłu biznesowych pomiędzy organizacją a stronami zewnętrznymi. Informacje przesyłane pocztą elektroniczną powinny być odpowiednio chronione. Należy określić, regularnie przeglądać i udokumentować wymagania wobec umów o poufności lub nieujawnianiu, odzwierciedlające potrzeby organizacji w zakresie ochrony. A.14 Pozyskiwanie, rozwój i utrzymanie systemów W przypadku wymiany miedzy firmą a stronami zewnętrznymi, zostały zawarte umowy odnośnie wymiany. Zastosowane są adekwatne do ważności wymienianej. Informacje przekazywane przez pracowników za pośrednictwem poczty elektronicznej są chronione przed nieuprawnionym dostępem i modyfikacją przez stosowanie zabezpieczeń typu: dostęp do konta pocztowego ma użytkownik po zalogowaniu się poprzez login i hasło. Polityka zasad postępowania w SZ Klauzule poufności dotyczące przetwarzanych, są stosowane we wszystkich umowach cywilno prawnych procesów zakupów i obsługi klienta. przed podpisaniem umowy o zachowaniu poufności.... Każdorazowo przed podpisaniem umowy o zachowaniu poufności. Dodatkowo raz w roku podczas auditów. A.14.1 Wymagania systemów informacyjnych Cel: Zapewnienie, że bezpieczeństwo jest integralną częścią systemów informacyjnych przez cały okres ich życia. Obejmuje to także wymagania względem systemów informacyjnych realizujących usługi za pośrednictwem sieci publicznych.

18 Strona:18/28 A A A Analiza i specyfikacja wymagań bezpieczeństw a Zabezpiecza nie usług aplikacyjnyc h w sieciach publicznych Ochrona transakcji w ramach usług aplikacyjnych Wymagania odnoszące się do powinny być zawarte w wymaganiach dla nowych systemów informacyjnych lub dla rozszerzeń istniejących systemów informacyjnych. Informacje związane z usługami aplikacyjnymi przepuszczane przez sieci publiczne należy chronić przed oszukańczym działaniem, sporami w ramach umów oraz nieupoważnionym ujawnieniem i modyfikacją. Informacje związane z transakcjami w ramach usług aplikacyjnych należy chronić celem uniemożliwienia niepełnej transmisji, błędami rutingu, nieupoważnionymi zmianami wiadomości, nieupoważnionym ujawnieniem, nieupoważnionym skopiowaniem wiadomości lub ponownym odtworzeniem. Wymagania odnoszące się do są zawierane dla nowych systemów oraz w przypadku rozszerzeń istniejących Polityka. Polityka kontroli Polityka. Polityka kontroli przez Zarząd uprawnień użytkowników podczas auditu A.14.2 Bezpieczeństwo w procesach rozwojowych i wsparcia Cel: Zapewnienie że bezpieczeństwo jest projektowane i wdrażane w rozwojowym cyklu życia systemów informacyjnych. A A Polityka bezpiecznego rozwoju Procedury nadzorowania zmian w systemach Należy ustanowić i stosować zasady rozwoju i systemów do postępu w obrębie organizacji. Należy nadzorować zmiany w systemach podczas rozwojowego cyklu życia poprzez stosowanie formalnych procedur nadzorowania zmian. Wszystkie działania związane z przetwarzaniem są zgodne z politykami / Procedurami i normami. Polityka kontroli procedur Raz na trzy miesiące..

19 Strona:19/28 A Przegląd techniczny aplikacji po zmianach platformy operacyjnej Przy zmianach platformy operacyjnej należy dokonać przeglądu aplikacji o krytycznym znaczeniu dla prowadzonej działalności i przetestować je dla zapewnienia, że nie ma to negatywnego wpływu na działalność organizacji czy bezpieczeństwo. Polityka kontroli na podstawie testów przedwdrożeniow ych uniemożliwiająca wprowadzanie do danych niezgodnych z przyjętymi wymaganiami (automatyczna walidacja). Każdorazowo po dokonaniu zmian w systemie operacyjnym lub wdrożeniu nowego A Ograniczenia zmian w pakietach oprogramowani a Należy zniechęcać do wprowadzania modyfikacji w pakietach, ograniczyć je do koniecznych zmian, a wszelkie zmiany należy ściśle nadzorować. Polityka kontroli na podstawie testów przedwdrożeniow ych uniemożliwiająca wprowadzanie do danych niezgodnych z przyjętymi wymaganiami (automatyczna walidacja).. A Zasady projektowania bezpiecznych systemów Należy ustanowić, udokumentować, utrzymywać i stosować zasady projektowania bezpiecznych systemów do wszelkich starań w kierunku wdrożenia systemów informacyjnych. Każda praca zlecona firmie zewnętrznej jest objętą umową i klauzulą poufności. procesu.. A Bezpieczne środowisko rozwojowe Organizacje powinny ustanowić i odpowiednio chronić bezpieczne środowiska rozwojowe do podejmowania starań w kierunku rozwoju i integracji, obejmujące cały rozwojowy cykl życia. W przypadku Organizacji wdrożona jest platforma testowa zawierająca przykładowe dane. Polityka kontroli p kontrola środowiska testowego przez firmę zewnętrzną Każdorazowo przy wprowadzeniu wersji rozwojowej A Rozwój w outsourcingu Organizacji powinna nadzorować i Testy przeprowadzane Zarząd i Każdorazowo przy

20 Strona:20/28 A A Testowanie bezpieczeńst wa Testowanie odbiorowe monitorować działalność rozwojową oddanego w outsourcing. Należy prowadzić testowanie funkcjonalności związanych z bezpieczeństwem podczas ich opracowywania. Należy ustanowić programy testowania odbiorowego i odnośne kryteria dla nowych systemów informacyjnych, ich uaktualnień oraz nowych wersji. na platformie testowej zawierającej przykładowe dane Polityka kontroli p.2.3 Audity informatycznego przeprowadzane są w zaplanowanych odstępach czasu zgodnie z programem auditów. Program ustalany jest z odpowiednim wyprzedzeniem z osobami, których dotyczą tak, aby zminimalizować zakłócenia w ciągłości pracy. Kryteria odbioru dla nowych systemów i upgrade ów, określone są w umowach ze stronami zewnętrznymi. W przypadku wdrażania nowych systemów zazwyczaj w umowie z firma zewnętrzna jest zapis o przeszkoleniu osób korzystających oraz o bezpieczeństwie (klauzula ) podczas integracji z obecnie działającym systemem. Po upgrade ach jest sprawdzanie poprawności działania programu. Kryteria odbioru zgodnie z zawartymi umowami, Informatyk monitorują przeprowadzanie testów procedur Monitorowanie odbywa się poprzez kontakt z informatykiem. przeprowadzan iu testów. Każdorazowo przy każdym odbiorze.

21 Strona:21/28 A.14.3 Dane testowe Cel: Zapewnienie ochrony danych użytych do testowania. A Ochrona danych testowych A.15 Relacje z dostawcami Dane testowe należy ostrożnie dobierać, chronić i nadzorować. po aktualizacji lub modernizacji poprawność działania programu jest testowana. Polityka tworzenia kopii zapasowych p.2.2 A.15.1 Bezpieczeństwo w relacjach z dostawcami Cel: Zapewnienie ochrony aktywów organizacji do których mają dostęp dostawcy. A A Polityka bezpieczeństw a dla relacji z dostawcami Odniesienie do bezpieczeństw a w umowach z dostawcami Należy uzgodnić z dostawcami i udokumentować wymagania względem celem zniwelowania ryzyk towarzyszących dostępowi dostawców do aktywów organizacji. Należy ustanowić wszelkie odpowiednie wymagania względem i uzgodnić je z każdym dostawcą, który może mieć dostęp do organizacji, przetwarzać lub komunikować te informacje lub dostarczać infrastrukturę IT dla tych. Ryzyka dotyczące związane ze stronami zewnętrznymi zostały określone w Polityce szacowania ryzyka oraz Deklaracji Stosowania, Planie Postępowania z Ryzykiem. Umowy umożliwiające dostęp osób trzecich do urządzeń służących do przetwarzania, przekazywania lub informacjami organizacji lub urządzeniami przetwarzającymi informacje, bazują na formalnych zapisach zawierających wszystkie istotne wymogi. (polityk ) oraz przed przyznaniem dostępu stronom trzecim przed podpisaniem umowy ze stroną trzecią... Każdorazowo przed przyznaniem dostępu stronom trzecim. podczas auditów. Każdorazowo przed podpisaniem umowy ze stroną trzecią. podczas auditów.

22 Strona:22/28 A Łańcuch dostaw techniki informatycznej i wymiany Umowy z dostawcami powinny zawierać wymagania odnoszące się do ryzyk towarzyszących usługom z dziedziny techniki informatycznej i wymiany oraz łańcucha dostaw produktu. Stosowana jest zasada określająca dostęp osób trzecich do zasobów organizacji. Dostawcy nie maja miejsc przechowywania kopii zapasowych. Przed udzieleniem dostawcy zasobów informacyjnych wdrożono odpowiednie w celu zapewnienia. Zabezpieczenia mogą mieć formę bezpośredniego nadzoru pracownika, zapisów w umowach i aktywów organizacji (klauzule poufności, zobowiązania, odpowiedzialności, itp.) Polityka kontroli.. przed przyznaniem dostępu dostawcy A.15.2 Zarządzanie dostarczaniem usług Cel: Utrzymanie uzgodnionego poziomu i dostaw usług zgodnie z umowami zawartymi z dostawcami. A Monitorowanie i przegląd usługach świadczonych przez dostawców Organizacje powinny regularnie monitorować, przeglądać i audytować dostarczanie usług przez dostawców. Usługi, umowy z wykonawcami, raporty i zapisy dostarczone przez strony trzecie są monitorowane i poddawane przeglądom. procesu zakupów. podczas realizacji usług przez strony trzecie. Każdorazowo przed przyznaniem dostępu dostawcom do. podczas auditów. podczas auditu. Każdorazowo podczas odbioru etapu danej usługi. A Zarządzanie Wszelkie zmiany Każdorazowo

23 Strona:23/28 zmianami w usługach świadczonych przez dostawców Należy zarządzać zmianami w świadczeniu usług przez dostawców, włączając w to utrzymanie i ulepszanie istniejących polityk i procedur oraz zabezpieczeń, z uwzględnieniem stopnia krytyczności wchodzących w rachubę biznesowych, systemów i procesów oraz ponownego szacowania ryzyka. A.16 Zarządzanie bezpieczeństwem W przypadku zmian w świadczeniu usług, będą dokonane odpowiednie ustalenia z Wykonawcą i zapisy (umowy, aneksy do umów, itp.). Jeżeli waga i charakter zmian będzie istotny z punktu widzenia, zostanie przeprowadzony przegląd polityk i stosowanych zabezpieczeń. usług strony trzeciej monitorowane są poprzez Radcę Prawnego, który przedstawia ocenę zagrożeń wynikających z zapisów umów. przy każdej zmianie umowy. A.16.1 Zarządzanie incydentami związanymi z bezpieczeństwem i ulepszeniami Cel: Zapewnienie spójnego i efektywnego podejścia do incydentami związanymi z bezpieczeństwem, włącznie z wymianą o zdarzeniach związanych z bezpieczeństwem i słabych stronach. A A A Zakresy obowiązków i procedury Zgłaszanie zdarzeń związanych z bezpieczeństw em Zgłaszanie słabych stron bezpieczeństw a Należy ustanowić zakresy obowiązków i procedury w ramach dla zapewnienia szybkiej, efektywnej i uporządkowanej reakcji na incydenty związane z bezpieczeństwem. Zdarzenia związane z bezpieczeństwem należy zgłaszać poprzez odpowiednie kanały kierownicze tak szybko, jak to możliwe. Należy zobowiązać pracowników i wykonawców korzystających z systemów i usług informacyjnych organizacji do zwracania uwagi na wszystkie zaobserwowane lub podejrzewane słabe strony w systemach lub usługach oraz do ich zgłaszania. Polityka incydentami Polityka incydentami Polityka incydentami Polityka incydentami Polityka incydentami...

24 Strona:24/28 A A A A Szacowanie zdarzeń związanych z bezpieczeństwem i decyzja Reakcja na incydenty związane z bezpieczeństw em Wyciąganie wniosków z incydentów związanych z bezpieczeńs twem Gromadzenie dowodów Należy szacować zdarzenia związane z bezpieczeństwem i podejmować decyzje o tym, czy zaklasyfikować je do incydentów związanych z bezpieczeństwem. Na incydenty związane z bezpieczeństwem należy reagować zgodnie z udokumentowanymi procedurami. Wiedzę uzyskaną z analizy i rozwiązywania incydentów związanych z bezpieczeństwem należy wykorzystywać do obniżenia prawdopodobieństwa wystąpienia lub skutków przyszłych incydentów. Organizacja powinna określić i stosować procedury do identyfikacji, gromadzenia, pozyskiwania i ochrony, które mogą służyć jako dowody. Polityka incydentami Polityka incydentami Polityka incydentami Polityka incydentami A.17 Aspekty w zarządzaniu ciągłością działania Polityka incydentami Polityka incydentami incydentami incydentami.. A.17.1 Ciągłość Cel: Ciągłość powinna być wbudowana w systemy ciągłością działania organizacji. A A Planowanie ciągłości bezpieczeństw a Wdrażanie ciągłości bezpieczeństw a Organizacja powinna określić swoje wymagania w zakresie i ciągłości bezpieczeństwem w niekorzystnych sytuacjach, np. podczas kryzysu lub kataklizmu. Organizacja powinna ustanowić, udokumentować, wdrożyć i Polityka ciągłością działania Polityka ciągłością działania ciągłością działania..

25 Strona:25/28 A , przegląd i ocena ciągłości bezpieczeństw a utrzymywać procesy, procedury i, aby zapewnić wymagany poziom ciągłości podczas niepomyślnych sytuacji. Organizacja powinna w regularnych odstępach czasu weryfikować ustanowione i wdrożone dotyczące ciągłości celem zapewnienia, że są one prawidłowe i efektywne podczas niepomyślnych sytuacji. A.17.2 Rezerwowanie Cel: Zapewnienie dostępności środków przetwarzania A Dostępność środków przetwarza nia A.18 Zgodność Środki przetwarzania należy realizować z nadmiarowością wystarczającą do spełnienia wymagań dostępności. Polityka ciągłością działania Środki przetwarzania są realizowane z nadmiarowością oraz spełniają wymagania dostępności ciągłością działania ciągłością działania. A.18.1 Zgodność z wymaganiami prawnymi i umownymi Cel: Uniknięcie naruszeń zobowiązań prawnych, ustawowych, regulaminowych lub umownych związanych z bezpieczeństwem oraz wszelkich wymagań. A A Identyfikacja obowiązującego ustawodawstwa i wymagań umownych Prawa własności intelektualnej Wszystkie odnośne wymagania prawne, ustawowe, regulaminowe, umowne oraz podejście organizacji do kwestii spełnienia tych wymagań należy wyraźnie zidentyfikować, udokumentować i aktualizować dla każdego informacyjnego i dla organizacji. Należy wdrożyć odpowiednie procedury celem zapewnienia zgodności z wymaganiami prawnymi, regulaminowymi i umownymi związanymi z prawem własności intelektualnej i używaniem prawnie zastrzeżonych Prawo jest identyfikowane poprzez nawiązanie współpracy z Radcą Prawnym. Własność intelektualna wykorzystywana przez firmę dotyczy i jego aktualizacji wykupione licencje i aktualizacje. Wszystkie nadzorowania dokumentacji. Raz na 3 miesiące.

26 Strona:26/28 A A Ochrona zapisów Prywatność i ochrona umożliwiającyc h ujawnienie tożsamości produktów programowych. Zapisy należy chronić przed utratą, zniszczeniem, sfałszowaniem, nieuprawnionym dostępem oraz nieuprawnionym rozpowszechnieniem, zgodnie z wymaganiami prawnymi, regulaminowymi, umownymi i biznesowymi. W stosownych przypadkach należy zapewnić prywatność oraz ochronę umożliwiających ujawnienie tożsamości, zgodnie z odpowiednim prawodawstwem i uregulowaniami. programy wykorzystywane posiadają ważne licencje. Nadzór nad oprogramowaniem sprawowany jest przez Właściciela i Informatyka. Oprogramowanie wytwarzane na własne potrzeby jest własnością firmy. Zapisy są tworzone, autoryzowane, przechowywane, zabezpieczane i niszczone zgodnie z Procedurą nadzoru nad dokumentami i zapisami oraz Polityką tworzenia kopii zapasowych, Polityką postępowania ze sprzętem i nośnikami danych, Polityka fizycznego zasobów, Polityka kontroli Przetwarzanie danych osobowych oraz dostęp do tych danych są uregulowane w odpowiednich przepisach prawnych (Ustawa o ochronie danych osobowych) oraz w Procedurach i politykach obowiązujących w Organizacji. Stosowane są odpowiednie zgodne z wymaganiami tworzenia kopii zapasowych, Polityka postępowania ze sprzętem i nośnikami danych, Polityka fizycznego zasobów i Polityka kontroli..

27 Strona:27/28 A Regulacje dotyczące zabezpieczeń kryptograficzny ch Zabezpieczenia kryptograficzne powinny być stosowane zgodnie z wszelkimi odpowiednimi uzgodnieniami, prawodawstwem i regulacjami. zawartymi w w/w regulacjach: fizyczne i Proceduralne typu szafki zamykane na klucz, pomieszczenia zamykane na klucz, dostęp ograniczony jest do osób uprawnionych. Polityka, Polityka fizycznego zasobów. Polityka. A.18.2 Przeglądy Cel: Zapewnienie że bezpieczeństwo jest wdrożone i działa zgodnie z politykami i procedurami organizacyjnymi. A Niezależny przegląd bezpieczeństw a Podejście organizacji do bezpieczeństwem i jego wdrożenie (tj. cele stosowania zabezpieczeń,, polityki, procesy i procedury związane z bezpieczeństwem ) należy poddawać niezależnym przeglądom w zaplanowanych odstępach czasu lub w razie wystąpienia istotnych zmian. Niezależne przeglądy przeprowadzane są dla każdego zasobu raz w roku lub częściej w przypadku istotnych zmian organizacyjnotechnicznych mających wpływ na bezpieczeństwo. Przegląd dokonywany jest w trakcie auditów lub zewnętrznych SZ. Wnioski z przeglądu prezentowane są na wykonywanych przez jednostkę certyfikującą

28 Strona:28/28 przeglądzie SZ. A Zgodność z politykami bezpieczeńs twa i normami Kierownicy powinni regularnie dokonywać przeglądów zgodności przetwarzania i procedur w swoich obszarach odpowiedzialności z odpowiednimi politykami, normami oraz wszelkimi innymi wymaganiami związanymi z bezpieczeństwem. Wszystkie działania związane z przetwarzaniem są zgodne z politykami / Procedurami i normami. procedur. A Przegląd zgodności technicznej Systemy informacyjne należy poddawać regularnym przeglądom na zgodność z politykami organizacji dotyczącymi i normami. Audity informatycznego przeprowadzane są w zaplanowanych odstępach czasu zgodnie z programem auditów. Program ustalany jest z odpowiednim wyprzedzeniem z osobami, których dotyczą tak, aby zminimalizować zakłócenia w ciągłości pracy. procedur.. PODPIS