Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania

Transkrypt

1 POLSKA NORMA ICS PN-ISO/IEC Wprowadza ISO/IEC 27001:2013, IDT Zastępuje PN-ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem Wymagania Norma Międzynarodowa ISO/IEC 27001:2013 Information technology Security techniques Information security management systems Requirements ma status Polskiej Normy Copyright by PKN, Warszawa 2014 nr ref. PN-ISO/IEC 27001: Wszelkie prawa autorskie zastrzeżone. Żadna część niniejszej publikacji nie może być zwielokrotniana jakąkolwiek techniką bez pisemnej zgody Prezesa Polskiego Komitetu Normalizacyjnego

2 Przedmowa krajowa Niniejsza norma jest identycznym tłumaczeniem angielskiej wersji Normy Międzynarodowej ISO/IEC 27001:2013. Została zatwierdzona przez Prezesa PKN dnia 25 listopada 2014 r. Komitetem krajowym odpowiedzialnym za normę i jej tłumaczenie jest KT nr 182 ds. Ochrony Informacji w Systemach Teleinformatycznych. W zakresie tekstu Normy Międzynarodowej wprowadzono odsyłacze krajowe oznaczone N1) i N2). Niniejsza norma zastępuje PN-ISO/IEC 27001:2007. Odpowiedniki krajowe norm i innych dokumentów powołanych w niniejszej normie można znaleźć w katalogu Polskich Norm. Oryginały norm i innych dokumentów powołanych są dostępne w PKN. W sprawach merytorycznych dotyczących treści normy można zwracać się do właściwego Komitetu Technicznego lub właściwej Rady Sektorowej PKN, kontakt: 2

3 NORMA MIĘDZYNARODOWA INTERNATIONAL STANDARD ISO/IEC 27001:2013 (E) Wersja polska Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem Wymagania Information technology Security techniques Information security management systems Requirements Technologies de l information Techniques de sécurité Systèmes de management de la sécurité de l information Exigences Niniejsza norma jest polską wersją Normy Międzynarodowej ISO/IEC 27001:2013. Została ona przetłumaczona przez Polski Komitet Normalizacyjny i ma ten sam status co wersje oficjalne. 3

4 Spis treści Stronica Przedmowa Wprowadzenie Zakres normy Powołania normatywne Terminy i definicje Kontekst organizacji Zrozumienie organizacji i jej kontekstu Zrozumienie potrzeb i oczekiwań stron zainteresowanych Określenie zakresu systemu zarządzania bezpieczeństwem System zarządzania bezpieczeństwem Przywództwo Przywództwo i zaangażowanie Polityka Role, odpowiedzialność i uprawnienia Planowanie Działania odnoszące się do ryzyk i szans Cele bezpieczeństwa i planowanie ich osiągnięcia Wsparcie Zasoby Kompetencje Uświadamianie Komunikacja Udokumentowane informacje Działania operacyjne Planowanie i nadzór nad działaniami operacyjnymi Szacowanie ryzyka w bezpieczeństwie Postępowanie z ryzykiem w bezpieczeństwie Ocena wyników Monitorowanie, pomiary, analiza i ocena Audyt wewnętrzny Przegląd zarządzania Doskonalenie Niezgodność i działania korygujące Ciągłe doskonalenie...15 Załącznik A (normatywny) Wzorcowy wykaz celów stosowania zabezpieczeń i zabezpieczeń Bibliografia

5 Przedmowa ISO (Międzynarodowa Organizacja Normalizacyjna) i IEC (Międzynarodowa Komisja Elektrotechniczna) tworzą wyspecjalizowany system światowej normalizacji. Krajowe jednostki normalizacyjne, będące członkami ISO i IEC, uczestniczą w opracowaniu Norm Międzynarodowych za pośrednictwem komitetów technicznych tych organizacji, powołanych do prowadzenia prac w określonych dziedzinach działalności technicznej. Komitety techniczne ISO i IEC współpracują w obszarach wspólnych zainteresowań. Inne międzynarodowe organizacje rządowe i pozarządowe, związane z ISO i IEC, również mogą brać udział w tych pracach. W dziedzinie techniki informatycznej ISO i IEC utworzyły wspólny komitet techniczny ISO/IEC JTC 1. Normy Międzynarodowe są opracowywane zgodnie z regułami podanymi w Dyrektywach ISO/IEC, Część 2. Głównym zadaniem wspólnego komitetu technicznego jest przygotowanie Norm Międzynarodowych. Projekty Norm Międzynarodowych, przyjęte przez wspólny komitet techniczny, są przesyłane organizacjom członkowskim w celu przeprowadzenia głosowania. Publikacja w postaci Normy Międzynarodowej wymaga akceptacji co najmniej 75 % organizacji członkowskich biorących udział w głosowaniu. Zwraca się uwagę, że niektóre elementy niniejszego dokumentu mogą być przedmiotem praw patentowych. ISO i IEC nie będą ponosić odpowiedzialności za zidentyfikowanie jakichkolwiek ani wszystkich takich praw patentowych. ISO/IEC została opracowana przez Wspólny Komitet Techniczny ISO/IEC JTC 1, Technika informatyczna, Podkomitet SC 27, Techniki zabezpieczeń IT. Niniejsze wydanie drugie unieważnia i zastępuje wydanie pierwsze (ISO/IEC 27001:2005), stanowiąc jego techniczną nowelizację. 5

6 0 Wprowadzenie 0.1 Postanowienia ogólne Niniejsza Norma Międzynarodowa została opracowana w celu dostarczenia wymagań dotyczących ustanawiania, wdrażania, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem. Przyjęcie systemu zarządzania bezpieczeństwem jest dla organizacji decyzją o charakterze strategicznym. Na ustanowienie i wdrożenie w organizacji systemu zarządzania bezpieczeństwem mają wpływ potrzeby i cele organizacji, wymagania bezpieczeństwa, procesy funkcjonujące w organizacji oraz wielkość i struktura organizacji. Należy oczekiwać, że wszystkie te czynniki będą podlegać zmianom wraz z upływem czasu. System zarządzania bezpieczeństwem zapewnia zachowanie poufności, integralności i dostępności w wyniku stosowania procesu zarządzania ryzykiem i dostarcza stronom zainteresowanym zaufania, że ryzyka są odpowiednio zarządzane. Ważne jest, aby system zarządzania bezpieczeństwem był częścią procesów funkcjonujących w organizacji oraz ogólnej struktury zarządzania i był z nimi zintegrowany, a także, aby bezpieczeństwo było uwzględniane przy projektowaniu procesów, systemów informacyjnych i zabezpieczeń. Należy się spodziewać, że wdrożenie systemu zarządzania bezpieczeństwem przyjmie skalę odpowiednią do potrzeb organizacji. Niniejsza Norma Międzynarodowa może być stosowana przez wewnętrzne i zewnętrzne strony do szacowania zdolności organizacji do spełnienia jej własnych wymagań dotyczących bezpieczeństwa. Kolejność, w jakiej w niniejszej Normie Międzynarodowej przedstawiono wymagania, nie odzwierciedla ich wagi ani nie implikuje kolejności, w jakiej powinny być wdrażane. Elementy list są numerowane tylko po to, aby umożliwić odwoływanie się do nich. W ISO/IEC zamieszczono przegląd i słownictwo z zakresu systemów zarządzania bezpieczeństwem, odwołując się do rodziny norm dotyczących systemów zarządzania bezpieczeństwem (w tym ISO/IEC 27003[2], ISO/IEC 27004[3] i ISO/IEC 27005[4]), podając terminy i definicje z tego zakresu. 0.2 Kompatybilność z innymi normami dotyczącymi systemów zarządzania W niniejszej Normie Międzynarodowej zastosowano strukturę dokumentu, identyczne tytuły podrozdziałów, identyczną treść, wspólne terminy oraz podstawowe definicje określone w Załączniku SL Dyrektyw ISO/IEC, Część 1, Ujednolicony Suplement ISO, w wyniku czego zachowano kompatybilność z innymi normami dotyczącymi systemów zarządzania, w których również korzystano z Załącznika SL. To wspólne podejście określone w Załączniku SL okaże się przydatne dla tych organizacji, które zdecydują się stosować jeden system zarządzania, spełniający wymagania dwóch lub więcej norm dotyczących systemów zarządzania. 6

7 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem Wymagania PN-ISO/IEC 27001: Zakres normy W niniejszej Normie Międzynarodowej określono wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem w organizacji, z uwzględnieniem uwarunkowań, w których działa organizacja. Podano również dostosowane do potrzeb organizacji wymagania, dotyczące szacowania i postępowania z ryzykami w bezpieczeństwie. Wymagania mają charakter ogólny i są przeznaczone do stosowania w organizacji każdego rodzaju, wielkości czy charakteru. Nie dopuszcza się pominięcia żadnego z wymagań określonych w Rozdziałach od 4 do 10, jeśli organizacja deklaruje zgodność z niniejszą Normą Międzynarodową. 2 Powołania normatywne Do stosowania niniejszego dokumentu są niezbędne podane niżej dokumenty, które, w całości lub w części, zostały w nim normatywnie powołane. W przypadku powołań datowanych ma zastosowanie wyłącznie wydanie cytowane. W przypadku powołań niedatowanych stosuje się ostatnie wydanie dokumentu powołanego (łącznie ze zmianami). ISO/IEC 27000, Information Technology Security techniques Information security management systems Overview and vocabulary 3 Terminy i definicje Dla celów niniejszego dokumentu stosuje się terminy i definicje podane w ISO/IEC Kontekst organizacji 4.1 Zrozumienie organizacji i jej kontekstu Organizacja powinna określić czynniki zewnętrzne i wewnętrzne istotne dla celu jej działania i takie, które wpływają na zdolność organizacji do osiągnięcia zamierzonego(-ych) wyniku(-ów) działania systemu zarządzania bezpieczeństwem. UWAGA Określenie tych czynników odnosi się do ustanowienia zewnętrznego i wewnętrznego kontekstu organizacji, omówionych w ISO 31000:2009[5], Rozdział Zrozumienie potrzeb i oczekiwań stron zainteresowanych Organizacja powinna określić: a) strony zainteresowane, istotne dla systemu zarządzania bezpieczeństwem ; oraz b) wymagania tych stron zainteresowanych, istotne dla bezpieczeństwa. UWAGA Wymagania stron zainteresowanych mogą obejmować wymagania prawne i wymagania regulacyjne oraz zobowiązania wynikające z umów. 7

8 4.3 Określenie zakresu systemu zarządzania bezpieczeństwem Organizacja powinna określić granice i możliwości zastosowania systemu zarządzania bezpieczeństwem w celu ustanowienia jego zakresu. Przy określaniu zakresu organizacja powinna rozważyć: a) czynniki zewnętrzne i wewnętrzne, o których mowa w 4.1; b) wymagania, o których mowa w 4.2; oraz c) interfejsy i zależności między działaniami wykonywanymi przez tę organizację i wykonywanymi przez inne organizacje. Zakres systemu powinien być dostępny w formie udokumentowanej. 4.4 System zarządzania bezpieczeństwem Organizacja powinna ustanowić, wdrożyć, utrzymywać i ciągle doskonalić system zarządzania bezpieczeństwem, zgodnie z wymaganiami niniejszej Normy Międzynarodowej. 5 Przywództwo 5.1 Przywództwo i zaangażowanie Najwyższe kierownictwo powinno wykazywać przywództwo i zaangażowanie w odniesieniu do systemu zarządzania bezpieczeństwem poprzez: a) zapewnienie, że polityka bezpieczeństwa oraz cele bezpieczeństwa są ustanowione i zgodne z kierunkiem strategicznym organizacji; b) zapewnienie zintegrowania wymagań systemu zarządzania bezpieczeństwem z procesami organizacji; c) zapewnienie dostępności zasobów potrzebnych w systemie zarządzania bezpieczeństwem ; d) komunikowanie znaczenia skutecznego zarządzania bezpieczeństwem i zgodności z wymaganiami systemu zarządzania bezpieczeństwem ; e) zapewnienie, że system zarządzania bezpieczeństwem osiąga zamierzony(-e) wynik(i); f) kierowanie i wspieranie osób przyczyniających się do osiągnięcia skuteczności systemu zarządzania bezpieczeństwem ; g) promowanie ciągłego doskonalenia; oraz h) wspieranie innych właściwych członków kierownictwa w wykazywaniu przywództwa odpowiednio do obszarów ich odpowiedzialności. 5.2 Polityka Najwyższe kierownictwo powinno ustanowić politykę bezpieczeństwa, która: a) odpowiada celowi istnienia organizacji; b) zawiera cele bezpieczeństwa (patrz 6.2) lub tworzy ramy do ustanowienia celów bezpieczeństwa ; c) zawiera zobowiązanie do spełnienia mających zastosowanie wymagań dotyczących bezpieczeństwa ; oraz d) zawiera zobowiązanie do ciągłego doskonalenia systemu zarządzania bezpieczeństwem. 8

9 Polityka bezpieczeństwa powinna być: e) dostępna jako udokumentowana informacja; f) zakomunikowana w organizacji; oraz g) dostępna dla stron zainteresowanych, jeśli jest to właściwe. 5.3 Role, odpowiedzialność i uprawnienia Najwyższe kierownictwo powinno zapewnić, aby odpowiedzialność i uprawnienia dla osób pełniących istotną rolę w zapewnieniu bezpieczeństwa zostały przydzielone i zakomunikowane. Najwyższe kierownictwo powinno przydzielić odpowiedzialność i uprawnienia w zakresie: a) zapewnienia zgodności systemu zarządzania bezpieczeństwem z wymaganiami niniejszej Normy Międzynarodowej; oraz b) przedstawiania najwyższemu kierownictwu wyników działania systemu zarządzania bezpieczeństwem. UWAGA Najwyższe kierownictwo może również przydzielić odpowiedzialność i uprawnienia w zakresie informowania o wynikach działania systemu zarządzania bezpieczeństwem w organizacji. 6 Planowanie 6.1 Działania odnoszące się do ryzyk i szans Postanowienia ogólne Planując system zarządzania bezpieczeństwem, organizacja powinna rozważyć czynniki, wymienione w 4.1 oraz wymagania, podane w 4.2, a także określić ryzyka i szanse, do których należy się odnieść w celu: a) zapewnienia, że system zarządzania bezpieczeństwem może osiągnąć zamierzony(-e) wynik(i); b) zapobieżenia wystąpieniu niepożądanych skutków lub ich zredukowania; oraz c) ciągłego doskonalenia. Organizacja powinna zaplanować: d) działania odnoszące się do określonych ryzyk i szans; e) sposób: 1) ich zintegrowania i wdrożenia w procesach składających się na system zarządzania bezpieczeństwem ; oraz 2) oceny ich skuteczności Szacowanie ryzyka N1) w bezpieczeństwie Organizacja powinna opracować i wdrożyć proces szacowania ryzyka w bezpieczeństwie, który: a) ustanawia i utrzymuje kryteria ryzyka w bezpieczeństwie obejmujące: 1) kryteria akceptacji ryzyka; oraz 2) kryteria szacowania ryzyka w bezpieczeństwie ; N1) Odsyłacz krajowy: Synonimem terminu szacowanie ryzyka jest termin ocena ryzyka. 9

10 b) zapewnia spójne, poprawne i porównywalne wyniki w kolejnych szacowaniach ryzyka; c) identyfikuje ryzyka w bezpieczeństwie : 1) stosuje proces szacowania ryzyka w bezpieczeństwie do zidentyfikowania ryzyk związanych z utratą poufności, integralności i dostępności będących w zakresie systemu zarządzania bezpieczeństwem ; oraz 2) identyfikuje właścicieli ryzyka; d) analizuje poszczególne ryzyka w bezpieczeństwie : 1) szacuje potencjalne następstwa zmaterializowania się ryzyk zidentyfikowanych w c) 1); 2) realistycznie szacuje prawdopodobieństwo wystąpienia ryzyk zidentyfikowanych w c) 1); oraz 3) określa poziomy ryzyka; e) ocenia ryzyka w bezpieczeństwie : 1) porównuje wyniki analizy ryzyka z kryteriami określonymi w a); oraz 2) nadaje analizowanym ryzykom priorytety dla celów postępowania z ryzykiem. Organizacja powinna zachować udokumentowane informacje o procesie szacowania ryzyka w bezpieczeństwie Postępowanie z ryzykiem w bezpieczeństwie Organizacja powinna opracować i wdrożyć proces postępowania z ryzykiem w bezpieczeństwie, w celu: a) wyboru odpowiednich opcji postępowania z ryzykiem w bezpieczeństwie, z uwzględnieniem wyników szacowania ryzyka; b) określenia wszystkich zabezpieczeń niezbędnych do wdrożenia wybranej(-ych) opcji postępowania z ryzykiem w bezpieczeństwie ; UWAGA Organizacje mogą zaprojektować zabezpieczenia odpowiednie dla swoich potrzeb lub wybrać je z dowolnego źródła. c) porównania zabezpieczeń określonych w b) z tymi w Załączniku A oraz sprawdzenia, czy żadne wymagane zabezpieczenia nie zostały pominięte; UWAGA 1 W Załączniku A zamieszczono obszerny wykaz celów stosowania zabezpieczeń i zabezpieczeń. Użytkownicy niniejszej Normy Międzynarodowej powinni skorzystać z Załącznika A, aby upewnić się, że nie pominęli żadnego potrzebnego zabezpieczenia. UWAGA 2 Cele stosowania zabezpieczeń są wpisane w zabezpieczenia. Lista celów stosowania zabezpieczeń i zabezpieczeń w Załączniku A nie stanowi pełnego wykazu i może być konieczne ich uzupełnienie. d) opracowania Deklaracji Stosowania zawierającej wykaz niezbędnych zabezpieczeń (patrz b) i c)) oraz uzasadnienie ich wyboru, niezależnie od tego czy są one wdrożone czy nie, a także uzasadnienie pominięcia zabezpieczeń z Załącznika A; e) sformułowania planu postępowania z ryzykiem w bezpieczeństwie ; oraz f) uzyskania zgody właścicieli ryzyka na plan postępowania z ryzykiem w bezpieczeństwie oraz ich akceptacji dla rezydualnych ryzyk w bezpieczeństwie. Organizacja powinna zachować udokumentowane informacje o procesie postępowania z ryzykiem w bezpieczeństwie. UWAGA Proces szacowania ryzyka oraz postępowania z ryzykiem w bezpieczeństwie w niniejszej Normie Międzynarodowej odpowiada zasadom i ogólnym wytycznym wprowadzonym przez ISO 31000[5]. 10

11 6.2 Cele bezpieczeństwa i planowanie ich osiągnięcia Organizacja powinna ustanowić cele bezpieczeństwa dla odpowiednich funkcji i szczebli. Cele bezpieczeństwa powinny: a) być spójne z polityką bezpieczeństwa ; b) być mierzalne (jeżeli jest to wykonalne); c) uwzględniać mające zastosowanie wymagania bezpieczeństwa, wyniki szacowania ryzyka i postępowania z ryzykiem; d) zostać zakomunikowane; oraz e) być aktualizowane, jeśli jest to właściwe. Organizacja powinna zachować udokumentowane informacje dotyczące celów bezpieczeństwa. Organizacja, planując jak osiągnąć cele bezpieczeństwa, powinna określić: f) co ma być zrobione; g) jakie zasoby będą wymagane; h) kto będzie odpowiedzialny; i) kiedy będzie to zakończone; oraz j) jak będą oceniane wyniki. 7 Wsparcie 7.1 Zasoby Organizacja powinna określić i zapewnić zasoby potrzebne do ustanowienia, wdrożenia, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem. 7.2 Kompetencje Organizacja powinna: a) określić niezbędne kompetencje osoby (osób) wykonującej(-ych) pod jej nadzorem pracę mającą wpływ na wyniki dotyczące bezpieczeństwa ; b) zapewnić, aby te osoby były kompetentne, dzięki odpowiedniemu wykształceniu, szkoleniu lub doświadczeniu; c) tam, gdzie ma to zastosowanie, podjąć działania w celu uzyskania niezbędnych kompetencji i ocenić skuteczność podjętych działań; oraz d) zachować odpowiednie udokumentowane informacje jako dowód kompetencji. UWAGA Stosownymi działaniami mogą na przykład być: zapewnienie szkoleń, mentoring, przeniesienie pracowników do innych zadań, lub przyjęcie do pracy lub zawarcie innej umowy z osobami kompetentnymi. 7.3 Uświadamianie Osoby pracujące pod nadzorem organizacji powinny być świadome: a) polityki bezpieczeństwa ; 11

12 b) ich wkładu w skuteczność systemu zarządzania bezpieczeństwem, w tym korzyści z doskonalenia wyników dotyczących bezpieczeństwa ; oraz c) konsekwencji niezgodności z wymaganiami systemu zarządzania bezpieczeństwem. 7.4 Komunikacja Organizacja powinna określić potrzeby w zakresie komunikacji wewnętrznej i zewnętrznej dotyczącej systemu zarządzania bezpieczeństwem, w tym: a) co ma być komunikowane; b) kiedy ma być komunikowane; c) z kim należy się komunikować; d) kto powinien się komunikować; oraz e) procesy, w ramach których komunikowanie powinno się odbywać. 7.5 Udokumentowane informacje Postanowienia ogólne System zarządzania bezpieczeństwem w organizacji powinien zawierać: a) udokumentowane informacje wymagane przez niniejszą Normę Międzynarodową; oraz b) udokumentowane informacje, określone przez organizację jako niezbędne dla skuteczności systemu zarządzania bezpieczeństwem. UWAGA Zakres udokumentowanych w systemie zarządzania bezpieczeństwem może być różny dla różnych organizacji, ze względu na: 1) wielkość organizacji i rodzaj jej działań, procesów, wyrobów i usług; 2) złożoność procesów i oddziaływań między nimi; oraz 3) kompetencje osób Opracowywanie i aktualizowanie Opracowując i aktualizując udokumentowane informacje organizacja powinna zapewnić: a) odpowiednią identyfikację i opis (np. tytuł, data, autor lub numer referencyjny); b) właściwy format (np. język, wersję oprogramowania, grafikę) i nośnik (np. papierowy, elektroniczny); oraz c) przegląd i zatwierdzenie pod kątem przydatności i adekwatności Nadzór nad udokumentowanymi informacjami Udokumentowane informacje wymagane przez system zarządzania bezpieczeństwem i niniejszą Normę Międzynarodową powinny być nadzorowane, aby zapewnić, że: a) są one dostępne i nadają się do zastosowania, tam, gdzie są potrzebne i wtedy, gdy są potrzebne; oraz b) są odpowiednio chronione (np. przed utratą poufności, niewłaściwym użyciem, lub utratą integralności). W celu nadzoru nad udokumentowanymi informacjami organizacja powinna uwzględnić następujące działania, jeśli ma to zastosowanie: c) dystrybucję, dostęp, wyszukiwanie i wykorzystywanie; d) przechowywanie i zabezpieczanie, łącznie z zapewnieniem czytelności; 12

13 e) nadzorowanie zmian (np. kontrola wersji); oraz f) zachowywanie i likwidację. Udokumentowane informacje pochodzące spoza organizacji, uznane przez nią za niezbędne do planowania i operacyjnego działania systemu zarządzania bezpieczeństwem powinny być odpowiednio oznaczone i nadzorowane. UWAGA Dostęp oznacza decyzję dotyczącą zezwolenia tylko na wgląd do udokumentowanych lub zezwolenia i uprawnienia do wglądu i zmiany udokumentowanych, itp. 8 Działania operacyjne 8.1 Planowanie i nadzór nad działaniami operacyjnymi Organizacja powinna zaplanować, wdrożyć i nadzorować procesy potrzebne do spełnienia wymagań dotyczących bezpieczeństwa oraz wdrożyć działania określone w 6.1. Organizacja powinna również wdrożyć plany osiągnięcia celów bezpieczeństwa określonych w 6.2. Organizacja powinna zachować udokumentowane informacje w zakresie pozwalającym na uzyskanie zaufania, że procesy zostały zrealizowane tak jak planowano. Organizacja powinna nadzorować zaplanowane zmiany i poddawać przeglądom następstwa niezamierzonych zmian, podejmując działania celem zmniejszenia jakichkolwiek niekorzystnych efektów, jeśli jest to niezbędne. Organizacja powinna zapewnić określenie i nadzorowanie procesów zleconych na zewnątrz. 8.2 Szacowanie ryzyka w bezpieczeństwie Organizacja powinna szacować ryzyko w bezpieczeństwie w zaplanowanych odstępach czasu lub wtedy, gdy proponowane jest wprowadzenie istotnych zmian, a także wtedy, gdy wystąpią istotne zmiany, z uwzględnieniem kryteriów określonych w a). Organizacja powinna zachować udokumentowane informacje o wynikach szacowania ryzyka w bezpieczeństwie. 8.3 Postępowanie z ryzykiem w bezpieczeństwie Organizacja powinna wdrożyć plan postępowania z ryzykiem w bezpieczeństwie. Organizacja powinna zachować udokumentowane informacje na temat wyników postępowania z ryzykiem w bezpieczeństwie. 9 Ocena wyników 9.1 Monitorowanie, pomiary, analiza i ocena Organizacja powinna ocenić wyniki działań na rzecz bezpieczeństwa oraz skuteczność systemu zarządzania bezpieczeństwem. Organizacja powinna określić: a) co należy monitorować i mierzyć, włączając w to procesy związane z bezpieczeństwem i zabezpieczenia; b) metody monitorowania, pomiaru, analizy i oceny, stosownie do potrzeb, w celu zapewnienia poprawności wyników; 13

14 UWAGA Aby wybrane metody zostały uznane za poprawne, ich wyniki powinny być porównywalne i powtarzalne. c) kiedy należy monitorować i wykonywać pomiary; d) kto powinien monitorować i wykonywać pomiary; e) kiedy należy analizować i oceniać wyniki monitorowania i pomiarów; oraz f) kto powinien analizować i oceniać te wyniki. Organizacja powinna zachować odpowiednie udokumentowane informacje jako dowód wyników monitorowania i pomiarów. 9.2 Audyt N2) wewnętrzny Organizacja powinna przeprowadzać audyty wewnętrzne w zaplanowanych odstępach czasu, w celu dostarczenia o tym, czy system zarządzania bezpieczeństwem : a) jest zgodny z 1) własnymi wymaganiami organizacji dotyczącymi systemu zarządzania bezpieczeństwem ; oraz 2) wymaganiami niniejszej Normy Międzynarodowej; b) jest skutecznie wdrożony i utrzymywany. Organizacja powinna: c) zaplanować, ustanowić, wdrożyć i utrzymywać program (programy) audytów, w tym częstość audytów, metody, odpowiedzialność, wymagania dotyczące planowania oraz raportowanie. Program (programy) audytów powinien (powinny) uwzględniać znaczenie procesów objętych audytem oraz wyniki poprzednich audytów; d) zdefiniować kryteria audytu i zakres każdego audytu; e) wybierać audytorów i prowadzić audyty w sposób zapewniający obiektywność i bezstronność procesu audytu; f) zapewnić przedstawianie wyników audytów właściwym członkom kierownictwa; g) zachować udokumentowane informacje jako dowód realizacji programu (programów) audytów i wyników audytów. 9.3 Przegląd zarządzania Najwyższe kierownictwo powinno przeprowadzać przegląd systemu zarządzania bezpieczeństwem w organizacji w zaplanowanych odstępach czasu, w celu zapewnienia jego stałej przydatności, adekwatności i skuteczności. Przegląd zarządzania powinien uwzględniać: a) stan działań podjętych w następstwie wcześniejszych przeglądów zarządzania; b) zmiany czynników zewnętrznych i wewnętrznych, istotnych dla systemu zarządzania bezpieczeństwem ; N2) Odsyłacz krajowy: W Polskich Normach związanych z innymi systemami zarządzania stosuje się też polski odpowiednik audit dla tego samego angielskiego terminu. W odniesieniu do zagadnień bezpieczeństwa tradycyjnie używany jest termin audyt, np. w PN-ISO/IEC 27001:2007, PN-ISO/IEC 17799:2007 (i wcześniejszej PN-ISO/IEC 17799:2003), PN-I-02000:2002 oraz PN-ISO/IEC :

15 c) informacje zwrotne o wynikach działań na rzecz bezpieczeństwa, w tym trendach w zakresie: 1) niezgodności i działań korygujących; 2) wyników monitorowania i pomiarów; 3) wyników audytów; oraz 4) spełniania celów bezpieczeństwa. d) informacje zwrotne od stron zainteresowanych; e) wyniki szacowania ryzyka i stan planów postępowania z ryzykiem; oraz f) możliwości ciągłego doskonalenia. Dane wyjściowe z przeglądu zarządzania powinny zawierać decyzje związane z możliwościami ciągłego doskonalenia i potrzebami dotyczącymi zmian w systemie zarządzania bezpieczeństwem. Organizacja powinna zachować udokumentowane informacje jako dowód wyników przeglądów zarządzania. 10 Doskonalenie 10.1 Niezgodność i działania korygujące W sytuacji gdy wystąpi niezgodność, organizacja powinna: a) zareagować na niezgodność i, jeżeli ma to zastosowanie: 1) podjąć działania mające na celu objęcie jej nadzorem i skorygowanie; oraz 2) zająć się następstwami; b) ocenić potrzebę działań eliminujących przyczyny niezgodności, celem uniknięcia jej ponownego wystąpienia w tym samym lub innym miejscu, poprzez: 1) dokonanie przeglądu niezgodności; 2) ustalenie przyczyn niezgodności; oraz 3) ustalenie czy występują lub czy mogłyby wystąpić podobne niezgodności; c) wdrożyć wszelkie niezbędne działania; d) dokonać przeglądu skuteczności podjętych działań korygujących; oraz e) wprowadzić zmiany w systemie zarządzania bezpieczeństwem, jeśli są konieczne. Działania korygujące powinny być dostosowane do skutków stwierdzonych niezgodności. Organizacja powinna zachować udokumentowane informacje jako dowód: f) charakteru niezgodności i wszelkich podjętych w ich następstwie działań; oraz g) wyników działań korygujących Ciągłe doskonalenie Organizacja powinna ciągle doskonalić przydatność, adekwatność i skuteczność systemu zarządzania bezpieczeństwem. 15

16 Załącznik A (normatywny) Wzorcowy wykaz celów stosowania zabezpieczeń i zabezpieczenia Cele stosowania zabezpieczeń oraz zabezpieczenia wymienione w Tablicy A.1 wynikają bezpośrednio z tych wymienionych w ISO/IEC 27002:2013[1], Rozdziały od 5 do 18, są identycznie uporządkowane i powinny być stosowane w kontekście postanowień Rozdziału Tablica A.1 Cele stosowania zabezpieczeń i zabezpieczenia A.5 Polityki bezpieczeństwa A.5.1 Kierunki bezpieczeństwa określane przez kierownictwo Cel: Zapewnienie przez kierownictwo wytycznych i wsparcia dla działań na rzecz bezpieczeństwa, zgodnie z wymaganiami biznesowymi oraz właściwymi normami prawnymi i regulacjami. A A Polityki bezpieczeństwa Przegląd polityk bezpieczeństwa Zbiór polityk bezpieczeństwa powinien być opracowany, zatwierdzony przez kierownictwo, opublikowany i zakomunikowany pracownikom i właściwym stronom zewnętrznym. A.6 Organizacja bezpieczeństwa A.6.1 Organizacja wewnętrzna Polityki bezpieczeństwa należy poddawać przeglądom w zaplanowanych odstępach czasu lub wtedy, gdy wystąpią istotne zmiany, aby zapewnić, że nadal są właściwe, adekwatne i skuteczne. Cel: Ustanowić strukturę zarządzania w celu zainicjowania oraz nadzorowania wdrażania i eksploatacji bezpieczeństwa w organizacji. A A A A A Role i odpowiedzialność za bezpieczeństwo Rozdzielanie obowiązków Kontakty z organami władzy Kontakty z grupami zainteresowanych specjalistów Bezpieczeństwo w zarządzaniu projektami Odpowiedzialność za bezpieczeństwo powinna być określona i przypisana. Obowiązki i odpowiedzialności pozostające w konflikcie ze sobą należy rozdzielić, celem ograniczenia okazji do nieuprawnionej lub nieumyślnej modyfikacji lub nadużycia aktywów organizacji. Należy utrzymywać stosowne kontakty z właściwymi organami władzy. Należy utrzymywać stosowne kontakty z grupami zainteresowanych specjalistów lub innymi specjalistycznymi forami oraz stowarzyszeniami zawodowymi z obszaru bezpieczeństwa. Bezpieczeństwo należy uwzględnić w zarządzaniu projektami, niezależnie od rodzaju projektu. 16

17 A.6.2 Urządzenia mobilne i telepraca Cel: Zapewnić bezpieczeństwo telepracy i stosowania urządzeń mobilnych. A A Polityka stosowania urządzeń mobilnych Telepraca A.7 Bezpieczeństwo zasobów ludzkich A.7.1 Przed zatrudnieniem Należy wprowadzić politykę oraz wspierające ją zabezpieczenia w celu zarządzanie ryzykami, wynikającymi z użytkowania urządzeń mobilnych. Należy wdrożyć politykę oraz wspierające ją zabezpieczenia w celu ochrony pobieranych, przetwarzanych i przechowywanych w miejscach wykonywania telepracy. Cel: Zapewnić, żeby pracownicy i kontrahenci rozumieli swoją odpowiedzialność i byli odpowiednimi kandydatami do wypełnienia ról, do których są przewidziani. A A A.7.2 Postępowanie sprawdzające Warunki zatrudnienia Podczas zatrudnienia Historię wszystkich kandydatów do pracy należy zweryfikować zgodnie z odpowiednimi przepisami prawnymi, regulacjami i zasadami etycznymi oraz proporcjonalnie do wymagań biznesowych, klasyfikacji, do których będzie potrzebny dostęp oraz dostrzeżonych ryzyk. Umowy z pracownikami i kontrahentami powinny określać odpowiedzialność stron w obszarze bezpieczeństwa. Cel: Zapewnić, żeby pracownicy i kontrahenci byli świadomi swoich obowiązków dotyczących bezpieczeństwa i wypełniali je. A A A A.7.3 Odpowiedzialność kierownictwa Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa Postępowanie dyscyplinarne Zakończenie i zmiana zatrudnienia Kierownictwo powinno wymagać, aby wszyscy pracownicy i kontrahenci stosowali zasady bezpieczeństwa zgodnie z obowiązującymi w organizacji politykami i procedurami Wszyscy pracownicy organizacji oraz, w stosownych wypadkach, kontrahenci powinni przejść stosowne kształcenie i szkolenie uświadamiające oraz regularnie otrzymywać aktualizacje polityk i procedur związanych z ich stanowiskiem pracy. Postępowanie dyscyplinarne wobec pracowników naruszających zasady bezpieczeństwa należy prowadzić na podstawie ustalonych i przedstawionych im zasad. Cel: Zabezpieczyć interesy organizacji w trakcie procesu zmiany lub zakończenia zatrudnienia. A Zakończenie zatrudnienia lub zmiana zakresu obowiązków Tablica A.1 (ciąg dalszy) Należy określić i przedstawić pracownikowi lub kontrahentowi, które odpowiedzialności i obowiązki w zakresie bezpieczeństwa pozostaną aktualne po zakończeniu lub zmianie zatrudnienia, a następnie egzekwować je. 17

18 Tablica A.1 (ciąg dalszy) A.8 Zarządzanie aktywami A.8.1 Odpowiedzialność za aktywa Cel: Zidentyfikować aktywa organizacji i zdefiniować właściwą odpowiedzialność w dziedzinie ich ochrony. A A A A A.8.2 Inwentaryzacja aktywów Własność aktywów Akceptowalne użycie aktywów Zwrot aktywów Klasyfikacja Należy zidentyfikować aktywa związane z informacjami i środkami przetwarzania oraz sporządzić i utrzymywać ewidencję tych aktywów. Aktywa znajdujące się w ewidencji należy przypisać ich właścicielom. Należy zidentyfikować, udokumentować i wdrożyć zasady akceptowalnego użycia oraz aktywów związanych z informacjami i środkami przetwarzania. Wszyscy pracownicy i użytkownicy podmiotów zewnętrznych, w momencie zakończenia zatrudnienia, umowy lub porozumienia, powinni zwrócić wszystkie posiadane aktywa organizacji. Cel: Zapewnić przypisanie informacjom odpowiedniego poziomu ochrony, zgodnego z ich wagą dla organizacji. A A A A.8.3 Klasyfikowanie Oznaczanie Postępowanie z aktywami Postępowanie z nośnikami Informacje powinny być klasyfikowane z uwzględnieniem wymagań prawnych, wartości, krytyczności i wrażliwości na nieuprawnione ujawnienie lub modyfikację. Należy opracować i wdrożyć odpowiedni zbiór procedur oznaczania, zgodnych z przyjętym w organizacji schematem klasyfikacji. Należy opracować i wdrożyć procedury postępowania z aktywami, zgodnie z przyjętym przez organizację schematem klasyfikacji. Cel: Zapobiec nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu zapisanych na nośnikach. A A A Zarządzanie nośnikami wymiennymi Wycofywanie nośników Przekazywanie nośników Organizacja powinna wdrożyć procedury zarządzania nośnikami wymiennymi, zgodne ze schematem klasyfikacji przyjętym w organizacji. Nośniki, które nie będą dłużej wykorzystywane, należy bezpiecznie wycofać, zgodnie z formalnymi procedurami. Nośniki zawierające informacje należy chronić przed nieuprawnionym dostępem, nadużyciem oraz utratą integralności podczas transportu. 18

19 Tablica A.1 (ciąg dalszy) A.9 Kontrola dostępu A.9.1 Wymagania biznesowe wobec kontroli dostępu Cel: Ograniczyć dostęp do i środków przetwarzania. A A A.9.2 Polityka kontroli dostępu Dostęp do sieci i usług sieciowych Politykę kontroli dostępu należy ustanowić, udokumentować i poddawać przeglądom zgodnie z wymaganiami biznesowymi i wymaganiami bezpieczeństwa. Zarządzenie dostępem użytkowników Użytkownicy powinni mieć dostęp wyłącznie do tych sieci i usług sieciowych, do których otrzymali wyraźne uprawnienia. Cel: Zapewnić dostęp uprawnionym użytkownikom i zapobiec nieuprawnionemu dostępowi do systemów i usług. A A A A A A A.9.3 Rejestrowanie i wyrejestrowywanie użytkowników Przydzielanie dostępu użytkownikom Zarządzanie prawami uprzywilejowanego dostępu Zarządzanie poufnymi informacjami uwierzytelniającymi użytkowników Przegląd praw dostępu użytkowników Odbieranie lub dostosowywanie praw dostępu Odpowiedzialność użytkowników W celu umożliwienia przydzielania praw dostępu należy wdrożyć formalny proces rejestrowania i wyrejestrowywania użytkowników. Należy wdrożyć formalny proces przydzielania dostępu użytkownikom w celu nadawania lub odbierania praw dostępu do wszystkich systemów i usług wszystkim kategoriom użytkowników. Przydzielanie i wykorzystanie praw uprzywilejowanego dostępu należy ograniczyć i nadzorować. Przydzielanie poufnych uwierzytelniających powinno podlegać formalnemu procesowi zarządzania. Właściciele aktywów powinni przeglądać prawa dostępu użytkowników w regularnych odstępach czasu. Przydzielone pracownikom i użytkownikom zewnętrznym prawa dostępu do i środków przetwarzania należy odbierać po zakończeniu zatrudnienia, umowy lub porozumienia lub dostosowywać do zaistniałych zmian. Cel: Zapewnić rozliczalność użytkowników w celu ochrony ich uwierzytelniających. A Stosowanie poufnych uwierzytelniających Użytkownicy powinni mieć obowiązek przestrzegania przyjętych w organizacji zasad stosowania poufnych uwierzytelniających. 19

20 A.9.4 Kontrola dostępu do systemów i aplikacji Cel: Zapobiec nieuprawnionemu dostępowi do systemów i aplikacji. A A A A A Ograniczanie dostępu do Procedury bezpiecznego logowania System zarządzania hasłami Użycie uprzywilejowanych programów narzędziowych Kontrola dostępu do kodów źródłowych programów A.10 Kryptografia A.10.1 Zabezpieczenia kryptograficzne Dostęp do oraz funkcji systemu aplikacyjnego należy ograniczać zgodnie z polityką kontroli dostępu. Tam, gdzie polityka kontroli dostępu tego wymaga, dostęp do systemów i aplikacji powinien być kontrolowany przez procedurę bezpiecznego logowania. Systemy zarządzania hasłami powinny być interaktywne i zapewniać wybór haseł dobrej jakości. Wykorzystanie programów narzędziowych, umożliwiających obejście zabezpieczeń systemów i aplikacji, powinno podlegać ograniczeniom i ścisłemu nadzorowi. Dostęp do kodu źródłowego programów powinien być ograniczony. Cel: Zapewnić właściwe i skuteczne wykorzystanie kryptografii do ochrony poufności, autentyczności i/lub integralności. A A Polityka stosowania zabezpieczeń kryptograficznych Zarządzanie kluczami Należy opracować i wdrożyć politykę stosowania zabezpieczeń kryptograficznych do ochrony. A.11 Bezpieczeństwo fizyczne i środowiskowe A.11.1 Obszary bezpieczne Należy opracować politykę dotyczącą korzystania, ochrony i okresów ważności kluczy kryptograficznych i wdrożyć ją na wszystkich etapach cyklu życia kluczy. Cel: Zapobiec nieuprawnionemu fizycznemu dostępowi, szkodom i zakłóceniom w informacjach i środkach przetwarzania należących do organizacji. A A A Fizyczna granica obszaru bezpiecznego Fizyczne zabezpieczenie wejść biur, pomieszczeń i obiektów Tablica A.1 (ciąg dalszy) Należy określić granice bezpieczeństwa i wykorzystać je do zabezpieczenia obszarów zawierających wrażliwe lub krytyczne informacje oraz środki przetwarzania. Bezpieczne strefy należy chronić odpowiednimi zabezpieczeniami wejść zapewniającymi dostęp wyłącznie osobom uprawnionym. Należy zaprojektować i stosować fizyczne zabezpieczenia biur, pomieszczeń i obiektów. 20

21 A Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi Tablica A.1 (ciąg dalszy) Należy zaprojektować i stosować fizyczne zabezpieczenia przed katastrofami naturalnymi, wrogim atakiem lub wypadkami. A A A.11.2 Sprzęt Praca w obszarach bezpiecznych Obszary dostaw i załadunku Należy zaprojektować i stosować procedury pracy w obszarach bezpiecznych. Należy sprawować nadzór nad punktami dostępu takimi jak obszary dostaw i załadunku oraz innymi punktami, przez które nieuprawnione osoby mogą wejść do pomieszczeń, i, jeśli to możliwe, odizolować je od środków przetwarzania, aby zapobiec nieuprawnionemu dostępowi. Cel: Zapobiec utracie, uszkodzeniu, kradzieży lub utracie integralności aktywów oraz zakłóceniom w działaniu organizacji. A A A A A A A A Lokalizacja i ochrona sprzętu Systemy wspomagające Bezpieczeństwo okablowania Konserwacja sprzętu Wynoszenie aktywów Bezpieczeństwo sprzętu i aktywów poza siedzibą Bezpieczne zbywanie lub przekazywanie do ponownego użycia Pozostawianie sprzętu użytkownika bez opieki Sprzęt należy umieścić i chronić w taki sposób, aby zredukować ryzyka wynikające z zagrożeń i niebezpieczeństw środowiskowych oraz okazje do nieuprawnionego dostępu. Zabezpieczenia Sprzęt należy chronić przez awariami zasilania oraz innymi przerwami spowodowanymi awariami systemów wspomagających. Okablowanie zasilające oraz telekomunikacyjne, przenoszące dane lub wspomagające usługi informacyjne należy chronić przed przechwyceniem, zakłóceniem lub uszkodzeniem. Sprzęt należy prawidłowo konserwować w celu zapewnienia jego ciągłej dostępności i integralności. Sprzętu, i programów nie należy wynosić poza siedzibę organizacji bez uzyskania wcześniejszego zezwolenia. Aktywa wynoszone poza siedzibę organizacji należy zabezpieczyć przed wystąpieniem różnych ryzyk związanych z pracą poza siedzibą. Przed zbyciem lub przekazaniem sprzętu do ponownego użycia należy sprawdzić wszystkie jego składniki zawierające nośniki, dla zapewnienia, że wszystkie wrażliwe dane i licencjonowane programy zostały usunięte lub bezpiecznie nadpisane. Użytkownicy powinni zapewnić odpowiednią ochronę sprzętu pozostawianego bez opieki. 21

22 A Polityka czystego biurka i czystego ekranu A.12 Bezpieczna eksploatacja A.12.1 Procedury eksploatacyjne i odpowiedzialność Należy wprowadzić politykę czystego biurka dla dokumentów papierowych i przenośnych nośników pamięci oraz politykę czystego ekranu dla środków przetwarzania. Cel: Zapewnić poprawną i bezpieczną eksploatację środków przetwarzania. A A A A Dokumentowanie procedur eksploatacyjnych Zarządzanie zmianami Zarządzanie pojemnością Oddzielanie środowisk rozwojowych, testowych i produkcyjnych Procedury eksploatacyjne powinny być udokumentowane i udostępniane wszystkim potrzebującym ich użytkownikom. Zmiany w organizacji, procesach biznesowych, środkach przetwarzania i systemach, które mają wpływ na bezpieczeństwo, powinny być nadzorowane. Należy monitorować i dostosowywać wykorzystanie zasobów oraz przewidywać wymaganą pojemność w przyszłości, dla zapewnienia właściwej wydajności systemu. A.12.2 Ochrona przed szkodliwym oprogramowaniem Należy oddzielić środowiska rozwojowe, testowe i produkcyjne celem redukcji ryzyk związanych z nieuprawnionym dostępem lub zmianami w środowisku produkcyjnym. Cel: Zapewnić informacjom i środkom przetwarzania ochronę przed szkodliwym oprogramowaniem. A Zabezpieczenia przed szkodliwym oprogramowaniem A.12.3 Kopie zapasowe Cel: Chronić przed utratą danych. A Zapasowe kopie Należy wdrożyć zabezpieczenia wykrywające, zapobiegające i odtwarzające, które służą ochronie przed szkodliwym oprogramowaniem, w połączeniu z właściwym uświadamianiem użytkowników. A.12.4 Rejestrowanie zdarzeń i monitorowanie Cel: Rejestrować zdarzenia i zbierać materiał dowodowy. A A Rejestrowanie zdarzeń Ochrona w dziennikach zdarzeń Tablica A.1 (ciąg dalszy) Zapasowe kopie, oprogramowania i obrazów systemów należy regularnie wykonywać i testować, zgodnie z ustaloną polityką kopii zapasowych. Należy tworzyć, przechowywać i systematycznie przeglądać dzienniki zdarzeń rejestrujące działania użytkowników, wyjątki, usterki oraz zdarzenia związane z bezpieczeństwem. Środki służące rejestrowaniu zdarzeń oraz informacje w dziennikach zdarzeń należy chronić przed manipulacją i nieuprawnionym dostępem. 22

23 A A Rejestrowanie działań administratorów i operatorów Synchronizacja zegarów Działania administratorów i operatorów systemów należy rejestrować, a dzienniki chronić i systematycznie przeglądać. A.12.5 Nadzór nad oprogramowaniem produkcyjnym Cel: Zapewnić integralność systemów produkcyjnych. A Instalacja oprogramowania w systemach produkcyjnych Zegary wszystkich istotnych systemów przetwarzania w organizacji lub domenie bezpieczeństwa należy zsynchronizować z jednym wzorcowym źródłem czasu. A.12.6 Zarządzanie podatnościami technicznymi Cel: Zapobiec wykorzystywaniu podatności technicznych. A A Zarządzanie podatnościami technicznymi Ograniczenia w instalowaniu oprogramowania Należy wdrożyć procedury nadzoru nad instalacją oprogramowania w systemach produkcyjnych. Informacje o podatnościach technicznych wykorzystywanych systemów informacyjnych należy niezwłocznie pozyskiwać, oceniać stopień narażenia organizacji na te podatności i podejmować odpowiednie środki w celu przeciwdziałania związanemu z nimi ryzyku. A.12.7 Rozważania dotyczące audytu systemów informacyjnych Cel: Zminimalizować wpływ działań audytu na systemy produkcyjne. A Zabezpieczenia audytu systemów informacyjnych A.13 Bezpieczeństwo komunikacji Należy ustanowić i wdrożyć zasady instalowania oprogramowania przez użytkowników. A.13.1 Zarządzanie bezpieczeństwem sieci Należy starannie zaplanować i uzgodnić wymagania audytu oraz działania obejmujące weryfikację systemów produkcyjnych, w celu zminimalizowania zakłóceń w procesach biznesowych. Cel: Zapewnić ochronę w sieciach oraz wspomagających je środkach przetwarzania. A A A Zabezpieczenia sieci Bezpieczeństwo usług sieciowych Rozdzielanie sieci Tablica A.1 (ciąg dalszy) Sieci powinny być zarządzane i nadzorowane, w celu ochrony w systemach i aplikacjach. Umowy dotyczące wszystkich usług sieciowych, świadczonych wewnętrznie lub zlecanych na zewnątrz, powinny zawierać zidentyfikowane mechanizmy zabezpieczeń, poziomy świadczenia usług i wymagania dotyczące zarządzania. Grupy usług informacyjnych, użytkowników i systemów informacyjnych powinny być rozdzielone w strukturze sieci. 23

24 Tablica A.1 (ciąg dalszy) A.13.2 Przesyłanie Cel: Utrzymać bezpieczeństwo przesyłanych wewnątrz organizacji i wymienianych z podmiotami zewnętrznymi. A A A A Polityki i procedury przesyłania Porozumienia dotyczące przesyłania Wiadomości elektroniczne Umowy o zachowaniu poufności Należy wdrożyć formalne polityki przesyłania, procedury i zabezpieczenia w celu ochrony wymiany przesyłanych przy użyciu wszystkich rodzajów środków łączności. Porozumienia powinny uwzględniać bezpieczne przesyłanie biznesowych między organizacją i podmiotami zewnętrznymi. Informacje przekazywane w formie wiadomości elektronicznych powinny być odpowiednio chronione. A.14 Pozyskiwanie, rozwój i utrzymanie systemów Należy zidentyfikować, regularnie przeglądać i dokumentować wymagania odnoszące się do umów o zachowaniu poufności lub nieujawnianiu, w sposób odzwierciedlający potrzeby organizacji w zakresie ochrony. A.14.1 Wymagania związane z bezpieczeństwem systemów informacyjnych Cel: Zapewnić, żeby bezpieczeństwo było nieodłączną częścią systemów informacyjnych w całym cyklu życia. Dotyczy to również wymagań wobec systemów informacyjnych dostarczających usług w sieciach publicznych. A A A Analiza i specyfikacja wymagań bezpieczeństwa Zabezpieczanie usług aplikacyjnych w sieciach publicznych Ochrona transakcji usług aplikacyjnych Wymagania dotyczące bezpieczeństwa należy włączyć do wymagań stawianych nowym systemom informacyjnym lub rozbudowie systemów istniejących. Informacje przesyłane w sieciach publicznych, związane z usługami świadczonymi przez aplikacje, należy chronić przed nieuczciwymi działaniami, sporami dotyczącymi umów oraz nieuprawnionym ujawnieniem i zmianami. A.14.2 Bezpieczeństwo w procesach rozwoju i wsparcia Informacje związane z transakcjami dokonywanymi w ramach usług świadczonych przez aplikacje należy chronić, aby zapobiec przerwaniu transmisji, błędom w trasowaniu, nieuprawnionym zmianom wiadomości, nieuprawnionemu ujawnieniu, nieuprawnionemu powieleniu lub odtworzeniu. Cel: Zapewnić projektowanie i wdrożenie bezpieczeństwa w ramach cyklu życia systemów informacyjnych. A Polityka bezpieczeństwa prac rozwojowych Należy ustanowić zasady prac nad rozwojem oprogramowania i systemów oraz stosować je w pracach rozwojowych prowadzonych wewnątrz organizacji. 24

25 A A A A A A A A Procedury kontroli zmian w systemach Przegląd techniczny aplikacji po zmianach w platformie produkcyjnej Ograniczenia dotyczące zmian w pakietach oprogramowania Zasady projektowania bezpiecznych systemów Bezpieczne środowisko rozwojowe Prace rozwojowe zlecane podmiotom zewnętrznym Testowanie bezpieczeństwa systemów Testy akceptacyjne systemów A.14.3 Dane testowe Należy nadzorować zmiany w systemach podczas ich cyklu rozwojowego, przy użyciu formalnych procedur kontroli zmian. Po dokonaniu zmian w platformach produkcyjnych należy przeprowadzić przegląd krytycznych aplikacji biznesowych oraz przetestować je, aby uzyskać pewność, że zmiany nie miały niekorzystnego wpływu na działalność organizacji lub bezpieczeństwo. Modyfikacji w pakietach oprogramowania należy dokonywać z rozwagą i ograniczać się do zmian niezbędnych, a wszystkie takie zmiany ściśle nadzorować. Należy ustanowić, udokumentować i utrzymywać zasady projektowania bezpiecznych systemów oraz stosować je do wszystkich prac implementacyjnych nad systemami informacyjnymi. Organizacje powinny ustanowić i odpowiednio chronić bezpieczne środowiska rozwojowe przeznaczone do rozwoju systemów oraz prac integracyjnych obejmujących całość cyklu rozwojowego systemów. Organizacja powinna nadzorować i monitorować prace rozwojowe nad systemami zlecone podmiotom zewnętrznym. Funkcje bezpieczeństwa należy testować w czasie prac rozwojowych. Cel: Zapewnić ochronę danych stosowanych do testów. A Ochrona danych testowych A.15 Relacje z dostawcami Dla nowych systemów informacyjnych, ich modernizacji i nowych wersji systemów należy ustanowić programy testów akceptacyjnych i kryteria z nimi związane. A.15.1 Bezpieczeństwo w relacjach z dostawcami Dane testowe należy starannie wybierać, chronić i nadzorować. Cel: Zapewnić ochronę aktywów organizacji udostępnianych dostawcom. A Polityka bezpieczeństwa w relacjach z dostawcami Tablica A.1 (ciąg dalszy) Należy uzgodnić z dostawcą i udokumentować wymagania bezpieczeństwa celem zmniejszenia ryzyk związanych z dostępem dostawcy do aktywów organizacji. 25

26 A A Uwzględnianie bezpieczeństwa w porozumieniach z dostawcami Łańcuch dostaw technologii informacyjnych i telekomunikacyjnych Należy ustanowić wszystkie istotne wymagania dotyczące bezpieczeństwa i uzgodnić je z każdym dostawcą, który może uzyskać dostęp, przetwarzać, przechowywać, przesyłać lub dostarczać elementy infrastruktury teleinformatycznej dla przetwarzania należących do organizacji. A.15.2 Zarządzanie usługami świadczonymi przez dostawców Porozumienia z dostawcami powinny uwzględniać wymagania odnoszące się do ryzyk w bezpieczeństwie, związanych z usługami technologii informacyjnych i telekomunikacyjnych oraz łańcuchem dostaw produktów. Cel: Utrzymać uzgodniony poziom bezpieczeństwa i świadczonych usług zgodnie z umowami z dostawcami. A A Monitorowanie i przegląd usług świadczonych przez dostawców Zarządzenie zmianami w usługach świadczonych przez dostawców Organizacje powinny regularnie monitorować, przeglądać i audytować dostarczanie usług zewnętrznych. Należy zarządzać zmianami w zakresie świadczenia usług przez dostawców, w tym utrzymaniem i doskonaleniem istniejących polityk bezpieczeństwa, procedur i zabezpieczeń, z uwzględnieniem krytyczności, systemów i procesów biznesowych, których dotyczą oraz ponownego szacowania ryzyka. A.16 Zarządzanie incydentami związanymi z bezpieczeństwem A.16.1 Zarządzanie incydentami związanymi z bezpieczeństwem oraz udoskonaleniami Cel: Zapewnić spójne i skuteczne podejście do zarządzania incydentami związanymi z bezpieczeństwem, z uwzględnieniem informowania o zdarzeniach i słabościach. A A A A Odpowiedzialność i procedury Zgłaszanie zdarzeń związanych z bezpieczeństwem Zgłaszanie słabości związanych z bezpieczeństwem Ocena i podejmowanie decyzji w sprawie zdarzeń związanych z bezpieczeństwem Tablica A.1 (ciąg dalszy) Należy ustanowić odpowiedzialność kierownictwa oraz procedury zapewniające szybką, skuteczną i zorganizowaną reakcję na incydenty związane z bezpieczeństwem. Zdarzenia związane z bezpieczeństwem należy zgłaszać odpowiednimi kanałami zarządczymi tak szybko, jak tylko to jest możliwe. Należy zobowiązać pracowników oraz kontrahentów korzystających z systemów i usług informacyjnych organizacji do odnotowania i zgłaszania wszelkich zaobserwowanych lub podejrzewanych słabości związanych z bezpieczeństwem w systemach lub usługach. Zdarzenia związane z bezpieczeństwem należy ocenić i podjąć decyzję w sprawie zakwalifikowania ich jako incydentów związanych z bezpieczeństwem. 26

27 A Reagowanie na incydenty związane z bezpieczeństwem Tablica A.1 (ciąg dalszy) Reakcja na incydenty związane z bezpieczeństwem powinna być zgodna z udokumentowanymi procedurami. A A Wyciąganie wniosków z incydentów związanych z bezpieczeństwem Gromadzenie materiału dowodowego Wiedzę zdobytą podczas analizy i rozwiązywania incydentów związanych z bezpieczeństwem należy wykorzystać do zredukowania prawdopodobieństwa wystąpienia lub skutków przyszłych incydentów. Organizacja powinna określić i stosować procedury identyfikacji, gromadzenia, pozyskiwania i utrwalania, które mogą stanowić materiał dowodowy. A.17 Aspekty bezpieczeństwa w zarządzaniu ciągłością działania A.17.1 Ciągłość bezpieczeństwa Cel: Zaleca się uwzględnienie ciągłości bezpieczeństwa w systemach zarządzania ciągłością działania organizacji. A A A Planowanie ciągłości bezpieczeństwa Wdrożenie ciągłości bezpieczeństwa Weryfikowanie, przegląd i ocena ciągłości bezpieczeństwa A.17.2 Nadmiarowość Organizacja powinna określić wymagania dotyczące bezpieczeństwa i ciągłości zarządzania bezpieczeństwem w niekorzystnych sytuacjach np. w czasie kryzysu lub katastrofy. Organizacja powinna ustanowić, udokumentować, wdrożyć i utrzymywać procesy, procedury i zabezpieczenia dla zapewnienia w niekorzystnej sytuacji wymaganego poziomu ciągłości bezpieczeństwa. Cel: Zapewnić dostępność środków przetwarzania. A A.18 Zgodność Dostępność środków przetwarzania Organizacja powinna weryfikować ustanowione i wdrożone zabezpieczenia ciągłości bezpieczeństwa w regularnych odstępach czasu celem zapewnienia ich aktualności i skuteczności w niekorzystnych sytuacjach. A.18.1 Zgodność z wymaganiami prawnymi i umownymi Środki przetwarzania należy wdrażać z nadmiarem wystarczającym do spełnienia wymagań dostępności. Cel: Unikać naruszenia zobowiązań prawnych, regulacyjnych lub umownych związanych z bezpieczeństwem oraz innych wymagań dotyczących bezpieczeństwa. A Określenie stosownych wymagań prawnych i umownych Wszystkie istotne wymagania prawne, regulacyjne, umowne oraz podejście organizacji do ich przestrzegania należy zidentyfikować, udokumentować i aktualizować dla każdego systemu informacyjnego oraz całości organizacji. 27

28 A A A A Prawa własności intelektualnej Ochrona zapisów Prywatność i ochrona danych identyfikujących osobę Regulacje dotyczące zabezpieczeń kryptograficznych Należy wdrożyć odpowiednie procedury zapewniające zgodność z wymaganiami prawnymi, regulacyjnymi i umownymi, związanymi z prawami własności intelektualnej i użytkowaniem prawnie zastrzeżonego oprogramowania. Zapisy należy chronić przed utratą, zniszczeniem, fałszowaniem, nieuprawnionym dostępem i nieuprawnionym opublikowaniem, stosownie do wymagań prawnych, regulacyjnych, umownych i biznesowych. Należy zapewnić prywatność i ochronę danych identyfikujących osobę stosownie do odpowiednich przepisów prawa i regulacji. A.18.2 Przeglądy bezpieczeństwa Zabezpieczenia kryptograficzne należy stosować zgodnie z odpowiednimi umowami, przepisami i regulacjami. Cel: Zapewnić zgodne z politykami organizacji i procedurami wdrożenie i stosowanie zasad bezpieczeństwa. A A A Niezależny przegląd bezpieczeństwa Zgodność z politykami bezpieczeństwa i standardami Sprawdzanie zgodności technicznej Tablica A.1 (ciąg dalszy) Podejście organizacji do zarządzania bezpieczeństwem oraz jego wdrożenie (tzn. cele stosowania zabezpieczeń, zabezpieczenia, polityki, procesy i procedury dotyczące bezpieczeństwa ) należy poddawać niezależnemu przeglądowi w zaplanowanych odstępach czasu lub wtedy, gdy nastąpią istotne zmiany. Kierownicy powinni regularnie dokonywać przeglądu zgodności przetwarzania i procedur z odpowiednimi politykami bezpieczeństwa, standardami i innymi wymaganiami dotyczącymi bezpieczeństwa, w zakresie przydzielonej im odpowiedzialności. Należy regularnie przeglądać systemy informacyjne celem sprawdzenia ich zgodności z politykami bezpieczeństwa i standardami obowiązującymi w organizacji. 28

29 Bibliografia [1] ISO/IEC 27002:2013, Information technology Security Techniques Code of practice for information security controls [2] ISO/IEC 27003, Information technology Security techniques Information security management system implementation guidance [3] ISO/IEC 27004, Information technology Security techniques Information security management Measurement [4] ISO/IEC 27005, Information technology Security techniques Information security risk management [5] ISO 31000:2009, Risk management Principles and guidelines [6] ISO/IEC Directives, Part 1, Consolidated ISO Supplement Procedures specific to ISO,

30 ISBN Polski Komitet Normalizacyjny ul. Świętokrzyska 14, War sza wa