PN-ISO/IEC POLSKA NORMA. Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji.

Transkrypt

1 POLSKA NORMA P o l s k i K o m i t e t N o r m a l i z a c y j n y ICS PN-ISO/IEC styczeń 2007 Wprowadza ISO/IEC 17799:2005, IDT Zastępuje PN-ISO/IEC 17799:2003 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji Copyright by PKN, Warszawa 2007 nr ref. PN-ISO/IEC 17799:2007 Hologram PKN Wszelkie prawa autorskie zastrzeżone. Żadna część niniejszej normy nie może być zwielokrotniana jakąkolwiek techniką bez pisemnej zgody Prezesa Polskiego Komitetu Normalizacyjnego

2 2 PN-ISO/IEC 17799:2007 Przedmowa krajowa Niniejsza norma została przygotowana przez KT nr 182 ds. Ochrony Informacji w Systemach Teleinformatycznych i zatwierdzona przez Prezesa PKN dnia 12 grudnia 2006 r. Jest tłumaczeniem bez jakichkolwiek zmian angielskiej wersji Normy Międzynarodowej ISO/IEC 17799:2005. W zakresie tekstu Normy Międzynarodowej wprowadzono odsyłacze krajowe oznaczone od N1) do N18). Norma zawiera informacyjny załącznik krajowy NA, którego treścią jest wykaz stosowanych w normie terminów w języku polskim i ich odpowiedników angielskich. Niniejsza norma zastępuje PN-ISO/IEC 17799:2003. Odpowiedniki krajowe norm i dokumentów powołanych w niniejszej normie można znaleźć w katalogu Polskich Norm. Oryginały norm i dokumentów powołanych, które nie mają odpowiedników krajowych, są dostępne w Ośrodku Informacji Normalizacyjnej PKN. W sprawach merytorycznych dotyczących treści normy można zwracać się do właściwego Komitetu Technicznego PKN, kontakt: Załącznik krajowy NA (informacyjny) Wykaz terminów oraz ich angielskich odpowiedników aktywa zabezpieczenie zalecenie środki przetwarzania informacji bezpieczeństwo informacji zdarzenie związane z bezpieczeństwem informacji incydent związany z bezpieczeństwem informacji polityka ryzyko analiza ryzyka szacowanie ryzyka ocena ryzyka zarządzanie ryzykiem postępowanie z ryzykiem strona trzecia zagrożenie podatność asset control guideline information processing facilities information security information security event information security incident policy risk risk analysis risk assessment risk evaluation risk management risk treatment third party threat vulnerability

3 PN-ISO/IEC 17799: NORMA MIĘDZYNARODOWA INTERNATIONAL STANDARD ISO/IEC 17799:2005(E) Wersja polska Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji Information technology Security techniques Code of practice for information security management Technologies de l information Techniques de sécurité Code de pratique pour la gestion de sécurité d information Niniejsza norma jest polską wersją Normy Międzynarodowej ISO/IEC 17799:2005. Została ona przetłumaczona przez Polski Komitet Normalizacyjny i ma ten sam status co wersje oficjalne.

4 4 PN-ISO/IEC 17799:2007 Spis treści PRZEDMOWA WPROWADZENIE CO TO JEST BEZPIECZEŃSTWO INFORMACJI? DLACZEGO BEZPIECZEŃSTWO INFORMACJI JEST POTRZEBNE? JAK OKREŚLIĆ WYMAGANIA BEZPIECZEŃSTWA? SZACOWANIE RYZYK BEZPIECZEŃSTWA WYBÓR ZABEZPIECZEŃ PUNKT WYJŚCIA BEZPIECZEŃSTWA INFORMACJI KRYTYCZNE CZYNNIKI SUKCESU OPRACOWANIE WŁASNYCH ZALECEŃ Zakres normy Terminy i definicje 12 3 Struktura normy ROZDZIAŁY GŁÓWNE KATEGORIE BEZPIECZEŃSTWA Szacowanie ryzyka i postępowanie z ryzykiem SZACOWANIE RYZYK BEZPIECZEŃSTWA POSTĘPOWANIE Z RYZYKAMI BEZPIECZEŃSTWA Polityka bezpieczeństwa POLITYKA BEZPIECZEŃSTWA INFORMACJI Dokument polityki bezpieczeństwa informacji Przegląd polityki bezpieczeństwa informacji Organizacja bezpieczeństwa informacji ORGANIZACJA WEWNĘTRZNA Zaangażowanie kierownictwa w bezpieczeństwo informacji Koordynacja bezpieczeństwa informacji Przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji Proces autoryzacji środków przetwarzania informacji Umowy o zachowaniu poufności Kontakty z organami władzy Kontakty z grupami zaangażowanymi w zapewnianie bezpieczeństwa Niezależny przegląd bezpieczeństwa informacji STRONY ZEWNĘTRZNE Określanie ryzyk związanych ze stronami zewnętrznymi Bezpieczeństwo w kontaktach z klientami Bezpieczeństwo w umowach ze stroną trzecią Zarządzanie aktywami ODPOWIEDZIALNOŚĆ ZA AKTYWA Inwentaryzacja aktywów Własność aktywów Akceptowalne użycie aktywów KLASYFIKACJA INFORMACJI Zalecenia do klasyfikacji Oznaczanie informacji i postępowanie z informacjami Bezpieczeństwo zasobów ludzkich PRZED ZATRUDNIENIEM Role i zakresy odpowiedzialności...33

5 PN-ISO/IEC 17799: Postępowanie sprawdzające Zasady i warunki zatrudnienia PODCZAS ZATRUDNIENIA Odpowiedzialność kierownictwa Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji Postępowanie dyscyplinarne ZAKOŃCZENIE LUB ZMIANA ZATRUDNIENIA Odpowiedzialność związana z zakończeniem zatrudnienia Zwrot aktywów Odebranie praw dostępu Bezpieczeństwo fizyczne i środowiskowe OBSZARY BEZPIECZNE Fizyczna granica obszaru bezpiecznego Fizyczne zabezpieczenie wejścia Zabezpieczanie biur, pomieszczeń i urządzeń Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi Praca w obszarach bezpiecznych Obszary publicznie dostępne, dostaw i załadunku BEZPIECZEŃSTWO SPRZĘTU Lokalizacja i ochrona sprzętu Systemy wspomagające Bezpieczeństwo okablowania Konserwacja sprzętu Bezpieczeństwo sprzętu poza siedzibą Bezpieczne zbywanie lub przekazywanie do ponownego użycia Wynoszenie mienia Zarządzanie systemami i sieciami PROCEDURY EKSPLOATACYJNE I ZAKRESY ODPOWIEDZIALNOŚCI Dokumentowanie procedur eksploatacyjnych Zarządzanie zmianami Rozdzielanie obowiązków Oddzielanie urządzeń rozwojowych, testowych i eksploatacyjnych ZARZĄDZANIE USŁUGAMI DOSTARCZANYMI PRZEZ STRONY TRZECIE Dostarczanie usług Monitorowanie i przegląd usług strony trzeciej Zarządzanie zmianami usług strony trzeciej PLANOWANIE I ODBIÓR SYSTEMÓW Zarządzanie pojemnością Odbiór systemu OCHRONA PRZED KODEM ZŁOŚLIWYM I KODEM MOBILNYM Zabezpieczenia przed kodem złośliwym Zabezpieczenia przed kodem mobilnym KOPIE ZAPASOWE Zapasowe kopie informacji ZARZĄDZANIE BEZPIECZEŃSTWEM SIECI Zabezpieczenia sieci Bezpieczeństwo usług sieciowych OBSŁUGA NOŚNIKÓW Zarządzanie nośnikami wymiennymi Niszczenie nośników Procedury postępowania z informacjami Bezpieczeństwo dokumentacji systemowej WYMIANA INFORMACJI...57

6 6 PN-ISO/IEC 17799: Polityki i procedury wymiany informacji Umowy o wymianie informacji Transportowanie nośników fizycznych Wiadomości elektroniczne Biznesowe systemy informacyjne USŁUGI HANDLU ELEKTRONICZNEGO Handel elektroniczny Transakcje on-line Informacje publicznie dostępne MONITOROWANIE Dziennik audytu Monitorowanie użycia systemu Ochrona informacji zawartych w dziennikach Dzienniki administratora i operatora Rejestrowanie błędów Synchronizacja zegarów Kontrola dostępu WYMAGANIA BIZNESOWE WOBEC KONTROLI DOSTĘPU Polityka kontroli dostępu ZARZĄDZANIE DOSTĘPEM UŻYTKOWNIKÓW Rejestracja użytkowników Zarządzanie przywilejami Zarządzanie hasłami użytkowników Przegląd praw dostępu użytkowników ODPOWIEDZIALNOŚĆ UŻYTKOWNIKÓW Używanie haseł Pozostawianie sprzętu użytkownika bez opieki Polityka czystego biurka i czystego ekranu KONTROLA DOSTĘPU DO SIECI Polityka dotycząca korzystania z usług sieciowych Uwierzytelnianie użytkowników przy połączeniach zewnętrznych Identyfikacja urządzeń w sieciach Ochrona zdalnych portów diagnostycznych i konfiguracyjnych Rozdzielanie sieci Kontrola połączeń sieciowych Kontrola rutingu w sieciach KONTROLA DOSTĘPU DO SYSTEMÓW OPERACYJNYCH Procedury bezpiecznego logowania się Identyfikacja i uwierzytelnianie użytkowników System zarządzania hasłami Użycie systemowych programów narzędziowych Zamykanie sesji po określonym czasie Ograniczenie czasu trwania połączenia KONTROLA DOSTĘPU DO APLIKACJI I INFORMACJI Ograniczanie dostępu do informacji Izolowanie systemów wrażliwych PRZETWARZANIE MOBILNE I PRACA NA ODLEGŁOŚĆ Przetwarzanie i komunikacja mobilna Praca na odległość Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych WYMAGANIA BEZPIECZEŃSTWA SYSTEMÓW INFORMACYJNYCH Analiza i opis wymagań bezpieczeństwa POPRAWNE PRZETWARZANIE W APLIKACJACH...86

7 PN-ISO/IEC 17799: Potwierdzanie poprawności danych wejściowych Kontrola przetwarzania wewnętrznego Integralność wiadomości Potwierdzanie poprawności danych wyjściowych ZABEZPIECZENIA KRYPTOGRAFICZNE Polityka korzystania z zabezpieczeń kryptograficznych Zarządzanie kluczami BEZPIECZEŃSTWO PLIKÓW SYSTEMOWYCH eksploatowanego oprogramowania Ochrona systemowych danych testowych Kontrola dostępu do kodów źródłowych programów BEZPIECZEŃSTWO W PROCESACH ROZWOJOWYCH I OBSŁUGI INFORMATYCZNEJ Procedury kontroli zmian Techniczny przegląd aplikacji po zmianach w systemie operacyjnym Ograniczenia dotyczące zmian w pakietach oprogramowania Wyciek informacji Prace rozwojowe nad oprogramowaniem powierzone firmie zewnętrznej ZARZĄDZANIE PODATNOŚCIAMI TECHNICZNYMI Nadzór nad podatnościami technicznymi Zarządzanie incydentami związanymi z bezpieczeństwem informacji ZGŁASZANIE ZDARZEŃ ZWIĄZANYCH Z BEZPIECZEŃSTWEM INFORMACJI I SŁABOŚCI Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji Zgłaszanie słabości systemu bezpieczeństwa ZARZĄDZANIE INCYDENTAMI ZWIĄZANYMI Z BEZPIECZEŃSTWEM INFORMACJI ORAZ UDOSKONALENIAMI Odpowiedzialność i procedury Wyciąganie wniosków z incydentów związanych z bezpieczeństwem informacji Gromadzenie materiału dowodowego Zarządzanie ciągłością działania ASPEKTY BEZPIECZEŃSTWA INFORMACJI W ZARZĄDZANIU CIĄGŁOŚCIĄ DZIAŁANIA Włączanie bezpieczeństwa informacji do procesu zarządzania ciągłością działania Ciągłość działania i szacowanie ryzyka Opracowanie i wdrożenie planów ciągłości uwzględniających bezpieczeństwo informacji Struktura planowania ciągłości działania Testowanie, utrzymanie i ponowna ocena planów ciągłości działania Zgodność ZGODNOŚĆ Z PRZEPISAMI PRAWNYMI Określenie odpowiednich przepisów prawnych Prawo do własności intelektualnej Ochrona zapisów organizacji Ochrona danych osobowych i prywatność informacji dotyczących osób fizycznych Zapobieganie nadużywaniu środków przetwarzania informacji Regulacje dotyczące zabezpieczeń kryptograficznych ZGODNOŚĆ Z POLITYKAMI BEZPIECZEŃSTWA I STANDARDAMI ORAZ ZGODNOŚĆ TECHNICZNA Zgodność z politykami bezpieczeństwa i standardami Sprawdzanie zgodności technicznej ROZWAŻANIA DOTYCZĄCE AUDYTU SYSTEMÓW INFORMACYJNYCH Zabezpieczenia audytu systemów informacyjnych Ochrona narzędzi audytu systemów informacyjnych Bibliografia Indeks

8 8 PN-ISO/IEC 17799:2007 Przedmowa Międzynarodowa Organizacja Normalizacyjna (ISO) i Międzynarodowa Komisja Elektrotechniczna (IEC) tworzą wyspecjalizowany system światowej normalizacji. Krajowe jednostki normalizacyjne, będące członkami ISO i IEC, uczestniczą w opracowaniu Norm Międzynarodowych za pośrednictwem komitetów technicznych tych organizacji, powołanych do prowadzenia prac w określonych dziedzinach działalności technicznej. Komitety techniczne ISO i IEC współpracują w obszarach wspólnych zainteresowań. Inne międzynarodowe organizacje rządowe i pozarządowe związane z ISO i IEC również biorą udział w tych pracach. W dziedzinie techniki informatycznej ISO i IEC utworzyły wspólny komitet techniczny ISO/IEC JTC 1. Normy Międzynarodowe są redagowane zgodnie z regułami podanymi w Dyrektywach ISO/IEC, Część 2. Głównym zadaniem wspólnego komitetu technicznego jest przygotowanie Norm Międzynarodowych. Projekty Norm Międzynarodowych, przyjęte przez wspólny komitet techniczny, są przesyłane organizacjom członkowskim w celu przeprowadzenia głosowania. Publikacja w postaci Normy Międzynarodowej wymaga akceptacji co najmniej 75 % organizacji członkowskich biorących udział w głosowaniu. Zwraca się uwagę, że niektóre elementy niniejszego dokumentu mogą być przedmiotem praw patentowych. ISO i IEC nie będą ponosić odpowiedzialności za zidentyfikowanie jakichkolwiek ani wszystkich takich praw patentowych. Norma ISO/IEC została opracowana przez Wspólny Komitet Techniczny ISO/IEC JTC 1 Technika informatyczna. Podkomitet SC 27 IT Techniki zabezpieczeń. Niniejsze wydanie drugie unieważnia i zastępuje wydanie pierwsze (ISO/IEC 17799:2000), stanowiąc jego techniczną nowelizację. W ISO/IEC JTC 1/SC27 jest opracowywana rodzina Norm Międzynarodowych dotyczących systemu zarządzania bezpieczeństwem informacji (SZBI) N1. Rodzina zawiera Normy Międzynarodowe dotyczące wymagań dla systemów zarządzania bezpieczeństwem informacji, zarządzania bezpieczeństwem, mierników i metod pomiarów oraz zaleceń wdrożeniowych. Dla rodziny tej przyjęto schemat numeracji, rozpoczynając kolejno od Zaproponowano, aby począwszy od roku 2007, nowe wydanie normy ISO/IEC włączyć do nowego schematu numeracji jako ISO/IEC N1 Odsyłacz krajowy: W praktyce gospodarczej funkcjonuje także oryginalny skrót ISMS.

9 PN-ISO/IEC 17799: Wprowadzenie 0.1 Co to jest bezpieczeństwo informacji? Informacje to aktywa, które podobnie jak inne ważne aktywa biznesowe, są niezbędne do działalności biznesowej organizacji i z tego powodu zaleca się ich odpowiednią ochronę. Jest to szczególnie ważne w coraz bardziej zintegrowanym środowisku biznesowym. W wyniku coraz większego uzależnienia od sieci, informacje są narażone na stale zwiększającą się liczbę i coraz większą różnorodność zagrożeń i podatności (patrz także OECD Guidelines for the Security of Information Systems and Networks). Informacja może przybierać różne formy. Może być wydrukowana lub zapisana odręcznie na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmów lub wypowiadana w czasie rozmowy. Niezależnie od tego, jaką formę przybiera lub za pomocą jakich środków jest udostępniana lub przechowywana, zaleca się, aby zawsze była w odpowiedni sposób chroniona. Bezpieczeństwo informacji oznacza jej ochronę przed szerokim spektrum zagrożeń w celu zapewnienia ciągłości działania, minimalizacji ryzyka i maksymalizacji zwrotu z inwestycji oraz możliwości biznesowych. Bezpieczeństwo informacji można osiągnąć, wdrażając odpowiedni zestaw zabezpieczeń, którymi mogą być polityki, procesy, procedury, struktury organizacyjne oraz funkcje oprogramowania i sprzętu. Zaleca się, aby te zabezpieczenia były ustanawiane, wdrażane, monitorowane, przeglądane i w razie potrzeby ulepszane tak, aby zapewnić spełnienie poszczególnych celów związanych z bezpieczeństwem oraz prowadzoną działalnością biznesową organizacji. Zaleca się, aby działania te były powiązane z pozostałymi procesami zarządzania funkcjonującymi w organizacji. 0.2 Dlaczego bezpieczeństwo informacji jest potrzebne? Informacja oraz wspierające ją procesy, systemy i sieci są ważnymi aktywami biznesowymi. Identyfikacja, osiągnięcie, utrzymywanie i doskonalenie bezpieczeństwa informacji może być niezbędne do utrzymania konkurencyjnej pozycji rynkowej, płynności finansowej, zyskowności, zgodności z wymogami prawnymi i wizerunku organizacji. Organizacje, ich systemy informacyjne i sieci są narażone na zagrożenia bezpieczeństwa pochodzące z wielu różnych źródeł, łącznie z przestępstwami z użyciem komputera, szpiegostwem, sabotażem, wandalizmem, pożarem czy powodzią. Powodujące szkody złośliwe kody, włamania komputerowe, ataki typu odmowa usługi, stają się bardziej powszechne, bardziej ambitne i coraz bardziej wyrafinowane. Bezpieczeństwo informacji jest ważne zarówno dla sektora publicznego, jak i prywatnego, służąc ochronie infrastruktury krytycznej. W obu sektorach bezpieczeństwo informacji może funkcjonować jako dźwignia biznesu, np. umożliwiając wprowadzenie e-rządu lub e-gospodarki oraz unikanie lub redukowanie odpowiednich ryzyk. Wzajemne przenikanie się sieci publicznych i prywatnych oraz współużytkowanie zasobów informacyjnych utrudnia utrzymanie kontroli dostępu. Tendencja wprowadzania rozproszonego przetwarzania także osłabia skuteczność centralnych, specjalizowanych mechanizmów zarządzania. Wiele systemów informacyjnych nie zostało zaprojektowanych tak, aby były bezpieczne. Bezpieczeństwo, które może być osiągnięte za pomocą środków technicznych, jest ograniczone i zaleca się wspieranie go poprzez odpowiednie zarządzanie i procedury. Określenie, jakie mechanizmy zarządzania zaleca się stosować, wymaga starannego i szczegółowego planowania. Zarządzanie bezpieczeństwem informacji wymaga, jako minimum, udziału wszystkich pracowników organizacji. Może także wymagać współpracy akcjonariuszy, dostawców, stron trzecich, klientów lub innych podmiotów zewnętrznych. Potrzebne może być także specjalistyczne, zewnętrzne doradztwo. 0.3 Jak określić wymagania bezpieczeństwa? Jest bardzo ważne, aby organizacja określiła swoje wymagania bezpieczeństwa. Istnieją trzy ich główne źródła. 1. Pierwsze źródło wynika z szacowania ryzyka dotyczącego organizacji, przy uwzględnieniu całościowej strategii biznesowej i celów organizacji. Dzięki szacowaniu ryzyka można zidentyfikować zagrożenia dla aktywów, ocenić podatność na zagrożenia i prawdopodobieństwo ich wystąpienia oraz estymować potencjalne skutki.

10 10 PN-ISO/IEC 17799: Drugim źródłem są przepisy prawne, statutowe, regulacje wewnętrzne, zobowiązania kontraktowe, jakie organizacja, jej partnerzy handlowi, wykonawcy oraz dostawcy usług mają wypełnić, oraz środowisko społeczno-kulturowe, w jakim funkcjonują. 3. Trzecim źródłem jest specyficzny zbiór zasad, celów i wymagań dotyczących przetwarzania informacji, które organizacja wypracowała dla wsparcia swojej działalności. 0.4 Szacowanie ryzyk bezpieczeństwa Wymagania bezpieczeństwa określa się przez metodyczne szacowanie ryzyk bezpieczeństwa. Zaleca się, aby nakłady na zabezpieczenia odpowiadały potencjalnym stratom, jakie mogą spowodować naruszenia bezpieczeństwa. Wyniki szacowania ryzyka umożliwią wskazanie i określenie odpowiednich działań zarządczych i priorytetów dla zarządzania ryzykami bezpieczeństwa informacji oraz wdrożenie mechanizmów zarządzania wybranych w celu ochrony przed tymi ryzykami. Zaleca się okresowe powtarzanie szacowania ryzyka, aby uwzględnić wszelkie zmiany, które mogą wpływać na jego wyniki. Więcej informacji na temat szacowania ryzyka można znaleźć w rozdziale 4.1 Szacowanie ryzyk bezpieczeństwa. 0.5 Wybór zabezpieczeń W momencie, gdy wymagania bezpieczeństwa oraz ryzyka zostały zidentyfikowane i decyzje odnośnie do postępowania z ryzykami zostały podjęte, zaleca się wybranie i wdrożenie odpowiednich zabezpieczeń, aby zapewnić, że ryzyka są redukowane do akceptowalnego poziomu. Zabezpieczenia mogą być wybrane z niniejszej normy, innych zbiorów zabezpieczeń lub, jeśli zachodzi potrzeba, mogą zostać opracowane nowe zabezpieczenia w celu spełnienia określonych wymagań. Wybór zabezpieczeń zależy od decyzji organizacji opartych na kryteriach akceptowania ryzyka, wariantów postępowania z ryzykiem oraz od ogólnego podejścia do zarządzania ryzykiem wprowadzonego w organizacji. Zaleca się, aby wybór zabezpieczeń uwzględniał odpowiednie krajowe i międzynarodowe przepisy prawne i regulacje wewnętrzne. Niektóre zabezpieczenia zamieszczone w tej normie mogą być uważane za zasady przewodnie w zarządzaniu bezpieczeństwem informacji, możliwe do stosowania w większości organizacji. Są one omówione bardziej szczegółowo poniżej, w rozdziale zatytułowanym Punkt wyjścia bezpieczeństwa informacji. Więcej informacji na temat wyboru zabezpieczeń oraz możliwości postępowania z ryzykiem można znaleźć w rozdziale 4.2 Postępowanie z ryzykami bezpieczeństwa. 0.6 Punkt wyjścia bezpieczeństwa informacji Szereg zabezpieczeń można uznać za dobry punkt wyjścia do wdrażania bezpieczeństwa informacji. Wynikają one albo z podstawowych wymogów prawa albo są uznawane za powszechną praktykę w bezpieczeństwie informacji. Zabezpieczenia uważane za najważniejsze dla organizacji z prawnego punktu widzenia, w zależności od stosownego prawodawstwa, to: a) ochrona i poufność danych osobowych (patrz ); b) ochrona zapisów organizacji (patrz ); c) prawa do własności intelektualnej (patrz ). Zabezpieczenia uznawane za powszechną praktykę w zakresie bezpieczeństwa informacji obejmują: a) dokument polityki bezpieczeństwa informacji (patrz 5.1.1); b) przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji (patrz 6.1.3);

11 PN-ISO/IEC 17799: c) uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji (patrz 8.2.2); d) poprawne przetwarzanie w aplikacjach (patrz 12.2); e) zarządzanie podatnościami technicznymi (patrz 12.6); f) zarządzanie ciągłością działania (patrz 14); g) zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami (patrz 13.2). Te zabezpieczenia mają zastosowanie do większości organizacji i większości środowisk. Zaleca się zwrócenie uwagi, że jakkolwiek wszystkie zabezpieczenia zamieszczone w niniejszej normie są istotne i zaleca się ich rozważenie, to stopień ich przydatności zaleca się określić z uwzględnieniem poszczególnych ryzyk, na jakie jest narażona organizacja. Powyższe podejście jest uznawane za dobry punkt wyjścia, nie zastąpi ono jednak wyboru zabezpieczeń opartego na szacowaniu ryzyka. 0.7 Krytyczne czynniki sukcesu Doświadczenie uczy, że sukces w zapewnieniu bezpieczeństwa informacji w organizacji często zależy od następujących, krytycznych czynników: a) polityki bezpieczeństwa informacji, celów i działań w zakresie bezpieczeństwa informacji, które odzwierciedlają cele biznesowe; b) podejścia oraz struktury służącej wdrażaniu, utrzymaniu, monitorowaniu i doskonaleniu bezpieczeństwa informacji, które jest zgodne z kulturą organizacji; c) widocznego wsparcia i zaangażowania na wszystkich szczeblach kierowniczych; d) właściwego zrozumienia wymagań bezpieczeństwa informacji, szacowania ryzyka i zarządzania ryzykiem; e) skutecznego propagowania bezpieczeństwa informacji wśród kierownictwa, pracowników i innych podmiotów, w sposób umożliwiający osiągnięcie efektu uświadomienia; f) rozpowszechniania zaleceń dotyczących bezpieczeństwa informacji wśród kadry zarządzającej, pracowników i innych podmiotów; g) finansowania działań związanych z zarządzaniem bezpieczeństwem informacji; h) zapewnienia odpowiedniej świadomości, kształcenia i szkoleń; i) ustanowienia skutecznego procesu zarządzania incydentami związanymi z bezpieczeństwem informacji; j) wdrożenia systemu pomiaru 1 do oceny efektywności zarządzania bezpieczeństwem informacji oraz mechanizmów sprzężenia zwrotnego służących doskonaleniu tego systemu. 0.8 Opracowanie własnych zaleceń Niniejsze praktyczne zasady mogą być traktowane jako punkt wyjścia do opracowania zaleceń, które uwzględniają specyfikę organizacji. Nie wszystkie zabezpieczenia i zalecenia umieszczone w niniejszej normie mogą mieć zastosowanie. Ponadto, mogą być potrzebne dodatkowe mechanizmy i zalecenia, nie zawarte w tej normie. W momencie, gdy dokumenty zawierające dodatkowe zalecenia lub zabezpieczenia zostaną opracowane, może być użyteczne wprowadzenie, tam gdzie to możliwe, odsyłaczy do punktów tej normy w celu ułatwienia sprawdzenia zgodności przez audytorów lub partnerów biznesowych. 1 Zwraca się uwagę, że metody pomiaru bezpieczeństwa informacji znajdują się poza zakresem niniejszej normy.

12 12 PN-ISO/IEC 17799:2007 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji 1 Zakres normy W niniejszej normie międzynarodowej przedstawiono zalecenia i ogólne zasady dotyczące inicjowania działań, wdrażania, utrzymania i doskonalenia zarządzania bezpieczeństwem informacji w organizacji. Cele stosowania zabezpieczeń przedstawione w normie są powszechnie akceptowanymi praktykami zarządzania bezpieczeństwem informacji. Cele stosowania zabezpieczeń i zabezpieczenia opisane w niniejszej normie międzynarodowej są przedstawione w sposób umożliwiający ich wdrażanie jako spełnienie wymagań określonych przez szacowanie ryzyka. Niniejsza norma międzynarodowa może służyć jako praktyczny przewodnik do opracowania norm bezpieczeństwa organizacji i skutecznych praktyk zarządzania bezpieczeństwem oraz wspierać tworzenie związków zaufania w relacjach między organizacjami. 2 Terminy i definicje W niniejszej normie wprowadza się następujące terminy i definicje: 2.1 aktywa wszystko, co ma wartość dla organizacji [ISO/IEC :2004] 2.2 zabezpieczenie środki służące zarządzaniu ryzykiem, łącznie z politykami, procedurami, zaleceniami, praktyką lub strukturami organizacyjnymi, które mogą mieć naturę administracyjną, techniczną, zarządczą lub prawną UWAGA Termin zabezpieczenie jest także używany jako synonim środka ochrony lub przeciwdziałania. 2.3 zalecenie wyjaśnienie, co i jak zaleca się zrobić, aby osiągnąć cele określone w politykach [ISO/IEC :2004] 2.4 środki przetwarzania informacji system, usługa lub infrastruktura przetwarzające informacje lub fizyczna lokalizacja, w której się znajdują 2.5 bezpieczeństwo informacji zachowanie poufności, integralności i dostępności informacji; dodatkowo, mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność 2.6 zdarzenie związane z bezpieczeństwem informacji zdarzenie związane z bezpieczeństwem informacji jest określonym stanem systemu, usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem [ISO/IEC TR 18044:2004] 2.7 incydent związany z bezpieczeństwem informacji incydent związany z bezpieczeństwem informacji jest to pojedyncze zdarzenie lub seria niepożądanych lub

13 PN-ISO/IEC 17799: niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji [ISO/IEC TR 18044:2004] 2.8 polityka wyrażona przez kierownictwo ogólna intencja i kierunki działań 2.9 ryzyko kombinacja prawdopodobieństwa zdarzenia i jego konsekwencji [ISO/IEC Guide 73:2002] 2.10 analiza ryzyka systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka [ISO/IEC Guide 73:2002] 2.11 szacowanie ryzyka całościowy proces analizy i oceny ryzyka [ISO/IEC Guide 73:2002] 2.12 ocena ryzyka proces porównywania oszacowanego ryzyka z określonymi kryteriami w celu określenia znaczenia ryzyka [ISO/IEC Guide 73:2002] 2.13 zarządzanie ryzykiem skoordynowane działania kierowania i zarządzania organizacją z uwzględnieniem ryzyka UWAGA Zarządzanie ryzykiem zawiera zwykle szacowanie ryzyka, postępowanie z ryzykiem, akceptowanie ryzyka i informowanie o ryzyku. [ISO/IEC Guide 73:2002] 2.14 postępowanie z ryzykiem proces wyboru i wdrażania środków modyfikujących ryzyko [ISO/IEC Guide 73:2002] 2.15 strona trzecia ta osoba lub organ, która w przypadku rozstrzygania problemu, jest uważana za niezależną od zaangażowanych stron [ISO/IEC Guide 2:1996] 2.16 zagrożenie potencjalna przyczyna niepożądanego incydentu, który może wywołać szkodę w systemie lub organizacji [ISO/IEC :2004] 2.17 podatność słabość aktywu lub grupy aktywów, która może być wykorzystana przez co najmniej jedno zagrożenie [ISO/IEC :2004]

14 14 PN-ISO/IEC 17799: Struktura normy Niniejsza norma zawiera 11 rozdziałów w sumie zawierających 39 głównych kategorii bezpieczeństwa i jeden rozdział wstępny wprowadzający w tematykę szacowania i postępowania z ryzykiem. 3.1 Rozdziały Każdy rozdział zawiera pewną liczbę głównych kategorii bezpieczeństwa. Te jedenaście rozdziałów (którym towarzyszy liczba głównych kategorii bezpieczeństwa zawartych w każdym z nich) to: a) polityka bezpieczeństwa (1); b) organizacja bezpieczeństwa informacji (2); c) zarządzanie aktywami (2); d) bezpieczeństwo zasobów ludzkich (3); e) bezpieczeństwo fizyczne i środowiskowe (2); f) zarządzanie systemami i sieciami (10); g) kontrola dostępu (7); h) pozyskiwanie, rozwój i utrzymanie systemów informacyjnych (6); i) zarządzanie incydentami związanymi z bezpieczeństwem informacji (2); j) zarządzanie ciągłością działania (1); k) zgodność (3). Uwaga: Kolejność rozdziałów tej normy nie odzwierciedla ich ważności. W zależności od okoliczności, wszystkie rozdziały mogą być istotne, stąd zaleca się, aby każda organizacja, wprowadzając tę normę, określiła wszystkie rozdziały, które mają zastosowanie, ich ważność i odniesienie do poszczególnych procesów biznesowych. Ponadto, żadna lista w tej normie nie jest uszeregowana według ważności, chyba że została w ten sposób scharakteryzowana. 3.2 Główne kategorie bezpieczeństwa Każda główna kategoria zawiera: a) cel stosowania zabezpieczeń określający, co ma być osiągnięte; b) jedno lub więcej zabezpieczeń, które mogą być zastosowane do osiągnięcia celu stosowania zabezpieczeń. Opis zabezpieczenia ma następującą strukturę: Szczegółową deklarację zabezpieczenia, aby osiągnąć cel stosowania zabezpieczeń. Szczegółowe informacje służące wdrożeniu zabezpieczenia i osiągnięciu celu stosowania. Niektóre z tych wskazówek mogą nie być odpowiednie do zastosowania w każdej sytuacji, inne sposoby wdrożenia tego zabezpieczenia mogą być bardziej odpowiednie. Dodatkowe informacje, które mogą być wzięte pod uwagę, np. uwarunkowania prawne i odniesienia do innych norm.

15 PN-ISO/IEC 17799: Szacowanie ryzyka i postępowanie z ryzykiem 4.1 Szacowanie ryzyk bezpieczeństwa Zaleca się, aby szacowanie ryzyka zidentyfikowało ryzyka, nadało im wartość i priorytet w stosunku do kryteriów akceptowania ryzyka i celów właściwych dla organizacji. Zaleca się, aby wyniki wskazywały i określały właściwe działania zarządcze i priorytety zarządzania ryzykami bezpieczeństwa informacji oraz wdrażania zabezpieczeń wybranych do ochrony przed tymi ryzykami. Proces szacowania ryzyka i wyboru zabezpieczeń może być powtarzany kilkukrotnie, aby objąć różne części organizacji lub pojedyncze systemy informacyjne. Zaleca się, aby szacowanie ryzyka opierało się na systematycznym podejściu do estymowania wielkości ryzyka (analiza ryzyka) oraz procesie porównywania estymowanego ryzyka zgodnie z kryteriami oceny znaczenia ryzyka (ocena ryzyka). Zaleca się, aby szacowanie ryzyka było wykonywane w regularnych odstępach czasu, aby uwzględnić zmiany wymagań bezpieczeństwa i ryzyk, np. w przypadku znaczącej zmiany stanu aktywów, zagrożeń, podatności, skutków wystąpienia zagrożenia czy wyników oceny ryzyka. Zaleca się, aby szacowanie ryzyka było prowadzone w sposób metodyczny, umożliwiający uzyskanie porównywalnych i powtarzalnych rezultatów. Zaleca się, aby szacowanie ryzyka bezpieczeństwa miało jasno zdefiniowany zakres, aby było skuteczne oraz, jeśli to konieczne, zawierało odniesienie do szacowania ryzyka w innych obszarach. Zakres szacowania ryzyka może dotyczyć całej organizacji, jej części, pojedynczego systemu informacyjnego, określonych komponentów systemu lub usług, jeśli jest to sensowne, realne i pomocne. Przykłady metodyk szacowania ryzyka są omawiane w ISO/IEC TR (Guidelines for the Management of IT Security: Techniques for the Management of IT Security). 4.2 Postępowanie z ryzykami bezpieczeństwa Zaleca się, aby przed rozważeniem postępowania z ryzykiem, organizacja wybrała kryteria pozwalające określić, czy ryzyko może zostać zaakceptowane, czy nie. Ryzyko może być zaakceptowane, jeśli, przykładowo, z oszacowania wynika, że ryzyko jest małe lub koszty jakiegokolwiek postępowania z tym ryzykiem są dla organizacji nieuzasadnione. Zaleca się dokumentowanie takich decyzji. Zaleca się, aby po przeprowadzeniu szacowania ryzyka, podjąć decyzję dotyczącą dalszego postępowania z każdym zidentyfikowanym ryzykiem. Możliwe sposoby postępowania z ryzykiem obejmują: a) zastosowanie odpowiednich zabezpieczeń redukujących ryzyko; b) świadome i obiektywne zaakceptowanie ryzyk, jeśli w oczywisty sposób są zgodne z polityką organizacji i spełniają kryteria akceptowania ryzyka; c) unikanie ryzyka poprzez niedopuszczanie działań, które mogłyby spowodować wystąpienie ryzyka; d) przekazywanie ryzyk na inne podmioty, np. ubezpieczycieli lub dostawców. Dla ryzyk, w stosunku do których podjęto decyzję o stosowaniu odpowiednich zabezpieczeń, zaleca się wybór i wdrożenie tych zabezpieczeń tak, aby spełniały wymagania określone przez szacowanie ryzyka. Zaleca się, aby zabezpieczenia zapewniały, że ryzyko zostało zredukowane do akceptowalnego poziomu, biorąc pod uwagę: a) wymagania i ograniczenia w zakresie krajowego i międzynarodowego prawa oraz regulacji wewnętrznych; b) cele organizacji; c) wymagania i ograniczenia eksploatacyjne; d) koszty wdrożenia i eksploatacji w stosunku do redukowanego ryzyka oraz wymagań i ograniczeń organizacji; e) potrzebę zrównoważenia kosztów związanych z wdrożeniem i działaniem zabezpieczeń z prawdopodobnymi szkodami, jakie mogą wyniknąć z naruszenia bezpieczeństwa.

16 16 PN-ISO/IEC 17799:2007 Zabezpieczenia mogą być wybrane z niniejszej normy, innych zbiorów zabezpieczeń lub mogą zostać opracowane nowe zabezpieczenia w celu spełnienia określonych wymagań organizacji. Trzeba jednak pamiętać, że niektóre zabezpieczenia nie nadają się do zastosowania w każdym systemie informacyjnym lub środowisku i że nie dla wszystkich organizacji mogą być przydatne. Jako przykład, w Punkcie opisano podział obowiązków zabezpieczający przed oszustwem lub błędem. W mniejszych organizacjach podział wszystkich obowiązków może być niemożliwy i konieczne może okazać się zastosowanie innych sposobów osiągnięcia tego samego celu zabezpieczenia. Innym przykładam jest Podrozdział 10.10, w którym opisano, jak można monitorować wykorzystanie systemu oraz gromadzić materiał dowodowy. Opisane zabezpieczenia, np. zapisywanie zdarzeń, mogą powodować konflikt z przepisami prawa takimi, jak ochrona prywatności klientów lub w miejscu pracy. Zaleca się, aby uwzględniać zabezpieczenia informacji w wymaganiach systemów i projektów na etapie specyfikacji i projektowania. Z niedopatrzenia w tym względzie mogą wyniknąć dodatkowe koszty lub mniej skuteczne rozwiązania, a w najgorszym przypadku, niemożność osiągnięcia odpowiedniego poziomu bezpieczeństwa. Należy pamiętać, że żaden zestaw zabezpieczeń nie zapewni pełnego bezpieczeństwa i niezbędne będzie wykonanie dodatkowych działań zarządczych, aby monitorować, oceniać i poprawiać skuteczność oraz efektywność zabezpieczeń wspierających realizację celów organizacji.

17 PN-ISO/IEC 17799: Polityka bezpieczeństwa 5.1 Polityka bezpieczeństwa informacji Cel: Zapewnienie, że kierownictwo wspiera i kieruje bezpieczeństwem informacji zgodnie z wymaganiami biznesowymi i właściwymi przepisami prawa oraz regulacjami wewnętrznymi. Zaleca się, aby kierownictwo ustaliło jasny kierunek działań zgodny z celami biznesowymi oraz demonstrowało wsparcie i zaangażowanie w bezpieczeństwo informacji przez opracowanie i stosowanie w organizacji polityki bezpieczeństwa informacji Dokument polityki bezpieczeństwa informacji Zaleca się, aby dokument polityki bezpieczeństwa informacji został zatwierdzony przez kierownictwo, opublikowany i podany do wiadomości wszystkim pracownikom i właściwym stronom zewnętrznym. Zaleca się, aby w dokumencie polityki bezpieczeństwa informacji zawarto deklarację zaangażowania kierownictwa i określenie podejścia organizacji do zarządzania bezpieczeństwem informacji. Zaleca się, aby dokument polityki zawierał następujące stwierdzenia: a) definicję bezpieczeństwa informacji, jego ogólne cele, zakres oraz znaczenie bezpieczeństwa, jako mechanizmu umożliwiającego współużytkowanie informacji (patrz Wprowadzenie); b) oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji w odniesieniu do strategii i wymagań biznesowych; c) strukturę wyznaczania celów stosowania zabezpieczeń i zabezpieczeń, w tym strukturę szacowania i zarządzania ryzykiem; d) krótkie wyjaśnienie polityki bezpieczeństwa, zasad, norm i wymagań zgodności mających szczególne znaczenie dla organizacji, zawierające: 1) zgodność z prawem, regulacjami wewnętrznymi i wymaganiami wynikającymi z umów; 2) wymagania dotyczące kształcenia, szkoleń i uświadamiania w dziedzinie bezpieczeństwa; 3) zarządzanie ciągłością działania biznesowego; 4) konsekwencje naruszenia polityki bezpieczeństwa; e) definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji, w tym zgłaszania incydentów związanych z bezpieczeństwem informacji; f) odsyłacze do dokumentacji mogącej uzupełniać politykę, np. bardziej szczegółowych polityk bezpieczeństwa i procedur dotyczących poszczególnych systemów informatycznych lub zalecanych do przestrzegania przez użytkowników zasad bezpieczeństwa. Zaleca się udostępnienie polityki bezpieczeństwa informacji użytkownikom w całej organizacji w formie właściwej, dostępnej i zrozumiałej dla czytelników, do których jest adresowana. Polityka bezpieczeństwa informacji może być częścią dokumentu polityki ogólnej. Jeśli polityka bezpieczeństwa informacji jest przekazywana poza organizację, należy dołożyć wszelkich starań, aby nie ujawniać informacji wrażliwych. Dalsze informacje znaleźć można w ISO/IEC : Przegląd polityki bezpieczeństwa informacji Aby zapewnić ciągłą przydatność, adekwatność i skuteczność polityki bezpieczeństwa informacji, zaleca się jej przeglądanie w zaplanowanych odstępach czasu lub w przypadku wystąpienia znaczących zmian.

18 18 PN-ISO/IEC 17799:2007 Zaleca się, aby polityka bezpieczeństwa informacji miała właściciela, o zatwierdzonej odpowiedzialności za zarządzanie opracowaniem, przeglądem i oceną polityki bezpieczeństwa. Zaleca się, aby przegląd obejmował szacowanie możliwości udoskonalenia polityki bezpieczeństwa informacji w organizacji oraz podejścia do zarządzania bezpieczeństwem informacji z uwzględnieniem zmian środowiska organizacyjnego, warunków biznesowych, prawnych lub środowiska technicznego. Zaleca się, aby w przeglądzie polityki bezpieczeństwa informacji uwzględniano wyniki przeglądów realizowanych przez kierownictwo. Zaleca się opracowanie procedur przeglądów realizowanych przez kierownictwo zawierających harmonogram lub częstość przeglądów. Zaleca się, aby dane wejściowe do przeglądu realizowanego przez kierownictwo zawierały: a) informacje zwrotne od zainteresowanych stron; b) wyniki niezależnych przeglądów (patrz 6.1.8); c) stan działań zapobiegawczych i korygujących (patrz i ); d) wyniki poprzednich przeglądów realizowanych przez kierownictwo; e) informacje o wydajności procesów i ich zgodności z polityką bezpieczeństwa informacji; f) informacje o zmianach, które mogą wpłynąć na podejście organizacji do zarządzania bezpieczeństwem informacji, łącznie ze zmianami środowiska organizacyjnego, warunków biznesowych, dostępności zasobów, zobowiązań kontraktowych, regulacji wewnętrznych i warunków prawnych lub środowiska technicznego; g) informacje dotyczące tendencji związanych z zagrożeniami i podatnościami; h) informacje dotyczące zgłoszonych incydentów związanych z bezpieczeństwem informacji (patrz 13.1); i) rekomendacje wydane przez właściwe organy (patrz 6.1.6). Zaleca się, aby dane wyjściowe z przeglądu realizowanego przez kierownictwo zawierały wszelkie decyzje i działania związane z: a) doskonaleniem podejścia organizacji do zarządzania bezpieczeństwem informacji i jego procesów; b) doskonaleniem zabezpieczeń i celów stosowania zabezpieczeń; c) doskonaleniem przydzielania zasobów lub przypisywania odpowiedzialności. Zaleca się prowadzenie spisu przeglądów realizowanych przez kierownictwo. Zaleca się, aby wszelkie zmiany polityki były zatwierdzone przez kierownictwo.

19 PN-ISO/IEC 17799: Organizacja bezpieczeństwa informacji 6.1 Organizacja wewnętrzna Cel: Zarządzanie bezpieczeństwem informacji wewnątrz organizacji. Zaleca się ustanowienie struktury organizacyjnej w celu inicjowania i kontroli wdrażania bezpieczeństwa informacji w organizacji. Zaleca się, aby kierownictwo zatwierdziło politykę bezpieczeństwa informacji, przypisało odpowiedzialność związaną z bezpieczeństwem, koordynowało i poddawało przeglądom wdrażanie bezpieczeństwa w organizacji. Jeśli zachodzi taka potrzeba, to zaleca się wskazanie i udostępnianie na potrzeby organizacji źródła specjalistycznej wiedzy z zakresu bezpieczeństwa informacji. Zaleca się wypracowanie kontaktów z zewnętrznymi specjalistami lub grupami, łącznie z odpowiednimi organami tak, aby mieć aktualną wiedzę o trendach rynkowych, zdolności monitorowania standardów i metod szacowania oraz zapewnienia odpowiednich punktów wymiany informacji w przypadku obsługi incydentu związanego z bezpieczeństwem informacji. Zaleca się też promowanie interdyscyplinarnego podejścia do bezpieczeństwa informacji Zaangażowanie kierownictwa w bezpieczeństwo informacji Zaleca się, aby kierownictwo aktywnie wspierało bezpieczeństwo w organizacji przez wskazanie wyraźnego kierunku działania, demonstrowanie zaangażowania, jednoznaczne przypisanie i przyjmowanie odpowiedzialności w zakresie bezpieczeństwa informacji. Zaleca się, aby kierownictwo: a) zapewniało, że cele bezpieczeństwa informacji są zidentyfikowane, spełniają wymagania organizacji i są włączone do odpowiednich procesów; b) określało, poddawało przeglądom i zatwierdzało politykę bezpieczeństwa informacji; c) poddawało przeglądom skuteczność wdrażania polityki bezpieczeństwa informacji; d) zapewniało jasne wskazania i widoczne wsparcie dla inicjatyw z zakresu bezpieczeństwa informacji; e) zapewniało środki potrzebne do zapewnienia bezpieczeństwa informacji; f) zatwierdzało w organizacji poszczególne role i zakresy odpowiedzialności związane z bezpieczeństwem informacji; g) inicjowało plany i programy utrzymujące właściwą świadomość problematyki bezpieczeństwa informacji; h) zapewniało, że wdrożenie zabezpieczeń informacji jest skoordynowane w całej organizacji (patrz 6.1.2). Zaleca się, aby kierownictwo określiło potrzebę, wewnętrznego lub zewnętrznego, specjalistycznego doradztwa z zakresu bezpieczeństwa informacji oraz dokonywało przeglądów i koordynowało wyniki takiego doradztwa w organizacji. W zależności od rozmiaru organizacji, obowiązki te mogą być wykonywane przez wyznaczone do tego celu forum kierownicze lub przez istniejące ciało zarządzające, takie jak zarząd. Więcej informacji można znaleźć w ISO/IEC :2004.

20 20 PN-ISO/IEC 17799: Koordynacja bezpieczeństwa informacji Zaleca się, aby działania w zakresie bezpieczeństwa informacji były koordynowane przez reprezentantów różnych części organizacji pełniących odpowiednie role i funkcje. Zazwyczaj koordynacja bezpieczeństwa informacji wymaga współdziałania kierownictwa, użytkowników, administratorów, projektantów aplikacji, audytorów i pracowników działu bezpieczeństwa oraz specjalistycznych umiejętności z takich dziedzin, jak ubezpieczenia, prawo, zarządzanie zasobami ludzkimi, informatyką lub ryzykiem. Zaleca się, aby te działania: a) zapewniały, że zadania z zakresu bezpieczeństwa są realizowane zgodnie z polityką bezpieczeństwa informacji; b) określały postępowanie z przypadkami niezgodności; c) zatwierdzały metodykę i procesy związane z bezpieczeństwem informacji, np. klasyfikację informacji lub szacowanie ryzyka; d) rozpoznawały znaczące zmiany zagrożeń i stopień narażenia informacji lub środków do przetwarzania informacji na zagrożenia; e) szacowały adekwatność i koordynowały wdrożenie zabezpieczeń; f) skutecznie promowały w organizacji kształcenie, szkolenia i uświadamianie w zakresie bezpieczeństwa informacji; g) oceniały informacje uzyskane z monitorowania i przeglądu incydentów związanych z bezpieczeństwem informacji oraz zalecały odpowiednie działania w stosunku do zidentyfikowanych incydentów związanych z bezpieczeństwem informacji. Jeśli organizacja nie tworzy osobnej grupy interdyscyplinarnej, np. z uwagi na fakt, że jest zbyt mała, by taką grupę wyodrębnić, to zaleca się, aby opisane wyżej działania podjęte zostały przez inne, stosowne ciało zarządzające lub przez jednego menadżera Przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji Zaleca się, aby wszelka odpowiedzialność związana z bezpieczeństwem informacji była wyraźnie zdefiniowana. Zaleca się, aby przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji było zgodne z polityką bezpieczeństwa informacji (patrz Rozdział 4 N2) ). Zaleca się, aby odpowiedzialność za ochronę poszczególnych aktywów i realizację określonych procesów bezpieczeństwa była wyraźnie zdefiniowana. Zaleca się, aby, tam gdzie jest to potrzebne, ta odpowiedzialność była uzupełniona bardziej szczegółowymi wytycznymi dotyczącymi określonych miejsc lub środków przetwarzania informacji. Ponadto, zaleca się jasne określenie lokalnych obowiązków związanych z ochroną aktywów lub działaniem określonych procesów bezpieczeństwa, takich jak planowanie ciągłości działania. Osoby, którym przypisano odpowiedzialność za bezpieczeństwo, mogą przekazywać zadania związane z bezpieczeństwem innym osobom. Jednakże, pozostają one odpowiedzialne i zaleca się, aby weryfikowały, czy wszystkie delegowane zadania są wykonywane poprawnie. Zaleca się, aby obszary, za które te osoby są odpowiedzialne, były jasno określone; w szczególności zaleca się, aby: N2) Odsyłacz krajowy: Błąd w oryginale: Powinno być 5.

21 PN-ISO/IEC 17799: a) aktywa i procesy bezpieczeństwa związane z każdym systemem były zidentyfikowane i jasno zdefiniowane; b) dla każdego aktywu lub procesu bezpieczeństwa był wyznaczony podmiot za nie odpowiedzialny oraz szczegóły tej odpowiedzialności były udokumentowane (patrz także 7.1.2); c) poziomy uprawnień były wyraźnie określone i udokumentowane. W wielu organizacjach jest wyznaczany jeden menadżer bezpieczeństwa informacji w całości odpowiadający za opracowanie i wdrożenie bezpieczeństwa oraz wsparcie przy identyfikowaniu zabezpieczeń. Jednakże, odpowiedzialność za wdrożenie zabezpieczeń i przygotowanie dla nich odpowiednich zasobów spoczywa często na poszczególnych kierownikach. Powszechną praktyką jest wyznaczanie właściciela każdego z tych aktywów, który następnie staje się odpowiedzialny za jego codzienną ochronę Proces autoryzacji środków przetwarzania informacji Zaleca się zdefiniowanie i wdrożenie procesu autoryzacji przez kierownictwo nowych środków przetwarzania informacji. Dla procesu autoryzacji zaleca się rozważenie niżej podanych wytycznych: a) zaleca się, aby nowe środki miały odpowiednią autoryzację kierownictwa w zakresie ich przeznaczenia i sposobu użycia. Zaleca się, aby autoryzacja była nadana przez osobę odpowiedzialną za utrzymanie środowiska bezpieczeństwa lokalnego systemu informacyjnego tak, aby zapewnić, że spełnione są wszystkie stosowne wymagania i wskazania polityki bezpieczeństwa; b) tam gdzie jest to konieczne, zaleca się sprawdzenie, czy sprzęt i oprogramowanie są zgodne z innymi komponentami systemu; c) ponieważ używanie osobistych lub prywatnych środków przetwarzania informacji, np. laptopów, komputerów domowych lub urządzeń przenośnych do przetwarzania informacji biznesowych może powodować powstanie nowych podatności, zaleca się, aby zostały określone i wdrożone niezbędne w takiej sytuacji zabezpieczenia Umowy o zachowaniu poufności Zaleca się, aby wymagania dla umów o zachowaniu poufności i nieujawnianiu informacji, odzwierciedlające potrzeby organizacji w zakresie ochrony informacji, były określone i regularnie przeglądane. Zaleca się, aby umowy o zachowaniu poufności i nieujawnianiu informacji zawierały wymagania ochrony informacji poufnych N3) i były sformułowane w sposób prawnie skuteczny. W celu określenia wymagań dla takich umów zaleca się uwzględnienie następujących elementów: a) definicji informacji, które mają być chronione (np. informacji poufnych); b) spodziewanego czasu trwania umowy, łącznie z przypadkami, w których obowiązek zachowania poufności może być bezterminowy; c) wymaganych działań w momencie zakończenia umowy; N3) Odsyłacz krajowy: Termin informacje poufne nie jest użyty w kontekście używanym w ustawie o ochronie informacji niejawnych.

22 22 PN-ISO/IEC 17799:2007 d) odpowiedzialności i działań sygnatariuszy podejmowanych w celu uniknięcia nieupoważnionego ujawnienia informacji (takich, jak zasada wiedzy koniecznej ); e) własności informacji, tajemnic przemysłowych i własności intelektualnej w odniesieniu do ochrony informacji poufnych; f) dozwolonego użycia informacji poufnych oraz praw sygnatariusza do ich użycia; g) prawa do audytu i monitorowania działań związanych z informacjami poufnymi; h) procesu powiadamiania i raportowania nieuprawnionego ujawnienia lub naruszenia poufności informacji; i) zasad zwrotu lub niszczenia informacji przy zakończeniu umowy; j) działań podejmowanych w przypadku naruszenia warunków umowy. Do umów o zachowaniu poufności i nieujawnianiu informacji mogą być wprowadzane inne elementy na podstawie wymagań bezpieczeństwa organizacji. Zaleca się, aby umowy o zachowaniu poufności i nieujawnianiu informacji były zgodne z odpowiednimi przepisami prawa i regulacjami wewnętrznymi (patrz także ). Zaleca się, aby wymagania dla umów o zachowaniu poufności i nieujawnianiu informacji były przeglądane okresowo oraz w przypadkach, gdy pojawią się zmiany wpływające na te wymagania. Umowy o zachowaniu poufności i nieujawnianiu informacji chronią informacje należące do organizacji i informują sygnatariuszy o ich odpowiedzialności w zakresie ochrony, używania i ujawniania informacji w sposób odpowiedzialny i autoryzowany. W organizacji może istnieć potrzeba korzystania w różnych okolicznościach z różnych form umów o zachowaniu poufności i nieujawnianiu informacji Kontakty z organami władzy Zaleca się utrzymywanie odpowiednich kontaktów z właściwymi organami władzy. Zaleca się, aby organizacje miały opracowane procedury, które określają, kto i kiedy ma kontaktować się z odpowiednimi organami władzy (np. organami ścigania, strażą pożarną, organami nadzorującymi) oraz jak w porę zgłaszać zidentyfikowane incydenty związane z bezpieczeństwem informacji, jeśli zachodzi podejrzenie złamania prawa. Atakowane z Internetu organizacje mogą potrzebować wsparcia stron trzecich (np. dostawców usług internetowych lub operatorów telekomunikacyjnymi), aby podjąć odpowiednie działania wobec źródła ataku. Zarządzanie incydentami związanymi z bezpieczeństwem informacji (Rozdział 13.2) lub proces planowania i utrzymania ciągłości działania (Rozdział 14) mogą wymagać utrzymywania takich kontaktów. Aby organizacja była przygotowana na nadchodzące zmiany prawa i regulacji, które będzie musiała stosować, warto też utrzymywać kontakty z odpowiednimi organami prawodawczymi i normalizacyjnymi. Potrzebne mogą być też kontakty z przedsiębiorstwami usług komunalnych, służbami medycznymi, służbami ratowniczymi, np. strażą pożarną (w związku z ciągłością działania), operatorami telekomunikacyjnymi (w związku z przełączaniem linii i ich dostępnością), przedsiębiorstwami wodociągowymi (w związku z urządzeniami klimatyzacyjnymi) Kontakty z grupami zaangażowanymi w zapewnianie bezpieczeństwa Zaleca się utrzymywanie kontaktów z grupami zaangażowanymi w zapewnianie bezpieczeństwa, specjalistycznymi forami związanymi z bezpieczeństwem oraz profesjonalnymi stowarzyszeniami.