13. Zarządzanie incydentami w zakresie bezpieczeństwa informacji Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości



Podobne dokumenty
2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Maciej Byczkowski ENSI 2017 ENSI 2017

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

PARTNER.

Marcin Soczko. Agenda

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

Dane osobowe: Co identyfikuje? Zgoda

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Standard ISO 9001:2015

Amatorski Klub Sportowy Wybiegani Polkowice

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Jakość. danych w systemach informatycznych adów w ubezpieczeń 25.III Aspekty normalizacyjne zarządzania incydentami bezpieczeństwa w.

Promotor: dr inż. Krzysztof Różanowski

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

SZCZEGÓŁOWY HARMONOGRAM KURSU

Kwestionariusz samooceny kontroli zarządczej

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Kryteria oceny Systemu Kontroli Zarządczej

Uchwała wchodzi w życie z dniem uchwalenia.

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA

Reforma ochrony danych osobowych RODO/GDPR

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

ISO bezpieczeństwo informacji w organizacji

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

PROGRAM NAUCZANIA KURS ABI

Szkolenie otwarte 2016 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

System Zachowania Ciągłości Funkcjonowania Grupy KDPW

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Szczegółowy opis przedmiotu zamówienia:

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

System Zachowania Ciągłości Funkcjonowania Grupy KDPW Polityka SZCF (wyciąg)

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Program Kontroli Jakości Bezpieczeństwa Informacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

PRELEGENT Przemek Frańczak Członek SIODO

Projekt wymagań w zakresie kompetencji zakładów utrzymania taboru. Jan Raczyński

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Dokumentacja systemu zarządzania bezpieczeństwem pracy i ochroną zdrowia

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Prelegent : Krzysztof Struk Stanowisko: Analityk

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

AKREDYTOWANY KURS ABI. KOMPLEKSOWE PRZYGOTOWANIE DO PEŁNIENIA FUNKCJI ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI)

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej

Transkrypt:

Zarządzanie incydentami i ciągłością działania oraz zgodność wg z ISO/IEC 27001 i ISO/IEC 27002:2005 dr inż. Bolesław Szomański bolkosz@wsisiz.edu.pl Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości A.13.1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości Cel: Zapewnienie że zdarzenia naruszenia bezpieczeństwa informacji oraz słabości, związane z systemami informatycznymi, są zgłaszane w sposób umożliwiający szybkie podjęcie działań korygujących. zakresie bezpieczeństwa informacji 13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości(2) A.13.1.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji poprzez odpowiednie kanały organizacyjne powinno być wykonywane tak szybko, jak to możliwe. 13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości(2) Zalecenia : opracowanie formalnej procedury zgłaszania wraz z o procedurą reagowania na wystąpienie danego naruszenia i eskalacji o określających działania podejmowane o po otrzymaniu zgłoszenia o naruszeniu; Wyznaczenie punktu kontaktowego znanego i powszechnie dostępnego 09/05/2010 (c) BSz Strona 1 z 16

13. 13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości(3) Uświadomienie o pracowników o Wykonawców o użytkowników trzeciej strony o Zapoznanie z procedurą i lokalizacją punktu; Procedury zgłaszania powinny obejmować: o odpowiedni proces zwrotnego informowania zgłaszających zdarzenia tak, że po zamknięciu problemu przekazywane są im wyniki jego obsługi; o formularze zgłaszania zdarzeń związanych z bezpieczeństwem informacji wspomagające proces zgłaszania i pomagające zgłaszającym zapamiętać wszystkie niezbędne działania na wypadek takiego zdarzenia; zakresie bezpieczeństwa informacji 13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości(4) poprawne zachowanie na wypadek zdarzeń związanych z bezpieczeństwem informacji, tzn.: o natychmiastowe zanotowanie wszystkich ważnych szczegółów (np. typu niezgodności lub naruszenia, błędu działania, wiadomości z ekranu, dziwnego zachowania); o zakaz podejmowania jakichkolwiek własnych działań, lecz natychmiastowe zgłoszenie do punktu kontaktowego; odwołania do ustanowionego formalnego procesu dyscyplinarnego, który określa sposób postępowania z pracownikami, wykonawcami i użytkownikami reprezentującymi stronę trzecią, którzy naruszają bezpieczeństwo. W środowiskach o wysokim ryzyku, można wprowadzić alarm działania pod przymusem Szczegółowo także ISO TR 18044 zakresie bezpieczeństwa informacji 13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości(5) A. 13.1.2 Zgłaszanie słabości systemu bezpieczeństwa Wszyscy pracownicy, wykonawcy i użytkownicy reprezentujący stronę trzecią korzystający z systemów informacyjnych i usług powinni być zobowiązani do zgłaszania wszelkich zaobserwowanych lub podejrzewanych słabości bezpieczeństwa w systemach i usługach 13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości(6) o Zaleca się, aby wszyscy pracownicy, wykonawcy i użytkownicy reprezentujący stronę trzecią o zgłaszali takie sytuacje albo do kierownictwa, albo bezpośrednio do swojego dostawcy usług o tak szybko, jak to możliwe,aby uniknąć o incydentów naruszenia bezpieczeństwa informacji. 09/05/2010 (c) BSz Strona 2 z 16

Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości(6) Zaleca się, aby mechanizm zgłaszania był o prosty, o dostępny i o osiągalny. Zaleca się też, aby byli oni informowani, że nie należy, pod żadnym pozorem, próbować dowodzić podejrzewanej słabości na własną rękę.. Takie zalecenie służy ich bezpieczeństwu, o bowiem testowanie słabych punktów o może być interpretowane w systemie o jako potencjalne nadużycie. 13.2 Zarządzanie incydentami naruszenia bezpieczeństwa informacji i udoskonalenia (1) A. 13.2 Zarządzanie incydentami naruszenia bezpieczeństwa informacji i udoskonalenia Cel Zapewnienie, że stosowane jest spójne i efektywne podejście w zarządzaniu incydentami związanymi z bezpieczeństwem informacji. bezpieczeństwa informacji i udoskonalenia (2) A.13.2.1. Odpowiedzialność i procedury Powinno się wprowadzić odpowiedzialność kierownictwa oraz procedury zapewniające szybką, efektywną i uporządkowaną reakcję na incydenty związane z bezpieczeństwem informacji. bezpieczeństwa informacji i udoskonalenia (2) Oprócz zgłaszania zdarzeń związanych z bezpieczeństwem informacji oraz słabości (patrz także 13.1), zaleca się wykorzystywanie monitorowania systemów, alarmowania i podatności (10.10.2) do wykrycia incydentów naruszenia bezpieczeństwa informacji. 09/05/2010 (c) BSz Strona 3 z 16

13.2 Zarządzanie incydentami naruszenia bezpieczeństwa informacji i udoskonalenia (3) Zaleca się żeby procedury zawierały naruszenia bezpieczeństwa informacji. o gdzie jest to wymagane, także gromadzenie dowodów w celu zapewnienia zgodności z wymaganiami prawnymi. o awarie systemów informacyjnych i utratę usługi; o szkodliwe oprogramowanie (10.4.1); o odmowę usługi; o błędy wynikające z niekompletnych lub niewłaściwych danych biznesowych; o naruszenia poufności i integralności; o niewłaściwe użycie systemów informacyjnych; bezpieczeństwa informacji i udoskonalenia (4) dodatkowo, w odniesieniu do zwykłych planów ciągłości działania (patrz 14.1.3), zaleca się, aby procedury obejmowały (patrz także 13.2.2): analizę i identyfikację przyczyny incydentu; ograniczanie zasięgu naruszenia; jeśli to potrzebne, planowanie i wdrażanie działań naprawczych w celu uniknięcia ponownego wystąpienia incydentu; komunikację z podmiotami dotkniętymi incydentem i tymi, które są zaangażowane w jego usunięcie; raportowanie działań do odpowiednich osób 13.2 Zarządzanie incydentami naruszenia bezpieczeństwa informacji i udoskonalenia (5) jeśli zachodzi taka potrzeba, to zaleca się gromadzenie i zabezpieczanie dzienników audytu lub podobnych dowodów (patrz 13.2.3) w celu: wewnętrznej analizy problemu; wykorzystania w postępowaniu dowodowym; negocjacji rekompensat ze strony dostawców oprogramowania lub usług bezpieczeństwa informacji i udoskonalenia (6) ponadto zaleca się, aby procedury zapewniały, że: o tylko jednoznacznie zidentyfikowany i uprawniony personel ma dostęp do działających systemów i rzeczywistych danych (patrz także 6.2 dostęp zewnętrzny); o wszystkie podejmowane działania awaryjne są szczegółowo dokumentowane; o działania awaryjne są zgłaszane kierownictwu i sprawnie przeglądane; o integralność systemów biznesowych i zabezpieczeń jest potwierdzana z minimalnym opóźnieniem. 09/05/2010 (c) BSz Strona 4 z 16

bezpieczeństwa informacji i udoskonalenia (6a) bezpieczeństwa informacji i udoskonalenia (7) Należy zapewnić, że cele Zarządzania incydentami naruszenia bezpieczeństwa informacji są uzgodnione z kierownictwem oraz osoby odpowiedzialne za zarządzanie incydentami naruszenia bezpieczeństwa informacji rozumieją priorytety organizacji związane z obsługą takich incydentów. A.13.2.2 Wyciąganie wniosków z incydentów związanych z bezpieczeństwem informacji W organizacji powinny istnieć mechanizmy umożliwiające zliczenie i monitorowanie rodzajów, rozmiarów i kosztów incydentów związanych z bezpieczeństwem informacji bezpieczeństwa informacji i udoskonalenia (7) Zaleca się wykorzystywanie informacji zebranych w trakcie oceny incydentów naruszenia bezpieczeństwa informacji do identyfikowania incydentów powtarzających się lub o znacznych konsekwencjach. zakresie bezpieczeństwa informacji bezpieczeństwa informacji i udoskonalenia (7) A.13.2.3. Gromadzenie materiału dowodowego Jeśli działania podejmowane po wystąpieniu incydentu o związanego z bezpieczeństwem informacji o obejmują kroki prawne (natury cywilnoprawnej lub karnej), o to powinno się gromadzić, zachować i przedstawić o materiał dowodowego o zgodnie z zasadami materiału dowodowego o obowiązującymi w odnośnym prawodawstwie 09/05/2010 (c) BSz Strona 5 z 16

bezpieczeństwa informacji i udoskonalenia (7) Zaleca się opracowanie i stosowanie procedur wewnętrznych przy zbieraniu i przedstawianiu materiału dowodowego na potrzeby postępowania dyscyplinarnego prowadzonego w organizacji. W ogólnym przypadku zasady związane z materiałem dowodowym odnoszą się do: dopuszczalności materiału dowodowego: czy materiał dowodowy może być wykorzystany w sądzie, czy nie; wagi materiału dowodowego: jakości i kompletności materiału dowodowego. 13.2 Zarządzanie incydentami naruszenia bezpieczeństwa informacji i udoskonalenia (9) zaleca się, aby organizacja zapewniła, że jej systemy informacyjne są zgodne z opublikowanymi normami lub praktycznymi zasadami tworzenia takiego materiału dowodowego. Zaleca się, aby waga dostarczonego materiału dowodowego była zgodna z odnośnymi wymaganiami. Zaleca się utrzymanie jakości i kompletności zabezpieczeń poprawnie i w sposób ciągły używanych do ochrony materiału dowodowego (tzn. proces zabezpieczania materiału dowodowego); Zaleca się, aby przez okres, w którym materiał dowodowy przeznaczony do odtworzenia ma być przechowywany i przetwarzany, utrzymać mocny ślad dowodowy 13.2 Zarządzanie incydentami naruszenia bezpieczeństwa informacji i udoskonalenia (10) Warunki uzyskania śladu dowodowego: dla dokumentów papierowych: oryginał jest bezpiecznie przechowywany wraz z informacją kto go znalazł, gdzie, kiedy i kto był świadkiem tego zdarzenia;; dla dokumentów na nośnikach komputerowych: o zaleca się utworzenie obrazu lub kopii (zależnie od stosownych wymagań) wszelkich nośników wymiennych; zaleca się zapisanie informacji znajdujących się na dyskach twardych lub w pamięci komputera, aby zapewnić ich dostępność; zaleca się zachowanie zapisów wszelkich działań podczas procesu kopiowania oraz aby proces ten odbywał się w obecności świadków; zakresie bezpieczeństwa informacji 13.2 Zarządzanie incydentami naruszenia bezpieczeństwa informacji i udoskonalenia (11) zaleca się, aby przechowywać w bezpieczny sposób jedną nienaruszoną kopię nośnika i dziennika zdarzeń. Zaleca się przeprowadzenie wszelkich działań śledczych na kopiach materiału dowodowego. Zaleca się ochronę integralności wszystkich materiałów dowodowych. Zaleca się, aby kopiowanie tych materiałów było nadzorowane przez zaufany personel, a informację, gdzie i kiedy kopiowanie miało miejsce, kto je wykonał oraz przy pomocy jakich narzędzi lub programów zapisać. 09/05/2010 (c) BSz Strona 6 z 16

14 Zarządzanie ciągłością działania (1) Cel: Przeciwdziałanie przerwom w działalności biznesowej oraz ochrona krytycznych procesów biznesowych przed rozległymi awariami systemów informacyjnych lub katastrofami oraz zapewnienie wznowienia działalności w wymaganym czasie 14 Zarządzanie ciągłością działania (1) A.14.1. Włączanie bezpieczeństwa informacji do procesu zarządzania ciągłością działania Powinno się opracować i v utrzymywać zarządzany proces zapewnienia ciągłości działania w organizacji, który określa wymagania bezpieczeństwa potrzebne do zapewnienia ciągłości działania organizacji. 14 Zarządzanie ciągłością działania (1a) Kluczowe elementy zarządzania ciągłością działania: identyfikowanie i o nadawanie priorytetów o krytycznym procesom biznesowym; rozważenie wykupienia o odpowiedniego ubezpieczenia, które może stanowić część o procesu zapewnienia ciągłości działania; 14 Zarządzanie ciągłością działania (2) sformułowanie i o opisanie strategii ciągłości działania o zgodnej z ustalonymi celami i o priorytetami biznesowymi; sformułowanie i opisanie planów zapewnienia ciągłości działania zgodnych z przyjętą strategią; regularne testowanie i aktualizowanie przyjętych planów i procesów; zapewnienie, że zarządzanie ciągłością działania jest włączone w procesy i strukturę organizacji. 09/05/2010 (c) BSz Strona 7 z 16

14 Zarządzanie ciągłością działania (3) A.14.1.2.Ciągłość działania i szacowanie ryzyka Powinno się zidentyfikować zdarzenia, które mogą spowodować przerwanie procesów biznesowych, łącznie z prawdopodobieństwem ich wystąpienia oraz konsekwencjami dla bezpieczeństwa informacji. 14 Zarządzanie ciągłością działania (3) Zaleca się oparcie aspektów zapewnienia ciągłości działania związanych z bezpieczeństwem informacji na określeniu zdarzeń lub ciągów zdarzeń, które o mogą spowodować przerwy procesów biznesowych organizacji, o np.. awarie sprzętu, błędy ludzkie, kradzież, pożar, katastrofy naturalne oraz akty terroryzmu Następnie zaleca się szacowanie ryzyka, tak aby określić skutki tych przerw o (zarówno pod względem skali uszkodzeń, jak i czasu jaki upłynął do momentu przywrócenia normalnego funkcjonowania) 14 Zarządzanie ciągłością działania (4) A.14.1.3. Opracowanie i wdrażanie planów ciągłości działania Powinno się opracować i wdrożyć plany utrzymania lub odtworzenia działalności, zapewniające dostępność informacji na wymaganym poziomie i w wymaganym czasie po wystąpieniu przerwy lub awarii krytycznych procesów biznesowych 14 Zarządzanie ciągłością działania (4) rozpoznanie i uzgodnienie wszystkich zakresów odpowiedzialności i procedur awaryjnych; wdrożenie procedur awaryjnych, tak aby umożliwić naprawę i przywrócenie działania w wymaganym czasie; dokumentację uzgodnionych procedur i procesów; odpowiednie przeszkolenie personelu w zakresie uzgodnionych awaryjnych procedur i procesów, w tym zarządzania w sytuacjach kryzysowych; testowanie i aktualizacja tych planów. 09/05/2010 (c) BSz Strona 8 z 16

14 Zarządzanie ciągłością działania (5) A.14.1.4. Struktura planowania ciągłości działania Powinno się zachować jednolitą strukturę planów ciągłości działania, aby zapewnić się, że wszystkie plany ciągłości oraz wymagania bezpieczeństwa informacji są ze sobą zgodne oraz w celu zidentyfikowania priorytetów testowania i utrzymania 14 Zarządzanie ciągłością działania (5) W strukturze planowania ciągłości działania powinny znaleźć się: warunki uruchomienia planów; procedury awaryjne, które opisują działania podejmowane po wystąpieniu incydentu; ustalenia dotyczące zarządzania kontaktami z mediami i efektywnej współpracy z odpowiednimi władzami, np. policją, strażą pożarną i samorządem lokalnym; procedury przywracania do stanu normalnego; procedury wznowienia działalności, 14 Zarządzanie ciągłością działania (6) harmonogram utrzymania, który określa, jak i kiedy plan będzie testowany oraz proces związany z utrzymaniem tego planu; działania edukacyjne i podnoszące świadomość; obowiązki poszczególnych osób ze wskazaniem, kto jest odpowiedzialny za wykonanie którego elementu planu. Krytyczne aktywa i zasoby potrzebne do wykonywania procedur awaryjnych odtwarzania i wznowienia 14 Zarządzanie ciągłością działania (7) A.14.5. Testowanie, utrzymywanie i ponowna ocena planów ciągłości działania Powinno się regularnie testować i uaktualniać plany ciągłości działania, tak aby zapewnić ich aktualność i efektywność. 09/05/2010 (c) BSz Strona 9 z 16

14 Zarządzanie ciągłością działania (7) Uwzględnienie podczas testowania: testowanie różnych scenariuszy na papierze ; symulacje; testowanie technicznych możliwości przywrócenia stanu sprzed awarii o (efektywności przywrócenia systemów informacyjnych do stanu poprzedniego) testowanie odtworzenia stanu poprzedniego w alternatywnej siedzibie o (procesy biznesowe biegną równolegle z działaniami związanymi z przywracaniem stanu poprzedniego, poza główną lokalizacją); 14 Zarządzanie ciągłością działania (8) testy urządzeń i usług dostawców o (zapewnienie, że usługi i produkty dostarczane przez zewnętrznych dostawców będą odpowiadać umowom); próby generalne o (sprawdzanie, czy organizacja, personel, sprzęt, instalacje i procesy radzą sobie z przerwami w działaniu). 14 Zarządzanie ciągłością działania (9) Do przykładowych sytuacji, które mogą wymagać aktualizacji planów, należą: pozyskanie nowego sprzętu, wprowadzenie nowej wersji systemu operacyjnego oraz zmiany: o personelu; o adresów i numerów telefonów; o strategii biznesowej; o lokalizacji, urządzeń i zasobów; o przepisów prawnych; o kontrahentów, dostawców i głównych klientów; o procesów, w tym wprowadzenie nowych, bądź wycofanie starych; o ryzyka (operacyjnego i finansowego). 15 Zgodność (1) Cel: Unikanie naruszania jakichkolwiek przepisów prawa, zobowiązań wynikających z ustaw, regulacji wewnętrznych lub umów oraz jakichkolwiek wymagań bezpieczeństwa 09/05/2010 (c) BSz Strona 10 z 16

15 Zgodność (2) A.15.1.1 Określenie odpowiednich przepisów prawnych Wszelkie wymagania wynikające z ustaw, zarządzeń i umów oraz podejście organizacji do ich wypełniania powinny być wyraźnie określone, udokumentowane i aktualizowane dla każdego systemu informacyjnego w organizacji 15 Zgodność (2a) 15.1 Zgodność z przepisami prawnymi Podobnie dla zakresów obowiązków Trzeba też śledzić zmiany w przepisach prawnych Jest to robota dla prawników 15 Zgodność (3) A.15.1.2. Prawo do własności intelektualnej Należy wprowadzić odpowiednie procedury, w celu zapewnienia zgodności z wymaganiami wynikającymi z przepisów prawa, regulacji wewnętrznych i umów dotyczącymi użytkowania materiałów, które mogą być objęte prawami do własności intelektualnej oraz użytkowaniem prawnie zastrzeżonego oprogramowania. 15 Zgodność (3) Zalecenia Naruszenie może spowodować sprawy karne (BSA) Wymagania umów mogą nakładać ograniczenia na kopiowanie Uwaga ten punkt obejmuje zarządzanie oprogramowaniem wg Microsoftu 09/05/2010 (c) BSz Strona 11 z 16

15 Zgodność (4) A.15.1.3. Ochrona zapisów organizacji Należy chronić ważne zapisy organizacji przed utratą, zniszczeniem lub sfałszowaniem zgodnie z wymaganiami ustawowymi, regulacjami wewnętrznymi oraz wymaganiami biznesowymi i kontraktowymi. 15 Zgodność (4) Systemy przechowywania zapisów elektronicznych powinny spełniać następujące wymagania: o publikowanie wytycznych dotyczących przechowywania, gromadzenia, obsługi i niszczenia zapisów oraz informacji; o sporządzenie harmonogramu przechowywania, określającego zasadnicze rodzaje zapisów, i okres, przez jaki będą przechowywane; o prowadzenie spisu źródeł kluczowych informacji; o wprowadzenie odpowiednich zabezpieczeń w celu ochrony zasadniczych zapisów i informacji przed utratą, zniszczeniem lub sfałszowaniem.. 15 Zgodność (5) A.15.1.4. Ochrona danych osobowych i prywatność informacji dotyczących osób fizycznych Należy zapewnić zgodność ochrony danych osobowych i prywatności z odpowiednimi przepisami prawa, regulacjami wewnętrznymi, i jeśli to wymagane, z zapisami odpowiednich umów. 15 Zgodność (5) Przepisy prawa dotyczące ochrony danych osobowych wymagają wprowadzenia odpowiednich struktur zarządzania i kontroli. Administrator danych odpowiedzialny za przestrzeganie przepisów prawa w tym zakresie Administrator bezpieczeństwa informacji (ABI) - opracowywanie wytycznych dla kierowników, użytkowników idostawców usług dotyczące ich indywidualnych zakresów odpowiedzialności oraz określonych procedur, które powinny być przestrzegane. 09/05/2010 (c) BSz Strona 12 z 16

15 Zgodność (6) A.15.1.5 Zapobieganie nadużywaniu urządzeń przetwarzających informacje Należy wprowadzić sankcje w przypadku korzystania przez użytkowników ze środków służących do przetwarzania informacji w nieautoryzowanych celach. 15 Zgodność (6) Legalność monitorowania (opinia prawna w tym zakresie!). Prawodawstwo w zakresie przestępczości komputerowej. W trakcie procedury rejestrowania na ekranie komputera zaleca się wyświetlanie ostrzeżenia informującego, że system, do którego użytkownik się rejestruje, jest systemem prywatnym i nieuprawniony dostępniejest dozwolony. 15 Zgodność (7) A.15.1.6. Regulacje dotyczące zabezpieczeń kryptograficznych Używanie zabezpieczeń kryptograficznych powinno być zgodne z odpowiednimi umowami, prawem i regulacjami wewnętrznymi. 15 Zgodność (7) Kontrola państwa w tym zakresie może obejmować: import lub eksport sprzętu komputerowego i oprogramowania przeznaczonego do wykonywania funkcji kryptograficznych; import lub eksport sprzętu komputerowego i oprogramowania, zaprojektowanych tak, aby można było dodać do nich funkcje kryptograficzne; obowiązkowe lub dobrowolne metody dostępu władz państwowych do informacji, które zaszyfrowano sprzętowo lub programowo w celu zapewnienia poufności ich zawartości. 09/05/2010 (c) BSz Strona 13 z 16

15 Zgodność (8) 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność techniczna Cel: Zapewnianie zgodności systemów z politykami bezpieczeństwa i standardami bezpieczeństwa. 15. Zgodność (9) 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność techniczna A.15.2.1. Zgodność z polityką bezpieczeństwa i standardami Kierownicy powinni zapewnić, że wszystkie procedury bezpieczeństwa obszaru, za który są odpowiedzialni, są wykonywane prawidłowo, tak aby osiągnąć zgodność z politykami bezpieczeństwa i standardami 15. Zgodność (9) 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność techniczna Zaleca się, aby kierownicy regularnie przeglądali zgodność przetwarzania informacji ow obszarze, za który są odpowiedzialni, z odpowiednimi politykami bezpieczeństwa oi standardami oraz innymi wymaganiami bezpieczeństwa 15. Zgodność (10) 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność techniczna Jeśli w wyniku przeglądu zostaną wykryte jakiekolwiek niezgodności, to zaleca się, aby kierownictwo: o określiło przyczyny niezgodności; o oceniło potrzebę działań zapewniających, że niezgodność nie wystąpi ponownie; o określiło i wprowadziło odpowiednie działania korygujące; o poddało przeglądowi podjęte działania korygujące. Zaleca się rejestrowanie wyników przeglądów i działań korygujących podejmowanych przez kierownictwo Oraz utrzymywanie rejestrów tych zdarzeń. 09/05/2010 (c) BSz Strona 14 z 16

15. Zgodność (11) 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność techniczna Zaleca się, aby kierownictwo udostępniało wyniki przeglądów osobom przeprowadzającym niezależne przeglądy (patrz 6.1.8), jeśli niezależny przegląd jest przeprowadzany w obszarze, za który kierownictwo jest odpowiedzialne 15. Zgodność (11) 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność techniczna A.15.2.2. Sprawdzanie zgodności technicznej Systemy informacyjne powinny być regularnie sprawdzane pod kątem zgodności ze standardami wdrażania zabezpieczeń. 15. Zgodność (11) 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność techniczna Sprawdzanie technicznej zgodności wymaga analizy eksploatowanych systemów. wymaga technicznej pomocy specjalistów którzy prowadzą je: o ręcznie Przez doświadczonego inżyniera systemowego lub o Za pomocą zautomatyzowany pakietu oprogramowania, generującego raport celem dokonania późniejszej interpretacji przez technicznego specjalistę. 15 Zgodność (13) 15.2 Przeglądy polityki bezpieczeństwa i zgodności technicznej Kontrola zgodności obejmuje test penetracyjny, o przeprowadzony przez niezależnych ekspertów. przydatny do o wykrywania podatności oraz o sprawdzania efektywności zabezpieczeń Należy postępować ostrożnie w razie pomyślnego dokonania penetracji, o bo może to prowadzić do poważnego naruszenia bezpieczeństwa systemu o I nieumyślnego wykorzystania innych jego podatności. Kontrole takie powinny być prowadzone jedynie przez lub pod nadzorem kompetentnych, uprawnionych osób. 09/05/2010 (c) BSz Strona 15 z 16

15 Zgodność (14) 15.3 Rozważania dotyczące audytu systemów informacyjnych Cel: Maksymalizowanie skuteczności procesu audytu systemu informacyjnego i minimalizowanie zakłóceń z niego wynikających lub na niego wpływających A. 15.3.1. Zabezpieczenia audytu systemu informacyjnego Aby minimalizować ryzyka zakłóceń procesów biznesowych, powinno się starannie planować i uzgadniać wymagania audytu oraz działania związane ze sprawdzaniem eksploatowanych systemów 15. Zgodność (14) 15.3 Rozważania dotyczące audytu systemów informacyjnych uzgadnianie i kontrolowanie zakresu sprawdzenia; ograniczenie kontroli dostępu do oprogramowania i danych jedynie w trybie odczytu; zasoby informacyjne niezbędne do prowadzenia kontroli wyraźnie określane i udostępniane; Monitorowanie i zapisywanie w dziennikach zdarzeń każdego dostępu w celu umożliwienia odwołań. Dokumentowanie wszystkich procedur, wymagań i obowiązków. 15 Zgodność (15) 15.3 Rozważania dotyczące audytu systemów informacyjnych 15.3.2. Ochrona narzędzi audytu systemów informacyjnych Dostęp do narzędzi audytu systemu, powinien być chroniony aby zapobiec możliwym nadużyciom lub naruszeniu bezpieczeństwa, 15 Zgodność (16) 15.3 Rozważania dotyczące audytu systemów informacyjnych Narzędzia takie powinny być izolowane od eksploatowanych systemów i systemów wykorzystywanych do prowadzenia prac rozwojowych oraz nie powinny być przechowywane o w bibliotekach oprogramowania lub o obszarach dostępnych publicznie, o chyba że zostanie zapewniony odpowiedni poziom dodatkowej ochrony. 09/05/2010 (c) BSz Strona 16 z 16

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres