Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
Filozofia prezentacji wymagań i
zabezpieczeń zgodnie z załącznikiem
A
Elementy wymagań ISO 17799
Nagłówek rozdziały normy ISO 17799
organizacyjne
Obszary tematyczne - o różnym poziomie komplikacji
Cele zabezpieczenia (objectives)
Wymagania dotyczące stosowania zabezpieczeń (z
dr inż. Bolesław Szomański
ISO 27001)
Wskazówki realizacji (implementation guidance)
b.szomanski@wip.pw.edu.pl
5 - Polityka bezpieczeństwa (2)
5 - Polityka bezpieczeństwa (1)
Dokument polityki bezpieczeństwa informacji
o powinien zawierać co najmniej:
definicję bezpieczeństwa informacji,
A.5.1. Polityka bezpieczeństwa
o jej ogólne cele i
Cel: Zapewnienie, że kierownictwo wspiera i kieruje bezpieczeństwem
" zakres oraz
informacji zgodnie z wymaganiami biznesowymi i właściwymi
o znaczenie bezpieczeństwa dla współużytkowania informacji
przepisami prawa oraz regulacjami wewnętrznymi
oświadczenie o intencjach kierownictwa,
A.5.1.1 Dokument polityki bezpieczeństwa informacji
o potwierdzające cele i zasady bezpieczeństwa informacji
o Dokument polityki powinien zostać
" w odniesieniu do
o zatwierdzony przez kierownictwo,
o strategii i
o opublikowany i
o wymagań biznesowych;
o udostępniony wszystkim pracownikom i
strukturę wyznaczania celów
o właściwym stronom zewnętrznym
o stosowania zabezpieczeń i zabezpieczeń,
" w tym
o strukturę
" szacowania i
" zarządzania ryzykiem;
22/04/2007 (c) B.Sz Strona 1 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
5 - Polityka bezpieczeństwa (2a) 5 - Polityka bezpieczeństwa (3)
krótkie wyjaśnienie polityki bezpieczeństwa,
o definicje
o zasad,
o ogólnych i
o standardów i
o szczególnych obowiązków
o wymagań zgodności
o w odniesieniu do zarządzania bezpieczeństwem informacji,
" mających szczególne znaczenie dla organizacji:
o w tym zgłaszania przypadków naruszenia bezpieczeństwa;
o zgodność z
" prawem, o odsyłacze do dokumentacji mogącej uzupełniać
" regulacjami i
politykę, np.
" wymaganiami wynikającymi z umów;
o bardziej szczegółowych polityk bezpieczeństwa i
o wymagania dotyczące
o procedur dotyczących poszczególnych systemów
" kształcenia,
informatycznych lub
" szkoleń i
o zalecanych do przestrzegania przez użytkowników zasad
" uświadamiania w dziedzinie bezpieczeństwa;
bezpieczeństwa.
o zarządzanie ciągłością działania biznesowego;
o konsekwencje naruszenia polityki bezpieczeństwa
5 - Polityka bezpieczeństwa (4) 5 - Polityka bezpieczeństwa (5)
Zaleca się żeby polityka miała właściciela o zatwierdzonych przez
A.5.1.2. Przegląd i ocena polityki bezpieczeństwa informacji
kierownictwo uprawnieniach
Polityka bezpieczeństwa
Zaleca się, aby przegląd obejmował
o powinna być poddawana
Zbadanie możliwości udoskonalenia
regularnemu przeglądowi,
o polityki bezpieczeństwa informacji w organizacji
o a w przypadku istotnych zmian
" oraz
powinna zapewniać, że pozostaje
o podejścia do
o przydatna, " zarządzania bezpieczeństwem informacji
" uwzględniających
o adekwatna i
o zmiany
o skuteczna
" środowiska organizacyjnego,
" warunków biznesowych,
" prawnych lub
" środowiska technicznego.
22/04/2007 (c) B.Sz Strona 2 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
5 - Polityka bezpieczeństwa (6) 5 - Polityka bezpieczeństwa (7)
Zalecane dane wejściowe do przeglądu
informacje zwrotne od zainteresowanych stron;
Zaleca się, aby
wyniki niezależnych przeglądów (patrz 6.1.8);
o przegląd polityki bezpieczeństwa informacji
stan
o działań zapobiegawczych i
brał pod uwagę wyniki przeglądów realizowanych przez
o korygujących (patrz 6.1.8 i 15.2.1);
kierownictwo.
wyniki poprzednich przeglądów
Zaleca się opracowanie
o realizowanych przez kierownictwo;
wydajność procesów i
procedur przeglądów realizowanych przez kierownictwo
o zgodność polityki bezpieczeństwa informacji;
o zawierających
zmiany,
" harmonogram lub
o które mogą wpłynąć na podejście organizacji do zarządzania
" częstość przeglądów.
bezpieczeństwem informacji,
" w tym
o środowiska organizacyjnego,
o warunków biznesowych,
5 - Polityka bezpieczeństwa (7) 5 - Polityka bezpieczeństwa (8)
Zaleca się aby
dane wyjściowe zawierały wszelkie
o dostępności zasobów,
o zobowiązań kontraktowych, decyzje i
o regulacji i
działania związane z:
o warunków prawnych lub
o doskonaleniem podejścia organizacji
o środowiska technicznego; " do zarządzania bezpieczeństwem informacji i jego procesów;
o doskonaleniem celów stosowania zabezpieczeń i zabezpieczeń;
informacje dotyczące trendów
o doskonaleniem w odniesieniu do
o związanych z
" przydzielania zasobów lub
o zagrożeniami i
" odpowiedzialności;
o podatnościami;
Zaleca się
informacje dotyczące
o zgłoszonych incydentów naruszenia bezpieczeństwa informacji (patrz prowadzenie rejestru przeglądów
13.1);
o realizowanych przez kierownictwo.
rekomendacje wydane przez właściwe organy (patrz 6.1.6).
Zaleca się, aby
wszelkie zmiany polityki były zatwierdzone przez kierownictwo.
22/04/2007 (c) B.Sz Strona 3 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
Rozdział 6 - Organizacja bezpieczeństwa
6 - Organizacja bezpieczeństwa
informacji (3)
informacji (2)
6.1  Organizacja wewnętrzna 6.1  Organizacja wewnętrzna
Zaleca się, aby kierownictwo:
A.6.1. Cel: Zarządzanie bezpieczeństwem informacji wewnątrz
zapewniało, że cele bezpieczeństwa informacji są
organizacji:
o identyfikowane,
A.6.1.1 Zaangażowanie kierownictwa w bezpieczeństwo
o spełniają wymagania organizacji i są
informacji o włączone do odpowiednich procesów;
określało,
Kierownictwo powinno aktywnie wspierać
o poddawało przeglądom i
" bezpieczeństwo w organizacji
o zatwierdzało politykę bezpieczeństwa informacji;
o przez ustalenie wyraz
nego kierunku,
poddawało przeglądom
o demonstrowanie zaangażowania,
o skuteczność wdrażania polityki bezpieczeństwa informacji;
o jednoznaczne przypisanie
zapewniało klarowne
" i przyjmowanie
o wskazania i
o odpowiedzialności
o widoczne wsparcie dla
" w zakresie bezpieczeństwa informacji. .
o inicjatyw z zakresu bezpieczeństwa informacji;
zapewniało środki
o potrzebne dla zapewnienia bezpieczeństwa informacji;
Rozdział 6 - Organizacja bezpieczeństwa
Rozdział 6 - Organizacja bezpieczeństwa
informacji (4)
informacji (3a)
6.1  Organizacja wewnętrzna
6.1  Organizacja wewnętrzna
zatwierdzało w organizacji
Zaleca się, aby kierownictwo
o poszczególne role i
o określiło potrzebę,
o odpowiedzialności
" wewnętrznego lub
" związane z bezpieczeństwem informacji;
" zewnętrznego,
inicjowało
o Specjalistycznego doradztwa
o plany i
o z zakresu bezpieczeństwa informacji oraz
o programy utrzymujące
" dokonywało przeglądów i
o właściwąświadomość
" koordynowało
" problematyki bezpieczeństwa informacji;
" wyniki takiego doradztwa
zapewniało, że
" w organizacji. .
wdrożenia zabezpieczeń informacji są
skoordynowane w całej organizacji (patrz 6.1.2).
22/04/2007 (c) B.Sz Strona 4 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
6 - Organizacja bezpieczeństwa informacji(4) 6 - Organizacja bezpieczeństwa informacji(4a)
6.1  Organizacja wewnętrzna 6.1  Organizacja wewnętrzna
Zazwyczaj koordynacja bezpieczeństwa informacji
A.6.1.2. Koordynacja bezpieczeństwa informacji
" wymaga współdziałania:
o kierownictwa,
Działania w zakresie bezpieczeństwa informacji
o użytkowników,
" powinny być
o administratorów,
o koordynowane przez
o projektantów aplikacji,
o reprezentantów
o audytorów i
" różnych części organizacji
o pracowników działu bezpieczeństwa oraz
o pełniących odpowiednie specjalistycznych umiejętności
o z takich dziedzin, jak
" role i
" ubezpieczenia,
" funkcje.
" prawo,
" zarządzanie
" zasobami ludzkimi,
" informatyką lub
" ryzykiem.
6 - Organizacja bezpieczeństwa
6 - Organizacja bezpieczeństwa
informacji (5)
informacji (5a)
6.1  Organizacja wewnętrzna
6.1  Organizacja wewnętrzna
Zaleca się, aby działania koordynacyjne:
określały znaczące
zapewniały, że
o zmiany zagrożeń i
o zadania
o stopień narażenia informacji lub
" w zakresie bezpieczeństwa są
o środków służących
o realizowane zgodnie
" do przetwarzania informacji na zagrożenia;
" z polityką bezpieczeństwa informacji;
szacowały
określały postępowanie z niezgodnościami;
o adekwatność i
zatwierdzały o koordynowały wdrożenie zabezpieczeń;
o metodykę i skutecznie
o promowały w organizacji
o procesy
o kształcenie,
" związane z bezpieczeństwem informacji,
o szkolenia i
" np. dla klasyfikacji informacji lub
o uświadamianie w
" szacowania ryzyka;
" zakresie bezpieczeństwa informacji;
22/04/2007 (c) B.Sz Strona 5 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
6 - Organizacja bezpieczeństwa 6 - Organizacja bezpieczeństwa
informacji (5b) informacji (6)
6.1  Organizacja wewnętrzna 6.1  Organizacja wewnętrzna
oceniały
A.6.1.3. Przydział odpowiedzialności w zakresie
" informacje uzyskane z
bezpieczeństwa informacji
o monitorowania i
Wszelka odpowiedzialność za
o przeglądu incydentów
" naruszenia bezpieczeństwa informacji oraz bezpieczeństwo informacji
o zalecały odpowiednie działania
opowinna być
" w stosunku do
wyraz
nie zdefiniowana.
" zidentyfikowanych incydentów
" naruszenia bezpieczeństwa informacji.
6 - Organizacja bezpieczeństwa
6 - Organizacja bezpieczeństwa informacji (6)
informacji (6)
6.1  Organizacja wewnętrzna
6.1  Organizacja wewnętrzna
Tam gdzie potrzebne
Powiązanie
odpowiedzialność
podziału funkcji i
dodatkowo wsparta wytycznymi
odpowiedzialności z
Jasne określenie
o polityką bezpieczeństwa
lokalnych obowiązków związanych z
ochroną aktywów lub
Zaleca się, aby
działaniem określonych procesów bezpieczeństwa,
odpowiedzialność
o takich jak planowanie ciągłości działania.
o za ochronę indywidualnych aktywów i
Osoby, którym
o realizację określonych procesów bezpieczeństwa była
o przypisano odpowiedzialność za bezpieczeństwo
wyraz
nie zdefiniowana.
mogą delegować do tych obowiązków inne osoby.
o Jednakże,
pozostają one jednak
nadal odpowiedzialne i
22/04/2007 (c) B.Sz Strona 6 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
6 - Organizacja bezpieczeństwa
6 - Organizacja bezpieczeństwa informacji (8)
informacji (9)
6.1  Organizacja wewnętrzna
6.1  Organizacja wewnętrzna
zaleca się im weryfikację,
A.6.1.4 Proces autoryzacji urządzeń służących do przetwarzania
o czy wszystkie
informacji
delegowane zadania są wykonywane
Powinien zostać
poprawnie.
zdefiniowany
Zaleca się aby
aktywa i i wdrożony
procesy bezpieczeństwa związane z każdym systemem były
Proces autoryzacji
o zidentyfikowane i
Przez Kierownictwo
o jasno zdefiniowane;
" nowych środków
dla każdego aktywu lub
" służących
procesu bezpieczeństwa był
" do przetwarzania informacji.
wyznaczony podmiot za nie odpowiedzialny oraz
szczegóły tej odpowiedzialności były udokumentowane;
poziomy uprawnień były wyraz
nie
o określone i
o udokumentowane.
6 - Organizacja bezpieczeństwa
6 - Organizacja bezpieczeństwa
informacji (9)
informacji (10)
6.1  Organizacja wewnętrzna
6.1  Organizacja wewnętrzna
A.6.1.5. Umowy o zachowaniu poufności
Odpowiednie dopuszczenia
Wymagania
powinny być potwierdzone przez
o dla umów o zachowaniu poufności i
kierownictwo sankcjonujące przeznaczenie i sposób
" nie ujawnianiu informacji
użycia
o odzwierciedlające potrzeby organizacji
" w zakresie ochrony informacji powinny być
Zapewniające
o określone i
zgodność z innymi komponentami systemu
o regularnie przeglądane
Zasady używanie osobistych (prywatnych)
urządzeń
22/04/2007 (c) B.Sz Strona 7 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
6 - Organizacja bezpieczeństwa informacji
6 - Organizacja bezpieczeństwa informacji (11)
(10a)
6.1  Organizacja wewnętrzna
6.1  Organizacja wewnętrzna
własności informacji,
o tajemnic przemysłowych i
Zaleca się aby umowy były sformułowane w sposób
o własności intelektualnej oraz
o prawnie skuteczny i
o w jaki sposób odnosi się to do ochrony informacji wrażliwej;
uwzględniały następujące elementy
dozwolonego użycia wrażliwej informacji oraz
o definicję informacji, która ma być chroniona (np. informacja
o praw podpisującego do jej użycia;
wrażliwa);
prawa do audytu i
o spodziewany czasu trwania umowy, włączając w to przypadki, w
o monitorowania działań związanych z
których obowiązek zachowania poufności może być
o informacją wrażliwą;
bezterminowy;
procesu powiadamiania i
o wymagane działania, w momencie zakończenia umowy; o raportowania
o nieuprawnionego ujawnienia lub
o odpowiedzialności i działania podpisujących podejmowane
o przełamania poufności informacji;
" w celu uniknięcia nieupoważnionego ujawnienia informacji;
zasad zwrotu i
o niszczenia informacji
o przy zakończeniu umowy;
6 - Organizacja bezpieczeństwa informacji(12) 6 - Organizacja bezpieczeństwa informacji(12)
6.1  Organizacja wewnętrzna 6.1  Organizacja wewnętrzna
działań podejmowanych
A.6.1.6. Kontakty z organami władzy
o w przypadku naruszenia warunków umowy.
Mogą być dodane inne elementy Powinny być
Zaleca się, aby
utrzymywane
umowy o zachowaniu poufności i
właściwe kontakty
o nieujawnianiu informacji były
zgodne z odpowiednimi
z organami władzy
przepisami prawa i regulacjami (patrz 15.1.1).
Zaleca się aby
umowy były przeglądane
jeżeli zmieniają się warunki zatrudnienia
22/04/2007 (c) B.Sz Strona 8 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
6 - Organizacja bezpieczeństwa informacji (14) 6 - Organizacja bezpieczeństwa informacji (15)
6.1  Organizacja wewnętrzna 6.1  Organizacja wewnętrzna
Zalecenie opracowanie
procedury dla kontaktów z
A. 6.1.7. Kontakty z grupami zainteresowania
o organami ścigania,
bezpieczeństwem
o strażą pożarną,
o organami regulacyjnymi i
Powinno się utrzymywać
o nadzorującymi
kontakty z
Oraz
o grupami zainteresowania bezpieczeństwem,
jak, i w
o specjalistycznymi forami związanymi z bezpieczeństwem
jakim czasie należy
" oraz
informować o zidentyfikowanych incydentach naruszenia bezpieczeństwa
o profesjonalnymi stowarzyszeniami
informacji,
o jeśli zachodzi podejrzenie złamania prawa.
Atakowane z internetu organizacje
mogą potrzebować odpowiedniego wsparcia np.
od operatorów telekomunikacyjnych lub
dostawców usług internetowych
6 - Organizacja bezpieczeństwa informacji (15) 6 - Organizacja bezpieczeństwa informacji (16)
6.1  Organizacja wewnętrzna 6.1  Organizacja wewnętrzna
otrzymywania wczesnych ostrzeżeń,
Zaleca się rozważyć kontakty z grupami w celu:
o porad i
poszerzania i
o łat odnoszących się do
" ataków i
aktualizacji wiedzy na temat
" podatności;
najlepszych praktyk bezpieczeństwa informacji;
uzyskania dostępu do
o specjalistycznego doradztwa z zakresu bezpieczeństwa informacji;
zapewnienia, że
wymiany informacji o
o zrozumienie środowiska bezpieczeństwa informacji jest
o nowych technologiach,
" aktualne i
o produktach,
" kompletne;
o zagrożeniach i
o podatnościach;
zapewnienia odpowiednich kontaktów
w przypadku postępowania z incydentami naruszenia
bezpieczeństwa (patrz także 13.2.1).
22/04/2007 (c) B.Sz Strona 9 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
6 - Organizacja bezpieczeństwa informacji (17) 6 - Organizacja bezpieczeństwa informacji (17)
6.1  Organizacja wewnętrzna 6.1  Organizacja wewnętrzna
Zaleca się, aby niezależny przegląd był
A.6.1.8. Niezależne przeglądy bezpieczeństwa informacji
inicjowany przez kierownictwo.
Podejście do zarządzania bezpieczeństwem informacji
Taki niezależny przegląd jest potrzebny, aby zapewnić, że
o oraz jego realizacji
o podejście organizacji do zarządzania bezpieczeństwem informacji jest
" (tzn. cele stosowania zabezpieczeń,
ciągle
" zabezpieczenia,
" przydatne,
" polityki,
" adekwatne i
" procesy i
" skuteczne.
" procedury bezpieczeństwa informacji)
Zaleca się, aby przegląd obejmował ocenę
powinny być poddawane
możliwości udoskonalenia
niezależnym przeglądom w
oraz potrzeby zmian podejścia do bezpieczeństwa,
o zaplanowanych odstępach czasu
włączając w to polityki i cele stosowania zabezpieczeń.
o lub wtedy, gdy wystąpiły w nich znaczące zmiany.
6 - Organizacja bezpieczeństwa informacji (18) 6 - Organizacja bezpieczeństwa informacji (19)
6.1  Organizacja wewnętrzna 6.2  Zewnętrzne strony
Przegląd może być wykonywany np. przez
Komórkę audytu wewnętrznego
A.6.2. Cel: Utrzymanie bezpieczeństwa informacji
Niezależnego kierownika należących do organizacji oraz
środków przetwarzania informacji,
Zewnętrzną organizację specjalizującą się w
o do których mają dostęp,
dokonywaniu takich przeglądów
o Za pomocą których
o Osoby sprawdzające mają odpowiednie
o przetwarzają,
o komunikują się
Umiejętności
" lub którymi
Doświadczenie o zarządzają strony zewnętrzne.
Zaleca się
przechowywanie wyników i
podjęcia działań korygujących
jeśli będzie to wskazane przez przegląd
22/04/2007 (c) B.Sz Strona 10 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
6 - Organizacja bezpieczeństwa informacji (19) 6. Organizacja bezpieczeństwa informacji (20)
6.2  Zewnętrzne strony 6.2  Zewnętrzne strony
Przy identyfikacji ryzyk
związanych z dostępem stron zewnętrznych
A.6.2.1. Określenie ryzyk związanych ze stronami
zaleca się wziąć pod uwagę:
zewnętrznymi
środki służące do przetwarzania informacji, do których
Ryzyka
o ma być zrealizowany dostęp strony zewnętrznej;
dla informacji należącej do organizacji i
sposób dostępu strony zewnętrznej do informacji i środków służących do
środków służących do przetwarzania informacji
przetwarzania informacji, np.:
związanych ze stronami zewnętrznymi oraz
o dostęp fizyczny, np. wstęp do biur, sal komputerowych, szaf na akta;
wdrożenie odpowiednich zabezpieczeń
o dostęp logiczny, np. do baz danych organizacji, systemów informacyjnych;
Powinno być zdefiniowane
o połączenia między sieciami organizacji i stron zewnętrznych, np. połączenia stałe,
dostęp zdalny;
przed przyznaniem dostępu tym stronom.
o czy jest to dostęp lokalny, czy poza lokalizacją organizacji;
wartość i
o wrażliwość udostępnianej informacji oraz
o jej krytyczność dla procesów biznesowych;
zabezpieczenia potrzebne do ochrony informacji,
o która ma nie być dostępna dla strony zewnętrznej;
6. Organizacja bezpieczeństwa informacji (21) 6. Organizacja bezpieczeństwa informacji (21a)
6.2  Zewnętrzne strony 6.2  Zewnętrzne strony
personel strony zewnętrznej
wymagania prawne,
o zaangażowany w obsługę informacji należącej do organizacji;
o regulacje oraz
o przekazywania,
o inne zobowiązania kontraktowe,
o współdzielenia i
" właściwe dla strony zewnętrznej, które
o wymiany informacji;
" zaleca się wziąć pod uwagę;
skutki braku dostępu strony trzeciej,
Sposób, w jaki ustalenia mogą wpłynąć na
o gdy jest on wymagany, oraz
o interesy właścicieli.
o wprowadzania lub otrzymywania niepoprawnych lub wprowadzających
Zaleca się, aby
w błąd informacji;
o dostęp stron zewnętrznych do informacji należącej do organizacji był
praktyki i procedury
zabroniony
o obsługi incydentów naruszenia bezpieczeństwa informacji i
potencjalnych szkód
do momentu wdrożenia odpowiednich zabezpieczeń oraz
o oraz zasady i warunki utrzymania ciągłości dostępu stron zewnętrznych
o podpisania umowy
" na wypadek wystąpienia incydentu naruszenia bezpieczeństwa informacji;
" określającą zasady i
" warunki połączenia lub
" dostępu oraz
" tryby współpracy.
22/04/2007 (c) B.Sz Strona 11 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
6. Organizacja bezpieczeństwa informacji (22) 6. Organizacja bezpieczeństwa informacji (23)
6.2  Zewnętrzne strony 6.2  Zewnętrzne strony
wymagania bezpieczeństwa oraz
6.2.2. Bezpieczeństwo w kontaktach z klientami
zabezpieczenia lokalne wynikające
Wszystkie zidentyfikowane
o ze współpracy ze stroną zewnętrzną
wymagania bezpieczeństwa
były odzwierciedlone w umowie (patrz 6.2.2 i 6.2.3).
p2owinny zostać wprowadzone
Należy upewnić się, że strona zewnętrzna jest
przed przyznaniem klientom
świadoma swoich zobowiązań,
dostępu do informacji lub
akceptuje odpowiedzialności i
aktywów należących do organizacji.
o zobowiązania związane z
" dostępem,
" przetwarzaniem,
" przekazywaniem lub
" zarządzaniem informacją
o należącą do organizacji lub
o środkami służącymi do przetwarzania informacji.
6. Organizacja bezpieczeństwa informacji (23) 6. Organizacja bezpieczeństwa informacji (23a)
6.2  Zewnętrzne strony 6.2  Zewnętrzne strony
o procedury
Zaleca się uwzględnienie
" wykrywania naruszenia aktywów, tzn.
następujących zasad,
" utraty lub
o odnoszących się do bezpieczeństwa,
" modyfikacji danych;
o przed przyznaniem klientom dostępu do
o integralność;
" jakichkolwiek aktywów organizacji:
o ograniczenia
o ochrony aktywów, w tym:
" kopiowania i
" procedury ochrony aktywów organizacji,
" ujawniania informacji;
" w tym informacji i
" oprogramowania, oraz
" zarządzania znanymi podatnościami;
22/04/2007 (c) B.Sz Strona 12 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
6. Organizacja bezpieczeństwa informacji (24) 6. Organizacja bezpieczeństwa informacji (24a)
6.2  Zewnętrzne strony 6.2  Zewnętrzne strony
opisu dostarczanego produktu lub usługi;
ustalenia dotyczące
różnych przyczyn,
o raportowania,
o wymagań i
o zawiadamiania i
o korzyści wynikających z dostępu klientów;
o śledzenia nieścisłości informacji
polityki kontroli dostępu, w tym:
" (np. szczegółów danych osobowych),
o dozwolone metody dostępu oraz
" kontroli i korzystania z unikalnych identyfikatorów, takich jak
o incydentów naruszenia bezpieczeństwa informacji oraz
" identyfikator i hasło użytkownika;
o naruszeń bezpieczeństwa;
o proces autoryzacji
" praw dostępu i
" przywilejów dla użytkownika;
o stwierdzenie, że jeśli
" jakikolwiek dostęp nie został jawnie przyznany,
" to jest zabroniony;
o proces odbierania
" praw dostępu lub
" przerywania połączeń pomiędzy systemami;
6. Organizacja bezpieczeństwa informacji (25) 6. Organizacja bezpieczeństwa informacji (26)
6.2  Zewnętrzne strony 6.2  Zewnętrzne strony
opis każdej udostępnianej usługi;
docelowy poziom usług i
A.6.2.3. Wymagania bezpieczeństwa w umowach ze stroną trzecią
o nieakceptowalny poziom usług;
Umowy ze stronami trzecim dotyczące
prawo do monitorowania i
o dostępu,
o zablokowania wszelkich działań związanych z aktywami organizacji;
o przetwarzania,
odpowiedzialność organizacji i klienta;
o przekazywania lub
odpowiedzialność wynikająca z przepisów prawa oraz
o zarządzania
o sposoby zapewniania, że wymagania prawne są spełniane,
" informacją lub
" np. prawo ochrony danych osobowych, " środkami służącymi do przetwarzania informacji,
prawo do własności intelektualnej i o organizacji lub
o dodania produktów lub
o prawo autorskie (patrz 15.1.2) oraz
" usług do środków służących do przetwarzania informacji,
o ochrona wspólnej pracy (patrz 6.1.5).
o powinny być obejmować wszystkie
" stosowne wymagania bezpieczeństwa.
22/04/2007 (c) B.Sz Strona 13 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
6. Organizacja bezpieczeństwa informacji (26) 6. Organizacja bezpieczeństwa informacji (27)
6.2  Zewnętrzne strony 6.2  Zewnętrzne strony
zabezpieczeń chroniących aktywa, w tym:
o procedury ochrony aktywów organizacji,
Zaleca się, aby
" w tym informacji, oprogramowania i sprzętu;
umowa zapewniała, że
o wszelkie wymagane zabezpieczenia i
" mechanizmy ochrony fizycznej;
nie ma żadnych nieporozumień
o zabezpieczenia chroniące przed złośliwym oprogramowaniem (patrz
o pomiędzy organizacją i
10.4.1);
o stroną trzecią.
o procedury wykrywania naruszenia aktywów,
Zaleca się włączenie
" tzn. utraty lub modyfikacji danych, oprogramowania lub sprzętu;
klauzul odpowiedzialności odszkodowawczej
o zabezpieczenia zapewniające zwrot lub
od strony trzeciej.
" niszczenie informacji i aktywów
" w chwili zakończenia umowy lub w innym uzgodnionym w umowie czasie;
Zaleca się, aby włączyć do umowie następujące zagadnienia:
o poufność, integralność, dostępność oraz
polityki bezpieczeństwa informacji;
" wszystkie inne odpowiednie własności aktywów (patrz 2.1.5);
o ograniczenia kopiowania i ujawniania informacji oraz
" korzystania z umów poufności (patrz 6.1.5);
6. Organizacja bezpieczeństwa informacji (28) 6. Organizacja bezpieczeństwa informacji (29)
6.2  Zewnętrzne strony 6.2  Zewnętrzne strony
szkolenia dla użytkowników i administratorów
polityki kontroli dostępu, obejmującej:
o w zakresie metod, procedur i bezpieczeństwa;
różne przyczyny,
zapewnienia świadomości użytkowników
o wymagania i
o w zakresie ich odpowiedzialności z
o korzyści określające potrzebę udzielenia dostępu stronie trzeciej;
" a bezpieczeństwo informacji oraz
dozwolone metody dostępu,
" inne sprawy z tym związane;
o zabezpieczenia oraz
zabezpieczenia na wypadek
o korzystanie z unikalnych identyfikatorów takich jak
o przenosin personelu
" identyfikator i hasło użytkownika;
o wszędzie, gdzie należy to wziąć pod uwagę;
proces autoryzacji dostępu i
odpowiedzialności związane z
o przywilejów dla użytkowników;
o instalacją i utrzymaniem oprogramowania i sprzętu;
wymaganie prowadzenia
jasnej struktury raportowania oraz
o listy osób uprawnionych do korzystania z udostępnianych usług
o uzgodnionych formularzy raportów;
" wraz z ich prawami;
określonego i
stwierdzenie, że
o jasnego procesu
o jeśli jakikolwiek dostęp nie został jawnie przyznany,
o zarządzania zmianami;
o to jest zabroniony;
22/04/2007 (c) B.Sz Strona 14 z 15
Elementy wymagan organizacyjne Bezpieczenstwo teleinformatyczne WAT
6.0 Organizacja bezpieczeństwa informacji (30)
6. Organizacja bezpieczeństwa informacji (29)
6.2  Zewnętrzne strony
6.2  Zewnętrzne strony określenia weryfikowalnych kryteriów wykonania,
o wymagania prawne są spełniane, o ich monitorowania i
" np. prawo ochrony danych osobowych,
o raportowania;
proces odbierania uprawnień lub
prawa do monitorowania i
o przerywania połączeń pomiędzy systemami;
o zablokowania wszelkich działań związanych z aktywami organizacji;
planów
prawa do przeprowadzenia audytów
" raportowania,
o odpowiedzialności określonych w umowie,
" zawiadamiania i
o zlecania tych czynności stronie trzeciej,
" śledzenia
o określenia praw audytorów;
o incydentów naruszenia bezpieczeństwa informacji oraz
ustanowienia procesu eskalacji dla rozwiązywania problemów;
o naruszeń bezpieczeństwa jak również
wymagań dla ciągłości usług,
o naruszeń wymagań określonych w umowie;
o w tym pomiaru ich dostępności i niezawodności w powiązaniu
opisu dostarczanych produktów lub
o z potrzebami biznesowymi organizacji;
o usług oraz
odpowiedzialności stron umowy;
o opisu udostępnianej informacji wraz z
odpowiedzialność wynikająca
o jej klasyfikacją bezpieczeństwa (patrz 7.2.1);
o z przepisów prawa oraz
docelowego poziomu usług i
o sposoby zapewniania, że
o nieakceptowalnego poziomu usług;
6. Organizacja bezpieczeństwa informacji (31)
6.2  Zewnętrzne strony
prawo do własności intelektualnej i
o prawo autorskie (patrz 15.1.2) oraz
o ochrona wspólnej pracy (patrz 6.1.5).
zasad współpracy strony trzeciej
o z podwykonawcami oraz
" zabezpieczeń, jakie
" podwykonawcy mają wdrożyć;
warunki renegocjacji lub zakończenia umowy:
o zaleca się przygotowanie planu ciągłości działania na wypadek,
" gdy któraś ze stron będzie chciała zakończyć umowę przed terminem;
o renegocjacja umowy ze względu
" na zmianę wymagań bezpieczeństwa w organizacji;
o aktualna dokumentacja listy aktywów,
" licencji,
" umów oraz
" praw z nimi związanych.
22/04/2007 (c) B.Sz Strona 15 z 15