Elementy bezpieczeństwem

informacji zgodnie z ISO/IEC 27001 i

ISO/IEC 17799:2005 zgodności

dr inż. Bolesław Szomański

b.szomanski@wip.pw.edu.pl

15 Zgodność (1)

‰

15.1 Zgodność z przepisami prawnymi

Cel: Unikanie naruszania
jakichkolwiek przepisów prawa,
zobowiązań wynikających z ustaw,
regukacji wewnętrznych lub umów i

jakichkolwiek wymagań bezpieczeństwa

15 Zgodność (2)

15.1 Zgodność z przepisami prawnymi

‰

A.15.1.1 Określenie odpowiednich przepisów prawnych

™

Wszelkie wymagania

™

wynikające z ustaw,

™

zarządzeń i

™

umów oraz

™

podejście organizacji do ich wypełniania

™

powinny być wyraźnie określone,

™

udokumentowane i

™

aktualizowane

™

dla każdego systemu informacyjnego w organizacji

15 Zgodność (2)

15.1 Zgodność z przepisami

prawnymi

ƒ

Podobnie dla zakresów obowiązków

ƒ

Trzeba też śledzić zmiany w przepisach

prawnych

ƒ

Jest to robota dla prawników

Elementy wymagan zgodnosc

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 1 z 7

15 Zgodność (3)

15.1

Zgodność z przepisami prawnymi

‰

A.15.1.2. Prawo do własności intelektualnej

™

Powinno się wprowadzić odpowiednie procedury,

™ w celu zapewnienia zgodności
™ z wymaganiami wynikającymi

™

z przepisów prawa ,

™

regulacji wewnętrznych i

™

umów

™ dotyczącymi użytkowania materiałów, które
™ mogą być objęte prawami do

™

własności intelektualnej oraz

™

użytkowaniem

™ prawnie zastrzeżonego oprogramowania .

15 Zgodność (3)

15.1

Zgodność z przepisami prawnymi

‰

Zalecenia

ƒ Naruszenie może spowodować sprawy karne (BSA)
ƒ Wymagania umów mogą nakładać ograniczenia na

kopiowanie

‰

Uwaga ten punkt

ƒ obejmuje zarządzanie oprogramowaniem wg Microsoftu

15 Zgodność (4)

15.1 Zgodność z przepisami prawnymi

‰

A.15.1.3. Ochrona zapisów organizacji
™

Powinno się chronić

™ ważne zapisy organizacji
™ przed utratą,

™

zniszczeniem lub

™

sfałszowaniem zgodnie z

™

wymaganiami ustawowymi,

™ regulacjami wewnętrznymi oraz
™ wymaganiami biznesowymi i
™ kontraktowymi.

15 Zgodność (4)

15.1 Zgodność z przepisami prawnymi

ƒ Systemy przechowywania zapisów elektronicznych powinny spełniać

następujące wymagania:

o

publikowanie wytycznych dotyczących przechowywania,
gromadzenia, obsługi i niszczenia zapisów oraz informacji;

o

sporządzenie harmonogramu przechowywania, określającego
zasadnicze rodzaje zapisów, i okres, przez jaki będą
przechowywane;

o

prowadzenie spisu źródeł kluczowych informacji;

o

wprowadzenie odpowiednich zabezpieczeń w celu ochrony
zasadniczych zapisów i informacji przed utratą, zniszczeniem lub
sfałszowaniem.

.

Elementy wymagan zgodnosc

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 2 z 7

15 Zgodność (5)

15.1 Zgodność z przepisami prawnymi

‰

A.15.1.4. Ochrona danych osobowych i prywatność informacji
dotyczących osób fizycznych

™

Powinno się zapewnić

™

zgodność ochrony danych osobowych i

™

prywatności

™

z odpowiednimi przepisami prawa,

™

regulacjami wewnętrznymi,

™

i jeśli to wymagane,

™

z zapisami odpowiednich umów.

15 Zgodność (5)

15.1 Zgodność z przepisami prawnymi

ƒ

Przepisy prawa dotyczące ochrony danych osobowych
wymagają

ƒ wprowadzenia odpowiednich struktur zarządzania i kontroli.

ƒ

Administrator danych –

ƒ odpowiedzialny za przestrzeganie przepisów prawa w tym zakresie

ƒ

Administrator bezpieczeństwa informacji (ABI) -

ƒ opracowywanie wytycznych dla kierowników, użytkowników

i dostawców usług dotyczące ich indywidualnych zakresów
odpowiedzialności oraz określonych procedur, które powinny być
przestrzegane.

15 Zgodność (6)

15.1 Zgodność z przepisami prawnymi

‰

A.15.1.5 Zapobieganie nadużywaniu urządzeń przetwarzających
informacje

™ Powinno się
™wprowadzić sankcje

™

w przypadku korzystania przez użytkowników

™ze środków służących do przetwarzania informacji
™w nieautoryzowanych celach.

15 Zgodność (6)

15.1 Zgodność z przepisami prawnymi

‰

Legalność monitorowania (opinia prawna w tym zakresie!).

‰

Prawodawstwo w zakresie przestępczości komputerowej.

‰

W trakcie procedury rejestrowania na ekranie komputera
zaleca się wyświetlanie ostrzeżenia informującego,

ƒ że system, do którego użytkownik się rejestruje, jest systemem

prywatnym i nieuprawniony dostęp nie jest dozwolony.

Elementy wymagan zgodnosc

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 3 z 7

15 Zgodność (7)

15.1 Zgodność z przepisami prawnymi

‰

A.15.1.6. Regulacje dotyczące zabezpieczeń kryptograficznych
™ Używanie zabezpieczeń kryptograficznych
™ powinno być zgodne

™

z odpowiednimi umowami,

™ prawem i
™ regulacjami wewnętrznymi.

15 Zgodność (7)

15.1 Zgodność z przepisami prawnymi

‰

Kontrola państwa w tym zakresie może obejmować:

ƒ import lub eksport sprzętu komputerowego i oprogramowania

przeznaczonego do wykonywania funkcji kryptograficznych;

ƒ import lub eksport sprzętu komputerowego i oprogramowania,

zaprojektowanych tak, aby można było dodać do nich funkcje
kryptograficzne;

ƒ obowiązkowe lub dobrowolne metody dostępu władz państwowych

do informacji, które zaszyfrowano sprzętowo lub programowo w
celu zapewnienia poufności ich zawartości

.

15 Zgodność (8)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

Cel: Zapewnianie zgodności systemów
z politykami bezpieczeństwa i
standardami bezpieczeństwa.

15. Zgodność (9)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność

techniczna

‰

A.15.2.1. Zgodność z polityką bezpieczeństwa i standardami

™

K

ierownicy powinni zapewnić, że wszystkie

™ procedury bezpieczeństwa obszaru,

™

za który są odpowiedzialni, są

™ wykonywane prawidłowo,
™ tak aby osiągnąć zgodność z politykami bezpieczeństwa

™

i standardami

Elementy wymagan zgodnosc

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 4 z 7

15. Zgodność (9)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

‰

Zaleca się, aby

ƒ kierownicy
ƒ regularnie przeglądali
ƒ zgodność przetwarzania informacji

o

w obszarze, za który są odpowiedzialni,

ƒ z odpowiednimi politykami bezpieczeństwa

o

i standardami oraz

ƒ innymi wymaganiami bezpieczeństwa

15. Zgodność (10)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

‰

Jeśli w wyniku przeglądu zostaną wykryte jakiekolwiek

niezgodności, to

ƒ zaleca się, aby kierownictwo:

o

określiło przyczyny niezgodności;

o

oceniło potrzebę działań zapewniających, że niezgodność nie wystąpi

ponownie;

o

określiło i wprowadziło odpowiednie działania korygujące;

o

poddało przeglądowi podjęte działania korygujące.

‰

Zaleca się rejestrowanie wyników

ƒ przeglądów i
ƒ działań korygujących podejmowanych przez kierownictwo
ƒ Oraz utrzymywanie rejestrów tych zdarzeń.

15. Zgodność (11)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

‰

Zaleca się, aby kierownictwo udostępniało

wyniki przeglądów osobom
przeprowadzającym niezależne przeglądy
(patrz 6.1.8),

ƒ jeśli niezależny przegląd jest przeprowadzany w

obszarze, za który kierownictwo jest
odpowiedzialne

15. Zgodność (11)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

‰

A.15.2.2. Sprawdzanie zgodności technicznej

™

Systemy informacyjne

™

powinny być regularnie

™

sprawdzane

™

pod kątem zgodności

™

ze standardami wdrażania zabezpieczeń.

Elementy wymagan zgodnosc

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 5 z 7

15. Zgodność (11)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

‰

Sprawdzanie technicznej zgodności wymaga

analizy eksploatowanych systemów.

ƒ wymaga technicznej pomocy specjalistów

którzy

prowadzą je:

o

ręcznie

• Przez doświadczonego inżyniera systemowego lub

o

Za pomocą zautomatyzowany pakietu oprogramowania,

• generującego raport
• celem dokonania późniejszej interpretacji
• przez technicznego specjalistę.

15 Zgodność (13)

15.2 Przeglądy polityki bezpieczeństwa i

zgodności technicznej

‰

Kontrola zgodności obejmuje

ƒ test penetracyjny,

o

przeprowadzony przez niezależnych ekspertów.

ƒ przydatny do

o

wykrywania podatności oraz

o

sprawdzania efektywności zabezpieczeń

ƒ Należy postępować ostrożnie w razie pomyślnego dokonania

penetracji,

o

bo może to prowadzić do poważnego naruszenia bezpieczeństwa systemu

o

I nieumyślnego wykorzystania innych jego podatności

.

‰

Kontrole takie powinny być prowadzone

ƒ jedynie przez lub
ƒ pod nadzorem kompetentnych, uprawnionych osób.

15 Zgodność (14)

15.3

Rozważania dotyczące audytu systemów informacyjnych

Cel: Maksymalizowanie skuteczności
procesu audytu systemu informacyjnego i
minimalizowanie
zakłóceń z niego wynikających lub na niego wpływających

‰

A. 15.3.1. Zabezpieczenia audytu systemu informacyjnego

™

Aby minimalizować ryzyka zakłóceń procesów biznesowych,

™

powinno się starannie planować i uzgadniać

™

wymagania audytu oraz

™

działania związane

™

ze sprawdzaniem eksploatowanych systemów

15. Zgodność (14)

15.3 Rozważania dotyczące audytu systemów informacyjnych

ƒ uzgadnianie i kontrolowanie zakresu sprawdzenia;
ƒ ograniczenie kontroli dostępu do oprogramowania i danych jedynie w

trybie odczytu;

ƒ zasoby informacyjne niezbędne do prowadzenia kontroli

wyraźnie określane i udostępniane;

ƒ Monitorowanie i zapisywanie w dziennikach zdarzeń

każdego dostępu w celu umożliwienia odwołań.

ƒ Dokumentowanie wszystkich procedur, wymagań i

obowiązków.

Elementy wymagan zgodnosc

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 6 z 7

15 Zgodność (15)

15.3 Rozważania dotyczące audytu systemów informacyjnych

‰

15.3.2. Ochrona narzędzi audytu systemów informacyjnych

™

Dostęp do narzędzi audytu systemu,

™

powinien być chroniony

™

aby zapobiec możliwym nadużyciom lub

™

naruszeniu bezpieczeństwa,

15 Zgodność (16)

15.3 Rozważania dotyczące audytu systemów informacyjnych

‰

Narzędzia takie powinny być

ƒ izolowane od eksploatowanych systemów i
ƒ systemów wykorzystywanych do prowadzenia prac

rozwojowych oraz

ƒ nie powinny być przechowywane

o

w bibliotekach oprogramowania lub

o

obszarach dostępnych publicznie,

o

chyba że zostanie zapewniony odpowiedni poziom dodatkowej
ochrony.

Elementy wymagan zgodnosc

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 7 z 7