Elementy wymagań Zarządzania 

bezpieczeństwem informacji wg 

ISO/IEC 27002

aspekty informatyczne

dr inż. Bolesław Szomański

Zakład Systemów Zapewniania Jakości

Instytut Organizacji Systemów Produkcyjnych

Wydział Inżynierii Produkcji

Politechnika Warszawska

b.szomanski@wip.pw.edu.pl

10. Zarządzanie systemami i 

sieciami 

10.1. Procedury eksploatacji oraz zakresy 

odpowiedzialności

A 10.1 

Cel

Zapewnianie prawidłowej i 
bezpiecznej eksploatacji 
środków do przetwarzania informacji

A 10.1.1. Dokumentowanie procedur eksploatacyjnych
™

Procedury eksploatacyjne, 

™

powinny być dokumentowane, 

™

utrzymywane i 

™

dostępne dla wszystkich użytkowników którzy 

™

ich potrzebują

.

10. Zarządzanie systemami i sieciami 

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

ƒ przetwarzanie i postępowanie z informacją;
ƒ szeregowanie zadań; 
ƒ postępowanie w przypadku błędów 
ƒ zapewnienie wsparcia techniczne; 
ƒ postępowanie z danymi wyjściowymi;
ƒ ponowne uruchamiania i odtwarzania systemu;
ƒ uruchamianie i wyłączanie komputerów, 
ƒ tworzenie kopii zapasowych;
ƒ konserwacja sprzętu, 
ƒ zarządzanie pomieszczeniami komputerowymi  
ƒ postępowaniem z korespondencją

10. Zarządzanie systemami i sieciami 

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

‰

A.10.1.2. Zarządzanie zmianami

™

Zmiany w środkach przetwarzania informacji i 

™

systemach

™

powinny być nadzorowane .

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 1 z 44

10. Zarządzanie systemami i 

sieciami 

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

‰

zakresy obowiązków kierownictwa w sprawie kontroli 

zmian

‰

Szczegółowe wytyczne

:

ƒ identyfikacja i zapis znaczących zmian;
ƒ Planowanie i testowanie zmian
ƒ ocena potencjalnych następstw takich zmian;
ƒ formalna procedura uzyskania zgody na proponowane zmiany;
ƒ przekazywanie szczegółów zmian do wszystkich właściwych osób;
ƒ procedury określające odpowiedzialność za przerwanie zmiany

‰

Po wprowadzaniu nieudanych zmian konieczne jest 

przywrócenie poprzedniego stanu.

10. Zarządzanie systemami i sieciami 

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

‰

A 10.1.3 Podział obowiązków 

™

Obowiązki i 

™

zakresy odpowiedzialności 

™

powinny być rozdzielone, 

™

w celu ograniczenia możliwości 

™

nieuprawnionej

™

lub nieumyślnej modyfikacji 

™

lub niewłaściwego użycia 

™

aktywów organizacji

10. Zarządzanie systemami i 

sieciami 

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

‰Nawet w małych firmach;
‰Inne zabezpieczenia np. 

ƒ ślad audytu,
ƒ monitoring

‰Zasady rozdzielania czynności o dużym ryzyku 

zmowy

10. Zarządzanie systemami i sieciami 

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

‰

A 10.1.4 Oddzielanie urządzeń przeznaczonych do badań 
rozwojowych, urządzeń testowych i eksploatacyjnych

™

Urządzania rozwojowe, 

™

testowe i 

™

eksploatacyjne 

™

powinny być oddzielone 

™

aby zredukować ryzyka 

™

niautoryzowanego dostępu 

™

lub zmian w systemach eksploatacyjnych.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 2 z 44

10. Zarządzanie systemami i 

sieciami 

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

o Określenie i udokumentowanie zasad przenoszenia 

oprogramowania

o Uruchamianie w różnych systemach, komputerach, procesorach, 

katalogach i domenach

o odwzorowanie środowiska produkcyjnego na testowe
o ograniczony dostęp pracowników działu rozwojowego i testerów 

do eksploatowanego systemu

o uniemożliwienie dostępu do systemowych programów 

użytkowych w środowisku eksploatowanym

o Ograniczenie kopiowania wrażliwych danych do środowisk 

testowych

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Cel

ƒ Wdrożenie i 

o

utrzymanie odpowiedniego poziomu bezpieczeństwa informacji i

o

dostaw usług zgodnie z

ƒ umowami serwisowymi 

o

zawartymi ze stronami trzecimi.

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

A.10.2.1 Dostarczanie usług

™ Powinno się zapewnić że 

o

zabezpieczenia, 

o

definicje usług oraz 

o

poziomy dostaw 

ƒ zawarte w umowach serwisowych 

o

ze stronami trzecimi 

ƒ są

o

wdrożone, 

o

wykonywane i 

o

utrzymywane 

• przez stronę trzecią.

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się, 

ƒ aby dostarczanie usług przez stronę trzecią

o

obejmowało uzgodnione 

ƒ zabezpieczenia, 
ƒ Definicje usług oraz 
ƒ aspekty zarządzania usługami. 

‰

W przypadku umów zlecenia na zewnątrz, 

ƒ zaleca się opracowanie odpowiednich planów 

o

(przeniesienia informacji, 

o

środków służących do przetwarzania informacji oraz 

o

wszystkich innych niezbędnych rzeczy) oraz 

ƒ zapewnienie odpowiedniego poziomu bezpieczeństwa w okresie 

przejściowym.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 3 z 44

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się, aby organizacja 

ƒ zapewniła, że 

o

strona trzecia 

ƒ utrzymuje odpowiednie możliwości serwisowe 
ƒ wraz z planami utrzymania uzgodnionych poziomów 

ciągłości usług 

o

na wypadek większej awarii lub 

o

katastrofy

• (patrz 14.1).

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

A. 10.2.2 Monitorowanie i przegląd usług strony trzeciej

‰

Usługi, 

ƒ raporty i 
ƒ zapisy
ƒ dostarczane przez stronę trzecią

™

powinny być

ƒ regularnie monitorowane i 
ƒ przeglądane

• oraz 

ƒ regularnie audowane.

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się

ƒ monitorowanie i 
ƒ przeglądy usług 

• dostarczanych przez stronę trzecią

o

w celu sprawdzenia

o

zgodności z 

o

zapisami i 

o

warunkami bezpieczeństwa informacji 

• zawartymi w umowach i 

ƒ Właściwego zarządzania 
ƒ problemami i 
ƒ incydentami naruszenia bezpieczeństwa informacji. 

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się

ƒ stworzenie relacji

o

między organizacją a 

o

stroną trzecią oraz 

ƒ procesu zarządzania usługą w celu:

o

monitorowania zgodności poziomów wykonania usług z umowami;

ƒ przeglądania raportów usługowych dostarczanych przez stronę

trzecią oraz 

ƒ organizowania, zgodnie z umowami, 

o

regularnych spotkań dotyczących rozwoju usług;

ƒ powiadamiania o incydentach naruszenia bezpieczeństwa oraz
ƒ przeglądania tych informacji 

o

przez stronę trzecią i 

o

organizację

• zgodnie z zapisami umów oraz innymi zaleceniami i procedurami;

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 4 z 44

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

ƒ przeglądu śladów audytowych oraz 

o

dzienników zdarzeń, 

o

problemów operacyjnych, 

o

awarii, 

o

śledzenia

o

błędów i 

o

zakłóceń dostarczanych przez stronę trzecią usług;

ƒ rozwiązywania i zarządzania wszelkimi 

zidentyfikowanymi problemami.

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się przypisanie odpowiedzialności za zarządzanie 
relacjami ze stroną trzecią

ƒ I odpowiednio u strony trzeciej

‰

Zapewnienie umiejętności i zasobów do monitoriwania

ƒ W przypadku braków odpowiednie działania

‰

Zalecana 

ƒ wystarczająca całościowa kontrola aspektów bezpieczeństwa u 

strony trzeciej i 

ƒ wgląd w działania bezpieczeństwa

‰

Uwaga nie można delegować odpowiedzialności

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

A10.2.3 Zarządzanie zmianami usług strony trzeciej

™ Zmiany w dostarczaniu usług, 

o

włączając w to 

o

utrzymanie i 

o

doskonalenie istniejących 

• polityk bezpieczeństwa, 
• procedur i 
• zabezpieczeń, 

ƒ powinny być zarządzane z 
ƒ uwzględnieniem krytyczności związanych z tym 

o

systemów i procesów biznesowych oraz 

ƒ ponownego szacowania ryzyk.

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się, aby proces zarządzania zmianami usług 

strony trzeciej brał pod uwagę:

ƒ zmiany wprowadzane przez organizację w celu:

o

wprowadzenia udoskonaleń w aktualnie oferowanych usługach;

o

opracowania nowych aplikacji i systemów;

o

dokonania modyfikacji i uaktualnień polityk i procedur 
bezpieczeństwa organizacji;

o

wdrożenia nowych zabezpieczeń

• rozwiązujących incydenty naruszenia bezpieczeństwa informacji
• oraz podnoszące poziom bezpieczeństwa;

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 5 z 44

10. Zarządzanie systemami i 

sieciami

10.2 Zarządzanie usługami strony trzeciej

ƒ zmiany w usługach strony trzeciej w celu:

o

zmiany i udoskonalenia w sieciach;

o

wykorzystania nowych technologii;

o

przystosowania nowych produktów lub ich wersji;

o

wprowadzenia nowych narzędzi do prac rozwojowych i nowych 
środowisk;

o

zmiany fizycznej lokalizacji usług;

o

zmiany dostawców.

10. Zarządzanie systemami i sieciami 

10.3  Planowanie i odbiór systemu

‰

A.10.3.Cel :

ƒ

Minimalizowanie ryzyka awarii systemów

‰

A 10.3.1 Zarządzanie pojemnością zdolnością
™

Wykorzystanie zasobów 

™

powinno być monitorowane i 

™

dostrajane

™

oraz 

™

powinno się przewidywać, 

o

Przyszłą pojemność systemów

o

aby zapewnić ich właściwą wydajność

10. Zarządzanie systemami i 

sieciami 

10.3  Planowanie i odbiór systemu

ƒ koszty i czas zwiększania pojemności w przypadku 

komputerów klasy „mainframe”;

ƒ wyprzedzające identyfikowanie kierunków rozwoju 

systemu w celu unikania tzw. „wąskich gardeł”

10. Zarządzanie systemami i sieciami 

10.3  Planowanie i odbiór systemu

‰

A 10.3.2 Odbiór systemu 

™

Przed odbiorem systemu

o

Powinno się opracować kryteria odbioru

o

nowych systemów informatycznych, 

o

uaktualnień i 

o

nowych wersji

•

oraz 

o

odpowiedni testów systemów 

o

przeprowadzonych 

o

w fazie rozwojowej

•

i 

o

przed zaakceptowaniem

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 6 z 44

10. Zarządzanie systemami i 

sieciami 

10.3  Planowanie i odbiór systemu

ƒ kryteria odbioru:

o

wymagania wydajności i pojemności komputerów;

o

reakcja na sytuacje awaryjnych, 

o

rutynowe procedury operacyjne;

o

wdrożone zabezpieczenia;

o

ciągłość prowadzonej działalności;

o

brak interferencji z innymi eksploatowanymi systemami;

o

analiza wpływu na ogólne bezpieczeństwo;

o

szkolenie w obsłudze i użytkowaniu

10. Zarządzanie systemami i 

sieciami 

10.4 Ochrona przed szkodliwym i mobilnym 

kodem

A.10.4. Cel :

Ochrona integralności oprogramowania i informacji

‰

A 10.3.1.Zabezpieczenia przed szkodliwym oprogramowaniem 

™

Zabezpieczenia zapobiegające, 

™

wykrywające i usuwające kod złośliwy

™

oraz właściwe 

™

procedury uświadamiania użytkowników

™

powinny być wdrożone

10. Zarządzanie systemami i sieciami 

10.4  Ochrona przed szkodliwym i mobilnym oprogramowaniem

ƒ formalna polityka zgodności z licencjami;
ƒ formalna polityka ochrony przed otrzymywaniem plików 

i oprogramowania z zewnątrz;

ƒ instalacja i regularne uaktualnianie oprogramowania

antywirusowego;

ƒ regularne przeglądy oprogramowania.
ƒ sprawdzanie przed użyciem wszelkich plików;
ƒ sprawdzanie załączników poczty elektronicznej. 
ƒ procedury dotyczące ochrony antywirusowej 
ƒ szkolenie i uświadamianie pracowników
ƒ zgłaszanie ataków wirusów;
ƒ ciągłość działania po atakach wirusów;
ƒ procedury weryfikacji informacji związanych ze szkodliwym 

oprogramowaniem

10. Zarządzanie systemami i sieciami 

10.4  Ochrona przed szkodliwym i mobilnym oprogramowaniem

‰

A 10.4.2 Zabezpieczenia przed kodem mobilnym

o

Jeśli korzystanie z kodu mobilnego jest 

o

autoryzowane, 

ƒ konfiguracja systemu powinna zapewnić,
ƒ aby uprawniony kod 

o

działał zgodnie z jasno określoną polityką bezpieczeństwa, 
natomiast 

ƒ nieuprawniony kod 

o

nie mógł się uruchomić.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 7 z 44

10. Zarządzanie systemami i sieciami 

10.4  Ochrona przed szkodliwym i mobilnym oprogramowaniem

‰

zaleca się rozważenie następujących działań:

ƒ wykonywania kodu mobilnego w logicznie izolowanym środowisku;
ƒ blokowania korzystania z kodu mobilnego;
ƒ blokowania otrzymywania kodu mobilnego;
ƒ uruchomienia technicznych środków dostępnych na określonym 

systemie i zapewniających zarządzanie kodem mobilnym;

ƒ zabezpieczenia zasobów dostępnych dla kodu mobilnego;
ƒ stosowania zabezpieczeń kryptograficznych w celu jednoznacznego 

uwierzytelnienia kodu mobilnego.

10. Zarządzanie systemami i 

sieciami 

A 10.5

kopie zapasowe

A.10.5. Kopie zapasowe
Cel :

Zapewnienie
integralności i 
dostępności informacji 
oraz 
środków przetwarzania informacji

10. Zarządzanie systemami i sieciami 

10.5 Kopie zapasowe

‰

A 10.5.1 Zapasowe kopie informacji
™

Kopie zapasowe 

™

informacji i 

™

oprogramowania 

™

powinny być regularnie 

™

sporządzane i 

™

testowane

™ zgodnie z 
™ zaakceptowaną polityką

™

sporządzania kopii zapasowych

10. Zarządzanie systemami i 

sieciami 

10.5 Kopie zapasowe

Zalecenia: 

ƒ rozdzielenie miejsc przechowywania kopii zapasowych;
ƒ trzy generacje kopii zapasowych;
ƒ zabezpieczenia fizyczne i środowiskowe, 
ƒ regularne testowanie nośników kopii zapasowych;
ƒ regularne sprawdzanie i testowanie procedur 

odtwarzania

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 8 z 44

10. Zarządzanie systemami i sieciami 

10.6 Zarządzanie bezpieczeństwem sieci

A.10.6. Cel

Zapewnianie ochrony informacji w sieciach i ochrona 
infrastruktury wspomagającej

‰

A 10.6.1. Zabezpieczenia sieci 

™Sieci powinny być 
™odpowiednio zarządzanie i 
™nadzorowane, 
™w celu ochrony przed zagrożeniami i 
™utrzymania bezpieczeństwa systemów 

™i aplikacji sieciowych, 

™w tym przesyłanych informacji.

10. Zarządzanie systemami i 

sieciami 

10.6 Zarządzanie bezpieczeństwem sieci

ƒ rozdzielenie odpowiedzialności za działanie sieci i komputerów;
ƒ ustalenie procedur zarządzania zdalnymi urządzeniami, 
ƒ specjalne zabezpieczenia danych przesyłanych przez sieci 

publiczne

ƒ ścisła koordynacja działań związanych z zarządzaniem sieciami

.

10. Zarządzanie systemami i 

sieciami 

10.6 Zarządzanie bezpieczeństwem sieci

‰

A 10.6.2. Bezpieczeństwo usług sieciowych

™Wymagania odnoszące się do 

o

cech bezpieczeństwa, 

o

poziomu usług, 

o

zarządzania wszystkimi usługami sieciowymi 

ƒ powinny być określone i włączone 

o

do odpowiednich umów na dostarczanie tych usług,

o

niezależnie od tego, czy są one realizowane 

• własnymi środkami, czy 
• zlecane na zewnątrz.

10. Zarządzanie systemami i sieciami 

10.6 Zarządzanie bezpieczeństwem sieci

‰

Zaleca się sprawdzenie zdolności dostawcy usług sieciowych

ƒ do bezpiecznego utrzymania uzgodnionych usług, 
ƒ regularne monitorowanie i 
ƒ uzgodnienie prawa do przeprowadzania audytów.

‰

Zaleca się ustalenie środków bezpieczeństwa 

ƒ dla poszczególnych usług, 
ƒ takich jak wymagania co do cech bezpieczeństwa, 
ƒ poziomu usług oraz wymagań odnoszących się do zarządzania.

‰

Zaleca się, aby organizacja upewniła się, że 

ƒ dostawcy usług sieciowych stosują te środki.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 9 z 44

10. Zarządzanie systemami i 

sieciami 

10.7 Obsługa nośników

‰A.10.7.Cel: 

‰Zapobieganie nieautoryzowanemu ujawnieniu, 

‰

modyfikacji, 

‰

usunięciu lub 

‰

zniszczeniu aktywów oraz

‰przerwom w działalności biznesowej.

‰

A 10.7.1 Zarządzanie nośnikami wymiennymi 

™ Powinno się stosować

ƒprocedury
ƒzarządzania nośnikami wymiennymi.

10. Zarządzanie systemami i 

sieciami 

10.7 Obsługa nośników

‰

Zalecenia w zakresie zarządzania nośnikami wymiennymi:

ƒ Niepotrzebną zawartość usunąć w sposób uniemożliwiający jej 

odtworzenie;

ƒ usunięcie nośników z organizacji może wymagać autoryzacji oraz 

rejestru dla potrzeb audytu 

ƒ przechowywanie wszystkich nośników według zaleceń producenta;
ƒ dodatkowe przechowywanie w innym miejscu i inny sposób, gdy 

dłużej niż zalecenia aby uniknąć utraty informacji 

o

na skutek pogorszenia się nośnika;

ƒ rejestrowanie nośników wymiennych;
ƒ udostępnianie czytników nośników wymiennych tylko w 

uzasadnionych biznesowo przypadkach.

‰

Zaleca się jasne udokumentowanie wszystkich procedur i 

poziomów upoważnień.

10. Zarządzanie systemami i sieciami 

10.7 Obsługa nośników

‰

A 10.7.2 Niszczenie nośników
™

Nośniki, które 

™

nie będą już dłużej wykorzystywane, 

™

powinny być

™

bezpiecznie niszczone 

™

zgodnie z

™

formalnymi procedurami.

10. Zarządzanie systemami i 

sieciami 

10.7 Obsługa nośników

ƒ bezpieczne i pewne niszczenie nośników; 
ƒ lista nośników podlegających formalnym procedurom bezpiecznego 

niszczenia:

ƒ zniszczenie wszystkich nośników; 
ƒ zlecanie niszczenia na zewnątrz;
ƒ prowadzenie rejestru usuwania wrażliwych nośników

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 10 z 44

10. Zarządzanie systemami i sieciami 

10.7 Obsługa nośników

‰

A 10.7.3 Procedury postępowania z informacją
™ Powinny być wdrożone procedury
ƒ postępowania z informacjami oraz
ƒ ich przechowywania  

o

w celu ochrony informacji przed

ƒ nieautoryzowanym 

o

ujawnieniem lub 

o

niewłaściwym użyciem.

10. Zarządzanie systemami i 

sieciami 

10.7 Obsługa nośników

postępowanie i oznaczanie wszystkich nośników; 
ƒ ograniczenia dostępu;
ƒ spis uprawnionych odbiorców danych;
ƒ kompletność danych wejściowych i wyjściowych;
ƒ bezpieczne przechowywanie nośników 
ƒ ograniczanie do minimum dystrybucji danych;
ƒ oznakowywanie wszystkich kopii danych 
ƒ regularne przeglądanie list dystrybucyjnych 

uprawnionych odbiorców

10. Zarządzanie systemami i sieciami 

10.7 Obsługa nośników

‰

A 10.7.4 Bezpieczeństwo dokumentacji systemowej

™

Dokumentacja systemowa

™

powinna być chroniona

™

przed nieautoryzowanym dostępem.

10. Zarządzanie systemami i 

sieciami 

10.7 Obsługa nośników

ƒ przechowywanie w bezpieczny sposób; 
ƒ ograniczenie listy osób mających dostęp;
ƒ ochrona w przypadku przechowywania w sieci 

publicznej

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 11 z 44

10. Zarządzanie systemami i sieciami 

10.8 Wymiana informacji 

Cel:
Utrzymanie bezpieczeństwa informacji i oprogramowania 
wymienianego wewnątrz organizacji oraz z każdym podmiotem 
zewnętrznym.

‰

A 10.8.1. Polityki i procedury wymiany informacji

™Powinny być wdrożone 

™formalne polityki wymiany informacji, 
™procedury i 
™zabezpieczenia 

™w celu ochrony wymiany informacji 
™przy wykorzystaniu wszystkich rodzajów 

™środków komunikacji.

10. Zarządzanie systemami i sieciami 

10.8 Wymiana informacji

‰

Zaleca się, aby procedury i zabezpieczenia stosowane w 

przypadku wymiany informacji uwzględniały:

ƒ ochronę wymienianej informacji przed przechwyceniem, 

kopiowaniem, modyfikacją, błędnym wyborem drogi i zniszczeniem;

ƒ wykrywanie i ochronę przed szkodliwym kodem, który może być

przesyłany za pomocą środków komunikacji elektronicznej (10.4.1);

ƒ ochronę wrażliwych informacji elektronicznych przekazywanych w 

formie załączników;

ƒ polityki lub zalecenia określające akceptowalny sposób korzystania z 

elektronicznych urządzeń komunikacyjnych (7.1.3);

ƒ korzystanie z komunikacji bezprzewodowej, z uwzględnieniem 

szczególnych ryzyk z tym związanych;

ƒ zobowiązanie pracowników, wykonawców i wszystkich innych 

użytkowników do nie działania na szkodę organizacji, 

ƒ korzystanie z technik kryptograficznych, np. do ochrony poufności, 

integralności i autentyczności informacji (12.3);

10. Zarządzanie systemami i sieciami 

10.8 Wymiana informacji

ƒ zalecenia przechowywania i niszczenia korespondencji biznesowej,

włączając w to wiadomości, zgodnie z prawem oraz regulacjami 

ƒ zakaz pozostawiania wrażliwych informacji przy urządzeniach 

drukujących

ƒ zabezpieczenia i ograniczenia związane z możliwościami 

przekazywaniem wiadomości za pomocą poczty elektronicznej

ƒ przypominanie personelowi, aby stosował odpowiednie środki 

ostrożności, np. w trakcie rozmów telefonicznych

ƒ nie pozostawianie wiadomości zawierających wrażliwe informacje w 

automatycznych sekretarkach,

ƒ przypominanie personelowi o problemach wynikających z 

korzystania z faksów

10. Zarządzanie systemami i sieciami 

10.8 Wymiana informacji

ƒ przypominanie personelowi, aby nie pozostawiał w żadnym 

oprogramowaniu danych, 

ƒ przypominanie personelowi, że faks-modemy i fotokopiarki mają

podręczną pamięć

‰

Zaleca się przypominanie personelowi, że nie należy 
prowadzić poufnych rozmów w miejscach publicznych

ƒ otwartych biurach lub miejscach spotkań, które nie są wyposażone w 

ściany dźwiękochłonne.

‰

Zaleca się, aby środki wymiany informacji spełniały 
odpowiednie wymagania prawne (patrz rozdział 15).

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 12 z 44

10. Zarządzanie systemami i sieciami 

10.8 Wymiana informacji

‰

10.8.2 Umowy wymiany informacji

™W celu wymiany 
ƒ informacji i 
ƒ oprogramowania 

• pomiędzy 

o

organizacją i 

o

stronami zewnętrznymi 

o

powinno się 

o

zawierać umowy

• wymiany informacji.

10. Zarządzanie systemami i sieciami 

10.8 Wymiana informacji 

ƒ wrażliwość informacji biznesowych:
ƒ obowiązki kierownictwa w zakresie 
ƒ procedury powiadamiania odbiorcy 
ƒ minimalne standardy techniczne 
ƒ zakresy odpowiedzialności w przypadku utraty danych 
ƒ uzgodniony systemu oznaczeń
ƒ aspekty prawne
ƒ specjalne zabezpieczenia,

10. Zarządzanie systemami i sieciami 

10.8 Wymiana informacji 

‰

A 10.8.3 Transportowanie nośników fizycznych

™Nośniki zawierające informację
™Powinny być chronione 
™przed nieautoryzowanym dostępem, 

™

niewłaściwym

o

użyciem lub 

ƒ uszkodzeniem w transporcie 

o

poza fizyczne granice organizacji.

10. Zarządzanie systemami i 

sieciami 

10.8 Wymiana informacji

o

zasady korzystania z usług kurierskich; 

o

stosowanie odpowiednich opakowań, 

o

specjalne zabezpieczenia

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 13 z 44

10. Zarządzanie systemami i sieciami 

10.8 Wymiana informacji 

‰

A 10.8.4 Wiadomości elektroniczne
™ Informacja zawarta

™

w wiadomościach elektronicznych

™

powinna być odpowiednio zabezpieczona

10. Zarządzanie systemami i 

sieciami 

10.8 Wymiana informacji

ƒ wrażliwość wiadomości 
ƒ wrażliwość na błędy,
ƒ skutki publikowania list personelu dostępnych z zewnątrz;
ƒ kontrolowanie zdalnego dostępu do kont pocztowych
ƒ ataki na pocztę elektroniczną, 
ƒ ochrona załączników poczty elektronicznej; 
ƒ w jakich przypadkach zakazywać używania poczty elektronicznej;
ƒ odpowiedzialności pracowników za narażenie wizerunku instytucji, 
ƒ kryptografia
ƒ zachowywania wiadomości, ;
ƒ weryfikacji wiadomości bez ustalonego nadawcy

10. Zarządzanie systemami i sieciami 

10.8 Wymiana informacji 

‰

A 10.8.5. Biznesowe systemy informacyjne
™ Powinno się 

™

opracować i wdrożyć

™ polityki i procedury
™ dla ochrony informacji 

™

związanej z połączeniami

• pomiędzy 

o

biznesowymi systemami informacyjnymi.

10. Zarządzanie systemami i 

sieciami 

10.8 Wymiana informacji

ƒ wrażliwość biznesowych systemów informacyjnych
ƒ wykluczenie kategorii wrażliwych informacji 

biznesowych,

ƒ ograniczenie dostępu do informacji dotyczących 

wybranych osób,;

ƒ kategorie pracowników mających zezwolenie 
ƒ status użytkowników w książkach teleadresowych, 
ƒ kopie zapasowe informacji;
ƒ wyjście z sytuacji awaryjnych  

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 14 z 44

10. Zarządzanie systemami i sieciami 

10.9 Usługi handlu elektronicznego

‰

Cel: 

‰

Zapewnienie bezpieczeństwa 

ƒ usług handlu elektronicznego 

o

oraz ich 

ƒ bezpiecznego używania

10. Zarządzanie systemami i sieciami 

10.9 Usługi handlu elektronicznego

‰

A 10.9.1. Handel elektroniczny
™

Informacje związane z 

™

handlem elektronicznym

™

powinny być chronione

™

przed działaniami oszukańczymi,

™

kwestionowaniem umów

™

oraz nieautoryzowanym

™

ujawnieniem lub 

™

modyfikacją.

10. Zarządzanie systemami i 

sieciami 

10.9 Usługi handlu elektronicznego

o

Uwierzytelnienie. 

o

Autoryzacja. 

o

Procedury podpisywania umów i procedury przetargowe. 

o

Informacje dotyczące cen. 

o

Stopień zaufania do integralności cenników i rabatów

o

Realizacja zamówienia

o

Weryfikacja płatności

o

Regulowanie zobowiązań.

o

Zamówienia. 

o

Odpowiedzialność w razie oszustwa

10. Zarządzanie systemami i 

sieciami 

10.9 Usługi handlu elektronicznego

‰

10.9.2 Transakcje on-line

™Informacje zawarte w transakcjach on-line 
™powinny być chronione 
™w celu zapobiegania przed

o

niekompletnością transmisji, 

o

błędnym rutingiem,

o

nieautoryzowanym zmianom, 

o

nieautoryzowanemu ujawnienieniu, 

o

kopiowaniu lub 

o

powtórzeniu.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 15 z 44

10. Zarządzanie systemami i 

sieciami 

10.9 Usługi handlu elektronicznego

‰

Zalecane uwzględnienie aspektów bezpieczeństwa w 

transakcjach on-line takich jak:

ƒ stosowania podpisów elektronicznych przez wszystkie strony 

zaangażowane w transakcję;

ƒ wszystkich aspektów transakcji,

o

ważności dokumentów uwierzytelniające, 

o

poufności, 

o

prywatności;

ƒ szyfrowania ścieżki komunikacji pomiędzy stronami;
ƒ wykorzystywania bezpiecznych protokołów do komunikacji 

pomiędzy stronami;

ƒ zapewnienia, że szczegóły transakcji przechowywane są poza 

publicznie dostępnym środowiskiem,

ƒ jeśli jest wykorzystywana zaufana strona trzecia to bezpieczeństwo 

jest zintegrowane i włączone w cały procesie zarządzania

certyfikatami lub podpisami użytkowników.

10. Zarządzanie systemami i sieciami 

10.9 Usługi handlu elektronicznego

‰

A 10.9.3 Informacje publicznie dostępne 
™ Integralność informacji 
™ umieszczanej na publicznie dostępnych systemach, 
™ powinna być chroniona przed 
™ nieuprawnioną modyfikacją.

10. Zarządzanie systemami i 

sieciami 

10.9 Usługi handlu elektronicznego

‰

Głównie chodzi o internet

ƒ Staranne zabezpieczenie zwłaszcza gdy pozwalają na 

odpowiedź

ƒ Informacja 

o

Zgodna z prawem

o

Integralna

o

Odpowiednio chroniona

ƒ Brak dostępu z zewnątrz do sieci wewnętrznej:

10. Zarządzanie systemami i 

sieciami 

10.10

Monitorowanie

‰

Cel: 

‰

Wykrycie 

‰

nieautoryzowanych 

ƒ działań
ƒ związanych z 
ƒ przetwarzaniem informacji.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 16 z 44

10. Zarządzanie systemami i 

sieciami 

10.10

Monitorowanie

‰

10.10.1 Dziennik audytu

™Dzienniki audytu 

o

rejestrujące działania

ƒ użytkowników oraz 
ƒ zdarzenia związane z bezpieczeństwem informacji 
ƒ powinny być tworzone i 

o

przechowywane przez 

• uzgodniony czas dla

o

potrzeb przyszłych postępowań

• oraz 

o

monitorowania kontroli dostępu.

10. Zarządzanie systemami i 

sieciami 

10.10

Monitorowanie

‰

Zaleca się aby dzienniki audytu, zawierały:

ƒ identyfikator użytkownika;
ƒ daty, czasy i szczegóły ważnych zdarzeń, 
ƒ identyfikator lub lokalizację terminala;
ƒ rejestr pomyślnych i odrzuconych prób dostępu do systemu;
ƒ rejestr pomyślnych i odrzuconych prób dostępu do danych i innych 

zasobów;

ƒ zmiany konfiguracji systemu;
ƒ informacje o korzystaniu z przywilejów;
ƒ informacje o korzystaniu z narzędzi systemowych i aplikacji;
ƒ używane pliki wraz ze sposobem użycia;
ƒ adresy sieciowe i protokoły;
ƒ alarmy podniesione przez system kontroli dostępu;
ƒ aktywacje i deaktywacje systemów ochrony, 

10. Zarządzanie systemami i 

sieciami 

10.10

Monitorowanie

‰

A. 10.10.2 Monitorowanie użycia systemu

™Powinny być wdrożone procedury
ƒ monitorowania użycia 

o

środków służących do przetwarzania informacji oraz

ƒ wyniki działań monitorujących
ƒ powinny być
ƒ regularnie przeglądane

10. Zarządzanie systemami i 

sieciami 

10.10

Monitorowanie

‰

Zaleca się określenie wymaganego poziomu monitorowania 

poszczególnych urządzeń na podstawie szacowania ryzyka.

‰

Zaleca się, aby w zakresie monitorowania organizacja 

działała zgodnie z odpowiednimi wymaganiami prawa

‰

Zaleca się rozważenie następujących obszarów:

ƒ autoryzowany dostęp, 
ƒ wszystkie uprzywilejowane operacje, takie jak:
ƒ nieautoryzowane próby dostępu,
ƒ alarmy systemowe lub błędy 
ƒ zmiany, lub próby zmian, ustawień bezpieczeństwa i zabezpieczeń

systemu.

‰

Zaleca się, aby częstość przeglądów wyników 

monitorowania zależała od rozpatrywanych ryzyk. 

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 17 z 44

10. Zarządzanie systemami i sieciami 

10.10

Monitorowanie

‰

10.10.3 Ochrona informacji zawartej w dziennikach

zdarzeń

™ Podsystemy logowania 
™oraz informacje 

™

zawarte w dziennikach zdarzeń

™powinny być chronione 

™

przed manipulacją i 

™

nieautoryzowanym dostępem.

10. Zarządzanie systemami i 

sieciami 

10.10

Monitorowanie

‰

Zaleca się, ochronę przed nieautoryzowanymi zmianami 

oraz problemami eksploatacyjnymi urządzeń rejestrujących 

włączając w to:

ƒ zmiany rejestrowanych typów wiadomości;
ƒ edycję lub usunięcie plików dziennika;
ƒ przekroczenie pojemności nośnika plików dziennika, które może 

powodować niemożność rejestrowania zdarzeń lub nadpisywanie

zdarzeń z przeszłości.

ƒ Niektóre dzienniki audytu mogą wymagać archiwizacji w związku z 

polityką przechowywania zapisów lub z

ƒ powodu wymagań zbierania i przechowywania materiału 

dowodowego (patrz 13.2.3).

10. Zarządzanie systemami i sieciami 

10.10

Monitorowanie

‰

10.10.4 Dzienniki administratora i operatora

™Działania

™

administratorów 

™i 

™

operatorów

™

powinny być 

™

rejestrowane

10. Zarządzanie systemami i 

sieciami 

10.10

Monitorowanie

‰

Zaleca się, aby dzienniki zawierały:

ƒ czas zajścia zdarzenia;
ƒ informację na temat zdarzenia 
ƒ użyte konto,;
ƒ użyte procesy.

‰

Zaleca się regularne przeglądanie dzienników 

administratorów i operatorów systemu.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 18 z 44

10. Zarządzanie systemami i sieciami 

10.10

Monitorowanie

‰

10.10.5 Rejestrowanie błędów
™

Błędy powinny być

™

rejestrowanie i 

™

analizowanie 

™ a 

™

odpowiednie działania

™

powinny być podjęte

10. Zarządzanie systemami i 

sieciami 

10.10

Monitorowanie

‰

Jasne reguły obsługi błędów zgłaszanych przez 

użytkowników:  

ƒ przegląd zapisów o błędach w celu zapewnienia, 
ƒ przegląd środków naprawczych

10. Zarządzanie systemami i 

sieciami 

10.10

Monitorowanie

‰

A 10.10.6 Synchronizacja zegarów

™Zegary wszystkich stosownych systemów

• przetwarzania informacji

o

w organizacji lub 

• domenie bezpieczeństwa z powinny być 
• synchronizowane 

o

ustalonym dokładnym źródłem czasu.

10. Zarządzanie systemami i 

sieciami 

10.10

Monitorowanie

‰

Ustawienie obsługi czasu rzeczywistego jeżeli jest to możliwe

‰

zaleca się wdrożenie

ƒ procedury sprawdzającej i korygującej każde istotne odchylenie.

‰

Poprawna interpretacja formatu daty i czasu jest ważnym 
elementem dla zapewnienia, że znaczniki czasu odpowiadają
prawdziwej dacie i czasowi. 

‰

Zaleca się także uwzględnienie lokalnej specyfiki (np. zmian 
czasu zimowego i letniego).

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 19 z 44

11. Kontrola dostępu do systemu

11.1 Wymagania biznesowe 

związane kontrolą dostępu

Cel: Kontrolowanie dostępu do informacji 

biznesowych.

‰

A 11.1.1. Polityka kontroli dostępu 

™Polityka kontroli dostępu 
™powinna być 
™ustanowiona, 
™udokumentowana i 
™poddawana przeglądom 

™na podstawie potrzeb
™biznesowych i 
™wymagań bezpieczeństwa .

11. Kontrola dostępu do systemu

11.1 Wymagania biznesowe 

związane kontrolą dostępu

ƒ wymagania bezpieczeństwa pojedynczych aplikacji biznesowych;
ƒ identyfikację wszystkich informacji związanych z aplikacjami biznesowymi;
ƒ polityka rozpowszechniania informacji 
ƒ stosowanie przepisów prawa oraz zobowiązania wynikające z umów;
ƒ standardowe profile praw dostępu 
ƒ zarządzanie prawami dostępu (w tym dostępy chwilowe)
ƒ zasady kontroli dostępu (co dozwolone a co zakazane)
ƒ zmiany w uprawnieniach użytkowników
ƒ udział administratora w zmianach zasad

11. Kontrola dostępu do systemu 

11.2 Zarządzanie dostępem użytkowników 

Cel: Zapewnienie dostępu autoryzowanym użytkownikom i 
zapobieżenie nieautoryzowanemu dostępowi do systemów 
informacyjnych.

A 11.2.1 Rejestracja użytkowników 

™Przyznawanie i odbieranie 
™dostępu do wszystkich systemów i 
™usług informacyjnych 
™powinno być oparte na 
™formalnej procedurze 

™rejestrowania i 
™wyrejestrowywania 

™użytkowników.

11. Kontrola dostępu do systemu 

11.2 Zarządzanie dostępem użytkowników

ƒ używanie unikalnego identyfikatora użytkownika
ƒ sprawdzanie uprawnień 
ƒ sprawdzenie zgodności poziomu dostępu 
ƒ zapewnienie, kompletności sprawdzania uprawnień;
ƒ Niezwłoczne odebranie praw dostępu użytkownikom, 
ƒ zarządzanie kontami;

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 20 z 44

11. Kontrola dostępu do systemu 

11.2 Zarządzanie dostępem użytkowników

‰

A 11.2.2 Zarządzanie przywilejami 
™

Przyznawanie i 

™

używanie 

™

przywilejów 

™

powinno być

™

ograniczane i

™

kontrolowane

11. Kontrola dostępu do systemu 

11.2 Zarządzanie dostępem użytkowników

ƒ wskazanie przywilejów (do systemu, aplikacji, 

urządzeń)

ƒ przywileje przydzielane poszczególnym osobom;
ƒ realizacja procesu autoryzacji 
ƒ przywileje przyznawane użytkownikom chwilowo

11. Kontrola dostępu do systemu 

11.2 Zarządzanie dostępem użytkowników

‰

A 11.2.3 Zarządzanie hasłami użytkowników 
™

Przydzielanie haseł

™

powinno być

™

kontrolowane 

™

za pośrednictwem 

™

formalnego procesu zarządzania.

11. Kontrola dostępu do systemu 

11.2 Zarządzanie dostępem użytkowników

ƒ wymaganie podpisania zobowiązania do zachowania w tajemnicy 

haseł

o

natychmiastowa zmiana hasła początkowego

o bezpieczne przechowywanie haseł
o biometryczne techniki identyfikacji, 

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 21 z 44

11. Kontrola dostępu do systemu 

11.2 Zarządzanie dostępem użytkowników

‰

A 11.2.4 Przegląd praw dostępu użytkowników
™

Kierownictwo powinno 

™

dokonywać regularnych przeglądów 

™

praw dostępu użytkowników 

™

na podstawie formalnego procesu

11. Kontrola dostępu do systemu 

11.2 Zarządzanie dostępem użytkowników

ƒ Przegląd w regularnych odstępach czasu 
ƒ specjalnie uprzywilejowane prawa dostępu częściej
ƒ przydzielanie przywilejów powinno być regularnie 

kontrolowane  

11. Kontrola dostępu do systemu 

11.3 Odpowiedzialności użytkowników

Cel: Zapobieganie 

nieautoryzowanemu dostępowi 

użytkowników 

oraz naruszeniu bezpieczeństwa, 

kradzieży informacji lub 

środków służących do przetwarzania informacji.

11. Kontrola dostępu do systemu 

11.3 Odpowiedzialności użytkowników

‰

A 10.3.1.Używanie haseł

™

Podczas wyboru i 

v

używania haseł

™

użytkownicy 

™

powinni postępować

v

zgodnie ze 

™

sprawdzonymi praktykami bezpieczeństwa.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 22 z 44

11. Kontrola dostępu do systemu 

11.3 Odpowiedzialności użytkowników

ƒ utrzymywanie haseł w tajemnicy; 
ƒ rygory zapisu na papierze;
ƒ Warunki niezwłocznej zmiana hasła
ƒ dobór haseł 
ƒ zmiana haseł w regularnych odstępach czasu 
ƒ zmiana hasła tymczasowego;
ƒ zakaz wprowadzania haseł do zautomatyzowanych procesów rejestrowania

11. Kontrola dostępu do systemu 

11.3

Zakres odpowiedzialności użytkowników

‰

A 11.3.2 Pozostawianie sprzętu użytkownika bez opieki
™

Użytkownicy

™

powinni 

™

zapewniać

™

odpowiednią ochronę

™

sprzętu

™

pozostawionego bez opieki

11. Kontrola dostępu do systemu 

11.3

Zakres odpowiedzialności użytkowników

ƒ zamykanie aktywnych sesji po zakończeniu pracy,
ƒ wyrejestrowanie z serwerów i mainframe
ƒ zabezpieczenie nieużywanych komputerów osobistych

lub terminali

11. Kontrola dostępu do systemu 

11.3

Zakres odpowiedzialności użytkowników

‰

A.11.3.3 Polityka czystego biurka i czystego ekranu 

™Powinna być wprowadzona
™polityka czystego biurka 

™

dla dokumentów papierowych i nośników, 

™

a dla środków

o

służących dla przetwarzania informacji 

ƒ polityka czystego ekranu.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 23 z 44

11. Kontrola dostępu do systemu 

11.3

Zakres odpowiedzialności użytkowników

ƒ Polityka uwzględniająca klasyfikację bezpieczeństwa 

informacji, związane z tym zagrożenia i uwarunkowania 

kulturowe danej instytucji;

ƒ zamykanie w szafach nośników i wydruków 

papierowych; 

ƒ zabezpieczanie w sejfach poza godzinami pracy;
ƒ zabezpieczenie punktów wysyłania i odbierania poczty 

oraz maszyn faksowych i kopiarek;

ƒ niezwłoczne zabieranie wydruków z drukarek 

sieciowych.

11. Kontrola dostępu do systemu 

11.4 Kontrola 

dostępu do sieci

‰

Cel Ochrona usług sieciowych przed 

nieautoryzowanym dostępem

‰

A 11.4.1 Polityka dotycząca korzystania z usług 

sieciowych 

™

Użytkownikom

™

powinno się 

™

zapewnić dostęp

™

tylko do tych usług, 

™

do których udzielono im autoryzacji

11. Kontrola dostępu do systemu 

11.4 Kontrola 

dostępu do sieci

ƒ Określenie sieci i usług sieciowe, 
ƒ procedury autoryzacji;
ƒ nadzór kierownictwa 
ƒ procedury ochrony dostępu

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

‰

A 11.4.2 Uwierzytelnianie użytkowników przy połączeniach 
zewnętrznych
™

Przy dostępie 

™

zdalnych użytkowników 

™

powinno się stosować 

™

odpowiednie 

™

metody uwierzytelnienia.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 24 z 44

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

‰Metody uwierzytelniania zależne od oszacowania 

ryzyka 

ƒ techniki i 

o protokoły kryptograficzne;

ƒ wywołanie zwrotne 
ƒ zablokowanie przekazywania połączeń,
ƒ rzeczywiste rozłączenie po stronie serwera.

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

‰

A 11.4.3 Identyfikacja urządzeń w sieciach

™Powinno się 

™

rozważyć

™automatyczną identyfikację urządzeń

™

jako środek

™uwierzytelniania połączeń z określonych
ƒ lokalizacji lub 

o

urządzeń.

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

‰

Przydatne gdy

ƒ Wymaganie żeby połączenie było tylko z 

określonej lokalizacji

ƒ Określić do jakiej sieci może się podłączyć
ƒ Może być wymagana ochrona fizyczna

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

‰

A 11.4.4.Ochrona zdalnych portów diagnostycznych

™Fizyczny i logiczny

™

dostęp do portów 

™diagnostycznych i 

™

konfiguracyjnych

™powinien być kontrolowany

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 25 z 44

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

ƒ

Zdalne porty istnieją w wielu komputerach i 
systemach komunikacyjnych

o

Są wykorzystywane przez służby serwisowe

ƒ

Należy je zabezpieczyć

o

Blokady z użyciem kluczy

o

Procedury zapewniające dostępność jedynie 

• Na podstawie umowy pomiędzy stronami

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

‰

A 11.4.5. Rozdzielanie sieci

™

Grupy usług informacyjnych, 

™

użytkowników i

™

systemów informatycznych

™

powinny być 

™

rozdzielane w sieciach

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

‰

Zabezpieczenia

ƒ

Odseparowane domeny logiczne

ƒ

Kontrolowanie ruchu pomiędzy domenami

ƒ

Zapory (firewall)

ƒ

Uwzględniać 

o

politykę kontroli dostępu i

o

koszt 

o

wydajność

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

‰

A 11.4.6 Kontrola połączeń sieciowych

™

We współużytkowanych sieciach 

™

szczególnie tych, które 

™

wykraczają poza granice organizacji, 

™

powinno się 

™

ograniczyć 

™

możliwość podłączenia się użytkowników, 

™

zgodnie polityką kontroli dostępu i 

™

wymaganiami aplikacji biznesowych

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 26 z 44

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

ƒ

poczta elektroniczna;

ƒ

jednokierunkowe przesyłanie plików;

ƒ

dwukierunkowe przesyłanie plików;

ƒ

dostęp interaktywny;

‰Zaleca się rozważenie dostępu do sieci w 

określonym czasie i dniu.

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

‰

A 11.4.7 Zabezpieczenia rutingu w sieciach 

™Powinno się 
™wdrożyć kontrolę rutingu w sieciach, 
™aby zapewnić, że 

™

połączenia pomiędzy komputerami i 

™

przepływ informacji 

™nie naruszają
ƒ polityki kontroli 
ƒ dostępu do aplikacji biznesowych.

11. Kontrola dostępu do systemu 

11.4 Kontrola dostępu do sieci

ƒ

Sprawdzanie adresów źródłowych i 

ƒ docelowych

ƒ

Translacja adresów sieciowych 

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

‰

Cel: Ochrona 

ƒ

przed 

ƒ

nieuprawnionym dostępem do

o

systemów informatycznych

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 27 z 44

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.1 Procedury bezpiecznego logowania się

™

Dostęp do 

™

systemów operacyjnych

™

powinien być kontrolowany

™

za pomocą

™

procedury bezpiecznego logowania się.

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

‰ Rejestrowanie w systemie:

ƒ blokuje wyświetlanie identyfikatorów systemu lub 

aplikacji 

ƒ wyświetla ogólne ostrzeżenie, 
ƒ zatwierdza jedynie kompletne informacje wejściowe
ƒ ogranicza liczbę nieudanych prób rejestrowania
ƒ wyświetla informacje o poprzednich rejestracjach po 

wejściu

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.2. Identyfikacja i uwierzytelnianie 

użytkowników

™

Wszyscy użytkownicy powinni mieć

ƒ

unikalne identyfikatory użytkownika (ID 
użytkownika) 

o

do swojego osobistego i 

o

wyłącznego użytku

o

oraz

ƒ

powinna być wybrana odpowiednia 

o

technika uwierzytelniania, 

• dla sprawdzenia

o

deklarowanej tożsamości użytkownika.

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

ƒ Identyfikator nie powinien wskazywać poziomu 

uprawnień

ƒ Tylko w wyjątkowych wypadkach można używać 

wspólnych identyfikatorów

ƒ Stosować 

o

Hasła, 

o

Techniki kryptograficzne, 

o

Protokoły uwierzytelnienia, 

o

Urządzenia, 

o

Techniki biometryczne

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 28 z 44

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.3 System zarządzania hasłami
™

Powinno się zapewnić, że 

™

systemy zarządzania hasłami 

™

opierają się

™

na interaktywnych mechanizmach

™

zapewniających hasła 

™

odpowiedniej jakości.

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

ƒ wymusza użycie indywidualnych haseł
ƒ wymusza wybór haseł odpowiedniej jakości;
ƒ wymusza zmiany haseł, 
ƒ prowadzi spis poprzednich haseł
ƒ blokuje wyświetlanie haseł
ƒ przechowuje hasła w formie zaszyfrowanej, 
ƒ po zainstalowaniu oprogramowania zmienia domyślne 

hasła dostawcy.

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.4. Użycie systemowych programów narzędziowych
™

Powinno się ograniczyć i 

™

ściśle kontrolować

™

używanie

™

systemowych programów narzędziowych, które 

™

umożliwią obejście 

™

zabezpieczeń systemu lub 

™

aplikacji

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

ƒ użycie procedur uwierzytelniania 
ƒ oddzielenie systemowych programów narzędziowych od 

aplikacji;

ƒ ograniczenie użycia systemowych programów 

narzędziowych

ƒ ograniczenie dostępności 
ƒ prowadzenie zapisów wszystkich użycia 
ƒ usunięcie wszelkiego niepotrzebnego oprogramowania

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 29 z 44

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.5 Zamykanie sesji po określonym czasie

ƒ Nieaktywne sesje 

o

powinny być 

o

zamykane 

ƒ po przekroczeniu zdefiniowanego czasu braku 

aktywności

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

ƒ Wyłączenie sprzętu powinno spowodować

o

Usunięcie zawartości ekranu

o

Zamknięcie

• Aplikacji
• Sesji sieciowej

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.6 Ograniczanie czasu trwania połączenia 

™

Dla zapewnienia 

™

dodatkowego 

™

bezpieczeństwa

™

aplikacjom o wysokim ryzyku 

™

należy ograniczać czas trwania połączenia.

11. Kontrola dostępu do systemu 

11.5 Kontrola dostępu do systemów operacyjnych

o

Zwłaszcza w miejscach poza kontrolą 

o

Używanie wcześniej wyznaczonych przedziałów 
czasowych

o

Ograniczenie pór połączeń

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 30 z 44

11. Kontrola dostępu do systemu 

11.6 Kontrola dostępu do aplikacji

‰

Cel Ochrona przed nieuprawnionym dostępem do 
informacji przechowywanej w aplikacjach

‰

A 11.6.1 Ograniczanie dostępu do informacji 

™

Dostęp użytkowników i 

™

personelu obsługi technicznej 

™

do informacji i 

™

aplikacji

™

powinien być

™

ograniczony 

™

zgodnie z zefiniowaną

™

polityką kontroli dostępu.

11. Kontrola dostępu do systemu 

11.6 Kontrola dostępu do aplikacji

o

wprowadzanie narzędzi dodatkowych np.w postaci 
menu 

o

ograniczanie wiedzy użytkowników 

o

kontrolowanie praw dostępu użytkowników, 

o

dane wyjściowe zawierają jedynie informacje przewidywane do 
dalszego użycia oraz, że są one wysyłane tylko uprawnionych 
urządzeń

o

okresowe przeglądy danych wyjściowych, 

o

usuwanie nadmiarowych informacje

11. Kontrola dostępu do systemu 

11.6 Kontrola dostępu do aplikacji

‰

A 11.6.2 Izolowanie systemów wrażliwych 
™

Systemy wrażliwe 

™

powinny mieć 

™

dedykowane (izolowanych)

™

środowiskach przetwarzania.

11. Kontrola dostępu do systemu 

11.6 Kontrola dostępu do aplikacji

ƒ określenie i udokumentowanie wrażliwości 

aplikacji 

ƒ aktywa współużytkowane gdy aplikacja 

uruchomiona we wspólnym środowisku, 

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 31 z 44

11. Kontrola dostępu do systemu

11.7 Przetwarzanie mobilne i praca na odległość

‰

Cel: Zapewnienie bezpieczeństwa 

ƒ

informacji przy przetwarzaniu mobilnym i

ƒ

pracy na odległość

‰

A 11.7.1. Przetwarzanie i komunikacja mobilna

™ Powinno się wprowadzić
™ formalną politykę oraz 

™

zastosować odpowiednie zabezpieczenia

™ w celu ochrony

o

przed ryzykiem wynikającym 

ƒ z użycia przetwarzania mobilnego i 
ƒ środków komunikacji mobilnej.

11. Kontrola dostępu do systemu

11.7 Przetwarzanie mobilne i praca na odległość

ƒ Zawiera: 

o

ochronę fizyczna, 

o

używanie w miejscach publicznych;

o

zdalny dostęp do informacji biznesowych za 
pośrednictwem sieci publicznej;

o

zabezpieczenia przed kradzieżą.

11. Kontrola dostępu do systemu

11.7 Przetwarzanie mobilne i praca na odległość

‰

A 11.7.2. Praca na odległość
™

Powinno się opracować politykę, 

™

plany operacyjne i 

™

procedury dla czynności 

™

wykonywanych w ramach 

™

pracy na odległość.

11. Kontrola dostępu do systemu

11.7 Przetwarzanie mobilne i praca na odległość

o

rzeczywiste bezpieczeństwo fizyczne miejsca pracy

o

wymagania bezpieczeństwa dotyczące łączności

o

zagrożenie nieuprawnionego dostępu

o

zapewnienie odpowiedniego sprzętu komputerowego i 
telekomunikacyjnego.

o

określenie dozwolonych prac, godzin pracy i aplikacji

o

zapewnienie pomocy technicznej 

o

kopie zapasowe i ciągłości działalności biznesowej;

o

audyt i monitorowanie bezpieczeństwa;

o

unieważnienie uprawnień, 

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 32 z 44

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych

12.1 Wymagania 

bezpieczeństwa systemów informacyjnych

‰

Cel: Zapewnienie, że bezwieczeństwo jest integralną 
częścią systemów informacyjnych

‰

A 12.1.1. Analiza i opis wymagań bezpieczeństwa

™

Deklaracje wymagań biznesowych

™

dotyczących nowych systemów lub 

™

rozszerzeń dla istniejących systemów 

™

powinny uwzględniać

™

wymagania dotyczące zabezpieczeń

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych

12.1 Wymagania 

bezpieczeństwa systemów informacyjnych

o

wprowadzenie oceny pakietów oprogramowania dla aplikacji 
biznesowych;

o

wprowadzanie zabezpieczeń na etapie projektowania

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych

12.1 

Poprawne przetwarzanie w aplikacjach

‰

Cel: Ochrona przed 

ƒ

błędami, 

ƒ

utratą, nieuprawnioną modyfikacją lub nadużyciem informacji
w aplikacjach

‰

A 12.2.1 Potwierdzanie ważności danych wejściowych 

™

Powinno się sprawdzać 

™

poprawność danych wejściowych

™

do aplikacji 

™

w celu zapewnienia, że są

™

poprawne i 

™

właściwe.

12. Pozyskiwanie, rozwój i utrzymanie 

systemu 

12.2 Bezpieczeństwo systemów aplikacji

‰ Ogólne zasady: 

ƒ podwójne wprowadzanie

o

lub

ƒ inny sposób sprawdzania 
ƒ okresowe przeglądy zawartości 
ƒ przeglądy papierowych kopii 
ƒ procedury reagowania na błędy potwierdzania;
ƒ procedury sprawdzania wiarygodności danych wejściowych;
ƒ określanie zakresu odpowiedzialności całego personelu

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 33 z 44

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych 

12.2 

Bezpieczeństwo systemów aplikacji

‰

A 12.2.2 Kontrola wewnętrznego przetwarzania 
™

W celu wykrywania 

™

uszkodzeń informacji 

™

w wyniku 

™

błędów przetwarzania  lub 

™

działań umyślnych, 

™

powinno się wprowadzić 

™

systemach 

™

potwierdzanie poprawności przetwarzania.

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych 

12.2 Bezpieczeństwo systemów aplikacji

o Rozważenie możliwości zmian w danych

o

użycie programów do przywracania stanu sprzed awarii 

o

środki kontroli sesji lub zadań wsadowych, 

o

środki kontroli bilansów, 

o

potwierdzanie ważności danych wygenerowanych przez system;

o

środki sprawdzania integralności danych;

o

generowanie kontrolnych sum końcowych rekordów i plików;

o

zapewnienie, że aplikacje są uruchamiane  w odpowiednim czasie;

o

zapewnienie,  że programy są uruchamiane w odpowiedniej 
kolejności,

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych 

12.2 Bezpieczeństwo systemów aplikacji

‰

A 12.2.3 Integralność wiadomości

™Powinno się określić
™wymagania
™zapewnienia w aplikacjach autentyczności i 
™ochrony integralności wiadomości oraz 
™powinno się określić 
™określić i 
™wdrożyć
™odpowiednie zabezpieczenia

ƒ Celowe jest prowadzenie analizy ryzyka

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych 

12.2 Bezpieczeństwo systemów aplikacji

‰

A 12.2.4. Potwierdzanie poprawności danych 

wyjściowych

™

Dane wyjściowe z aplikacji, 

™

powinny podlegać 

™

sprawdzeniu poprawności 

™

w celu zapewnienia, że 

™

przetwarzanie przechowywanej informacji 

™

jest właściwe i 

™

odpowiednie do okolicznościach.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 34 z 44

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych 

12.2 Bezpieczeństwo systemów aplikacji

o

Sprawdzenie czy dane wyjściowe są możliwe do przyjęcia

o

Uzgadnianie liczb kontrolnych

o

Zapewnienie informacji niezbędnej do sprawdzenia

o

odpowiedzi na testy 

o

Zakres odpowiedzialności personelu

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych 

12.3 Zabezpieczenia 

kryptograficzne

‰

Cel: Ochrona poufności, autentyczności i 
integralności informacji

‰

A 12.3.1 Polityka korzystania z  zabezpieczeń
kryptograficznych 
™

Powinno się opracować i 

™

wdrożyć

™

politykę korzystania z zabezpieczeń
kryptograficznych 

™

w celu ochrony informacji.

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych 

12.3 Zabezpieczenia 

kryptograficzne

o

Stanowisko kierownictwa

o

strategia zarządzania kluczami, 

o

funkcje i zakres odpowiedzialności

o

określenie właściwego poziomu ochrony 
kryptograficznej;

o

Zastosowane standardy

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych

12.3 Zabezpieczenia 

kryptograficzne

‰

A 12.3.2 Zarządzanie kluczami
™

Powinno się 

™

wdrożyć 

™

zarządzanie kluczami kryptograficznymi

™

którr umożliwi organizacji

™

korzystanie z technik kryptograficznych.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 35 z 44

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych

12.3 Zabezpieczenia 

kryptograficzne

o

uwzględnienie cyklu życia kluczy kryptograficznych 

o

przechowywanie kluczy

o

metody uzyskiwania dostępu do nich przez uprawnionych 
użytkowników; ;

o

postępowanie z kluczami, 

o

odtwarzanie kluczy, 

o

archiwizacja kluczy, 

o

zapisywanie i audyt czynności

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych

12.4 Bezpieczeństwo plików systemowych

‰

Cel:

ƒ

Zapewnianie bezpieczeństwa plików systemowych

‰

A 12.4.1 Kontrola eksploatowanego oprogramowania
™

Powinno się 

™

wprowadzić 

™

procedury 

™

kontroli instalacji oprogramowania 

™

w eksploatowanych systemach.

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych

12.4 Bezpieczeństwo plików systemowych

o

uaktualnianie bibliotek eksploatowanego oprogramowania 

o

przechowywanie w eksploatowanych systemach kodu 
wykonywalnego;

o

nie wprowadzać jeszcze nie zaakceptowanego kodu

o

dziennik audytu 

o

przechowanie poprzednich wersji oprogramowania 

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych 

12.4 Bezpieczeństwo plików systemowych

‰

A 12.4.2 Ochrona systemowych danych testowych
™

Dane testowe 

™

powinny być starannie 

™

dobrane, 

™

chronione i 

™

kontrolowane.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 36 z 44

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych 

12.4 Bezpieczeństwo plików systemowych

o

procedury kontroli dostępu w testowych systemach 
aplikacji;

o

pozwolenie na kopiowanie danych rzeczywistych do 
testowych systemów aplikacji;

o

po zakończeniu testowania dane rzeczywiste
wykasować;

o

odnotowanie informacji o kopiowaniu i korzystaniu z 
rzeczywistych danych, 

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych 

12.4 Bezpieczeństwo plików systemowych

‰

A 12.4.3 Kontrola dostępu do kodu źródłowego

™

Dostęp do 

™

kodów źródłowych 

™

powinien być 

™

ograniczony

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych 

12.4 Bezpieczeństwo plików systemowych

ƒ nie przechowywać w eksploatowanych systemach;
ƒ wyznaczenie osoby odpowiedzialnej (bibliotekarza);
ƒ rozdzielenie bibliotek projektów rozwojowych i 

eksploatacji;

ƒ stare wersje programów źródłowych archiwizować, 
ƒ czynności poddawać ścisłym procedurom kontroli zmian;

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi

informatycznej

‰

Cel:  Utrzymywanie bezpieczeństwa informacji oraz 
oprogramowania aplikacyjnego.

‰

A 12.5.1 Procedury kontroli zmian 

™

Powinno się

™

nadzorować 

™

wprowadzanie zmian 

™

za pomocą

™

formalnych procedur kontroli zmian.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 37 z 44

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi

informatycznej

o Integrowanie procedur kontroli aplikacji i zmian: 

o

wnioski o zmiany składane przez uprawnionych użytkowników;

o

przegląd zabezpieczeń i procedur zachowania integralności, 

o

identyfikowanie wszystkich obiektów, które wymagają
poprawek;

12. Pozyskiwanie, rozwój i utrzymanie systemów 

informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej

‰

A 12.5.2 Techniczny przegląd aplikacji po zmianach w systemie 
operacyjnym 
™

Po dokonaniu zmian w 

ƒ

systemie operacyjnym

ƒ

powinno się przeprowadzić przegląd 

o

krytycznych aplikacji biznesowych i 

o

przetestować je tak,

• uzyskać pewność że 

o

zmiany nie miały niekorzystnego 

o

wpływu na 

• działalność organizacji lub
• bezpieczeństwo

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych 12.5 Bezpieczeństwo w 

procesach rozwojowych i obsługi informatycznej

o

przegląd zabezpieczeń w celu zapewnienia, że nie zostały 

naruszone;

o

powiadomienie o zmianach w systemie operacyjnym 

o

wykonanie właściwych przeglądów przed wprowadzeniem 
zmian;

o

zmiany w planach ciągłości działania.

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi

informatycznej

‰

A 12.5.3 Ograniczenia dotyczące zmian w pakietach 
oprogramowania 
™ Zmiany w oprogramowania 
™ powinny być minimalne,  
™ ograniczane do 
™ zmian niezbędnych

o

a wszelkie zmiany 

o

powinny być ściśle nadzorowane.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 38 z 44

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i 

obsługi informatycznej

ƒ analiza ryzyka naruszenia

o

zabezpieczeń i 

o

procesów ochrony integralności;

ƒ zgoda  dostawcy
ƒ wpływ na przejęcie przez instytucję odpowiedzialności
ƒ Także zalecenia 12.5.4.

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi

informatycznej

‰

A 12.5.4 Wyciek informacji

™

Powinno się 

™

przeciwdziałać 

™

możliwości 

™

wycieku informacji

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i 

obsługi informatycznej

o

zakup programów tylko z wiarygodnych źródeł;

o

zakup programów w kodzie źródłowym, 

o

używanie produktów, które zostały poddane ocenie;

o

sprawdzanie całego kodu źródłowego

o

kontrola dostępu i modyfikacji po zainstalowaniu kodu;

o

sprawdzony, zaufany personel 

12. Pozyskiwanie, rozwój i utrzymanie 

systemów informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi

informatycznej

‰

A 12.5.5. Prace rozwojowe nad oprogramowaniem powierzone 
zewnętrznej firmie 

™Organizacja powinna 
™nadzorować i 
™monitorować 
™prace rozwojowe

™

nad oprogramowaniem.

™powierzone firmie zewnętrznej

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 39 z 44

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i 

obsługi informatycznej

o

Sprawa licencji, 

o własność kodu  
o prawa własności intelektualnej;

o

certyfikacja jakości i dokładności prac;

o

zastrzeżenia powiernictwa kodu źródłowego 

o

prawa dostępu w celu przeprowadzenia audytu 

o

testowanie przed instalacją

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych

12.5 Zarządzanie podatnościami technicznymi

‰

Cel: Redukcja ryzyk 

o

wynikających 

ƒ z wykorzystania 
ƒ opublikowanych 
ƒ podatności technicznych.

12. Pozyskiwanie, rozwój i 

utrzymanie systemów 

informacyjnych

12.5 Zarządzanie podatnościami technicznymi

‰

12.6.1 Nadzór nad podatnościami technicznymi

™Powinno się uzyskiwać

™

na czas 

™

informacje o technicznych podatnościach 

™

wykorzystywanych systemów informacyjnych, 

™

szacować stopień narażenia organizacji 

™

na podatności i 

™

wdrożyć odpowiednie środków

™

adekwatne do  

™

związanych z nimi ryzyk.

12. Pozyskiwanie, rozwój i 

utrzymanie systemu

12.5 Zarządzanie podatnościami technicznymi

‰

Aktualny i pełny spis aktywów (patrz 7.1) jest wymagany do 

efektywnego zarządzania podatnościami technicznymi. 

‰

Do zarządzania podatnościami technicznymi są potrzebne 

określone informacje, takie jak:

ƒ dostawcy oprogramowania, numery wersji, aktualny stan wdrożenia

‰

Zaleca się, aby w porę podjęte były odpowiednie działania w 

odpowiedzi na identyfikację potencjalnej podatności 

technicznej. 

‰

W celu ustanowienia efektywnego procesu zarządzania 

podatnościami technicznymi, zaleca się postępowanie 

zgodnie z następującymi zaleceniami:

ƒ określenie i ustanowienie przez organizację odpowiednich ról i 

odpowiedzialności związanych z procesem zarządzania 

podatnościami technicznymi, 

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 40 z 44

12. Pozyskiwanie, rozwój i 

utrzymanie systemu

12.5 Zarządzanie podatnościami technicznymi

ƒ w tym 

o

monitorowania podatności, 

o

szacowania ryzyka związanego z nimi, 

o

wprowadzania poprawek, 

o

śledzenia aktywów i 

o

wszelkich wymaganych odpowiedzialności koordynacyjnych;

ƒ wykorzystanie zasobów informacyjnych do zidentyfikowania 

odpowiednich podatności technicznych

o

oraz utrzymania świadomości ich istnienia w odniesieniu do 

oprogramowania i innych technologii

ƒ określenie harmonogramu działań podejmowanych w przypadku 

pojawienia się powiadomień

ƒ w momencie zidentyfikowania potencjalnej podatności technicznej, 

określenie ryzyk z nią związanych i odpowiednich działań

12. Pozyskiwanie, rozwój i 

utrzymanie systemu

12.5 Zarządzanie podatnościami technicznymi

ƒ w zależności od stopnia pilności, z jaką należy zająć się

potencjalną podatnością techniczną,

ƒ prowadzenie działań zgodnie z zabezpieczeniami 

związanymi z zarządzaniem zmianami (patrz 12.5.1)

ƒ procedurami reakcji na incydent naruszenia 

bezpieczeństwa (patrz 13.2);

ƒ jeśli są dostępne poprawki, to należy ustosunkować się do 

ryzyk związanych z ich wprowadzeniem

12. Pozyskiwanie, rozwój i 

utrzymanie systemu

12.5 Zarządzanie podatnościami technicznymi

ƒ testowanie i ocena przed instalacją tak, aby zapewnić, że poprawki 

są skuteczne i nie spowodują niedopuszczalnych efektów ubocznych;

ƒ jeśli żadna poprawka nie jest dostępna, to należy rozważyć inne 

zabezpieczenia takie, jak:

o

wyłączenie usług lub funkcji związanych z podatnością;

o

zaadaptowanie lub dodanie zabezpieczeń kontroli dostępu,

o

wzmocnienie monitorowania w celu wykrycia i zablokowania 

faktycznego ataku;

o

podniesienie świadomości w zakresie tej podatności;

ƒ utrzymywanie dziennika audytu dla wszystkich podjętych procedur;
ƒ zapewnienie skuteczności i efektywności procesu za pomocą

regularnego monitorowania i oceny;

ƒ w pierwszej kolejności należy zajmować się systemami narażonymi 

na wysokie ryzyko

15 Zgodność (8)

15.2 Zgodność z  politykami bezpieczeństwa i standardami oraz 

zgodność techniczna

Cel: Zapewnianie zgodności systemów 
z politykami bezpieczeństwa i 
standardami bezpieczeństwa. 

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 41 z 44

15. Zgodność (9)

15.2 Zgodność z  politykami bezpieczeństwa i standardami oraz zgodność

techniczna

‰

A.15.2.1. Zgodność z polityką bezpieczeństwa i standardami

™

K

ierownicy powinni zapewnić, że wszystkie 

™ procedury bezpieczeństwa obszaru, 

™

za który są odpowiedzialni, są

™ wykonywane prawidłowo, 
™ tak aby osiągnąć zgodność z politykami bezpieczeństwa

™

i standardami

15. Zgodność (9)

15.2 Zgodność z  politykami bezpieczeństwa i standardami oraz 

zgodność techniczna

‰

Zaleca się, aby 

ƒ kierownicy 
ƒ regularnie przeglądali 
ƒ zgodność przetwarzania informacji 

o

w obszarze, za który są odpowiedzialni, 

ƒ z odpowiednimi politykami bezpieczeństwa 

o

i standardami oraz 

ƒ innymi wymaganiami bezpieczeństwa

15. Zgodność (10)

15.2 Zgodność z  politykami bezpieczeństwa i standardami oraz 

zgodność techniczna

‰

Jeśli w wyniku przeglądu zostaną wykryte jakiekolwiek 

niezgodności, to 

ƒ zaleca się, aby kierownictwo:

o

określiło przyczyny niezgodności;

o

oceniło potrzebę działań zapewniających,  że niezgodność nie wystąpi 

ponownie;

o

określiło i wprowadziło odpowiednie działania korygujące;

o

poddało przeglądowi podjęte działania korygujące.

‰

Zaleca się rejestrowanie wyników 

ƒ przeglądów i 
ƒ działań korygujących podejmowanych przez kierownictwo
ƒ Oraz utrzymywanie rejestrów tych zdarzeń. 

15. Zgodność (11)

15.2 Zgodność z  politykami bezpieczeństwa i standardami oraz 

zgodność techniczna

‰

Zaleca się, aby kierownictwo udostępniało 

wyniki przeglądów osobom 
przeprowadzającym niezależne przeglądy 
(patrz 6.1.8), 

ƒ jeśli niezależny przegląd jest przeprowadzany w 

obszarze, za który kierownictwo jest 
odpowiedzialne

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 42 z 44

15. Zgodność (11)

15.2 Zgodność z  politykami bezpieczeństwa i standardami oraz 

zgodność techniczna

‰

A.15.2.2. Sprawdzanie zgodności technicznej

™

Systemy informacyjne 

™

powinny być regularnie 

™

sprawdzane 

™

pod kątem zgodności 

™

ze standardami wdrażania zabezpieczeń.

15. Zgodność (11)

15.2 Zgodność z  politykami bezpieczeństwa i standardami oraz 

zgodność techniczna

‰

Sprawdzanie technicznej zgodności wymaga 

analizy eksploatowanych systemów. 

ƒ wymaga technicznej pomocy specjalistów

którzy 

prowadzą je:

o

ręcznie 

• Przez doświadczonego inżyniera systemowego lub 

o

Za pomocą zautomatyzowany pakietu oprogramowania, 

• generującego raport 
• celem dokonania późniejszej interpretacji 
• przez technicznego specjalistę.

15 Zgodność (13)

15.2 Przeglądy polityki bezpieczeństwa i 

zgodności technicznej

‰

Kontrola zgodności obejmuje 

ƒ test penetracyjny, 

o

przeprowadzony przez niezależnych ekspertów. 

ƒ przydatny do 

o

wykrywania podatności oraz 

o

sprawdzania efektywności zabezpieczeń

ƒ Należy postępować ostrożnie w razie pomyślnego dokonania 

penetracji,

o

bo może to prowadzić do poważnego naruszenia bezpieczeństwa systemu

o

I nieumyślnego wykorzystania innych jego podatności

. 

‰

Kontrole takie powinny być prowadzone 

ƒ jedynie przez lub 
ƒ pod nadzorem kompetentnych, uprawnionych osób.

15 Zgodność (14)

15.3

Rozważania dotyczące audytu systemów informacyjnych

Cel: Maksymalizowanie skuteczności
procesu audytu systemu informacyjnego i 
minimalizowanie 
zakłóceń z niego wynikających lub na niego wpływających

‰

A. 15.3.1. Zabezpieczenia audytu systemu informacyjnego

™

Aby minimalizować ryzyka zakłóceń procesów biznesowych, 

™

powinno się starannie planować i uzgadniać 

™

wymagania audytu oraz 

™

działania związane 

™

ze sprawdzaniem eksploatowanych systemów

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 43 z 44

15. Zgodność (14)

15.3 Rozważania dotyczące audytu systemów informacyjnych

ƒ uzgadnianie i kontrolowanie zakresu sprawdzenia;
ƒ ograniczenie kontroli dostępu do oprogramowania i danych jedynie w 

trybie odczytu;

ƒ zasoby informacyjne niezbędne do prowadzenia kontroli 

wyraźnie określane i udostępniane; 

ƒ Monitorowanie i zapisywanie w dziennikach zdarzeń

każdego dostępu w celu umożliwienia odwołań.

ƒ Dokumentowanie wszystkich procedur, wymagań i 

obowiązków.

15 Zgodność (15)

15.3 Rozważania dotyczące audytu systemów informacyjnych

‰

15.3.2. Ochrona narzędzi audytu systemów informacyjnych

™

Dostęp do narzędzi audytu systemu, 

™

powinien być chroniony

™

aby zapobiec możliwym nadużyciom lub 

™

naruszeniu bezpieczeństwa,

15 Zgodność (16)

15.3 Rozważania dotyczące audytu systemów informacyjnych

‰

Narzędzia takie powinny być

ƒ izolowane od eksploatowanych systemów i 
ƒ systemów wykorzystywanych do prowadzenia prac 

rozwojowych oraz 

ƒ nie powinny być przechowywane 

o

w bibliotekach oprogramowania lub 

o

obszarach dostępnych publicznie, 

o

chyba  że zostanie zapewniony odpowiedni poziom dodatkowej 
ochrony.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 44 z 44