Elementy wymagań Zarządzania

bezpieczeństwem informacji wg

ISO/IEC 27002

aspekty informatyczne

dr inż. Bolesław Szomański

Zakład Systemów Zapewniania Jakości

Instytut Organizacji Systemów Produkcyjnych

Wydział Inżynierii Produkcji

Politechnika Warszawska

b.szomanski@wip.pw.edu.pl

10. Zarządzanie systemami i

sieciami

10.1. Procedury eksploatacji oraz zakresy

odpowiedzialności

A 10.1

Cel

Zapewnianie prawidłowej i
bezpiecznej eksploatacji
środków do przetwarzania informacji

A 10.1.1. Dokumentowanie procedur eksploatacyjnych
™

Procedury eksploatacyjne,

™

powinny być dokumentowane,

™

utrzymywane i

™

dostępne dla wszystkich użytkowników którzy

™

ich potrzebują

.

10. Zarządzanie systemami i sieciami

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

ƒ przetwarzanie i postępowanie z informacją;
ƒ szeregowanie zadań;
ƒ postępowanie w przypadku błędów
ƒ zapewnienie wsparcia techniczne;
ƒ postępowanie z danymi wyjściowymi;
ƒ ponowne uruchamiania i odtwarzania systemu;
ƒ uruchamianie i wyłączanie komputerów,
ƒ tworzenie kopii zapasowych;
ƒ konserwacja sprzętu,
ƒ zarządzanie pomieszczeniami komputerowymi
ƒ postępowaniem z korespondencją

10. Zarządzanie systemami i sieciami

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

‰

A.10.1.2. Zarządzanie zmianami

™

Zmiany w środkach przetwarzania informacji i

™

systemach

™

powinny być nadzorowane .

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 1 z 44

10. Zarządzanie systemami i

sieciami

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

‰

zakresy obowiązków kierownictwa w sprawie kontroli

zmian

‰

Szczegółowe wytyczne

:

ƒ identyfikacja i zapis znaczących zmian;
ƒ Planowanie i testowanie zmian
ƒ ocena potencjalnych następstw takich zmian;
ƒ formalna procedura uzyskania zgody na proponowane zmiany;
ƒ przekazywanie szczegółów zmian do wszystkich właściwych osób;
ƒ procedury określające odpowiedzialność za przerwanie zmiany

‰

Po wprowadzaniu nieudanych zmian konieczne jest

przywrócenie poprzedniego stanu.

10. Zarządzanie systemami i sieciami

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

‰

A 10.1.3 Podział obowiązków

™

Obowiązki i

™

zakresy odpowiedzialności

™

powinny być rozdzielone,

™

w celu ograniczenia możliwości

™

nieuprawnionej

™

lub nieumyślnej modyfikacji

™

lub niewłaściwego użycia

™

aktywów organizacji

10. Zarządzanie systemami i

sieciami

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

‰Nawet w małych firmach;
‰Inne zabezpieczenia np.

ƒ ślad audytu,
ƒ monitoring

‰Zasady rozdzielania czynności o dużym ryzyku

zmowy

10. Zarządzanie systemami i sieciami

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

‰

A 10.1.4 Oddzielanie urządzeń przeznaczonych do badań
rozwojowych, urządzeń testowych i eksploatacyjnych

™

Urządzania rozwojowe,

™

testowe i

™

eksploatacyjne

™

powinny być oddzielone

™

aby zredukować ryzyka

™

niautoryzowanego dostępu

™

lub zmian w systemach eksploatacyjnych.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 2 z 44

10. Zarządzanie systemami i

sieciami

10.1. Procedury eksploatacji oraz zakresy odpowiedzialności

o Określenie i udokumentowanie zasad przenoszenia

oprogramowania

o Uruchamianie w różnych systemach, komputerach, procesorach,

katalogach i domenach

o odwzorowanie środowiska produkcyjnego na testowe
o ograniczony dostęp pracowników działu rozwojowego i testerów

do eksploatowanego systemu

o uniemożliwienie dostępu do systemowych programów

użytkowych w środowisku eksploatowanym

o Ograniczenie kopiowania wrażliwych danych do środowisk

testowych

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Cel

ƒ Wdrożenie i

o

utrzymanie odpowiedniego poziomu bezpieczeństwa informacji i

o

dostaw usług zgodnie z

ƒ umowami serwisowymi

o

zawartymi ze stronami trzecimi.

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

A.10.2.1 Dostarczanie usług

™ Powinno się zapewnić że

o

zabezpieczenia,

o

definicje usług oraz

o

poziomy dostaw

ƒ zawarte w umowach serwisowych

o

ze stronami trzecimi

ƒ są

o

wdrożone,

o

wykonywane i

o

utrzymywane

• przez stronę trzecią.

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się,

ƒ aby dostarczanie usług przez stronę trzecią

o

obejmowało uzgodnione

ƒ zabezpieczenia,
ƒ Definicje usług oraz
ƒ aspekty zarządzania usługami.

‰

W przypadku umów zlecenia na zewnątrz,

ƒ zaleca się opracowanie odpowiednich planów

o

(przeniesienia informacji,

o

środków służących do przetwarzania informacji oraz

o

wszystkich innych niezbędnych rzeczy) oraz

ƒ zapewnienie odpowiedniego poziomu bezpieczeństwa w okresie

przejściowym.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 3 z 44

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się, aby organizacja

ƒ zapewniła, że

o

strona trzecia

ƒ utrzymuje odpowiednie możliwości serwisowe
ƒ wraz z planami utrzymania uzgodnionych poziomów

ciągłości usług

o

na wypadek większej awarii lub

o

katastrofy

• (patrz 14.1).

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

A. 10.2.2 Monitorowanie i przegląd usług strony trzeciej

‰

Usługi,

ƒ raporty i
ƒ zapisy
ƒ dostarczane przez stronę trzecią

™

powinny być

ƒ regularnie monitorowane i
ƒ przeglądane

• oraz

ƒ regularnie audowane.

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się

ƒ monitorowanie i
ƒ przeglądy usług

• dostarczanych przez stronę trzecią

o

w celu sprawdzenia

o

zgodności z

o

zapisami i

o

warunkami bezpieczeństwa informacji

• zawartymi w umowach i

ƒ Właściwego zarządzania
ƒ problemami i
ƒ incydentami naruszenia bezpieczeństwa informacji.

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się

ƒ stworzenie relacji

o

między organizacją a

o

stroną trzecią oraz

ƒ procesu zarządzania usługą w celu:

o

monitorowania zgodności poziomów wykonania usług z umowami;

ƒ przeglądania raportów usługowych dostarczanych przez stronę

trzecią oraz

ƒ organizowania, zgodnie z umowami,

o

regularnych spotkań dotyczących rozwoju usług;

ƒ powiadamiania o incydentach naruszenia bezpieczeństwa oraz
ƒ przeglądania tych informacji

o

przez stronę trzecią i

o

organizację

• zgodnie z zapisami umów oraz innymi zaleceniami i procedurami;

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 4 z 44

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

ƒ przeglądu śladów audytowych oraz

o

dzienników zdarzeń,

o

problemów operacyjnych,

o

awarii,

o

śledzenia

o

błędów i

o

zakłóceń dostarczanych przez stronę trzecią usług;

ƒ rozwiązywania i zarządzania wszelkimi

zidentyfikowanymi problemami.

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się przypisanie odpowiedzialności za zarządzanie
relacjami ze stroną trzecią

ƒ I odpowiednio u strony trzeciej

‰

Zapewnienie umiejętności i zasobów do monitoriwania

ƒ W przypadku braków odpowiednie działania

‰

Zalecana

ƒ wystarczająca całościowa kontrola aspektów bezpieczeństwa u

strony trzeciej i

ƒ wgląd w działania bezpieczeństwa

‰

Uwaga nie można delegować odpowiedzialności

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

A10.2.3 Zarządzanie zmianami usług strony trzeciej

™ Zmiany w dostarczaniu usług,

o

włączając w to

o

utrzymanie i

o

doskonalenie istniejących

• polityk bezpieczeństwa,
• procedur i
• zabezpieczeń,

ƒ powinny być zarządzane z
ƒ uwzględnieniem krytyczności związanych z tym

o

systemów i procesów biznesowych oraz

ƒ ponownego szacowania ryzyk.

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

‰

Zaleca się, aby proces zarządzania zmianami usług

strony trzeciej brał pod uwagę:

ƒ zmiany wprowadzane przez organizację w celu:

o

wprowadzenia udoskonaleń w aktualnie oferowanych usługach;

o

opracowania nowych aplikacji i systemów;

o

dokonania modyfikacji i uaktualnień polityk i procedur
bezpieczeństwa organizacji;

o

wdrożenia nowych zabezpieczeń

• rozwiązujących incydenty naruszenia bezpieczeństwa informacji
• oraz podnoszące poziom bezpieczeństwa;

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 5 z 44

10. Zarządzanie systemami i

sieciami

10.2 Zarządzanie usługami strony trzeciej

ƒ zmiany w usługach strony trzeciej w celu:

o

zmiany i udoskonalenia w sieciach;

o

wykorzystania nowych technologii;

o

przystosowania nowych produktów lub ich wersji;

o

wprowadzenia nowych narzędzi do prac rozwojowych i nowych
środowisk;

o

zmiany fizycznej lokalizacji usług;

o

zmiany dostawców.

10. Zarządzanie systemami i sieciami

10.3 Planowanie i odbiór systemu

‰

A.10.3.Cel :

ƒ

Minimalizowanie ryzyka awarii systemów

‰

A 10.3.1 Zarządzanie pojemnością zdolnością
™

Wykorzystanie zasobów

™

powinno być monitorowane i

™

dostrajane

™

oraz

™

powinno się przewidywać,

o

Przyszłą pojemność systemów

o

aby zapewnić ich właściwą wydajność

10. Zarządzanie systemami i

sieciami

10.3 Planowanie i odbiór systemu

ƒ koszty i czas zwiększania pojemności w przypadku

komputerów klasy „mainframe”;

ƒ wyprzedzające identyfikowanie kierunków rozwoju

systemu w celu unikania tzw. „wąskich gardeł”

10. Zarządzanie systemami i sieciami

10.3 Planowanie i odbiór systemu

‰

A 10.3.2 Odbiór systemu

™

Przed odbiorem systemu

o

Powinno się opracować kryteria odbioru

o

nowych systemów informatycznych,

o

uaktualnień i

o

nowych wersji

•

oraz

o

odpowiedni testów systemów

o

przeprowadzonych

o

w fazie rozwojowej

•

i

o

przed zaakceptowaniem

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 6 z 44

10. Zarządzanie systemami i

sieciami

10.3 Planowanie i odbiór systemu

ƒ kryteria odbioru:

o

wymagania wydajności i pojemności komputerów;

o

reakcja na sytuacje awaryjnych,

o

rutynowe procedury operacyjne;

o

wdrożone zabezpieczenia;

o

ciągłość prowadzonej działalności;

o

brak interferencji z innymi eksploatowanymi systemami;

o

analiza wpływu na ogólne bezpieczeństwo;

o

szkolenie w obsłudze i użytkowaniu

10. Zarządzanie systemami i

sieciami

10.4 Ochrona przed szkodliwym i mobilnym

kodem

A.10.4. Cel :

Ochrona integralności oprogramowania i informacji

‰

A 10.3.1.Zabezpieczenia przed szkodliwym oprogramowaniem

™

Zabezpieczenia zapobiegające,

™

wykrywające i usuwające kod złośliwy

™

oraz właściwe

™

procedury uświadamiania użytkowników

™

powinny być wdrożone

10. Zarządzanie systemami i sieciami

10.4 Ochrona przed szkodliwym i mobilnym oprogramowaniem

ƒ formalna polityka zgodności z licencjami;
ƒ formalna polityka ochrony przed otrzymywaniem plików

i oprogramowania z zewnątrz;

ƒ instalacja i regularne uaktualnianie oprogramowania

antywirusowego;

ƒ regularne przeglądy oprogramowania.
ƒ sprawdzanie przed użyciem wszelkich plików;
ƒ sprawdzanie załączników poczty elektronicznej.
ƒ procedury dotyczące ochrony antywirusowej
ƒ szkolenie i uświadamianie pracowników
ƒ zgłaszanie ataków wirusów;
ƒ ciągłość działania po atakach wirusów;
ƒ procedury weryfikacji informacji związanych ze szkodliwym

oprogramowaniem

10. Zarządzanie systemami i sieciami

10.4 Ochrona przed szkodliwym i mobilnym oprogramowaniem

‰

A 10.4.2 Zabezpieczenia przed kodem mobilnym

o

Jeśli korzystanie z kodu mobilnego jest

o

autoryzowane,

ƒ konfiguracja systemu powinna zapewnić,
ƒ aby uprawniony kod

o

działał zgodnie z jasno określoną polityką bezpieczeństwa,
natomiast

ƒ nieuprawniony kod

o

nie mógł się uruchomić.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 7 z 44

10. Zarządzanie systemami i sieciami

10.4 Ochrona przed szkodliwym i mobilnym oprogramowaniem

‰

zaleca się rozważenie następujących działań:

ƒ wykonywania kodu mobilnego w logicznie izolowanym środowisku;
ƒ blokowania korzystania z kodu mobilnego;
ƒ blokowania otrzymywania kodu mobilnego;
ƒ uruchomienia technicznych środków dostępnych na określonym

systemie i zapewniających zarządzanie kodem mobilnym;

ƒ zabezpieczenia zasobów dostępnych dla kodu mobilnego;
ƒ stosowania zabezpieczeń kryptograficznych w celu jednoznacznego

uwierzytelnienia kodu mobilnego.

10. Zarządzanie systemami i

sieciami

A 10.5

kopie zapasowe

A.10.5. Kopie zapasowe
Cel :

Zapewnienie
integralności i
dostępności informacji
oraz
środków przetwarzania informacji

10. Zarządzanie systemami i sieciami

10.5 Kopie zapasowe

‰

A 10.5.1 Zapasowe kopie informacji
™

Kopie zapasowe

™

informacji i

™

oprogramowania

™

powinny być regularnie

™

sporządzane i

™

testowane

™ zgodnie z
™ zaakceptowaną polityką

™

sporządzania kopii zapasowych

10. Zarządzanie systemami i

sieciami

10.5 Kopie zapasowe

Zalecenia:

ƒ rozdzielenie miejsc przechowywania kopii zapasowych;
ƒ trzy generacje kopii zapasowych;
ƒ zabezpieczenia fizyczne i środowiskowe,
ƒ regularne testowanie nośników kopii zapasowych;
ƒ regularne sprawdzanie i testowanie procedur

odtwarzania

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 8 z 44

10. Zarządzanie systemami i sieciami

10.6 Zarządzanie bezpieczeństwem sieci

A.10.6. Cel

Zapewnianie ochrony informacji w sieciach i ochrona
infrastruktury wspomagającej

‰

A 10.6.1. Zabezpieczenia sieci

™Sieci powinny być
™odpowiednio zarządzanie i
™nadzorowane,
™w celu ochrony przed zagrożeniami i
™utrzymania bezpieczeństwa systemów

™i aplikacji sieciowych,

™w tym przesyłanych informacji.

10. Zarządzanie systemami i

sieciami

10.6 Zarządzanie bezpieczeństwem sieci

ƒ rozdzielenie odpowiedzialności za działanie sieci i komputerów;
ƒ ustalenie procedur zarządzania zdalnymi urządzeniami,
ƒ specjalne zabezpieczenia danych przesyłanych przez sieci

publiczne

ƒ ścisła koordynacja działań związanych z zarządzaniem sieciami

.

10. Zarządzanie systemami i

sieciami

10.6 Zarządzanie bezpieczeństwem sieci

‰

A 10.6.2. Bezpieczeństwo usług sieciowych

™Wymagania odnoszące się do

o

cech bezpieczeństwa,

o

poziomu usług,

o

zarządzania wszystkimi usługami sieciowymi

ƒ powinny być określone i włączone

o

do odpowiednich umów na dostarczanie tych usług,

o

niezależnie od tego, czy są one realizowane

• własnymi środkami, czy
• zlecane na zewnątrz.

10. Zarządzanie systemami i sieciami

10.6 Zarządzanie bezpieczeństwem sieci

‰

Zaleca się sprawdzenie zdolności dostawcy usług sieciowych

ƒ do bezpiecznego utrzymania uzgodnionych usług,
ƒ regularne monitorowanie i
ƒ uzgodnienie prawa do przeprowadzania audytów.

‰

Zaleca się ustalenie środków bezpieczeństwa

ƒ dla poszczególnych usług,
ƒ takich jak wymagania co do cech bezpieczeństwa,
ƒ poziomu usług oraz wymagań odnoszących się do zarządzania.

‰

Zaleca się, aby organizacja upewniła się, że

ƒ dostawcy usług sieciowych stosują te środki.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 9 z 44

10. Zarządzanie systemami i

sieciami

10.7 Obsługa nośników

‰A.10.7.Cel:

‰Zapobieganie nieautoryzowanemu ujawnieniu,

‰

modyfikacji,

‰

usunięciu lub

‰

zniszczeniu aktywów oraz

‰przerwom w działalności biznesowej.

‰

A 10.7.1 Zarządzanie nośnikami wymiennymi

™ Powinno się stosować

ƒprocedury
ƒzarządzania nośnikami wymiennymi.

10. Zarządzanie systemami i

sieciami

10.7 Obsługa nośników

‰

Zalecenia w zakresie zarządzania nośnikami wymiennymi:

ƒ Niepotrzebną zawartość usunąć w sposób uniemożliwiający jej

odtworzenie;

ƒ usunięcie nośników z organizacji może wymagać autoryzacji oraz

rejestru dla potrzeb audytu

ƒ przechowywanie wszystkich nośników według zaleceń producenta;
ƒ dodatkowe przechowywanie w innym miejscu i inny sposób, gdy

dłużej niż zalecenia aby uniknąć utraty informacji

o

na skutek pogorszenia się nośnika;

ƒ rejestrowanie nośników wymiennych;
ƒ udostępnianie czytników nośników wymiennych tylko w

uzasadnionych biznesowo przypadkach.

‰

Zaleca się jasne udokumentowanie wszystkich procedur i

poziomów upoważnień.

10. Zarządzanie systemami i sieciami

10.7 Obsługa nośników

‰

A 10.7.2 Niszczenie nośników
™

Nośniki, które

™

nie będą już dłużej wykorzystywane,

™

powinny być

™

bezpiecznie niszczone

™

zgodnie z

™

formalnymi procedurami.

10. Zarządzanie systemami i

sieciami

10.7 Obsługa nośników

ƒ bezpieczne i pewne niszczenie nośników;
ƒ lista nośników podlegających formalnym procedurom bezpiecznego

niszczenia:

ƒ zniszczenie wszystkich nośników;
ƒ zlecanie niszczenia na zewnątrz;
ƒ prowadzenie rejestru usuwania wrażliwych nośników

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 10 z 44

10. Zarządzanie systemami i sieciami

10.7 Obsługa nośników

‰

A 10.7.3 Procedury postępowania z informacją
™ Powinny być wdrożone procedury
ƒ postępowania z informacjami oraz
ƒ ich przechowywania

o

w celu ochrony informacji przed

ƒ nieautoryzowanym

o

ujawnieniem lub

o

niewłaściwym użyciem.

10. Zarządzanie systemami i

sieciami

10.7 Obsługa nośników

postępowanie i oznaczanie wszystkich nośników;
ƒ ograniczenia dostępu;
ƒ spis uprawnionych odbiorców danych;
ƒ kompletność danych wejściowych i wyjściowych;
ƒ bezpieczne przechowywanie nośników
ƒ ograniczanie do minimum dystrybucji danych;
ƒ oznakowywanie wszystkich kopii danych
ƒ regularne przeglądanie list dystrybucyjnych

uprawnionych odbiorców

10. Zarządzanie systemami i sieciami

10.7 Obsługa nośników

‰

A 10.7.4 Bezpieczeństwo dokumentacji systemowej

™

Dokumentacja systemowa

™

powinna być chroniona

™

przed nieautoryzowanym dostępem.

10. Zarządzanie systemami i

sieciami

10.7 Obsługa nośników

ƒ przechowywanie w bezpieczny sposób;
ƒ ograniczenie listy osób mających dostęp;
ƒ ochrona w przypadku przechowywania w sieci

publicznej

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 11 z 44

10. Zarządzanie systemami i sieciami

10.8 Wymiana informacji

Cel:
Utrzymanie bezpieczeństwa informacji i oprogramowania
wymienianego wewnątrz organizacji oraz z każdym podmiotem
zewnętrznym.

‰

A 10.8.1. Polityki i procedury wymiany informacji

™Powinny być wdrożone

™formalne polityki wymiany informacji,
™procedury i
™zabezpieczenia

™w celu ochrony wymiany informacji
™przy wykorzystaniu wszystkich rodzajów

™środków komunikacji.

10. Zarządzanie systemami i sieciami

10.8 Wymiana informacji

‰

Zaleca się, aby procedury i zabezpieczenia stosowane w

przypadku wymiany informacji uwzględniały:

ƒ ochronę wymienianej informacji przed przechwyceniem,

kopiowaniem, modyfikacją, błędnym wyborem drogi i zniszczeniem;

ƒ wykrywanie i ochronę przed szkodliwym kodem, który może być

przesyłany za pomocą środków komunikacji elektronicznej (10.4.1);

ƒ ochronę wrażliwych informacji elektronicznych przekazywanych w

formie załączników;

ƒ polityki lub zalecenia określające akceptowalny sposób korzystania z

elektronicznych urządzeń komunikacyjnych (7.1.3);

ƒ korzystanie z komunikacji bezprzewodowej, z uwzględnieniem

szczególnych ryzyk z tym związanych;

ƒ zobowiązanie pracowników, wykonawców i wszystkich innych

użytkowników do nie działania na szkodę organizacji,

ƒ korzystanie z technik kryptograficznych, np. do ochrony poufności,

integralności i autentyczności informacji (12.3);

10. Zarządzanie systemami i sieciami

10.8 Wymiana informacji

ƒ zalecenia przechowywania i niszczenia korespondencji biznesowej,

włączając w to wiadomości, zgodnie z prawem oraz regulacjami

ƒ zakaz pozostawiania wrażliwych informacji przy urządzeniach

drukujących

ƒ zabezpieczenia i ograniczenia związane z możliwościami

przekazywaniem wiadomości za pomocą poczty elektronicznej

ƒ przypominanie personelowi, aby stosował odpowiednie środki

ostrożności, np. w trakcie rozmów telefonicznych

ƒ nie pozostawianie wiadomości zawierających wrażliwe informacje w

automatycznych sekretarkach,

ƒ przypominanie personelowi o problemach wynikających z

korzystania z faksów

10. Zarządzanie systemami i sieciami

10.8 Wymiana informacji

ƒ przypominanie personelowi, aby nie pozostawiał w żadnym

oprogramowaniu danych,

ƒ przypominanie personelowi, że faks-modemy i fotokopiarki mają

podręczną pamięć

‰

Zaleca się przypominanie personelowi, że nie należy
prowadzić poufnych rozmów w miejscach publicznych

ƒ otwartych biurach lub miejscach spotkań, które nie są wyposażone w

ściany dźwiękochłonne.

‰

Zaleca się, aby środki wymiany informacji spełniały
odpowiednie wymagania prawne (patrz rozdział 15).

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 12 z 44

10. Zarządzanie systemami i sieciami

10.8 Wymiana informacji

‰

10.8.2 Umowy wymiany informacji

™W celu wymiany
ƒ informacji i
ƒ oprogramowania

• pomiędzy

o

organizacją i

o

stronami zewnętrznymi

o

powinno się

o

zawierać umowy

• wymiany informacji.

10. Zarządzanie systemami i sieciami

10.8 Wymiana informacji

ƒ wrażliwość informacji biznesowych:
ƒ obowiązki kierownictwa w zakresie
ƒ procedury powiadamiania odbiorcy
ƒ minimalne standardy techniczne
ƒ zakresy odpowiedzialności w przypadku utraty danych
ƒ uzgodniony systemu oznaczeń
ƒ aspekty prawne
ƒ specjalne zabezpieczenia,

10. Zarządzanie systemami i sieciami

10.8 Wymiana informacji

‰

A 10.8.3 Transportowanie nośników fizycznych

™Nośniki zawierające informację
™Powinny być chronione
™przed nieautoryzowanym dostępem,

™

niewłaściwym

o

użyciem lub

ƒ uszkodzeniem w transporcie

o

poza fizyczne granice organizacji.

10. Zarządzanie systemami i

sieciami

10.8 Wymiana informacji

o

zasady korzystania z usług kurierskich;

o

stosowanie odpowiednich opakowań,

o

specjalne zabezpieczenia

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 13 z 44

10. Zarządzanie systemami i sieciami

10.8 Wymiana informacji

‰

A 10.8.4 Wiadomości elektroniczne
™ Informacja zawarta

™

w wiadomościach elektronicznych

™

powinna być odpowiednio zabezpieczona

10. Zarządzanie systemami i

sieciami

10.8 Wymiana informacji

ƒ wrażliwość wiadomości
ƒ wrażliwość na błędy,
ƒ skutki publikowania list personelu dostępnych z zewnątrz;
ƒ kontrolowanie zdalnego dostępu do kont pocztowych
ƒ ataki na pocztę elektroniczną,
ƒ ochrona załączników poczty elektronicznej;
ƒ w jakich przypadkach zakazywać używania poczty elektronicznej;
ƒ odpowiedzialności pracowników za narażenie wizerunku instytucji,
ƒ kryptografia
ƒ zachowywania wiadomości, ;
ƒ weryfikacji wiadomości bez ustalonego nadawcy

10. Zarządzanie systemami i sieciami

10.8 Wymiana informacji

‰

A 10.8.5. Biznesowe systemy informacyjne
™ Powinno się

™

opracować i wdrożyć

™ polityki i procedury
™ dla ochrony informacji

™

związanej z połączeniami

• pomiędzy

o

biznesowymi systemami informacyjnymi.

10. Zarządzanie systemami i

sieciami

10.8 Wymiana informacji

ƒ wrażliwość biznesowych systemów informacyjnych
ƒ wykluczenie kategorii wrażliwych informacji

biznesowych,

ƒ ograniczenie dostępu do informacji dotyczących

wybranych osób,;

ƒ kategorie pracowników mających zezwolenie
ƒ status użytkowników w książkach teleadresowych,
ƒ kopie zapasowe informacji;
ƒ wyjście z sytuacji awaryjnych

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 14 z 44

10. Zarządzanie systemami i sieciami

10.9 Usługi handlu elektronicznego

‰

Cel:

‰

Zapewnienie bezpieczeństwa

ƒ usług handlu elektronicznego

o

oraz ich

ƒ bezpiecznego używania

10. Zarządzanie systemami i sieciami

10.9 Usługi handlu elektronicznego

‰

A 10.9.1. Handel elektroniczny
™

Informacje związane z

™

handlem elektronicznym

™

powinny być chronione

™

przed działaniami oszukańczymi,

™

kwestionowaniem umów

™

oraz nieautoryzowanym

™

ujawnieniem lub

™

modyfikacją.

10. Zarządzanie systemami i

sieciami

10.9 Usługi handlu elektronicznego

o

Uwierzytelnienie.

o

Autoryzacja.

o

Procedury podpisywania umów i procedury przetargowe.

o

Informacje dotyczące cen.

o

Stopień zaufania do integralności cenników i rabatów

o

Realizacja zamówienia

o

Weryfikacja płatności

o

Regulowanie zobowiązań.

o

Zamówienia.

o

Odpowiedzialność w razie oszustwa

10. Zarządzanie systemami i

sieciami

10.9 Usługi handlu elektronicznego

‰

10.9.2 Transakcje on-line

™Informacje zawarte w transakcjach on-line
™powinny być chronione
™w celu zapobiegania przed

o

niekompletnością transmisji,

o

błędnym rutingiem,

o

nieautoryzowanym zmianom,

o

nieautoryzowanemu ujawnienieniu,

o

kopiowaniu lub

o

powtórzeniu.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 15 z 44

10. Zarządzanie systemami i

sieciami

10.9 Usługi handlu elektronicznego

‰

Zalecane uwzględnienie aspektów bezpieczeństwa w

transakcjach on-line takich jak:

ƒ stosowania podpisów elektronicznych przez wszystkie strony

zaangażowane w transakcję;

ƒ wszystkich aspektów transakcji,

o

ważności dokumentów uwierzytelniające,

o

poufności,

o

prywatności;

ƒ szyfrowania ścieżki komunikacji pomiędzy stronami;
ƒ wykorzystywania bezpiecznych protokołów do komunikacji

pomiędzy stronami;

ƒ zapewnienia, że szczegóły transakcji przechowywane są poza

publicznie dostępnym środowiskiem,

ƒ jeśli jest wykorzystywana zaufana strona trzecia to bezpieczeństwo

jest zintegrowane i włączone w cały procesie zarządzania

certyfikatami lub podpisami użytkowników.

10. Zarządzanie systemami i sieciami

10.9 Usługi handlu elektronicznego

‰

A 10.9.3 Informacje publicznie dostępne
™ Integralność informacji
™ umieszczanej na publicznie dostępnych systemach,
™ powinna być chroniona przed
™ nieuprawnioną modyfikacją.

10. Zarządzanie systemami i

sieciami

10.9 Usługi handlu elektronicznego

‰

Głównie chodzi o internet

ƒ Staranne zabezpieczenie zwłaszcza gdy pozwalają na

odpowiedź

ƒ Informacja

o

Zgodna z prawem

o

Integralna

o

Odpowiednio chroniona

ƒ Brak dostępu z zewnątrz do sieci wewnętrznej:

10. Zarządzanie systemami i

sieciami

10.10

Monitorowanie

‰

Cel:

‰

Wykrycie

‰

nieautoryzowanych

ƒ działań
ƒ związanych z
ƒ przetwarzaniem informacji.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 16 z 44

10. Zarządzanie systemami i

sieciami

10.10

Monitorowanie

‰

10.10.1 Dziennik audytu

™Dzienniki audytu

o

rejestrujące działania

ƒ użytkowników oraz
ƒ zdarzenia związane z bezpieczeństwem informacji
ƒ powinny być tworzone i

o

przechowywane przez

• uzgodniony czas dla

o

potrzeb przyszłych postępowań

• oraz

o

monitorowania kontroli dostępu.

10. Zarządzanie systemami i

sieciami

10.10

Monitorowanie

‰

Zaleca się aby dzienniki audytu, zawierały:

ƒ identyfikator użytkownika;
ƒ daty, czasy i szczegóły ważnych zdarzeń,
ƒ identyfikator lub lokalizację terminala;
ƒ rejestr pomyślnych i odrzuconych prób dostępu do systemu;
ƒ rejestr pomyślnych i odrzuconych prób dostępu do danych i innych

zasobów;

ƒ zmiany konfiguracji systemu;
ƒ informacje o korzystaniu z przywilejów;
ƒ informacje o korzystaniu z narzędzi systemowych i aplikacji;
ƒ używane pliki wraz ze sposobem użycia;
ƒ adresy sieciowe i protokoły;
ƒ alarmy podniesione przez system kontroli dostępu;
ƒ aktywacje i deaktywacje systemów ochrony,

10. Zarządzanie systemami i

sieciami

10.10

Monitorowanie

‰

A. 10.10.2 Monitorowanie użycia systemu

™Powinny być wdrożone procedury
ƒ monitorowania użycia

o

środków służących do przetwarzania informacji oraz

ƒ wyniki działań monitorujących
ƒ powinny być
ƒ regularnie przeglądane

10. Zarządzanie systemami i

sieciami

10.10

Monitorowanie

‰

Zaleca się określenie wymaganego poziomu monitorowania

poszczególnych urządzeń na podstawie szacowania ryzyka.

‰

Zaleca się, aby w zakresie monitorowania organizacja

działała zgodnie z odpowiednimi wymaganiami prawa

‰

Zaleca się rozważenie następujących obszarów:

ƒ autoryzowany dostęp,
ƒ wszystkie uprzywilejowane operacje, takie jak:
ƒ nieautoryzowane próby dostępu,
ƒ alarmy systemowe lub błędy
ƒ zmiany, lub próby zmian, ustawień bezpieczeństwa i zabezpieczeń

systemu.

‰

Zaleca się, aby częstość przeglądów wyników

monitorowania zależała od rozpatrywanych ryzyk.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 17 z 44

10. Zarządzanie systemami i sieciami

10.10

Monitorowanie

‰

10.10.3 Ochrona informacji zawartej w dziennikach

zdarzeń

™ Podsystemy logowania
™oraz informacje

™

zawarte w dziennikach zdarzeń

™powinny być chronione

™

przed manipulacją i

™

nieautoryzowanym dostępem.

10. Zarządzanie systemami i

sieciami

10.10

Monitorowanie

‰

Zaleca się, ochronę przed nieautoryzowanymi zmianami

oraz problemami eksploatacyjnymi urządzeń rejestrujących

włączając w to:

ƒ zmiany rejestrowanych typów wiadomości;
ƒ edycję lub usunięcie plików dziennika;
ƒ przekroczenie pojemności nośnika plików dziennika, które może

powodować niemożność rejestrowania zdarzeń lub nadpisywanie

zdarzeń z przeszłości.

ƒ Niektóre dzienniki audytu mogą wymagać archiwizacji w związku z

polityką przechowywania zapisów lub z

ƒ powodu wymagań zbierania i przechowywania materiału

dowodowego (patrz 13.2.3).

10. Zarządzanie systemami i sieciami

10.10

Monitorowanie

‰

10.10.4 Dzienniki administratora i operatora

™Działania

™

administratorów

™i

™

operatorów

™

powinny być

™

rejestrowane

10. Zarządzanie systemami i

sieciami

10.10

Monitorowanie

‰

Zaleca się, aby dzienniki zawierały:

ƒ czas zajścia zdarzenia;
ƒ informację na temat zdarzenia
ƒ użyte konto,;
ƒ użyte procesy.

‰

Zaleca się regularne przeglądanie dzienników

administratorów i operatorów systemu.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 18 z 44

10. Zarządzanie systemami i sieciami

10.10

Monitorowanie

‰

10.10.5 Rejestrowanie błędów
™

Błędy powinny być

™

rejestrowanie i

™

analizowanie

™ a

™

odpowiednie działania

™

powinny być podjęte

10. Zarządzanie systemami i

sieciami

10.10

Monitorowanie

‰

Jasne reguły obsługi błędów zgłaszanych przez

użytkowników:

ƒ przegląd zapisów o błędach w celu zapewnienia,
ƒ przegląd środków naprawczych

10. Zarządzanie systemami i

sieciami

10.10

Monitorowanie

‰

A 10.10.6 Synchronizacja zegarów

™Zegary wszystkich stosownych systemów

• przetwarzania informacji

o

w organizacji lub

• domenie bezpieczeństwa z powinny być
• synchronizowane

o

ustalonym dokładnym źródłem czasu.

10. Zarządzanie systemami i

sieciami

10.10

Monitorowanie

‰

Ustawienie obsługi czasu rzeczywistego jeżeli jest to możliwe

‰

zaleca się wdrożenie

ƒ procedury sprawdzającej i korygującej każde istotne odchylenie.

‰

Poprawna interpretacja formatu daty i czasu jest ważnym
elementem dla zapewnienia, że znaczniki czasu odpowiadają
prawdziwej dacie i czasowi.

‰

Zaleca się także uwzględnienie lokalnej specyfiki (np. zmian
czasu zimowego i letniego).

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 19 z 44

11. Kontrola dostępu do systemu

11.1 Wymagania biznesowe

związane kontrolą dostępu

Cel: Kontrolowanie dostępu do informacji

biznesowych.

‰

A 11.1.1. Polityka kontroli dostępu

™Polityka kontroli dostępu
™powinna być
™ustanowiona,
™udokumentowana i
™poddawana przeglądom

™na podstawie potrzeb
™biznesowych i
™wymagań bezpieczeństwa .

11. Kontrola dostępu do systemu

11.1 Wymagania biznesowe

związane kontrolą dostępu

ƒ wymagania bezpieczeństwa pojedynczych aplikacji biznesowych;
ƒ identyfikację wszystkich informacji związanych z aplikacjami biznesowymi;
ƒ polityka rozpowszechniania informacji
ƒ stosowanie przepisów prawa oraz zobowiązania wynikające z umów;
ƒ standardowe profile praw dostępu
ƒ zarządzanie prawami dostępu (w tym dostępy chwilowe)
ƒ zasady kontroli dostępu (co dozwolone a co zakazane)
ƒ zmiany w uprawnieniach użytkowników
ƒ udział administratora w zmianach zasad

11. Kontrola dostępu do systemu

11.2 Zarządzanie dostępem użytkowników

Cel: Zapewnienie dostępu autoryzowanym użytkownikom i
zapobieżenie nieautoryzowanemu dostępowi do systemów
informacyjnych.

A 11.2.1 Rejestracja użytkowników

™Przyznawanie i odbieranie
™dostępu do wszystkich systemów i
™usług informacyjnych
™powinno być oparte na
™formalnej procedurze

™rejestrowania i
™wyrejestrowywania

™użytkowników.

11. Kontrola dostępu do systemu

11.2 Zarządzanie dostępem użytkowników

ƒ używanie unikalnego identyfikatora użytkownika
ƒ sprawdzanie uprawnień
ƒ sprawdzenie zgodności poziomu dostępu
ƒ zapewnienie, kompletności sprawdzania uprawnień;
ƒ Niezwłoczne odebranie praw dostępu użytkownikom,
ƒ zarządzanie kontami;

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 20 z 44

11. Kontrola dostępu do systemu

11.2 Zarządzanie dostępem użytkowników

‰

A 11.2.2 Zarządzanie przywilejami
™

Przyznawanie i

™

używanie

™

przywilejów

™

powinno być

™

ograniczane i

™

kontrolowane

11. Kontrola dostępu do systemu

11.2 Zarządzanie dostępem użytkowników

ƒ wskazanie przywilejów (do systemu, aplikacji,

urządzeń)

ƒ przywileje przydzielane poszczególnym osobom;
ƒ realizacja procesu autoryzacji
ƒ przywileje przyznawane użytkownikom chwilowo

11. Kontrola dostępu do systemu

11.2 Zarządzanie dostępem użytkowników

‰

A 11.2.3 Zarządzanie hasłami użytkowników
™

Przydzielanie haseł

™

powinno być

™

kontrolowane

™

za pośrednictwem

™

formalnego procesu zarządzania.

11. Kontrola dostępu do systemu

11.2 Zarządzanie dostępem użytkowników

ƒ wymaganie podpisania zobowiązania do zachowania w tajemnicy

haseł

o

natychmiastowa zmiana hasła początkowego

o bezpieczne przechowywanie haseł
o biometryczne techniki identyfikacji,

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 21 z 44

11. Kontrola dostępu do systemu

11.2 Zarządzanie dostępem użytkowników

‰

A 11.2.4 Przegląd praw dostępu użytkowników
™

Kierownictwo powinno

™

dokonywać regularnych przeglądów

™

praw dostępu użytkowników

™

na podstawie formalnego procesu

11. Kontrola dostępu do systemu

11.2 Zarządzanie dostępem użytkowników

ƒ Przegląd w regularnych odstępach czasu
ƒ specjalnie uprzywilejowane prawa dostępu częściej
ƒ przydzielanie przywilejów powinno być regularnie

kontrolowane

11. Kontrola dostępu do systemu

11.3 Odpowiedzialności użytkowników

Cel: Zapobieganie

nieautoryzowanemu dostępowi

użytkowników

oraz naruszeniu bezpieczeństwa,

kradzieży informacji lub

środków służących do przetwarzania informacji.

11. Kontrola dostępu do systemu

11.3 Odpowiedzialności użytkowników

‰

A 10.3.1.Używanie haseł

™

Podczas wyboru i

v

używania haseł

™

użytkownicy

™

powinni postępować

v

zgodnie ze

™

sprawdzonymi praktykami bezpieczeństwa.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 22 z 44

11. Kontrola dostępu do systemu

11.3 Odpowiedzialności użytkowników

ƒ utrzymywanie haseł w tajemnicy;
ƒ rygory zapisu na papierze;
ƒ Warunki niezwłocznej zmiana hasła
ƒ dobór haseł
ƒ zmiana haseł w regularnych odstępach czasu
ƒ zmiana hasła tymczasowego;
ƒ zakaz wprowadzania haseł do zautomatyzowanych procesów rejestrowania

11. Kontrola dostępu do systemu

11.3

Zakres odpowiedzialności użytkowników

‰

A 11.3.2 Pozostawianie sprzętu użytkownika bez opieki
™

Użytkownicy

™

powinni

™

zapewniać

™

odpowiednią ochronę

™

sprzętu

™

pozostawionego bez opieki

11. Kontrola dostępu do systemu

11.3

Zakres odpowiedzialności użytkowników

ƒ zamykanie aktywnych sesji po zakończeniu pracy,
ƒ wyrejestrowanie z serwerów i mainframe
ƒ zabezpieczenie nieużywanych komputerów osobistych

lub terminali

11. Kontrola dostępu do systemu

11.3

Zakres odpowiedzialności użytkowników

‰

A.11.3.3 Polityka czystego biurka i czystego ekranu

™Powinna być wprowadzona
™polityka czystego biurka

™

dla dokumentów papierowych i nośników,

™

a dla środków

o

służących dla przetwarzania informacji

ƒ polityka czystego ekranu.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 23 z 44

11. Kontrola dostępu do systemu

11.3

Zakres odpowiedzialności użytkowników

ƒ Polityka uwzględniająca klasyfikację bezpieczeństwa

informacji, związane z tym zagrożenia i uwarunkowania

kulturowe danej instytucji;

ƒ zamykanie w szafach nośników i wydruków

papierowych;

ƒ zabezpieczanie w sejfach poza godzinami pracy;
ƒ zabezpieczenie punktów wysyłania i odbierania poczty

oraz maszyn faksowych i kopiarek;

ƒ niezwłoczne zabieranie wydruków z drukarek

sieciowych.

11. Kontrola dostępu do systemu

11.4 Kontrola

dostępu do sieci

‰

Cel Ochrona usług sieciowych przed

nieautoryzowanym dostępem

‰

A 11.4.1 Polityka dotycząca korzystania z usług

sieciowych

™

Użytkownikom

™

powinno się

™

zapewnić dostęp

™

tylko do tych usług,

™

do których udzielono im autoryzacji

11. Kontrola dostępu do systemu

11.4 Kontrola

dostępu do sieci

ƒ Określenie sieci i usług sieciowe,
ƒ procedury autoryzacji;
ƒ nadzór kierownictwa
ƒ procedury ochrony dostępu

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

‰

A 11.4.2 Uwierzytelnianie użytkowników przy połączeniach
zewnętrznych
™

Przy dostępie

™

zdalnych użytkowników

™

powinno się stosować

™

odpowiednie

™

metody uwierzytelnienia.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 24 z 44

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

‰Metody uwierzytelniania zależne od oszacowania

ryzyka

ƒ techniki i

o protokoły kryptograficzne;

ƒ wywołanie zwrotne
ƒ zablokowanie przekazywania połączeń,
ƒ rzeczywiste rozłączenie po stronie serwera.

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

‰

A 11.4.3 Identyfikacja urządzeń w sieciach

™Powinno się

™

rozważyć

™automatyczną identyfikację urządzeń

™

jako środek

™uwierzytelniania połączeń z określonych
ƒ lokalizacji lub

o

urządzeń.

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

‰

Przydatne gdy

ƒ Wymaganie żeby połączenie było tylko z

określonej lokalizacji

ƒ Określić do jakiej sieci może się podłączyć
ƒ Może być wymagana ochrona fizyczna

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

‰

A 11.4.4.Ochrona zdalnych portów diagnostycznych

™Fizyczny i logiczny

™

dostęp do portów

™diagnostycznych i

™

konfiguracyjnych

™powinien być kontrolowany

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 25 z 44

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

ƒ

Zdalne porty istnieją w wielu komputerach i
systemach komunikacyjnych

o

Są wykorzystywane przez służby serwisowe

ƒ

Należy je zabezpieczyć

o

Blokady z użyciem kluczy

o

Procedury zapewniające dostępność jedynie

• Na podstawie umowy pomiędzy stronami

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

‰

A 11.4.5. Rozdzielanie sieci

™

Grupy usług informacyjnych,

™

użytkowników i

™

systemów informatycznych

™

powinny być

™

rozdzielane w sieciach

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

‰

Zabezpieczenia

ƒ

Odseparowane domeny logiczne

ƒ

Kontrolowanie ruchu pomiędzy domenami

ƒ

Zapory (firewall)

ƒ

Uwzględniać

o

politykę kontroli dostępu i

o

koszt

o

wydajność

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

‰

A 11.4.6 Kontrola połączeń sieciowych

™

We współużytkowanych sieciach

™

szczególnie tych, które

™

wykraczają poza granice organizacji,

™

powinno się

™

ograniczyć

™

możliwość podłączenia się użytkowników,

™

zgodnie polityką kontroli dostępu i

™

wymaganiami aplikacji biznesowych

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 26 z 44

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

ƒ

poczta elektroniczna;

ƒ

jednokierunkowe przesyłanie plików;

ƒ

dwukierunkowe przesyłanie plików;

ƒ

dostęp interaktywny;

‰Zaleca się rozważenie dostępu do sieci w

określonym czasie i dniu.

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

‰

A 11.4.7 Zabezpieczenia rutingu w sieciach

™Powinno się
™wdrożyć kontrolę rutingu w sieciach,
™aby zapewnić, że

™

połączenia pomiędzy komputerami i

™

przepływ informacji

™nie naruszają
ƒ polityki kontroli
ƒ dostępu do aplikacji biznesowych.

11. Kontrola dostępu do systemu

11.4 Kontrola dostępu do sieci

ƒ

Sprawdzanie adresów źródłowych i

ƒ docelowych

ƒ

Translacja adresów sieciowych

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

‰

Cel: Ochrona

ƒ

przed

ƒ

nieuprawnionym dostępem do

o

systemów informatycznych

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 27 z 44

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.1 Procedury bezpiecznego logowania się

™

Dostęp do

™

systemów operacyjnych

™

powinien być kontrolowany

™

za pomocą

™

procedury bezpiecznego logowania się.

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

‰ Rejestrowanie w systemie:

ƒ blokuje wyświetlanie identyfikatorów systemu lub

aplikacji

ƒ wyświetla ogólne ostrzeżenie,
ƒ zatwierdza jedynie kompletne informacje wejściowe
ƒ ogranicza liczbę nieudanych prób rejestrowania
ƒ wyświetla informacje o poprzednich rejestracjach po

wejściu

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.2. Identyfikacja i uwierzytelnianie

użytkowników

™

Wszyscy użytkownicy powinni mieć

ƒ

unikalne identyfikatory użytkownika (ID
użytkownika)

o

do swojego osobistego i

o

wyłącznego użytku

o

oraz

ƒ

powinna być wybrana odpowiednia

o

technika uwierzytelniania,

• dla sprawdzenia

o

deklarowanej tożsamości użytkownika.

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

ƒ Identyfikator nie powinien wskazywać poziomu

uprawnień

ƒ Tylko w wyjątkowych wypadkach można używać

wspólnych identyfikatorów

ƒ Stosować

o

Hasła,

o

Techniki kryptograficzne,

o

Protokoły uwierzytelnienia,

o

Urządzenia,

o

Techniki biometryczne

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 28 z 44

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.3 System zarządzania hasłami
™

Powinno się zapewnić, że

™

systemy zarządzania hasłami

™

opierają się

™

na interaktywnych mechanizmach

™

zapewniających hasła

™

odpowiedniej jakości.

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

ƒ wymusza użycie indywidualnych haseł
ƒ wymusza wybór haseł odpowiedniej jakości;
ƒ wymusza zmiany haseł,
ƒ prowadzi spis poprzednich haseł
ƒ blokuje wyświetlanie haseł
ƒ przechowuje hasła w formie zaszyfrowanej,
ƒ po zainstalowaniu oprogramowania zmienia domyślne

hasła dostawcy.

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.4. Użycie systemowych programów narzędziowych
™

Powinno się ograniczyć i

™

ściśle kontrolować

™

używanie

™

systemowych programów narzędziowych, które

™

umożliwią obejście

™

zabezpieczeń systemu lub

™

aplikacji

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

ƒ użycie procedur uwierzytelniania
ƒ oddzielenie systemowych programów narzędziowych od

aplikacji;

ƒ ograniczenie użycia systemowych programów

narzędziowych

ƒ ograniczenie dostępności
ƒ prowadzenie zapisów wszystkich użycia
ƒ usunięcie wszelkiego niepotrzebnego oprogramowania

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 29 z 44

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.5 Zamykanie sesji po określonym czasie

ƒ Nieaktywne sesje

o

powinny być

o

zamykane

ƒ po przekroczeniu zdefiniowanego czasu braku

aktywności

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

ƒ Wyłączenie sprzętu powinno spowodować

o

Usunięcie zawartości ekranu

o

Zamknięcie

• Aplikacji
• Sesji sieciowej

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

‰

A 11.5.6 Ograniczanie czasu trwania połączenia

™

Dla zapewnienia

™

dodatkowego

™

bezpieczeństwa

™

aplikacjom o wysokim ryzyku

™

należy ograniczać czas trwania połączenia.

11. Kontrola dostępu do systemu

11.5 Kontrola dostępu do systemów operacyjnych

o

Zwłaszcza w miejscach poza kontrolą

o

Używanie wcześniej wyznaczonych przedziałów
czasowych

o

Ograniczenie pór połączeń

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 30 z 44

11. Kontrola dostępu do systemu

11.6 Kontrola dostępu do aplikacji

‰

Cel Ochrona przed nieuprawnionym dostępem do
informacji przechowywanej w aplikacjach

‰

A 11.6.1 Ograniczanie dostępu do informacji

™

Dostęp użytkowników i

™

personelu obsługi technicznej

™

do informacji i

™

aplikacji

™

powinien być

™

ograniczony

™

zgodnie z zefiniowaną

™

polityką kontroli dostępu.

11. Kontrola dostępu do systemu

11.6 Kontrola dostępu do aplikacji

o

wprowadzanie narzędzi dodatkowych np.w postaci
menu

o

ograniczanie wiedzy użytkowników

o

kontrolowanie praw dostępu użytkowników,

o

dane wyjściowe zawierają jedynie informacje przewidywane do
dalszego użycia oraz, że są one wysyłane tylko uprawnionych
urządzeń

o

okresowe przeglądy danych wyjściowych,

o

usuwanie nadmiarowych informacje

11. Kontrola dostępu do systemu

11.6 Kontrola dostępu do aplikacji

‰

A 11.6.2 Izolowanie systemów wrażliwych
™

Systemy wrażliwe

™

powinny mieć

™

dedykowane (izolowanych)

™

środowiskach przetwarzania.

11. Kontrola dostępu do systemu

11.6 Kontrola dostępu do aplikacji

ƒ określenie i udokumentowanie wrażliwości

aplikacji

ƒ aktywa współużytkowane gdy aplikacja

uruchomiona we wspólnym środowisku,

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 31 z 44

11. Kontrola dostępu do systemu

11.7 Przetwarzanie mobilne i praca na odległość

‰

Cel: Zapewnienie bezpieczeństwa

ƒ

informacji przy przetwarzaniu mobilnym i

ƒ

pracy na odległość

‰

A 11.7.1. Przetwarzanie i komunikacja mobilna

™ Powinno się wprowadzić
™ formalną politykę oraz

™

zastosować odpowiednie zabezpieczenia

™ w celu ochrony

o

przed ryzykiem wynikającym

ƒ z użycia przetwarzania mobilnego i
ƒ środków komunikacji mobilnej.

11. Kontrola dostępu do systemu

11.7 Przetwarzanie mobilne i praca na odległość

ƒ Zawiera:

o

ochronę fizyczna,

o

używanie w miejscach publicznych;

o

zdalny dostęp do informacji biznesowych za
pośrednictwem sieci publicznej;

o

zabezpieczenia przed kradzieżą.

11. Kontrola dostępu do systemu

11.7 Przetwarzanie mobilne i praca na odległość

‰

A 11.7.2. Praca na odległość
™

Powinno się opracować politykę,

™

plany operacyjne i

™

procedury dla czynności

™

wykonywanych w ramach

™

pracy na odległość.

11. Kontrola dostępu do systemu

11.7 Przetwarzanie mobilne i praca na odległość

o

rzeczywiste bezpieczeństwo fizyczne miejsca pracy

o

wymagania bezpieczeństwa dotyczące łączności

o

zagrożenie nieuprawnionego dostępu

o

zapewnienie odpowiedniego sprzętu komputerowego i
telekomunikacyjnego.

o

określenie dozwolonych prac, godzin pracy i aplikacji

o

zapewnienie pomocy technicznej

o

kopie zapasowe i ciągłości działalności biznesowej;

o

audyt i monitorowanie bezpieczeństwa;

o

unieważnienie uprawnień,

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 32 z 44

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.1 Wymagania

bezpieczeństwa systemów informacyjnych

‰

Cel: Zapewnienie, że bezwieczeństwo jest integralną
częścią systemów informacyjnych

‰

A 12.1.1. Analiza i opis wymagań bezpieczeństwa

™

Deklaracje wymagań biznesowych

™

dotyczących nowych systemów lub

™

rozszerzeń dla istniejących systemów

™

powinny uwzględniać

™

wymagania dotyczące zabezpieczeń

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.1 Wymagania

bezpieczeństwa systemów informacyjnych

o

wprowadzenie oceny pakietów oprogramowania dla aplikacji
biznesowych;

o

wprowadzanie zabezpieczeń na etapie projektowania

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.1

Poprawne przetwarzanie w aplikacjach

‰

Cel: Ochrona przed

ƒ

błędami,

ƒ

utratą, nieuprawnioną modyfikacją lub nadużyciem informacji
w aplikacjach

‰

A 12.2.1 Potwierdzanie ważności danych wejściowych

™

Powinno się sprawdzać

™

poprawność danych wejściowych

™

do aplikacji

™

w celu zapewnienia, że są

™

poprawne i

™

właściwe.

12. Pozyskiwanie, rozwój i utrzymanie

systemu

12.2 Bezpieczeństwo systemów aplikacji

‰ Ogólne zasady:

ƒ podwójne wprowadzanie

o

lub

ƒ inny sposób sprawdzania
ƒ okresowe przeglądy zawartości
ƒ przeglądy papierowych kopii
ƒ procedury reagowania na błędy potwierdzania;
ƒ procedury sprawdzania wiarygodności danych wejściowych;
ƒ określanie zakresu odpowiedzialności całego personelu

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 33 z 44

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.2

Bezpieczeństwo systemów aplikacji

‰

A 12.2.2 Kontrola wewnętrznego przetwarzania
™

W celu wykrywania

™

uszkodzeń informacji

™

w wyniku

™

błędów przetwarzania lub

™

działań umyślnych,

™

powinno się wprowadzić

™

systemach

™

potwierdzanie poprawności przetwarzania.

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.2 Bezpieczeństwo systemów aplikacji

o Rozważenie możliwości zmian w danych

o

użycie programów do przywracania stanu sprzed awarii

o

środki kontroli sesji lub zadań wsadowych,

o

środki kontroli bilansów,

o

potwierdzanie ważności danych wygenerowanych przez system;

o

środki sprawdzania integralności danych;

o

generowanie kontrolnych sum końcowych rekordów i plików;

o

zapewnienie, że aplikacje są uruchamiane w odpowiednim czasie;

o

zapewnienie, że programy są uruchamiane w odpowiedniej
kolejności,

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.2 Bezpieczeństwo systemów aplikacji

‰

A 12.2.3 Integralność wiadomości

™Powinno się określić
™wymagania
™zapewnienia w aplikacjach autentyczności i
™ochrony integralności wiadomości oraz
™powinno się określić
™określić i
™wdrożyć
™odpowiednie zabezpieczenia

ƒ Celowe jest prowadzenie analizy ryzyka

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.2 Bezpieczeństwo systemów aplikacji

‰

A 12.2.4. Potwierdzanie poprawności danych

wyjściowych

™

Dane wyjściowe z aplikacji,

™

powinny podlegać

™

sprawdzeniu poprawności

™

w celu zapewnienia, że

™

przetwarzanie przechowywanej informacji

™

jest właściwe i

™

odpowiednie do okolicznościach.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 34 z 44

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.2 Bezpieczeństwo systemów aplikacji

o

Sprawdzenie czy dane wyjściowe są możliwe do przyjęcia

o

Uzgadnianie liczb kontrolnych

o

Zapewnienie informacji niezbędnej do sprawdzenia

o

odpowiedzi na testy

o

Zakres odpowiedzialności personelu

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.3 Zabezpieczenia

kryptograficzne

‰

Cel: Ochrona poufności, autentyczności i
integralności informacji

‰

A 12.3.1 Polityka korzystania z zabezpieczeń
kryptograficznych
™

Powinno się opracować i

™

wdrożyć

™

politykę korzystania z zabezpieczeń
kryptograficznych

™

w celu ochrony informacji.

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.3 Zabezpieczenia

kryptograficzne

o

Stanowisko kierownictwa

o

strategia zarządzania kluczami,

o

funkcje i zakres odpowiedzialności

o

określenie właściwego poziomu ochrony
kryptograficznej;

o

Zastosowane standardy

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.3 Zabezpieczenia

kryptograficzne

‰

A 12.3.2 Zarządzanie kluczami
™

Powinno się

™

wdrożyć

™

zarządzanie kluczami kryptograficznymi

™

którr umożliwi organizacji

™

korzystanie z technik kryptograficznych.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 35 z 44

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.3 Zabezpieczenia

kryptograficzne

o

uwzględnienie cyklu życia kluczy kryptograficznych

o

przechowywanie kluczy

o

metody uzyskiwania dostępu do nich przez uprawnionych
użytkowników; ;

o

postępowanie z kluczami,

o

odtwarzanie kluczy,

o

archiwizacja kluczy,

o

zapisywanie i audyt czynności

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.4 Bezpieczeństwo plików systemowych

‰

Cel:

ƒ

Zapewnianie bezpieczeństwa plików systemowych

‰

A 12.4.1 Kontrola eksploatowanego oprogramowania
™

Powinno się

™

wprowadzić

™

procedury

™

kontroli instalacji oprogramowania

™

w eksploatowanych systemach.

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.4 Bezpieczeństwo plików systemowych

o

uaktualnianie bibliotek eksploatowanego oprogramowania

o

przechowywanie w eksploatowanych systemach kodu
wykonywalnego;

o

nie wprowadzać jeszcze nie zaakceptowanego kodu

o

dziennik audytu

o

przechowanie poprzednich wersji oprogramowania

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.4 Bezpieczeństwo plików systemowych

‰

A 12.4.2 Ochrona systemowych danych testowych
™

Dane testowe

™

powinny być starannie

™

dobrane,

™

chronione i

™

kontrolowane.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 36 z 44

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.4 Bezpieczeństwo plików systemowych

o

procedury kontroli dostępu w testowych systemach
aplikacji;

o

pozwolenie na kopiowanie danych rzeczywistych do
testowych systemów aplikacji;

o

po zakończeniu testowania dane rzeczywiste
wykasować;

o

odnotowanie informacji o kopiowaniu i korzystaniu z
rzeczywistych danych,

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.4 Bezpieczeństwo plików systemowych

‰

A 12.4.3 Kontrola dostępu do kodu źródłowego

™

Dostęp do

™

kodów źródłowych

™

powinien być

™

ograniczony

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.4 Bezpieczeństwo plików systemowych

ƒ nie przechowywać w eksploatowanych systemach;
ƒ wyznaczenie osoby odpowiedzialnej (bibliotekarza);
ƒ rozdzielenie bibliotek projektów rozwojowych i

eksploatacji;

ƒ stare wersje programów źródłowych archiwizować,
ƒ czynności poddawać ścisłym procedurom kontroli zmian;

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi

informatycznej

‰

Cel: Utrzymywanie bezpieczeństwa informacji oraz
oprogramowania aplikacyjnego.

‰

A 12.5.1 Procedury kontroli zmian

™

Powinno się

™

nadzorować

™

wprowadzanie zmian

™

za pomocą

™

formalnych procedur kontroli zmian.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 37 z 44

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi

informatycznej

o Integrowanie procedur kontroli aplikacji i zmian:

o

wnioski o zmiany składane przez uprawnionych użytkowników;

o

przegląd zabezpieczeń i procedur zachowania integralności,

o

identyfikowanie wszystkich obiektów, które wymagają
poprawek;

12. Pozyskiwanie, rozwój i utrzymanie systemów

informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej

‰

A 12.5.2 Techniczny przegląd aplikacji po zmianach w systemie
operacyjnym
™

Po dokonaniu zmian w

ƒ

systemie operacyjnym

ƒ

powinno się przeprowadzić przegląd

o

krytycznych aplikacji biznesowych i

o

przetestować je tak,

• uzyskać pewność że

o

zmiany nie miały niekorzystnego

o

wpływu na

• działalność organizacji lub
• bezpieczeństwo

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych 12.5 Bezpieczeństwo w

procesach rozwojowych i obsługi informatycznej

o

przegląd zabezpieczeń w celu zapewnienia, że nie zostały

naruszone;

o

powiadomienie o zmianach w systemie operacyjnym

o

wykonanie właściwych przeglądów przed wprowadzeniem
zmian;

o

zmiany w planach ciągłości działania.

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi

informatycznej

‰

A 12.5.3 Ograniczenia dotyczące zmian w pakietach
oprogramowania
™ Zmiany w oprogramowania
™ powinny być minimalne,
™ ograniczane do
™ zmian niezbędnych

o

a wszelkie zmiany

o

powinny być ściśle nadzorowane.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 38 z 44

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i

obsługi informatycznej

ƒ analiza ryzyka naruszenia

o

zabezpieczeń i

o

procesów ochrony integralności;

ƒ zgoda dostawcy
ƒ wpływ na przejęcie przez instytucję odpowiedzialności
ƒ Także zalecenia 12.5.4.

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi

informatycznej

‰

A 12.5.4 Wyciek informacji

™

Powinno się

™

przeciwdziałać

™

możliwości

™

wycieku informacji

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i

obsługi informatycznej

o

zakup programów tylko z wiarygodnych źródeł;

o

zakup programów w kodzie źródłowym,

o

używanie produktów, które zostały poddane ocenie;

o

sprawdzanie całego kodu źródłowego

o

kontrola dostępu i modyfikacji po zainstalowaniu kodu;

o

sprawdzony, zaufany personel

12. Pozyskiwanie, rozwój i utrzymanie

systemów informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i obsługi

informatycznej

‰

A 12.5.5. Prace rozwojowe nad oprogramowaniem powierzone
zewnętrznej firmie

™Organizacja powinna
™nadzorować i
™monitorować
™prace rozwojowe

™

nad oprogramowaniem.

™powierzone firmie zewnętrznej

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 39 z 44

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.5 Bezpieczeństwo w procesach rozwojowych i

obsługi informatycznej

o

Sprawa licencji,

o własność kodu
o prawa własności intelektualnej;

o

certyfikacja jakości i dokładności prac;

o

zastrzeżenia powiernictwa kodu źródłowego

o

prawa dostępu w celu przeprowadzenia audytu

o

testowanie przed instalacją

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.5 Zarządzanie podatnościami technicznymi

‰

Cel: Redukcja ryzyk

o

wynikających

ƒ z wykorzystania
ƒ opublikowanych
ƒ podatności technicznych.

12. Pozyskiwanie, rozwój i

utrzymanie systemów

informacyjnych

12.5 Zarządzanie podatnościami technicznymi

‰

12.6.1 Nadzór nad podatnościami technicznymi

™Powinno się uzyskiwać

™

na czas

™

informacje o technicznych podatnościach

™

wykorzystywanych systemów informacyjnych,

™

szacować stopień narażenia organizacji

™

na podatności i

™

wdrożyć odpowiednie środków

™

adekwatne do

™

związanych z nimi ryzyk.

12. Pozyskiwanie, rozwój i

utrzymanie systemu

12.5 Zarządzanie podatnościami technicznymi

‰

Aktualny i pełny spis aktywów (patrz 7.1) jest wymagany do

efektywnego zarządzania podatnościami technicznymi.

‰

Do zarządzania podatnościami technicznymi są potrzebne

określone informacje, takie jak:

ƒ dostawcy oprogramowania, numery wersji, aktualny stan wdrożenia

‰

Zaleca się, aby w porę podjęte były odpowiednie działania w

odpowiedzi na identyfikację potencjalnej podatności

technicznej.

‰

W celu ustanowienia efektywnego procesu zarządzania

podatnościami technicznymi, zaleca się postępowanie

zgodnie z następującymi zaleceniami:

ƒ określenie i ustanowienie przez organizację odpowiednich ról i

odpowiedzialności związanych z procesem zarządzania

podatnościami technicznymi,

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 40 z 44

12. Pozyskiwanie, rozwój i

utrzymanie systemu

12.5 Zarządzanie podatnościami technicznymi

ƒ w tym

o

monitorowania podatności,

o

szacowania ryzyka związanego z nimi,

o

wprowadzania poprawek,

o

śledzenia aktywów i

o

wszelkich wymaganych odpowiedzialności koordynacyjnych;

ƒ wykorzystanie zasobów informacyjnych do zidentyfikowania

odpowiednich podatności technicznych

o

oraz utrzymania świadomości ich istnienia w odniesieniu do

oprogramowania i innych technologii

ƒ określenie harmonogramu działań podejmowanych w przypadku

pojawienia się powiadomień

ƒ w momencie zidentyfikowania potencjalnej podatności technicznej,

określenie ryzyk z nią związanych i odpowiednich działań

12. Pozyskiwanie, rozwój i

utrzymanie systemu

12.5 Zarządzanie podatnościami technicznymi

ƒ w zależności od stopnia pilności, z jaką należy zająć się

potencjalną podatnością techniczną,

ƒ prowadzenie działań zgodnie z zabezpieczeniami

związanymi z zarządzaniem zmianami (patrz 12.5.1)

ƒ procedurami reakcji na incydent naruszenia

bezpieczeństwa (patrz 13.2);

ƒ jeśli są dostępne poprawki, to należy ustosunkować się do

ryzyk związanych z ich wprowadzeniem

12. Pozyskiwanie, rozwój i

utrzymanie systemu

12.5 Zarządzanie podatnościami technicznymi

ƒ testowanie i ocena przed instalacją tak, aby zapewnić, że poprawki

są skuteczne i nie spowodują niedopuszczalnych efektów ubocznych;

ƒ jeśli żadna poprawka nie jest dostępna, to należy rozważyć inne

zabezpieczenia takie, jak:

o

wyłączenie usług lub funkcji związanych z podatnością;

o

zaadaptowanie lub dodanie zabezpieczeń kontroli dostępu,

o

wzmocnienie monitorowania w celu wykrycia i zablokowania

faktycznego ataku;

o

podniesienie świadomości w zakresie tej podatności;

ƒ utrzymywanie dziennika audytu dla wszystkich podjętych procedur;
ƒ zapewnienie skuteczności i efektywności procesu za pomocą

regularnego monitorowania i oceny;

ƒ w pierwszej kolejności należy zajmować się systemami narażonymi

na wysokie ryzyko

15 Zgodność (8)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

Cel: Zapewnianie zgodności systemów
z politykami bezpieczeństwa i
standardami bezpieczeństwa.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 41 z 44

15. Zgodność (9)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność

techniczna

‰

A.15.2.1. Zgodność z polityką bezpieczeństwa i standardami

™

K

ierownicy powinni zapewnić, że wszystkie

™ procedury bezpieczeństwa obszaru,

™

za który są odpowiedzialni, są

™ wykonywane prawidłowo,
™ tak aby osiągnąć zgodność z politykami bezpieczeństwa

™

i standardami

15. Zgodność (9)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

‰

Zaleca się, aby

ƒ kierownicy
ƒ regularnie przeglądali
ƒ zgodność przetwarzania informacji

o

w obszarze, za który są odpowiedzialni,

ƒ z odpowiednimi politykami bezpieczeństwa

o

i standardami oraz

ƒ innymi wymaganiami bezpieczeństwa

15. Zgodność (10)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

‰

Jeśli w wyniku przeglądu zostaną wykryte jakiekolwiek

niezgodności, to

ƒ zaleca się, aby kierownictwo:

o

określiło przyczyny niezgodności;

o

oceniło potrzebę działań zapewniających, że niezgodność nie wystąpi

ponownie;

o

określiło i wprowadziło odpowiednie działania korygujące;

o

poddało przeglądowi podjęte działania korygujące.

‰

Zaleca się rejestrowanie wyników

ƒ przeglądów i
ƒ działań korygujących podejmowanych przez kierownictwo
ƒ Oraz utrzymywanie rejestrów tych zdarzeń.

15. Zgodność (11)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

‰

Zaleca się, aby kierownictwo udostępniało

wyniki przeglądów osobom
przeprowadzającym niezależne przeglądy
(patrz 6.1.8),

ƒ jeśli niezależny przegląd jest przeprowadzany w

obszarze, za który kierownictwo jest
odpowiedzialne

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 42 z 44

15. Zgodność (11)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

‰

A.15.2.2. Sprawdzanie zgodności technicznej

™

Systemy informacyjne

™

powinny być regularnie

™

sprawdzane

™

pod kątem zgodności

™

ze standardami wdrażania zabezpieczeń.

15. Zgodność (11)

15.2 Zgodność z politykami bezpieczeństwa i standardami oraz

zgodność techniczna

‰

Sprawdzanie technicznej zgodności wymaga

analizy eksploatowanych systemów.

ƒ wymaga technicznej pomocy specjalistów

którzy

prowadzą je:

o

ręcznie

• Przez doświadczonego inżyniera systemowego lub

o

Za pomocą zautomatyzowany pakietu oprogramowania,

• generującego raport
• celem dokonania późniejszej interpretacji
• przez technicznego specjalistę.

15 Zgodność (13)

15.2 Przeglądy polityki bezpieczeństwa i

zgodności technicznej

‰

Kontrola zgodności obejmuje

ƒ test penetracyjny,

o

przeprowadzony przez niezależnych ekspertów.

ƒ przydatny do

o

wykrywania podatności oraz

o

sprawdzania efektywności zabezpieczeń

ƒ Należy postępować ostrożnie w razie pomyślnego dokonania

penetracji,

o

bo może to prowadzić do poważnego naruszenia bezpieczeństwa systemu

o

I nieumyślnego wykorzystania innych jego podatności

.

‰

Kontrole takie powinny być prowadzone

ƒ jedynie przez lub
ƒ pod nadzorem kompetentnych, uprawnionych osób.

15 Zgodność (14)

15.3

Rozważania dotyczące audytu systemów informacyjnych

Cel: Maksymalizowanie skuteczności
procesu audytu systemu informacyjnego i
minimalizowanie
zakłóceń z niego wynikających lub na niego wpływających

‰

A. 15.3.1. Zabezpieczenia audytu systemu informacyjnego

™

Aby minimalizować ryzyka zakłóceń procesów biznesowych,

™

powinno się starannie planować i uzgadniać

™

wymagania audytu oraz

™

działania związane

™

ze sprawdzaniem eksploatowanych systemów

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 43 z 44

15. Zgodność (14)

15.3 Rozważania dotyczące audytu systemów informacyjnych

ƒ uzgadnianie i kontrolowanie zakresu sprawdzenia;
ƒ ograniczenie kontroli dostępu do oprogramowania i danych jedynie w

trybie odczytu;

ƒ zasoby informacyjne niezbędne do prowadzenia kontroli

wyraźnie określane i udostępniane;

ƒ Monitorowanie i zapisywanie w dziennikach zdarzeń

każdego dostępu w celu umożliwienia odwołań.

ƒ Dokumentowanie wszystkich procedur, wymagań i

obowiązków.

15 Zgodność (15)

15.3 Rozważania dotyczące audytu systemów informacyjnych

‰

15.3.2. Ochrona narzędzi audytu systemów informacyjnych

™

Dostęp do narzędzi audytu systemu,

™

powinien być chroniony

™

aby zapobiec możliwym nadużyciom lub

™

naruszeniu bezpieczeństwa,

15 Zgodność (16)

15.3 Rozważania dotyczące audytu systemów informacyjnych

‰

Narzędzia takie powinny być

ƒ izolowane od eksploatowanych systemów i
ƒ systemów wykorzystywanych do prowadzenia prac

rozwojowych oraz

ƒ nie powinny być przechowywane

o

w bibliotekach oprogramowania lub

o

obszarach dostępnych publicznie,

o

chyba że zostanie zapewniony odpowiedni poziom dodatkowej
ochrony.

Elementy wymagan informatyczne

Bezpieczenstwo teleinformatyczne

WAT

22/04/2007

(c) B.Sz

Strona 44 z 44