Elementy wymagan zgodnosc


Elementy wymagan zgodnosc Bezpieczenstwo teleinformatyczne WAT
15 Zgodność (1)
Elementy bezpieczeństwem
informacji zgodnie z ISO/IEC 27001 i
15.1 Zgodność z przepisami prawnymi
ISO/IEC 17799:2005 zgodności
Cel: Unikanie naruszania
jakichkolwiek przepisów prawa,
zobowiązań wynikających z ustaw,
regukacji wewnętrznych lub umów i
dr inż. Bolesław Szomański
jakichkolwiek wymagań bezpieczeństwa
b.szomanski@wip.pw.edu.pl
15 Zgodność (2)
15 Zgodność (2)
15.1 Zgodność z przepisami
15.1 Zgodność z przepisami prawnymi
prawnymi
A.15.1.1 Określenie odpowiednich przepisów prawnych
Podobnie dla zakresów obowiązków
Wszelkie wymagania
Trzeba też śledzić zmiany w przepisach
wynikające z ustaw,
prawnych
zarządzeń i
umów oraz
Jest to robota dla prawników
podejście organizacji do ich wypełniania
powinny być wyraznie określone,
udokumentowane i
aktualizowane
dla każdego systemu informacyjnego w organizacji
22/04/2007 (c) B.Sz Strona 1 z 7
Elementy wymagan zgodnosc Bezpieczenstwo teleinformatyczne WAT
15 Zgodność (3) 15 Zgodność (3)
15.1 Zgodność z przepisami prawnymi 15.1 Zgodność z przepisami prawnymi
A.15.1.2. Prawo do własności intelektualnej
Zalecenia
Powinno się wprowadzić odpowiednie procedury,
Naruszenie może spowodować sprawy karne (BSA)
w celu zapewnienia zgodności
Wymagania umów mogą nakładać ograniczenia na
z wymaganiami wynikającymi
kopiowanie
z przepisów prawa ,
regulacji wewnętrznych i
umów
dotyczącymi użytkowania materiałów, które
Uwaga ten punkt
mogą być objęte prawami do
obejmuje zarządzanie oprogramowaniem wg Microsoftu
własności intelektualnej oraz
użytkowaniem
prawnie zastrzeżonego oprogramowania .
15 Zgodność (4)
15 Zgodność (4)
15.1 Zgodność z przepisami prawnymi
15.1 Zgodność z przepisami prawnymi
A.15.1.3. Ochrona zapisów organizacji
Systemy przechowywania zapisów elektronicznych powinny spełniać
Powinno się chronić
następujące wymagania:
ważne zapisy organizacji
o publikowanie wytycznych dotyczących przechowywania,
gromadzenia, obsługi i niszczenia zapisów oraz informacji;
przed utratą,
o sporządzenie harmonogramu przechowywania, określającego
zniszczeniem lub
zasadnicze rodzaje zapisów, i okres, przez jaki będą
sfałszowaniem zgodnie z
przechowywane;
wymaganiami ustawowymi,
o prowadzenie spisu zródeł kluczowych informacji;
regulacjami wewnętrznymi oraz
o wprowadzenie odpowiednich zabezpieczeń w celu ochrony
wymaganiami biznesowymi i
zasadniczych zapisów i informacji przed utratą, zniszczeniem lub
kontraktowymi.
sfałszowaniem. .
22/04/2007 (c) B.Sz Strona 2 z 7
Elementy wymagan zgodnosc Bezpieczenstwo teleinformatyczne WAT
15 Zgodność (5)
15 Zgodność (5)
15.1 Zgodność z przepisami prawnymi
15.1 Zgodność z przepisami prawnymi
A.15.1.4. Ochrona danych osobowych i prywatność informacji
Przepisy prawa dotyczące ochrony danych osobowych
dotyczących osób fizycznych
wymagają
Powinno się zapewnić
wprowadzenia odpowiednich struktur zarządzania i kontroli.
zgodność ochrony danych osobowych i
Administrator danych 
prywatności odpowiedzialny za przestrzeganie przepisów prawa w tym zakresie
z odpowiednimi przepisami prawa, Administrator bezpieczeństwa informacji (ABI) -
regulacjami wewnętrznymi, opracowywanie wytycznych dla kierowników, użytkowników
i dostawców usług dotyczące ich indywidualnych zakresów
i jeśli to wymagane,
odpowiedzialności oraz określonych procedur, które powinny być
z zapisami odpowiednich umów.
przestrzegane.
15 Zgodność (6)
15 Zgodność (6)
15.1 Zgodność z przepisami prawnymi
15.1 Zgodność z przepisami prawnymi
A.15.1.5 Zapobieganie nadużywaniu urządzeń przetwarzających
Legalność monitorowania (opinia prawna w tym zakresie!).
informacje
Prawodawstwo w zakresie przestępczości komputerowej.
Powinno się
W trakcie procedury rejestrowania na ekranie komputera
wprowadzić sankcje
zaleca się wyświetlanie ostrzeżenia informującego,
w przypadku korzystania przez użytkowników
że system, do którego użytkownik się rejestruje, jest systemem
ze środków służących do przetwarzania informacji
prywatnym i nieuprawniony dostęp nie jest dozwolony.
w nieautoryzowanych celach.
22/04/2007 (c) B.Sz Strona 3 z 7
Elementy wymagan zgodnosc Bezpieczenstwo teleinformatyczne WAT
15 Zgodność (7)
15 Zgodność (7)
15.1 Zgodność z przepisami prawnymi
15.1 Zgodność z przepisami prawnymi
A.15.1.6. Regulacje dotyczące zabezpieczeń kryptograficznych
Kontrola państwa w tym zakresie może obejmować:
Używanie zabezpieczeń kryptograficznych
import lub eksport sprzętu komputerowego i oprogramowania
powinno być zgodne
przeznaczonego do wykonywania funkcji kryptograficznych;
z odpowiednimi umowami,
import lub eksport sprzętu komputerowego i oprogramowania,
zaprojektowanych tak, aby można było dodać do nich funkcje
prawem i
kryptograficzne;
regulacjami wewnętrznymi.
obowiązkowe lub dobrowolne metody dostępu władz państwowych
do informacji, które zaszyfrowano sprzętowo lub programowo w
celu zapewnienia poufności ich zawartości.
15 Zgodność (8) 15. Zgodność (9)
15.2 Zgodność z politykami bezpieczeństwa i standardami oraz 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność
zgodność techniczna techniczna
A.15.2.1. Zgodność z polityką bezpieczeństwa i standardami
Kierownicy powinni zapewnić, że wszystkie
Cel: Zapewnianie zgodności systemów
procedury bezpieczeństwa obszaru,
z politykami bezpieczeństwa i
za który są odpowiedzialni, są
standardami bezpieczeństwa.
wykonywane prawidłowo,
tak aby osiągnąć zgodność z politykami bezpieczeństwa
i standardami
22/04/2007 (c) B.Sz Strona 4 z 7
Elementy wymagan zgodnosc Bezpieczenstwo teleinformatyczne WAT
15. Zgodność (9) 15. Zgodność (10)
15.2 Zgodność z politykami bezpieczeństwa i standardami oraz 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz
zgodność techniczna zgodność techniczna
Jeśli w wyniku przeglądu zostaną wykryte jakiekolwiek
Zaleca się, aby
niezgodności, to
kierownicy
zaleca się, aby kierownictwo:
o określiło przyczyny niezgodności;
regularnie przeglądali
o oceniło potrzebę działań zapewniających, że niezgodność nie wystąpi
ponownie;
zgodność przetwarzania informacji
o określiło i wprowadziło odpowiednie działania korygujące;
o w obszarze, za który są odpowiedzialni,
o poddało przeglądowi podjęte działania korygujące.
z odpowiednimi politykami bezpieczeństwa Zaleca się rejestrowanie wyników
przeglądów i
o i standardami oraz
działań korygujących podejmowanych przez kierownictwo
innymi wymaganiami bezpieczeństwa
Oraz utrzymywanie rejestrów tych zdarzeń.
15. Zgodność (11) 15. Zgodność (11)
15.2 Zgodność z politykami bezpieczeństwa i standardami oraz 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz
zgodność techniczna zgodność techniczna
A.15.2.2. Sprawdzanie zgodności technicznej
Zaleca się, aby kierownictwo udostępniało
Systemy informacyjne
wyniki przeglądów osobom
powinny być regularnie
sprawdzane
przeprowadzającym niezależne przeglądy
pod kątem zgodności
(patrz 6.1.8),
ze standardami wdrażania zabezpieczeń.
jeśli niezależny przegląd jest przeprowadzany w
obszarze, za który kierownictwo jest
odpowiedzialne
22/04/2007 (c) B.Sz Strona 5 z 7
Elementy wymagan zgodnosc Bezpieczenstwo teleinformatyczne WAT
15. Zgodność (11) 15 Zgodność (13)
15.2 Zgodność z politykami bezpieczeństwa i standardami oraz 15.2 Przeglądy polityki bezpieczeństwa i
zgodność techniczna zgodności technicznej
Kontrola zgodności obejmuje
Sprawdzanie technicznej zgodności wymaga
test penetracyjny,
analizy eksploatowanych systemów.
o przeprowadzony przez niezależnych ekspertów.
wymaga technicznej pomocy specjalistów którzy
przydatny do
o wykrywania podatności oraz
prowadzą je:
o sprawdzania efektywności zabezpieczeń
oręcznie
Należy postępować ostrożnie w razie pomyślnego dokonania
" Przez doświadczonego inżyniera systemowego lub
penetracji,
o Za pomocą zautomatyzowany pakietu oprogramowania, o bo może to prowadzić do poważnego naruszenia bezpieczeństwa systemu
" generującego raport
o I nieumyślnego wykorzystania innych jego podatności.
" celem dokonania pózniejszej interpretacji
Kontrole takie powinny być prowadzone
" przez technicznego specjalistę.
jedynie przez lub
pod nadzorem kompetentnych, uprawnionych osób.
15 Zgodność (14)
15. Zgodność (14)
15.3 Rozważania dotyczące audytu systemów informacyjnych
15.3 Rozważania dotyczące audytu systemów informacyjnych
uzgadnianie i kontrolowanie zakresu sprawdzenia;
Cel: Maksymalizowanie skuteczności ograniczenie kontroli dostępu do oprogramowania i danych jedynie w
trybie odczytu;
procesu audytu systemu informacyjnego i
minimalizowanie zasoby informacyjne niezbędne do prowadzenia kontroli
zakłóceń z niego wynikających lub na niego wpływających wyraznie określane i udostępniane;
Monitorowanie i zapisywanie w dziennikach zdarzeń
A. 15.3.1. Zabezpieczenia audytu systemu informacyjnego każdego dostępu w celu umożliwienia odwołań.
Aby minimalizować ryzyka zakłóceń procesów biznesowych,
Dokumentowanie wszystkich procedur, wymagań i
powinno się starannie planować i uzgadniać
obowiązków.
wymagania audytu oraz
działania związane
ze sprawdzaniem eksploatowanych systemów
22/04/2007 (c) B.Sz Strona 6 z 7
Elementy wymagan zgodnosc Bezpieczenstwo teleinformatyczne WAT
15 Zgodność (15)
15 Zgodność (16)
15.3 Rozważania dotyczące audytu systemów informacyjnych
15.3 Rozważania dotyczące audytu systemów informacyjnych
Narzędzia takie powinny być
15.3.2. Ochrona narzędzi audytu systemów informacyjnych
izolowane od eksploatowanych systemów i
Dostęp do narzędzi audytu systemu,
systemów wykorzystywanych do prowadzenia prac
powinien być chroniony
rozwojowych oraz
aby zapobiec możliwym nadużyciom lub
nie powinny być przechowywane
naruszeniu bezpieczeństwa,
o w bibliotekach oprogramowania lub
o obszarach dostępnych publicznie,
o chyba że zostanie zapewniony odpowiedni poziom dodatkowej
ochrony.
22/04/2007 (c) B.Sz Strona 7 z 7


Wyszukiwarka

Podobne podstrony:
Elementy wymagan organizacyjne
Elementy wymagan fizyczne
Elementy wymagan osobowe
Elementy wymagan informatyczne
Wymagania zasadnicze oraz tryb i procedury oceny zgodności maszyn i elementów bezpieczeństwa(1)
Dz U 01 127 1391 Wymagania zasadnicze dla maszyn i elementów bezpieczeństwa podlegających ocenie z
PA3 podstawowe elementy liniowe [tryb zgodności]
Wymagania zasadnicze i procedura oceny zgodności sprzętu elektrycznego
Automatyzacja w KiC (w 8) elementy pomiarowe ppt [tryb zgodnosci]
rozporz minist gospod z dnia 20 12 05r w spr zasadniczych wymagań dla maszyn i elementów bezpiecz
Zasadnicze wymagania dla maszyn i elementów bezpieczeństwa 03 91 858
wymagania ogolne elementy budynku
USM Automatyka w IS (wyklad 4) elementy pomiarowe ppt [tryb zgodnosci]
Automatyka (wyk) elementy pomiarowe ppt [tryb zgodnosci]
ELEMENTY ANATOMII I FIZJOLOGII CZŁOWIEKA2[tryb zgodności]
Wymagania zasadnicze i ocena zgodności środków ochrony indywidualnej

więcej podobnych podstron