Elementy wymagan informatyczne


Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i
sieciami 10.1. Procedury eksploatacji oraz zakresy
Elementy wymagań Zarządzania
odpowiedzialności
bezpieczeństwem informacji wg
ISO/IEC 27002
A 10.1 Cel
Zapewnianie prawidłowej i
aspekty informatyczne
bezpiecznej eksploatacji
środków do przetwarzania informacji
dr inż. Bolesław Szomański
Zakład Systemów Zapewniania Jakości
A 10.1.1. Dokumentowanie procedur eksploatacyjnych
Instytut Organizacji Systemów Produkcyjnych
Procedury eksploatacyjne,
Wydział Inżynierii Produkcji
powinny być dokumentowane,
Politechnika Warszawska
utrzymywane i
b.szomanski@wip.pw.edu.pl
dostępne dla wszystkich użytkowników którzy
ich potrzebują.
10. Zarządzanie systemami i sieciami 10. Zarządzanie systemami i sieciami
10.1. Procedury eksploatacji oraz zakresy odpowiedzialności 10.1. Procedury eksploatacji oraz zakresy odpowiedzialności
A.10.1.2. Zarządzanie zmianami
przetwarzanie i postępowanie z informacją;
Zmiany w środkach przetwarzania informacji i
szeregowanie zadań;
systemach
postępowanie w przypadku błędów
zapewnienie wsparcia techniczne; powinny być nadzorowane .
postępowanie z danymi wyjściowymi;
ponowne uruchamiania i odtwarzania systemu;
uruchamianie i wyłączanie komputerów,
tworzenie kopii zapasowych;
konserwacja sprzętu,
zarządzanie pomieszczeniami komputerowymi
postępowaniem z korespondencją
22/04/2007 (c) B.Sz Strona 1 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.1. Procedury eksploatacji oraz zakresy odpowiedzialności
10.1. Procedury eksploatacji oraz zakresy odpowiedzialności
A 10.1.3 Podział obowiązków
zakresy obowiązków kierownictwa w sprawie kontroli
Obowiązki i
zmian
zakresy odpowiedzialności
Szczegółowe wytyczne:
powinny być rozdzielone,
identyfikacja i zapis znaczących zmian;
w celu ograniczenia możliwości
Planowanie i testowanie zmian
nieuprawnionej
ocena potencjalnych następstw takich zmian;
formalna procedura uzyskania zgody na proponowane zmiany; lub nieumyślnej modyfikacji
przekazywanie szczegółów zmian do wszystkich właściwych osób;
lub niewłaściwego użycia
procedury określające odpowiedzialność za przerwanie zmiany
aktywów organizacji
Po wprowadzaniu nieudanych zmian konieczne jest
przywrócenie poprzedniego stanu.
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.1. Procedury eksploatacji oraz zakresy odpowiedzialności
10.1. Procedury eksploatacji oraz zakresy odpowiedzialności
A 10.1.4 Oddzielanie urządzeń przeznaczonych do badań
Nawet w małych firmach;
rozwojowych, urządzeń testowych i eksploatacyjnych
Inne zabezpieczenia np.
Urządzania rozwojowe,
testowe i
ślad audytu,
eksploatacyjne
monitoring
powinny być oddzielone
Zasady rozdzielania czynności o dużym ryzyku
aby zredukować ryzyka
zmowy
niautoryzowanego dostępu
lub zmian w systemach eksploatacyjnych.
22/04/2007 (c) B.Sz Strona 2 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i
10. Zarządzanie systemami i
sieciami
sieciami
10.1. Procedury eksploatacji oraz zakresy odpowiedzialności
10.2 Zarządzanie usługami strony trzeciej
o Określenie i udokumentowanie zasad przenoszenia
Cel
oprogramowania
Wdrożenie i
o Uruchamianie w różnych systemach, komputerach, procesorach,
o utrzymanie odpowiedniego poziomu bezpieczeństwa informacji i
katalogach i domenach
o dostaw usług zgodnie z
o odwzorowanie środowiska produkcyjnego na testowe
o ograniczony dostęp pracowników działu rozwojowego i testerów umowami serwisowymi
do eksploatowanego systemu
o zawartymi ze stronami trzecimi.
o uniemożliwienie dostępu do systemowych programów
użytkowych w środowisku eksploatowanym
o Ograniczenie kopiowania wrażliwych danych do środowisk
testowych
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami sieciami
10.2 Zarządzanie usługami strony trzeciej 10.2 Zarządzanie usługami strony trzeciej
A.10.2.1 Dostarczanie usług Zaleca się,
Powinno się zapewnić że aby dostarczanie usług przez stronę trzecią
o zabezpieczenia, o obejmowało uzgodnione
o definicje usług oraz
zabezpieczenia,
o poziomy dostaw
Definicje usług oraz
zawarte w umowach serwisowych
aspekty zarządzania usługami.
o ze stronami trzecimi
W przypadku umów zlecenia na zewnątrz,

zaleca się opracowanie odpowiednich planów
o wdrożone,
o (przeniesienia informacji,
o wykonywane i
o środków służących do przetwarzania informacji oraz
o utrzymywane
o wszystkich innych niezbędnych rzeczy) oraz
" przez stronę trzecią.
zapewnienie odpowiedniego poziomu bezpieczeństwa w okresie
przejściowym.
22/04/2007 (c) B.Sz Strona 3 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami sieciami
10.2 Zarządzanie usługami strony trzeciej 10.2 Zarządzanie usługami strony trzeciej
A. 10.2.2 Monitorowanie i przegląd usług strony trzeciej
Zaleca się, aby organizacja
Usługi,
zapewniła, że
raporty i
o strona trzecia
zapisy
utrzymuje odpowiednie możliwości serwisowe
dostarczane przez stronę trzecią
wraz z planami utrzymania uzgodnionych poziomów
powinny być
ciągłości usług
regularnie monitorowane i
o na wypadek większej awarii lub
przeglądane
o katastrofy
" oraz
" (patrz 14.1).
regularnie audowane.
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami sieciami
10.2 Zarządzanie usługami strony trzeciej 10.2 Zarządzanie usługami strony trzeciej
Zaleca się Zaleca się
monitorowanie i stworzenie relacji
o między organizacją a
przeglądy usług
" dostarczanych przez stronę trzecią o stroną trzecią oraz
o w celu sprawdzenia
procesu zarządzania usługą w celu:
o zgodności z
o monitorowania zgodności poziomów wykonania usług z umowami;
o zapisami i
przeglądania raportów usługowych dostarczanych przez stronę
o warunkami bezpieczeństwa informacji
trzecią oraz
" zawartymi w umowach i
organizowania, zgodnie z umowami,
Właściwego zarządzania
o regularnych spotkań dotyczących rozwoju usług;
problemami i
powiadamiania o incydentach naruszenia bezpieczeństwa oraz
incydentami naruszenia bezpieczeństwa informacji.
przeglądania tych informacji
o przez stronę trzecią i
o organizację
" zgodnie z zapisami umów oraz innymi zaleceniami i procedurami;
22/04/2007 (c) B.Sz Strona 4 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami sieciami
10.2 Zarządzanie usługami strony trzeciej 10.2 Zarządzanie usługami strony trzeciej
przeglądu śladów audytowych oraz Zaleca się przypisanie odpowiedzialności za zarządzanie
o dzienników zdarzeń, relacjami ze stroną trzecią
o problemów operacyjnych, I odpowiednio u strony trzeciej
o awarii,
Zapewnienie umiejętności i zasobów do monitoriwania
o śledzenia
W przypadku braków odpowiednie działania
o błędów i
Zalecana
o zakłóceń dostarczanych przez stronę trzecią usług;
wystarczająca całościowa kontrola aspektów bezpieczeństwa u
rozwiązywania i zarządzania wszelkimi
strony trzeciej i
zidentyfikowanymi problemami.
wgląd w działania bezpieczeństwa
Uwaga nie można delegować odpowiedzialności
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami sieciami
10.2 Zarządzanie usługami strony trzeciej 10.2 Zarządzanie usługami strony trzeciej
A10.2.3 Zarządzanie zmianami usług strony trzeciej
Zaleca się, aby proces zarządzania zmianami usług
Zmiany w dostarczaniu usług,
strony trzeciej brał pod uwagę:
o włączając w to
o utrzymanie i zmiany wprowadzane przez organizację w celu:
o doskonalenie istniejących
o wprowadzenia udoskonaleń w aktualnie oferowanych usługach;
" polityk bezpieczeństwa,
o opracowania nowych aplikacji i systemów;
" procedur i
" zabezpieczeń, o dokonania modyfikacji i uaktualnień polityk i procedur
bezpieczeństwa organizacji;
powinny być zarządzane z
uwzględnieniem krytyczności związanych z tym o wdrożenia nowych zabezpieczeń
o systemów i procesów biznesowych oraz
" rozwiązujących incydenty naruszenia bezpieczeństwa informacji
ponownego szacowania ryzyk.
" oraz podnoszące poziom bezpieczeństwa;
22/04/2007 (c) B.Sz Strona 5 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.3 Planowanie i odbiór systemu
10.2 Zarządzanie usługami strony trzeciej
A.10.3.Cel :
zmiany w usługach strony trzeciej w celu:
Minimalizowanie ryzyka awarii systemów
o zmiany i udoskonalenia w sieciach;
A 10.3.1 Zarządzanie pojemnością zdolnością
o wykorzystania nowych technologii;
Wykorzystanie zasobów
o przystosowania nowych produktów lub ich wersji;
powinno być monitorowane i
o wprowadzenia nowych narzędzi do prac rozwojowych i nowych
środowisk;
dostrajane
o zmiany fizycznej lokalizacji usług;
oraz
o zmiany dostawców.
powinno się przewidywać,
o Przyszłą pojemność systemów
o aby zapewnić ich właściwą wydajność
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.3 Planowanie i odbiór systemu
10.3 Planowanie i odbiór systemu
A 10.3.2 Odbiór systemu
koszty i czas zwiększania pojemności w przypadku Przed odbiorem systemu
o Powinno się opracować kryteria odbioru
komputerów klasy  mainframe ;
o nowych systemów informatycznych,
wyprzedzające identyfikowanie kierunków rozwoju
o uaktualnień i
systemu w celu unikania tzw.  wąskich gardeł
o nowych wersji
" oraz
o odpowiedni testów systemów
o przeprowadzonych
o w fazie rozwojowej
" i
o przed zaakceptowaniem
22/04/2007 (c) B.Sz Strona 6 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami sieciami 10.4 Ochrona przed szkodliwym i mobilnym
kodem
10.3 Planowanie i odbiór systemu
kryteria odbioru:
o wymagania wydajności i pojemności komputerów;
A.10.4. Cel :
o reakcja na sytuacje awaryjnych,
Ochrona integralności oprogramowania i informacji
o rutynowe procedury operacyjne;
o wdrożone zabezpieczenia;
o ciągłość prowadzonej działalności;
A 10.3.1.Zabezpieczenia przed szkodliwym oprogramowaniem
o brak interferencji z innymi eksploatowanymi systemami;
Zabezpieczenia zapobiegające,
o analiza wpływu na ogólne bezpieczeństwo;
o szkolenie w obsłudze i użytkowaniu
wykrywające i usuwające kod złośliwy
oraz właściwe
procedury uświadamiania użytkowników
powinny być wdrożone
10. Zarządzanie systemami i sieciami
10. Zarządzanie systemami i sieciami
10.4 Ochrona przed szkodliwym i mobilnym oprogramowaniem
10.4 Ochrona przed szkodliwym i mobilnym oprogramowaniem
formalna polityka zgodności z licencjami;
A 10.4.2 Zabezpieczenia przed kodem mobilnym
formalna polityka ochrony przed otrzymywaniem plików
i oprogramowania z zewnątrz; o Jeśli korzystanie z kodu mobilnego jest
instalacja i regularne uaktualnianie oprogramowania o autoryzowane,
antywirusowego;
konfiguracja systemu powinna zapewnić,
regularne przeglądy oprogramowania.
aby uprawniony kod
sprawdzanie przed użyciem wszelkich plików;
o działał zgodnie z jasno określoną polityką bezpieczeństwa,
sprawdzanie załączników poczty elektronicznej.
natomiast
procedury dotyczące ochrony antywirusowej
nieuprawniony kod
szkolenie i uświadamianie pracowników
o nie mógł się uruchomić.
zgłaszanie ataków wirusów;
ciągłość działania po atakach wirusów;
procedury weryfikacji informacji związanych ze szkodliwym
oprogramowaniem
22/04/2007 (c) B.Sz Strona 7 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i sieciami 10. Zarządzanie systemami i
10.4 Ochrona przed szkodliwym i mobilnym oprogramowaniem sieciami A 10.5 kopie zapasowe
A.10.5. Kopie zapasowe
zaleca się rozważenie następujących działań:
Cel :
wykonywania kodu mobilnego w logicznie izolowanym środowisku;
Zapewnienie
blokowania korzystania z kodu mobilnego;
integralności i
blokowania otrzymywania kodu mobilnego;
dostępności informacji
uruchomienia technicznych środków dostępnych na określonym
oraz
systemie i zapewniających zarządzanie kodem mobilnym;
środków przetwarzania informacji
zabezpieczenia zasobów dostępnych dla kodu mobilnego;
stosowania zabezpieczeń kryptograficznych w celu jednoznacznego
uwierzytelnienia kodu mobilnego.
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.5 Kopie zapasowe
10.5 Kopie zapasowe
A 10.5.1 Zapasowe kopie informacji
Zalecenia:
Kopie zapasowe
informacji i rozdzielenie miejsc przechowywania kopii zapasowych;
oprogramowania
trzy generacje kopii zapasowych;
powinny być regularnie
zabezpieczenia fizyczne i środowiskowe,
sporządzane i
regularne testowanie nośników kopii zapasowych;
testowane
regularne sprawdzanie i testowanie procedur
zgodnie z
odtwarzania
zaakceptowaną polityką
sporządzania kopii zapasowych
22/04/2007 (c) B.Sz Strona 8 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.6 Zarządzanie bezpieczeństwem sieci
10.6 Zarządzanie bezpieczeństwem sieci
A.10.6. Cel
rozdzielenie odpowiedzialności za działanie sieci i komputerów;
ustalenie procedur zarządzania zdalnymi urządzeniami,
Zapewnianie ochrony informacji w sieciach i ochrona
specjalne zabezpieczenia danych przesyłanych przez sieci
infrastruktury wspomagającej
publiczne
A 10.6.1. Zabezpieczenia sieci
ścisła koordynacja działań związanych z zarządzaniem sieciami.
Sieci powinny być
odpowiednio zarządzanie i
nadzorowane,
w celu ochrony przed zagrożeniami i
utrzymania bezpieczeństwa systemów
i aplikacji sieciowych,
w tym przesyłanych informacji.
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.6 Zarządzanie bezpieczeństwem sieci
10.6 Zarządzanie bezpieczeństwem sieci
Zaleca się sprawdzenie zdolności dostawcy usług sieciowych
A 10.6.2. Bezpieczeństwo usług sieciowych
do bezpiecznego utrzymania uzgodnionych usług,
Wymagania odnoszące się do
regularne monitorowanie i
o cech bezpieczeństwa,
uzgodnienie prawa do przeprowadzania audytów.
o poziomu usług,
Zaleca się ustalenie środków bezpieczeństwa
o zarządzania wszystkimi usługami sieciowymi
dla poszczególnych usług,
powinny być określone i włączone
takich jak wymagania co do cech bezpieczeństwa,
o do odpowiednich umów na dostarczanie tych usług,
poziomu usług oraz wymagań odnoszących się do zarządzania.
o niezależnie od tego, czy są one realizowane
Zaleca się, aby organizacja upewniła się, że
" własnymi środkami, czy
" zlecane na zewnątrz. dostawcy usług sieciowych stosują te środki.
22/04/2007 (c) B.Sz Strona 9 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami 10.7 Obsługa nośników sieciami 10.7 Obsługa nośników
A.10.7.Cel:
Zalecenia w zakresie zarządzania nośnikami wymiennymi:
Niepotrzebną zawartość usunąć w sposób uniemożliwiający jej
Zapobieganie nieautoryzowanemu ujawnieniu,
odtworzenie;
modyfikacji,
usunięcie nośników z organizacji może wymagać autoryzacji oraz
rejestru dla potrzeb audytu
usunięciu lub
przechowywanie wszystkich nośników według zaleceń producenta;
zniszczeniu aktywów oraz dodatkowe przechowywanie w innym miejscu i inny sposób, gdy
dłużej niż zalecenia aby uniknąć utraty informacji
przerwom w działalności biznesowej.
o na skutek pogorszenia się nośnika;
rejestrowanie nośników wymiennych;
A 10.7.1 Zarządzanie nośnikami wymiennymi
udostępnianie czytników nośników wymiennych tylko w
Powinno się stosować
uzasadnionych biznesowo przypadkach.
procedury
Zaleca się jasne udokumentowanie wszystkich procedur i
poziomów upoważnień.
zarządzania nośnikami wymiennymi.
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.7 Obsługa nośników
A 10.7.2 Niszczenie nośników 10.7 Obsługa nośników
bezpieczne i pewne niszczenie nośników;
Nośniki, które
lista nośników podlegających formalnym procedurom bezpiecznego
nie będą już dłużej wykorzystywane,
niszczenia:
powinny być
zniszczenie wszystkich nośników;
bezpiecznie niszczone
zlecanie niszczenia na zewnątrz;
zgodnie z
prowadzenie rejestru usuwania wrażliwych nośników
formalnymi procedurami.
22/04/2007 (c) B.Sz Strona 10 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.7 Obsługa nośników
10.7 Obsługa nośników
A 10.7.3 Procedury postępowania z informacją
postępowanie i oznaczanie wszystkich nośników;
Powinny być wdrożone procedury
ograniczenia dostępu;
postępowania z informacjami oraz
spis uprawnionych odbiorców danych;
ich przechowywania
kompletność danych wejściowych i wyjściowych;
o w celu ochrony informacji przed
bezpieczne przechowywanie nośników
nieautoryzowanym
ograniczanie do minimum dystrybucji danych;
o ujawnieniem lub
oznakowywanie wszystkich kopii danych
o niewłaściwym użyciem.
regularne przeglądanie list dystrybucyjnych
uprawnionych odbiorców
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.7 Obsługa nośników
10.7 Obsługa nośników
A 10.7.4 Bezpieczeństwo dokumentacji systemowej
przechowywanie w bezpieczny sposób;
Dokumentacja systemowa
ograniczenie listy osób mających dostęp;
powinna być chroniona
przed nieautoryzowanym dostępem.
ochrona w przypadku przechowywania w sieci
publicznej
22/04/2007 (c) B.Sz Strona 11 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i sieciami
10. Zarządzanie systemami i sieciami
10.8 Wymiana informacji
10.8 Wymiana informacji
Zaleca się, aby procedury i zabezpieczenia stosowane w
Cel:
przypadku wymiany informacji uwzględniały:
Utrzymanie bezpieczeństwa informacji i oprogramowania
ochronę wymienianej informacji przed przechwyceniem,
kopiowaniem, modyfikacją, błędnym wyborem drogi i zniszczeniem;
wymienianego wewnątrz organizacji oraz z każdym podmiotem
wykrywanie i ochronę przed szkodliwym kodem, który może być
zewnętrznym.
przesyłany za pomocąśrodków komunikacji elektronicznej (10.4.1);
A 10.8.1. Polityki i procedury wymiany informacji
ochronę wrażliwych informacji elektronicznych przekazywanych w
formie załączników;
Powinny być wdrożone
polityki lub zalecenia określające akceptowalny sposób korzystania z
formalne polityki wymiany informacji,
elektronicznych urządzeń komunikacyjnych (7.1.3);
procedury i korzystanie z komunikacji bezprzewodowej, z uwzględnieniem
szczególnych ryzyk z tym związanych;
zabezpieczenia
zobowiązanie pracowników, wykonawców i wszystkich innych
w celu ochrony wymiany informacji użytkowników do nie działania na szkodę organizacji,
korzystanie z technik kryptograficznych, np. do ochrony poufności,
przy wykorzystaniu wszystkich rodzajów
integralności i autentyczności informacji (12.3);
środków komunikacji.
10. Zarządzanie systemami i sieciami 10. Zarządzanie systemami i sieciami
10.8 Wymiana informacji 10.8 Wymiana informacji
zalecenia przechowywania i niszczenia korespondencji biznesowej, przypominanie personelowi, aby nie pozostawiał w żadnym
włączając w to wiadomości, zgodnie z prawem oraz regulacjami oprogramowaniu danych,
zakaz pozostawiania wrażliwych informacji przy urządzeniach przypominanie personelowi, że faks-modemy i fotokopiarki mają
drukujących podręczną pamięć
zabezpieczenia i ograniczenia związane z możliwościami
Zaleca się przypominanie personelowi, że nie należy
przekazywaniem wiadomości za pomocą poczty elektronicznej
prowadzić poufnych rozmów w miejscach publicznych
przypominanie personelowi, aby stosował odpowiednie środki
otwartych biurach lub miejscach spotkań, które nie są wyposażone w
ostrożności, np. w trakcie rozmów telefonicznych
ściany dzwiękochłonne.
nie pozostawianie wiadomości zawierających wrażliwe informacje w
Zaleca się, aby środki wymiany informacji spełniały
automatycznych sekretarkach,
odpowiednie wymagania prawne (patrz rozdział 15).
przypominanie personelowi o problemach wynikających z
korzystania z faksów
22/04/2007 (c) B.Sz Strona 12 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i sieciami 10. Zarządzanie systemami i sieciami
10.8 Wymiana informacji 10.8 Wymiana informacji
wrażliwość informacji biznesowych:
10.8.2 Umowy wymiany informacji
obowiązki kierownictwa w zakresie
W celu wymiany
procedury powiadamiania odbiorcy
informacji i
minimalne standardy techniczne
oprogramowania
" pomiędzy
zakresy odpowiedzialności w przypadku utraty danych
o organizacją i
uzgodniony systemu oznaczeń
o stronami zewnętrznymi
aspekty prawne
o powinno się
specjalne zabezpieczenia,
o zawierać umowy
" wymiany informacji.
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.8 Wymiana informacji
10.8 Wymiana informacji
A 10.8.3 Transportowanie nośników fizycznych
o zasady korzystania z usług kurierskich;
Nośniki zawierające informację
o stosowanie odpowiednich opakowań,
Powinny być chronione
o specjalne zabezpieczenia
przed nieautoryzowanym dostępem,
niewłaściwym
o użyciem lub
uszkodzeniem w transporcie
o poza fizyczne granice organizacji.
22/04/2007 (c) B.Sz Strona 13 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.8 Wymiana informacji
10.8 Wymiana informacji
wrażliwość wiadomości
wrażliwość na błędy,
A 10.8.4 Wiadomości elektroniczne
skutki publikowania list personelu dostępnych z zewnątrz;
Informacja zawarta
kontrolowanie zdalnego dostępu do kont pocztowych
w wiadomościach elektronicznych
ataki na pocztę elektroniczną,
powinna być odpowiednio zabezpieczona ochrona załączników poczty elektronicznej;
w jakich przypadkach zakazywać używania poczty elektronicznej;
odpowiedzialności pracowników za narażenie wizerunku instytucji,
kryptografia
zachowywania wiadomości, ;
weryfikacji wiadomości bez ustalonego nadawcy
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.8 Wymiana informacji
10.8 Wymiana informacji
A 10.8.5. Biznesowe systemy informacyjne
wrażliwość biznesowych systemów informacyjnych
Powinno się
wykluczenie kategorii wrażliwych informacji
opracować i wdrożyć
biznesowych,
polityki i procedury
ograniczenie dostępu do informacji dotyczących
dla ochrony informacji
wybranych osób,;
związanej z połączeniami
kategorie pracowników mających zezwolenie
" pomiędzy
o biznesowymi systemami informacyjnymi.
status użytkowników w książkach teleadresowych,
kopie zapasowe informacji;
wyjście z sytuacji awaryjnych
22/04/2007 (c) B.Sz Strona 14 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i sieciami
10. Zarządzanie systemami i sieciami
10.9 Usługi handlu elektronicznego
10.9 Usługi handlu elektronicznego
A 10.9.1. Handel elektroniczny
Informacje związane z
Cel:
handlem elektronicznym
powinny być chronione
Zapewnienie bezpieczeństwa
przed działaniami oszukańczymi,
kwestionowaniem umów
usług handlu elektronicznego
oraz nieautoryzowanym
o oraz ich
ujawnieniem lub
bezpiecznego używania
modyfikacją.
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami sieciami
10.9 Usługi handlu elektronicznego 10.9 Usługi handlu elektronicznego
o Uwierzytelnienie.
10.9.2 Transakcje on-line
o Autoryzacja.
Informacje zawarte w transakcjach on-line
o Procedury podpisywania umów i procedury przetargowe.
powinny być chronione
o Informacje dotyczące cen.
w celu zapobiegania przed
o Stopień zaufania do integralności cenników i rabatów
o niekompletnością transmisji,
o Realizacja zamówienia
o błędnym rutingiem,
o Weryfikacja płatności
o nieautoryzowanym zmianom,
o Regulowanie zobowiązań.
o nieautoryzowanemu ujawnienieniu,
o Zamówienia.
o kopiowaniu lub
o Odpowiedzialność w razie oszustwa
o powtórzeniu.
22/04/2007 (c) B.Sz Strona 15 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.9 Usługi handlu elektronicznego
10.9 Usługi handlu elektronicznego
Zalecane uwzględnienie aspektów bezpieczeństwa w
A 10.9.3 Informacje publicznie dostępne
transakcjach on-line takich jak:
Integralność informacji
stosowania podpisów elektronicznych przez wszystkie strony
umieszczanej na publicznie dostępnych systemach,
zaangażowane w transakcję;
wszystkich aspektów transakcji,
powinna być chroniona przed
o ważności dokumentów uwierzytelniające,
nieuprawnioną modyfikacją.
o poufności,
o prywatności;
szyfrowania ścieżki komunikacji pomiędzy stronami;
wykorzystywania bezpiecznych protokołów do komunikacji
pomiędzy stronami;
zapewnienia, że szczegóły transakcji przechowywane są poza
publicznie dostępnym środowiskiem,
jeśli jest wykorzystywana zaufana strona trzecia to bezpieczeństwo
jest zintegrowane i włączone w cały procesie zarządzania
certyfikatami lub podpisami użytkowników.
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami sieciami
10.9 Usługi handlu elektronicznego 10.10 Monitorowanie
Głównie chodzi o internet Cel:
Staranne zabezpieczenie zwłaszcza gdy pozwalają na
odpowiedz
Wykrycie
Informacja
nieautoryzowanych
o Zgodna z prawem
o Integralna działań
o Odpowiednio chroniona
związanych z
Brak dostępu z zewnątrz do sieci wewnętrznej:
przetwarzaniem informacji.
22/04/2007 (c) B.Sz Strona 16 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami sieciami
10.10 Monitorowanie 10.10 Monitorowanie
Zaleca się aby dzienniki audytu, zawierały:
10.10.1 Dziennik audytu
identyfikator użytkownika;
Dzienniki audytu
daty, czasy i szczegóły ważnych zdarzeń,
o rejestrujące działania
identyfikator lub lokalizację terminala;
użytkowników oraz
rejestr pomyślnych i odrzuconych prób dostępu do systemu;
zdarzenia związane z bezpieczeństwem informacji
rejestr pomyślnych i odrzuconych prób dostępu do danych i innych
zasobów;
powinny być tworzone i
zmiany konfiguracji systemu;
o przechowywane przez
informacje o korzystaniu z przywilejów;
" uzgodniony czas dla
informacje o korzystaniu z narzędzi systemowych i aplikacji;
o potrzeb przyszłych postępowań
" oraz używane pliki wraz ze sposobem użycia;
o monitorowania kontroli dostępu.
adresy sieciowe i protokoły;
alarmy podniesione przez system kontroli dostępu;
aktywacje i deaktywacje systemów ochrony,
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami sieciami
10.10 Monitorowanie 10.10 Monitorowanie
Zaleca się określenie wymaganego poziomu monitorowania
A. 10.10.2 Monitorowanie użycia systemu
poszczególnych urządzeń na podstawie szacowania ryzyka.
Powinny być wdrożone procedury
Zaleca się, aby w zakresie monitorowania organizacja
monitorowania użycia
działała zgodnie z odpowiednimi wymaganiami prawa
o środków służących do przetwarzania informacji oraz
Zaleca się rozważenie następujących obszarów:
wyniki działań monitorujących
autoryzowany dostęp,
wszystkie uprzywilejowane operacje, takie jak:
powinny być
nieautoryzowane próby dostępu,
regularnie przeglądane
alarmy systemowe lub błędy
zmiany, lub próby zmian, ustawień bezpieczeństwa i zabezpieczeń
systemu.
Zaleca się, aby częstość przeglądów wyników
monitorowania zależała od rozpatrywanych ryzyk.
22/04/2007 (c) B.Sz Strona 17 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.10 Monitorowanie
10.10 Monitorowanie
10.10.3 Ochrona informacji zawartej w dziennikach
Zaleca się, ochronę przed nieautoryzowanymi zmianami
zdarzeń
oraz problemami eksploatacyjnymi urządzeń rejestrujących
Podsystemy logowania
włączając w to:
zmiany rejestrowanych typów wiadomości;
oraz informacje
edycję lub usunięcie plików dziennika;
zawarte w dziennikach zdarzeń
przekroczenie pojemności nośnika plików dziennika, które może
powinny być chronione
powodować niemożność rejestrowania zdarzeń lub nadpisywanie
przed manipulacją i
zdarzeń z przeszłości.
nieautoryzowanym dostępem. Niektóre dzienniki audytu mogą wymagać archiwizacji w związku z
polityką przechowywania zapisów lub z
powodu wymagań zbierania i przechowywania materiału
dowodowego (patrz 13.2.3).
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.10 Monitorowanie
10.10 Monitorowanie
10.10.4 Dzienniki administratora i operatora Zaleca się, aby dzienniki zawierały:
Działania czas zajścia zdarzenia;
administratorów
informację na temat zdarzenia
i
użyte konto,;
operatorów
użyte procesy.
powinny być
rejestrowane
Zaleca się regularne przeglądanie dzienników
administratorów i operatorów systemu.
22/04/2007 (c) B.Sz Strona 18 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
10. Zarządzanie systemami i
10. Zarządzanie systemami i sieciami
sieciami
10.10 Monitorowanie
10.10 Monitorowanie
Jasne reguły obsługi błędów zgłaszanych przez
10.10.5 Rejestrowanie błędów
użytkowników:
Błędy powinny być
przegląd zapisów o błędach w celu zapewnienia,
rejestrowanie i
analizowanie
przegląd środków naprawczych
a
odpowiednie działania
powinny być podjęte
10. Zarządzanie systemami i 10. Zarządzanie systemami i
sieciami sieciami
10.10 Monitorowanie 10.10 Monitorowanie
Ustawienie obsługi czasu rzeczywistego jeżeli jest to możliwe
A 10.10.6 Synchronizacja zegarów
zaleca się wdrożenie
procedury sprawdzającej i korygującej każde istotne odchylenie.
Zegary wszystkich stosownych systemów
Poprawna interpretacja formatu daty i czasu jest ważnym
" przetwarzania informacji
elementem dla zapewnienia, że znaczniki czasu odpowiadają
o w organizacji lub
prawdziwej dacie i czasowi.
" domenie bezpieczeństwa z powinny być
" synchronizowane
Zaleca się także uwzględnienie lokalnej specyfiki (np. zmian
o ustalonym dokładnym zródłem czasu.
czasu zimowego i letniego).
22/04/2007 (c) B.Sz Strona 19 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.1 Wymagania biznesowe związane kontrolą dostępu
11.1 Wymagania biznesowe związane kontrolą dostępu
Cel: Kontrolowanie dostępu do informacji
biznesowych.
wymagania bezpieczeństwa pojedynczych aplikacji biznesowych;
A 11.1.1. Polityka kontroli dostępu
identyfikację wszystkich informacji związanych z aplikacjami biznesowymi;
Polityka kontroli dostępu
polityka rozpowszechniania informacji
powinna być
stosowanie przepisów prawa oraz zobowiązania wynikające z umów;
ustanowiona,
standardowe profile praw dostępu
zarządzanie prawami dostępu (w tym dostępy chwilowe)
udokumentowana i
zasady kontroli dostępu (co dozwolone a co zakazane)
poddawana przeglądom
zmiany w uprawnieniach użytkowników
na podstawie potrzeb
udział administratora w zmianach zasad
biznesowych i
wymagań bezpieczeństwa .
11. Kontrola dostępu do systemu 11. Kontrola dostępu do systemu
11.2 Zarządzanie dostępem użytkowników 11.2 Zarządzanie dostępem użytkowników
Cel: Zapewnienie dostępu autoryzowanym użytkownikom i
używanie unikalnego identyfikatora użytkownika
zapobieżenie nieautoryzowanemu dostępowi do systemów
sprawdzanie uprawnień
informacyjnych.
sprawdzenie zgodności poziomu dostępu
A 11.2.1 Rejestracja użytkowników
zapewnienie, kompletności sprawdzania uprawnień;
Niezwłoczne odebranie praw dostępu użytkownikom,
Przyznawanie i odbieranie
zarządzanie kontami;
dostępu do wszystkich systemów i
usług informacyjnych
powinno być oparte na
formalnej procedurze
rejestrowania i
wyrejestrowywania
użytkowników.
22/04/2007 (c) B.Sz Strona 20 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.2 Zarządzanie dostępem użytkowników
11.2 Zarządzanie dostępem użytkowników
A 11.2.2 Zarządzanie przywilejami
wskazanie przywilejów (do systemu, aplikacji,
Przyznawanie i
urządzeń)
używanie
przywileje przydzielane poszczególnym osobom;
przywilejów
realizacja procesu autoryzacji
powinno być
przywileje przyznawane użytkownikom chwilowo
ograniczane i
kontrolowane
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.2 Zarządzanie dostępem użytkowników
11.2 Zarządzanie dostępem użytkowników
A 11.2.3 Zarządzanie hasłami użytkowników
wymaganie podpisania zobowiązania do zachowania w tajemnicy
Przydzielanie haseł
haseł
powinno być
o natychmiastowa zmiana hasła początkowego
kontrolowane
o bezpieczne przechowywanie haseł
za pośrednictwem
o biometryczne techniki identyfikacji,
formalnego procesu zarządzania.
22/04/2007 (c) B.Sz Strona 21 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.2 Zarządzanie dostępem użytkowników
11.2 Zarządzanie dostępem użytkowników
A 11.2.4 Przegląd praw dostępu użytkowników
Przegląd w regularnych odstępach czasu
Kierownictwo powinno
specjalnie uprzywilejowane prawa dostępu częściej
dokonywać regularnych przeglądów
praw dostępu użytkowników przydzielanie przywilejów powinno być regularnie
kontrolowane
na podstawie formalnego procesu
11. Kontrola dostępu do systemu 11. Kontrola dostępu do systemu
11.3 Odpowiedzialności użytkowników 11.3 Odpowiedzialności użytkowników
Cel: Zapobieganie A 10.3.1.Używanie haseł
Podczas wyboru i
nieautoryzowanemu dostępowi
v używania haseł
użytkowników
użytkownicy
oraz naruszeniu bezpieczeństwa,
powinni postępować
v zgodnie ze
kradzieży informacji lub
sprawdzonymi praktykami bezpieczeństwa.
środków służących do przetwarzania informacji.
22/04/2007 (c) B.Sz Strona 22 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.3 Zakres odpowiedzialności użytkowników
11.3 Odpowiedzialności użytkowników
A 11.3.2 Pozostawianie sprzętu użytkownika bez opieki
Użytkownicy
utrzymywanie haseł w tajemnicy;
powinni
rygory zapisu na papierze;
Warunki niezwłocznej zmiana hasła
zapewniać
dobór haseł
odpowiednią ochronę
zmiana haseł w regularnych odstępach czasu
sprzętu
zmiana hasła tymczasowego;
zakaz wprowadzania haseł do zautomatyzowanych procesów rejestrowania pozostawionego bez opieki
11. Kontrola dostępu do systemu 11. Kontrola dostępu do systemu
11.3 Zakres odpowiedzialności użytkowników 11.3 Zakres odpowiedzialności użytkowników
zamykanie aktywnych sesji po zakończeniu pracy,
A.11.3.3 Polityka czystego biurka i czystego ekranu
wyrejestrowanie z serwerów i mainframe
Powinna być wprowadzona
zabezpieczenie nieużywanych komputerów osobistych
polityka czystego biurka
lub terminali
dla dokumentów papierowych i nośników,
a dla środków
o służących dla przetwarzania informacji
polityka czystego ekranu.
22/04/2007 (c) B.Sz Strona 23 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu 11. Kontrola dostępu do systemu
11.4 Kontrola dostępu do sieci
11.3 Zakres odpowiedzialności użytkowników
Polityka uwzględniająca klasyfikację bezpieczeństwa
Cel Ochrona usług sieciowych przed
informacji, związane z tym zagrożenia i uwarunkowania
nieautoryzowanym dostępem
kulturowe danej instytucji;
A 11.4.1 Polityka dotycząca korzystania z usług
zamykanie w szafach nośników i wydruków
papierowych; sieciowych
zabezpieczanie w sejfach poza godzinami pracy; Użytkownikom
zabezpieczenie punktów wysyłania i odbierania poczty powinno się
oraz maszyn faksowych i kopiarek;
zapewnić dostęp
niezwłoczne zabieranie wydruków z drukarek
tylko do tych usług,
sieciowych.
do których udzielono im autoryzacji
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.4 Kontrola dostępu do sieci
11.4 Kontrola dostępu do sieci
Określenie sieci i usług sieciowe,
A 11.4.2 Uwierzytelnianie użytkowników przy połączeniach
zewnętrznych
procedury autoryzacji;
Przy dostępie
nadzór kierownictwa
zdalnych użytkowników
procedury ochrony dostępu
powinno się stosować
odpowiednie
metody uwierzytelnienia.
22/04/2007 (c) B.Sz Strona 24 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.4 Kontrola dostępu do sieci
11.4 Kontrola dostępu do sieci
Metody uwierzytelniania zależne od oszacowania
A 11.4.3 Identyfikacja urządzeń w sieciach
ryzyka
Powinno się
techniki i
rozważyć
o protokoły kryptograficzne;
automatyczną identyfikację urządzeń
wywołanie zwrotne
jako środek
zablokowanie przekazywania połączeń,
uwierzytelniania połączeń z określonych
rzeczywiste rozłączenie po stronie serwera.
lokalizacji lub
o urządzeń.
11. Kontrola dostępu do systemu 11. Kontrola dostępu do systemu
11.4 Kontrola dostępu do sieci 11.4 Kontrola dostępu do sieci
A 11.4.4.Ochrona zdalnych portów diagnostycznych
Przydatne gdy
Fizyczny i logiczny
Wymaganie żeby połączenie było tylko z
dostęp do portów
określonej lokalizacji
diagnostycznych i
Określić do jakiej sieci może się podłączyć
konfiguracyjnych
Może być wymagana ochrona fizyczna
powinien być kontrolowany
22/04/2007 (c) B.Sz Strona 25 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu 11. Kontrola dostępu do systemu
11.4 Kontrola dostępu do sieci 11.4 Kontrola dostępu do sieci
Zdalne porty istnieją w wielu komputerach i
A 11.4.5. Rozdzielanie sieci
systemach komunikacyjnych
Grupy usług informacyjnych,
o Są wykorzystywane przez służby serwisowe
użytkowników i
Należy je zabezpieczyć
systemów informatycznych
o Blokady z użyciem kluczy
powinny być
o Procedury zapewniające dostępność jedynie
rozdzielane w sieciach
" Na podstawie umowy pomiędzy stronami
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.4 Kontrola dostępu do sieci
11.4 Kontrola dostępu do sieci
A 11.4.6 Kontrola połączeń sieciowych
Zabezpieczenia
We współużytkowanych sieciach
Odseparowane domeny logiczne
szczególnie tych, które
Kontrolowanie ruchu pomiędzy domenami
wykraczają poza granice organizacji,
Zapory (firewall)
powinno się
Uwzględniać
ograniczyć
o politykę kontroli dostępu i
możliwość podłączenia się użytkowników,
o koszt
zgodnie polityką kontroli dostępu i
o wydajność
wymaganiami aplikacji biznesowych
22/04/2007 (c) B.Sz Strona 26 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.4 Kontrola dostępu do sieci
11.4 Kontrola dostępu do sieci
A 11.4.7 Zabezpieczenia rutingu w sieciach
poczta elektroniczna;
Powinno się
jednokierunkowe przesyłanie plików;
wdrożyć kontrolę rutingu w sieciach,
dwukierunkowe przesyłanie plików;
aby zapewnić, że
dostęp interaktywny;
połączenia pomiędzy komputerami i
przepływ informacji
Zaleca się rozważenie dostępu do sieci w
nie naruszają
określonym czasie i dniu.
polityki kontroli
dostępu do aplikacji biznesowych.
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.4 Kontrola dostępu do sieci
11.5 Kontrola dostępu do systemów operacyjnych
Sprawdzanie adresów zródłowych i
Cel: Ochrona
docelowych
przed
nieuprawnionym dostępem do
Translacja adresów sieciowych
o systemów informatycznych
22/04/2007 (c) B.Sz Strona 27 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.5 Kontrola dostępu do systemów operacyjnych
11.5 Kontrola dostępu do systemów operacyjnych
A 11.5.1 Procedury bezpiecznego logowania się
Rejestrowanie w systemie:
Dostęp do
systemów operacyjnych blokuje wyświetlanie identyfikatorów systemu lub
aplikacji
powinien być kontrolowany
za pomocą wyświetla ogólne ostrzeżenie,
procedury bezpiecznego logowania się. zatwierdza jedynie kompletne informacje wejściowe
ogranicza liczbę nieudanych prób rejestrowania
wyświetla informacje o poprzednich rejestracjach po
wejściu
11. Kontrola dostępu do systemu 11. Kontrola dostępu do systemu
11.5 Kontrola dostępu do systemów operacyjnych 11.5 Kontrola dostępu do systemów operacyjnych
A 11.5.2. Identyfikacja i uwierzytelnianie
Identyfikator nie powinien wskazywać poziomu
użytkowników
uprawnień
Wszyscy użytkownicy powinni mieć
Tylko w wyjątkowych wypadkach można używać
unikalne identyfikatory użytkownika (ID
wspólnych identyfikatorów
użytkownika)
Stosować
o do swojego osobistego i
o Hasła,
o wyłącznego użytku
o Techniki kryptograficzne,
o oraz
o Protokoły uwierzytelnienia,
powinna być wybrana odpowiednia
o Urządzenia,
o technika uwierzytelniania,
o Techniki biometryczne
" dla sprawdzenia
o deklarowanej tożsamości użytkownika.
22/04/2007 (c) B.Sz Strona 28 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.5 Kontrola dostępu do systemów operacyjnych
11.5 Kontrola dostępu do systemów operacyjnych
wymusza użycie indywidualnych haseł
A 11.5.3 System zarządzania hasłami
wymusza wybór haseł odpowiedniej jakości;
Powinno się zapewnić, że
wymusza zmiany haseł,
systemy zarządzania hasłami
prowadzi spis poprzednich haseł
opierają się
blokuje wyświetlanie haseł
na interaktywnych mechanizmach
przechowuje hasła w formie zaszyfrowanej,
zapewniających hasła
po zainstalowaniu oprogramowania zmienia domyślne
odpowiedniej jakości.
hasła dostawcy.
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.5 Kontrola dostępu do systemów operacyjnych
11.5 Kontrola dostępu do systemów operacyjnych
użycie procedur uwierzytelniania
A 11.5.4. Użycie systemowych programów narzędziowych
oddzielenie systemowych programów narzędziowych od
Powinno się ograniczyć i
aplikacji;
ściśle kontrolować
ograniczenie użycia systemowych programów
używanie
narzędziowych
systemowych programów narzędziowych, które
ograniczenie dostępności
umożliwią obejście
prowadzenie zapisów wszystkich użycia
zabezpieczeń systemu lub
usunięcie wszelkiego niepotrzebnego oprogramowania
aplikacji
22/04/2007 (c) B.Sz Strona 29 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu 11. Kontrola dostępu do systemu
11.5 Kontrola dostępu do systemów operacyjnych 11.5 Kontrola dostępu do systemów operacyjnych
Wyłączenie sprzętu powinno spowodować
A 11.5.5 Zamykanie sesji po określonym czasie
o Usunięcie zawartości ekranu
Nieaktywne sesje
o Zamknięcie
o powinny być
" Aplikacji
o zamykane
" Sesji sieciowej
po przekroczeniu zdefiniowanego czasu braku
aktywności
11. Kontrola dostępu do systemu 11. Kontrola dostępu do systemu
11.5 Kontrola dostępu do systemów operacyjnych 11.5 Kontrola dostępu do systemów operacyjnych
o Zwłaszcza w miejscach poza kontrolą
A 11.5.6 Ograniczanie czasu trwania połączenia
o Używanie wcześniej wyznaczonych przedziałów
Dla zapewnienia
czasowych
dodatkowego
o Ograniczenie pór połączeń
bezpieczeństwa
aplikacjom o wysokim ryzyku
należy ograniczać czas trwania połączenia.
22/04/2007 (c) B.Sz Strona 30 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu 11. Kontrola dostępu do systemu
11.6 Kontrola dostępu do aplikacji 11.6 Kontrola dostępu do aplikacji
Cel Ochrona przed nieuprawnionym dostępem do
o wprowadzanie narzędzi dodatkowych np.w postaci
informacji przechowywanej w aplikacjach
menu
A 11.6.1 Ograniczanie dostępu do informacji
o ograniczanie wiedzy użytkowników
Dostęp użytkowników i
o kontrolowanie praw dostępu użytkowników,
personelu obsługi technicznej
o dane wyjściowe zawierają jedynie informacje przewidywane do
do informacji i
dalszego użycia oraz, że są one wysyłane tylko uprawnionych
aplikacji
urządzeń
powinien być
o okresowe przeglądy danych wyjściowych,
o usuwanie nadmiarowych informacje
ograniczony
zgodnie z zefiniowaną
polityką kontroli dostępu.
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.6 Kontrola dostępu do aplikacji
11.6 Kontrola dostępu do aplikacji
A 11.6.2 Izolowanie systemów wrażliwych
określenie i udokumentowanie wrażliwości
Systemy wrażliwe
aplikacji
powinny mieć
aktywa współużytkowane gdy aplikacja
dedykowane (izolowanych)
uruchomiona we wspólnym środowisku,
środowiskach przetwarzania.
22/04/2007 (c) B.Sz Strona 31 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
11. Kontrola dostępu do systemu 11. Kontrola dostępu do systemu
11.7 Przetwarzanie mobilne i praca na odległość 11.7 Przetwarzanie mobilne i praca na odległość
Cel: Zapewnienie bezpieczeństwa Zawiera:
informacji przy przetwarzaniu mobilnym i
o ochronę fizyczna,
pracy na odległość
o używanie w miejscach publicznych;
A 11.7.1. Przetwarzanie i komunikacja mobilna
o zdalny dostęp do informacji biznesowych za
Powinno się wprowadzić
pośrednictwem sieci publicznej;
formalną politykę oraz
o zabezpieczenia przed kradzieżą.
zastosować odpowiednie zabezpieczenia
w celu ochrony
o przed ryzykiem wynikającym
z użycia przetwarzania mobilnego i
środków komunikacji mobilnej.
11. Kontrola dostępu do systemu
11. Kontrola dostępu do systemu
11.7 Przetwarzanie mobilne i praca na odległość
11.7 Przetwarzanie mobilne i praca na odległość
A 11.7.2. Praca na odległość
o rzeczywiste bezpieczeństwo fizyczne miejsca pracy
Powinno się opracować politykę,
o wymagania bezpieczeństwa dotyczące łączności
plany operacyjne i
o zagrożenie nieuprawnionego dostępu
procedury dla czynności
o zapewnienie odpowiedniego sprzętu komputerowego i
wykonywanych w ramach
telekomunikacyjnego.
o określenie dozwolonych prac, godzin pracy i aplikacji
pracy na odległość.
o zapewnienie pomocy technicznej
o kopie zapasowe i ciągłości działalności biznesowej;
o audyt i monitorowanie bezpieczeństwa;
o unieważnienie uprawnień,
22/04/2007 (c) B.Sz Strona 32 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
12. Pozyskiwanie, rozwój i
12. Pozyskiwanie, rozwój i utrzymanie
utrzymanie systemów
systemów informacyjnych
informacyjnych
12.1 Wymagania bezpieczeństwa systemów informacyjnych
12.1 Wymagania bezpieczeństwa systemów informacyjnych
o wprowadzenie oceny pakietów oprogramowania dla aplikacji
Cel: Zapewnienie, że bezwieczeństwo jest integralną
biznesowych;
częścią systemów informacyjnych
o wprowadzanie zabezpieczeń na etapie projektowania
A 12.1.1. Analiza i opis wymagań bezpieczeństwa
Deklaracje wymagań biznesowych
dotyczących nowych systemów lub
rozszerzeń dla istniejących systemów
powinny uwzględniać
wymagania dotyczące zabezpieczeń
12. Pozyskiwanie, rozwój i
12. Pozyskiwanie, rozwój i utrzymanie
utrzymanie systemów
systemu
informacyjnych
12.2 Bezpieczeństwo systemów aplikacji
12.1 Poprawne przetwarzanie w aplikacjach
Cel: Ochrona przed Ogólne zasady:
błędami, podwójne wprowadzanie
o lub
utratą, nieuprawnioną modyfikacją lub nadużyciem informacji
w aplikacjach
inny sposób sprawdzania
okresowe przeglądy zawartości
A 12.2.1 Potwierdzanie ważności danych wejściowych
przeglądy papierowych kopii
Powinno się sprawdzać
procedury reagowania na błędy potwierdzania;
poprawność danych wejściowych
procedury sprawdzania wiarygodności danych wejściowych;
do aplikacji
określanie zakresu odpowiedzialności całego personelu
w celu zapewnienia, że są
poprawne i
właściwe.
22/04/2007 (c) B.Sz Strona 33 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
12. Pozyskiwanie, rozwój i utrzymanie
12. Pozyskiwanie, rozwój i
systemów informacyjnych 12.2
utrzymanie systemów
Bezpieczeństwo systemów aplikacji
informacyjnych
A 12.2.2 Kontrola wewnętrznego przetwarzania
12.2 Bezpieczeństwo systemów aplikacji
W celu wykrywania
uszkodzeń informacji o Rozważenie możliwości zmian w danych
o użycie programów do przywracania stanu sprzed awarii
w wyniku
o środki kontroli sesji lub zadań wsadowych,
błędów przetwarzania lub
o środki kontroli bilansów,
działań umyślnych,
o potwierdzanie ważności danych wygenerowanych przez system;
powinno się wprowadzić
o środki sprawdzania integralności danych;
systemach
o generowanie kontrolnych sum końcowych rekordów i plików;
potwierdzanie poprawności przetwarzania.
o zapewnienie, że aplikacje są uruchamiane w odpowiednim czasie;
o zapewnienie, że programy są uruchamiane w odpowiedniej
kolejności,
12. Pozyskiwanie, rozwój i
12. Pozyskiwanie, rozwój i utrzymanie
utrzymanie systemów
systemów informacyjnych
informacyjnych
12.2 Bezpieczeństwo systemów aplikacji
12.2 Bezpieczeństwo systemów aplikacji
A 12.2.3 Integralność wiadomości
A 12.2.4. Potwierdzanie poprawności danych
Powinno się określić
wyjściowych
wymagania
Dane wyjściowe z aplikacji,
zapewnienia w aplikacjach autentyczności i
powinny podlegać
ochrony integralności wiadomości oraz
sprawdzeniu poprawności
powinno się określić
w celu zapewnienia, że
określić i
przetwarzanie przechowywanej informacji
wdrożyć
jest właściwe i
odpowiednie zabezpieczenia
odpowiednie do okolicznościach.
Celowe jest prowadzenie analizy ryzyka
22/04/2007 (c) B.Sz Strona 34 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
12. Pozyskiwanie, rozwój i
12. Pozyskiwanie, rozwój i
utrzymanie systemów
utrzymanie systemów
informacyjnych
informacyjnych
12.3 Zabezpieczenia kryptograficzne
12.2 Bezpieczeństwo systemów aplikacji
Cel: Ochrona poufności, autentyczności i
o Sprawdzenie czy dane wyjściowe są możliwe do przyjęcia
integralności informacji
o Uzgadnianie liczb kontrolnych
A 12.3.1 Polityka korzystania z zabezpieczeń
o Zapewnienie informacji niezbędnej do sprawdzenia
kryptograficznych
o odpowiedzi na testy
Powinno się opracować i
o Zakres odpowiedzialności personelu
wdrożyć
politykę korzystania z zabezpieczeń
kryptograficznych
w celu ochrony informacji.
12. Pozyskiwanie, rozwój i
12. Pozyskiwanie, rozwój i
utrzymanie systemów
utrzymanie systemów
informacyjnych
informacyjnych
12.3 Zabezpieczenia kryptograficzne
12.3 Zabezpieczenia kryptograficzne
A 12.3.2 Zarządzanie kluczami
o Stanowisko kierownictwa
Powinno się
o strategia zarządzania kluczami,
wdrożyć
o funkcje i zakres odpowiedzialności
zarządzanie kluczami kryptograficznymi
o określenie właściwego poziomu ochrony
którr umożliwi organizacji
kryptograficznej;
korzystanie z technik kryptograficznych.
o Zastosowane standardy
22/04/2007 (c) B.Sz Strona 35 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
12. Pozyskiwanie, rozwój i
utrzymanie systemów
12. Pozyskiwanie, rozwój i utrzymanie
informacyjnych
systemów informacyjnych
12.4 Bezpieczeństwo plików systemowych
12.3 Zabezpieczenia kryptograficzne
Cel:
o uwzględnienie cyklu życia kluczy kryptograficznych
Zapewnianie bezpieczeństwa plików systemowych
o przechowywanie kluczy
A 12.4.1 Kontrola eksploatowanego oprogramowania
o metody uzyskiwania dostępu do nich przez uprawnionych
użytkowników; ;
Powinno się
o postępowanie z kluczami,
wprowadzić
o odtwarzanie kluczy,
procedury
o archiwizacja kluczy,
kontroli instalacji oprogramowania
o zapisywanie i audyt czynności w eksploatowanych systemach.
12. Pozyskiwanie, rozwój i utrzymanie
12. Pozyskiwanie, rozwój i utrzymanie
systemów informacyjnych
systemów informacyjnych
12.4 Bezpieczeństwo plików systemowych
12.4 Bezpieczeństwo plików systemowych
A 12.4.2 Ochrona systemowych danych testowych
o uaktualnianie bibliotek eksploatowanego oprogramowania
Dane testowe
o przechowywanie w eksploatowanych systemach kodu
powinny być starannie
wykonywalnego;
dobrane,
o nie wprowadzać jeszcze nie zaakceptowanego kodu
chronione i
o dziennik audytu kontrolowane.
o przechowanie poprzednich wersji oprogramowania
22/04/2007 (c) B.Sz Strona 36 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
12. Pozyskiwanie, rozwój i
12. Pozyskiwanie, rozwój i utrzymanie
utrzymanie systemów
systemów informacyjnych
informacyjnych
12.4 Bezpieczeństwo plików systemowych
12.4 Bezpieczeństwo plików systemowych
A 12.4.3 Kontrola dostępu do kodu zródłowego
o procedury kontroli dostępu w testowych systemach
Dostęp do
aplikacji;
kodów zródłowych
o pozwolenie na kopiowanie danych rzeczywistych do
testowych systemów aplikacji; powinien być
o po zakończeniu testowania dane rzeczywiste ograniczony
wykasować;
o odnotowanie informacji o kopiowaniu i korzystaniu z
rzeczywistych danych,
12. Pozyskiwanie, rozwój i utrzymanie
12. Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych
systemów informacyjnych 12.5 Bezpieczeństwo w procesach rozwojowych i obsługi
informatycznej
12.4 Bezpieczeństwo plików systemowych
Cel: Utrzymywanie bezpieczeństwa informacji oraz
oprogramowania aplikacyjnego.
nie przechowywać w eksploatowanych systemach;
A 12.5.1 Procedury kontroli zmian
wyznaczenie osoby odpowiedzialnej (bibliotekarza);
Powinno się
rozdzielenie bibliotek projektów rozwojowych i
nadzorować
eksploatacji;
wprowadzanie zmian
stare wersje programów zródłowych archiwizować,
za pomocą
czynności poddawać ścisłym procedurom kontroli zmian;
formalnych procedur kontroli zmian.
22/04/2007 (c) B.Sz Strona 37 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
12. Pozyskiwanie, rozwój i
12. Pozyskiwanie, rozwój i utrzymanie systemów
utrzymanie systemów
informacyjnych
informacyjnych
12.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej
12.5 Bezpieczeństwo w procesach rozwojowych i obsługi
informatycznej
A 12.5.2 Techniczny przegląd aplikacji po zmianach w systemie
operacyjnym
o Integrowanie procedur kontroli aplikacji i zmian:
Po dokonaniu zmian w
o wnioski o zmiany składane przez uprawnionych użytkowników;
systemie operacyjnym
o przegląd zabezpieczeń i procedur zachowania integralności,
o identyfikowanie wszystkich obiektów, które wymagają
powinno się przeprowadzić przegląd
poprawek;
o krytycznych aplikacji biznesowych i
o przetestować je tak,
" uzyskać pewność że
o zmiany nie miały niekorzystnego
o wpływu na
" działalność organizacji lub
" bezpieczeństwo
12. Pozyskiwanie, rozwój i utrzymanie
systemów informacyjnych
12. Pozyskiwanie, rozwój i utrzymanie
systemów informacyjnych 12.5 Bezpieczeństwo w 12.5 Bezpieczeństwo w procesach rozwojowych i obsługi
procesach rozwojowych i obsługi informatycznej
informatycznej
A 12.5.3 Ograniczenia dotyczące zmian w pakietach
oprogramowania
o przegląd zabezpieczeń w celu zapewnienia, że nie zostały
Zmiany w oprogramowania
naruszone;
powinny być minimalne,
o powiadomienie o zmianach w systemie operacyjnym
ograniczane do
o wykonanie właściwych przeglądów przed wprowadzeniem
zmian; zmian niezbędnych
o zmiany w planach ciągłości działania. o a wszelkie zmiany
o powinny być ściśle nadzorowane.
22/04/2007 (c) B.Sz Strona 38 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
12. Pozyskiwanie, rozwój i utrzymanie
12. Pozyskiwanie, rozwój i utrzymanie
systemów informacyjnych
systemów informacyjnych
12.5 Bezpieczeństwo w procesach rozwojowych i obsługi
12.5 Bezpieczeństwo w procesach rozwojowych i
informatycznej
A 12.5.4 Wyciek informacji
obsługi informatycznej
analiza ryzyka naruszenia
Powinno się
przeciwdziałać
o zabezpieczeń i
możliwości
o procesów ochrony integralności;
wycieku informacji
zgoda dostawcy
wpływ na przejęcie przez instytucję odpowiedzialności
Także zalecenia 12.5.4.
12. Pozyskiwanie, rozwój i
12. Pozyskiwanie, rozwój i utrzymanie
utrzymanie systemów
systemów informacyjnych
informacyjnych
12.5 Bezpieczeństwo w procesach rozwojowych i obsługi
12.5 Bezpieczeństwo w procesach rozwojowych i
informatycznej
obsługi informatycznej
A 12.5.5. Prace rozwojowe nad oprogramowaniem powierzone
zewnętrznej firmie
o zakup programów tylko z wiarygodnych zródeł;
Organizacja powinna
o zakup programów w kodzie zródłowym,
nadzorować i
o używanie produktów, które zostały poddane ocenie;
monitorować
o sprawdzanie całego kodu zródłowego
prace rozwojowe
o kontrola dostępu i modyfikacji po zainstalowaniu kodu;
nad oprogramowaniem.
o sprawdzony, zaufany personel
powierzone firmie zewnętrznej
22/04/2007 (c) B.Sz Strona 39 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
12. Pozyskiwanie, rozwój i
12. Pozyskiwanie, rozwój i
utrzymanie systemów
utrzymanie systemów
informacyjnych
informacyjnych
12.5 Zarządzanie podatnościami technicznymi
12.5 Bezpieczeństwo w procesach rozwojowych i
obsługi informatycznej
Cel: Redukcja ryzyk
o Sprawa licencji,
o wynikających
o własność kodu
o prawa własności intelektualnej;
z wykorzystania
o certyfikacja jakości i dokładności prac;
opublikowanych
o zastrzeżenia powiernictwa kodu zródłowego
podatności technicznych.
o prawa dostępu w celu przeprowadzenia audytu
o testowanie przed instalacją
12. Pozyskiwanie, rozwój i
12. Pozyskiwanie, rozwój i
utrzymanie systemów
utrzymanie systemu
informacyjnych
12.5 Zarządzanie podatnościami technicznymi
12.5 Zarządzanie podatnościami technicznymi
Aktualny i pełny spis aktywów (patrz 7.1) jest wymagany do
efektywnego zarządzania podatnościami technicznymi.
12.6.1 Nadzór nad podatnościami technicznymi
Do zarządzania podatnościami technicznymi są potrzebne
Powinno się uzyskiwać
określone informacje, takie jak:
na czas
dostawcy oprogramowania, numery wersji, aktualny stan wdrożenia
informacje o technicznych podatnościach
Zaleca się, aby w porę podjęte były odpowiednie działania w
wykorzystywanych systemów informacyjnych,
odpowiedzi na identyfikację potencjalnej podatności
technicznej.
szacować stopień narażenia organizacji
na podatności i
W celu ustanowienia efektywnego procesu zarządzania
podatnościami technicznymi, zaleca się postępowanie
wdrożyć odpowiednie środków
zgodnie z następującymi zaleceniami:
adekwatne do
określenie i ustanowienie przez organizację odpowiednich ról i
związanych z nimi ryzyk.
odpowiedzialności związanych z procesem zarządzania
podatnościami technicznymi,
22/04/2007 (c) B.Sz Strona 40 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
12. Pozyskiwanie, rozwój i 12. Pozyskiwanie, rozwój i
utrzymanie systemu utrzymanie systemu
12.5 Zarządzanie podatnościami technicznymi 12.5 Zarządzanie podatnościami technicznymi
w tym
w zależności od stopnia pilności, z jaką należy zająć się
o monitorowania podatności,
potencjalną podatnością techniczną,
o szacowania ryzyka związanego z nimi,
prowadzenie działań zgodnie z zabezpieczeniami
o wprowadzania poprawek,
o śledzenia aktywów i
związanymi z zarządzaniem zmianami (patrz 12.5.1)
o wszelkich wymaganych odpowiedzialności koordynacyjnych;
procedurami reakcji na incydent naruszenia
wykorzystanie zasobów informacyjnych do zidentyfikowania
bezpieczeństwa (patrz 13.2);
odpowiednich podatności technicznych
o oraz utrzymania świadomości ich istnienia w odniesieniu do
jeśli są dostępne poprawki, to należy ustosunkować się do
oprogramowania i innych technologii
ryzyk związanych z ich wprowadzeniem
określenie harmonogramu działań podejmowanych w przypadku
pojawienia się powiadomień
w momencie zidentyfikowania potencjalnej podatności technicznej,
określenie ryzyk z nią związanych i odpowiednich działań
12. Pozyskiwanie, rozwój i 15 Zgodność (8)
15.2 Zgodność z politykami bezpieczeństwa i standardami oraz
utrzymanie systemu
zgodność techniczna
12.5 Zarządzanie podatnościami technicznymi
testowanie i ocena przed instalacją tak, aby zapewnić, że poprawki
są skuteczne i nie spowodują niedopuszczalnych efektów ubocznych;
jeśli żadna poprawka nie jest dostępna, to należy rozważyć inne Cel: Zapewnianie zgodności systemów
zabezpieczenia takie, jak:
z politykami bezpieczeństwa i
o wyłączenie usług lub funkcji związanych z podatnością;
standardami bezpieczeństwa.
o zaadaptowanie lub dodanie zabezpieczeń kontroli dostępu,
o wzmocnienie monitorowania w celu wykrycia i zablokowania
faktycznego ataku;
o podniesienie świadomości w zakresie tej podatności;
utrzymywanie dziennika audytu dla wszystkich podjętych procedur;
zapewnienie skuteczności i efektywności procesu za pomocą
regularnego monitorowania i oceny;
w pierwszej kolejności należy zajmować się systemami narażonymi
na wysokie ryzyko
22/04/2007 (c) B.Sz Strona 41 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
15. Zgodność (9)
15. Zgodność (9)
15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność
15.2 Zgodność z politykami bezpieczeństwa i standardami oraz
techniczna
zgodność techniczna
A.15.2.1. Zgodność z polityką bezpieczeństwa i standardami
Zaleca się, aby
Kierownicy powinni zapewnić, że wszystkie
kierownicy
procedury bezpieczeństwa obszaru,
regularnie przeglądali
za który są odpowiedzialni, są
wykonywane prawidłowo,
zgodność przetwarzania informacji
tak aby osiągnąć zgodność z politykami bezpieczeństwa
o w obszarze, za który są odpowiedzialni,
i standardami
z odpowiednimi politykami bezpieczeństwa
o i standardami oraz
innymi wymaganiami bezpieczeństwa
15. Zgodność (10) 15. Zgodność (11)
15.2 Zgodność z politykami bezpieczeństwa i standardami oraz 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz
zgodność techniczna zgodność techniczna
Jeśli w wyniku przeglądu zostaną wykryte jakiekolwiek
Zaleca się, aby kierownictwo udostępniało
niezgodności, to
wyniki przeglądów osobom
zaleca się, aby kierownictwo:
o określiło przyczyny niezgodności;
przeprowadzającym niezależne przeglądy
o oceniło potrzebę działań zapewniających, że niezgodność nie wystąpi
ponownie;
(patrz 6.1.8),
o określiło i wprowadziło odpowiednie działania korygujące;
jeśli niezależny przegląd jest przeprowadzany w
o poddało przeglądowi podjęte działania korygujące.
Zaleca się rejestrowanie wyników
obszarze, za który kierownictwo jest
przeglądów i
odpowiedzialne
działań korygujących podejmowanych przez kierownictwo
Oraz utrzymywanie rejestrów tych zdarzeń.
22/04/2007 (c) B.Sz Strona 42 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
15. Zgodność (11) 15. Zgodność (11)
15.2 Zgodność z politykami bezpieczeństwa i standardami oraz 15.2 Zgodność z politykami bezpieczeństwa i standardami oraz
zgodność techniczna zgodność techniczna
A.15.2.2. Sprawdzanie zgodności technicznej
Sprawdzanie technicznej zgodności wymaga
Systemy informacyjne
analizy eksploatowanych systemów.
powinny być regularnie
wymaga technicznej pomocy specjalistów którzy
sprawdzane
prowadzą je:
pod kątem zgodności
oręcznie
ze standardami wdrażania zabezpieczeń.
" Przez doświadczonego inżyniera systemowego lub
o Za pomocą zautomatyzowany pakietu oprogramowania,
" generującego raport
" celem dokonania pózniejszej interpretacji
" przez technicznego specjalistę.
15 Zgodność (13) 15 Zgodność (14)
15.2 Przeglądy polityki bezpieczeństwa i
15.3 Rozważania dotyczące audytu systemów informacyjnych
zgodności technicznej
Kontrola zgodności obejmuje
test penetracyjny, Cel: Maksymalizowanie skuteczności
o przeprowadzony przez niezależnych ekspertów.
procesu audytu systemu informacyjnego i
przydatny do
minimalizowanie
o wykrywania podatności oraz
zakłóceń z niego wynikających lub na niego wpływających
o sprawdzania efektywności zabezpieczeń
Należy postępować ostrożnie w razie pomyślnego dokonania
penetracji,
A. 15.3.1. Zabezpieczenia audytu systemu informacyjnego
o bo może to prowadzić do poważnego naruszenia bezpieczeństwa systemu
Aby minimalizować ryzyka zakłóceń procesów biznesowych,
o I nieumyślnego wykorzystania innych jego podatności.
powinno się starannie planować i uzgadniać
Kontrole takie powinny być prowadzone
wymagania audytu oraz
jedynie przez lub
działania związane
pod nadzorem kompetentnych, uprawnionych osób.
ze sprawdzaniem eksploatowanych systemów
22/04/2007 (c) B.Sz Strona 43 z 44
Elementy wymagan informatyczne Bezpieczenstwo teleinformatyczne WAT
15 Zgodność (15)
15. Zgodność (14)
15.3 Rozważania dotyczące audytu systemów informacyjnych
15.3 Rozważania dotyczące audytu systemów informacyjnych
uzgadnianie i kontrolowanie zakresu sprawdzenia;
ograniczenie kontroli dostępu do oprogramowania i danych jedynie w
15.3.2. Ochrona narzędzi audytu systemów informacyjnych
trybie odczytu;
Dostęp do narzędzi audytu systemu,
zasoby informacyjne niezbędne do prowadzenia kontroli
powinien być chroniony
wyraznie określane i udostępniane;
aby zapobiec możliwym nadużyciom lub
Monitorowanie i zapisywanie w dziennikach zdarzeń
naruszeniu bezpieczeństwa,
każdego dostępu w celu umożliwienia odwołań.
Dokumentowanie wszystkich procedur, wymagań i
obowiązków.
15 Zgodność (16)
15.3 Rozważania dotyczące audytu systemów informacyjnych
Narzędzia takie powinny być
izolowane od eksploatowanych systemów i
systemów wykorzystywanych do prowadzenia prac
rozwojowych oraz
nie powinny być przechowywane
o w bibliotekach oprogramowania lub
o obszarach dostępnych publicznie,
o chyba że zostanie zapewniony odpowiedni poziom dodatkowej
ochrony.
22/04/2007 (c) B.Sz Strona 44 z 44


Wyszukiwarka

Podobne podstrony:
Elementy wymagan organizacyjne
Elementy wymagan fizyczne
J Kossecki, Elementy wojny informacyjnej
Elementy wymagan osobowe
Elementy wymagan zgodnosc
Wymagania zasadnicze oraz tryb i procedury oceny zgodności maszyn i elementów bezpieczeństwa(1)
Sysło Elementy informatyki
Minimalne wymagania dla rejestrów publicznych i wymiany informacji w formie elektronicznej
114 Informacje wymagane do wykonania sprezenia
rozporz minist gospod z dnia 20 12 05r w spr zasadniczych wymagań dla maszyn i elementów bezpiecz
Zasadnicze wymagania dla maszyn i elementów bezpieczeństwa 03 91 858

więcej podobnych podstron