Norma ISO

Media Sp. z o.o. | ul. Piotrowicka 61 | 40-723 Katowice
tel. +48 32 782 95 95 | fax +48 32 782 95 94
www.mediarecovery.pl | www.forensictools.pl
Mediarecovery. Wyższy poziom bezpieczeństwa
NORMA ISO/IEC 27001
Załącznik normatywny A
Wybrane zagadnienia
Zabezpieczenia
Cel zabezpieczenia
Określenie ryzyk związanych ze stronami zewnętrznym
Cel: przed przyznaniem dostępu stronom zewnętrznym, zaleca się
zidentyfikowanie ryzyk dla informacji należących do organizacji
i środków przetwarzania informacji, związanych z tymi stronami.
A 6.2.1
Wyjaśnienie:
Tam, gdzie zachodzi potrzeba przyznania stronom zewnętrznym
dostępu do środków przetwarzania informacji lub do informacji
należących do organizacji, zaleca się wzięcie pod uwagę różnych
środków i zabezpieczeń wprowadzanych przez stronę zewnętrzną
do przechowywania, przekazywania i niszczenia informacji. Należy
również mieć na uwadze praktyki i procedury związane
z bezpieczeństwem informacji i potencjalnych szkód w przypadku
wystąpienia incydentu związanego z bezpieczeństwem informacji.
Należy upewnić się, że storna zewnętrzna jest świadoma swoich
zobowiązań, akceptuje odpowiedzialność i zobowiązania związane
z dostępem, przetwarzaniem, przekazywaniem lub zarządzaniem
informacji należących do organizacji.
Warto pamiętać, że informacje mogą być narażone na ryzyko
związane ze stronami zewnętrznymi przez niewłaściwe zarządzanie
bezpieczeństwem. NP. jeśli przy przekazaniu nośnika do utylizacji
konieczne jest zachowanie poufności, to można zastosować umowy
o nieujawnianiu informacji.
Bezpieczeństwo w umowach ze stroną trzecią
A 6.2.3
Cel:
Zaleca się, aby umowy ze stronami trzecimi, dotyczące
dostępu,
przetwarzania,
przekazywania
lub
zarządzania
informacjami lub środkami przetwarzania informacji, należącymi
do organizacji, lub dodania produktów lub usług do środków
przetwarzania
informacji,
obejmowały
wszystkie
stosowne
wymagania bezpieczeństwa.
Wyjaśnienie: zaleca się, aby umowa zapewniała, że nie ma
żadnych nieporozumień między organizacją a stroną trzecią. Zaleca
się włączenie klauzul odpowiedzialności odszkodowawczej od strony
trzeciej
Sąd Rejestrowy w Katowicach, KRS 0000232909, NIP: 634-23-41-032, REGON: 276541897, Kapitał Zakładowy: 400.000 PLN
Raiffeisen Bank 76 1750 1035 0000 0000 0956 8767
Media Sp. z o.o. | ul. Piotrowicka 61 | 40-723 Katowice
tel. +48 32 782 95 95 | fax +48 32 782 95 94
www.mediarecovery.pl | www.forensictools.pl
Mediarecovery. Wyższy poziom bezpieczeństwa
Własność aktywów
Cel: zaleca się, aby wszystkie informacje i aktywa związane
ze środkami przetwarzania informacji miały właściciela w postaci
wyznaczonej części organizacji.
A 7.2.1
Wyjaśnienie:
Właściciel
aktywów
jest
odpowiedzialny
za dostarczenie usługi.
To właściciel aktywów ponosi
odpowiedzialność za przekazanie danego nośnika do utylizacji
(właściciel – osoba lub podmiot, który ma zatwierdzoną kierowniczą
odpowiedzialność za sterowanie produkcją, rozwój, utrzymanie,
korzystanie i bezpieczeństwo aktywów).
Bezpieczeństwo sprzętu poza siedzibą
A 9.2.5
Cel: zaleca się ochronę sprzętu poza siedzibą przy uwzględnieniu
różnych ryzyk związanych z pracą poza siedzibą organizacji
Wyjaśnienie: Kierownictwo powinno autoryzować przekazanie np.
nośnika do utylizacji poza siedzibą firmy.
Bezpieczeństwo zbywalne lub przekazywanie do ponownego
użycia
A 9.2.6
Cel: zaleca się sprawdzanie wszystkich składników sprzętu
zawierającego nośniki informacji, aby przed jego zbyciem upewnić
się,
że
wszelkie
informacji
wrażliwe
i
licencjonowane
oprogramowanie zostały usunięte lub bezpiecznie nadpisane.
Wyjaśnienie: zaleca się fizyczne niszczenie urządzeń zawierających
informacje wrażliwe, zamiast standardowego kasowania lub
formatowania zaleca się zniszczenie, skasowanie lub nadpisanie
informacji za pomocą technik uniemożliwiających ich odtworzenie.
Wynoszenie mienia
A 9.2.7
Cel: zaleca się, aby sprzęt, informacje lub oprogramowanie nie były
wynoszone bez uprzedniego zezwolenia.
Wyjaśnienie:
wskazanie
pracowników,
wykonawców
lub użytkowników, którzy odpowiedzialni są za przekazanie nośnika
do utylizacji ( tzw. Rekomendacje).
Sąd Rejestrowy w Katowicach, KRS 0000232909, NIP: 634-23-41-032, REGON: 276541897, Kapitał Zakładowy: 400.000 PLN
Raiffeisen Bank 76 1750 1035 0000 0000 0956 8767
Media Sp. z o.o. | ul. Piotrowicka 61 | 40-723 Katowice
tel. +48 32 782 95 95 | fax +48 32 782 95 94
www.mediarecovery.pl | www.forensictools.pl
Mediarecovery. Wyższy poziom bezpieczeństwa
Zarządzanie usługami dostarczanymi przez strony trzecie
Cel:
Wdrożenie
i
utrzymanie
odpowiedniego
poziomu
bezpieczeństwa informacji i dostaw usług zgodnie z umowami
serwisowymi zawartymi ze stronami trzecimi.
Aby zapewnić, że wszystkie dostarczane usługi spełniają wszystkie
wymagania ustalone z trzecią stroną, zaleca się, aby organizacja
sprawdzała realizację umów, monitorowała zgodność z nimi
i zarządzała zmianami
A 10.2.2
Wyjaśnienie: ważne jest monitorowanie i przeglądy usług
dostarczanych przez stronę trzecią w celu sprawdzenia zgodności
z zapisami i warunkami bezpieczeństwa informacji zawartymi
w umowach i właściwego zarządzania problemami i incydentami
związanymi z bezpieczeństwem informacji. Zaleca się przypisanie
odpowiedzialności za zarządzanie relacjami ze stroną trzecią
do wyznanej osoby lub zespołu zarządzania usługą. W przypadku
zlecenia np. utylizacji, do firm zewnętrznych potrzebna jest
świadomość organizacji, że odpowiedzialność za informacje które są
przekazywane pozostaje w danej organizacji.
Niszczenie nośników
Cel: zaleca się, aby nośniki, które nie będą dłużej wykorzystywane,
były niszczone w sposób bezpieczny i pewny zgodnie z formalnymi
procedurami
A 10.7.2
Wyjaśnienie: w celu ograniczenia ryzyka wycieku informacji do
nieupoważnionych osób zaleca się wdrożenie formalnych procedur
bezpiecznego niszczenia nośnika. Zaleca się, aby procedury
bezpiecznego niszczenia nośników zawierających informacje
wrażliwe były współmierne do wrażliwości informacji.
W trakcie gromadzenia nośników do niszczenia, należy wziąć pod
uwagę efekt agregacji, który może spowodować, że duża ilość
niewrażliwych informacji stanie się wrażliwa.
Informacja wrażliwa może zostać ujawniona przez nieuważne
niszczenie nośników.
Procedury postępowania z informacjami
A 10.7.3
Cel: zaleca się wdrożenie procedur postępowania z informacjami
oraz ich przechowywania w celu ochrony informacji przed
nieautoryzowanym ujawnieniem lub niewłaściwym użyciem.
Sąd Rejestrowy w Katowicach, KRS 0000232909, NIP: 634-23-41-032, REGON: 276541897, Kapitał Zakładowy: 400.000 PLN
Raiffeisen Bank 76 1750 1035 0000 0000 0956 8767
Media Sp. z o.o. | ul. Piotrowicka 61 | 40-723 Katowice
tel. +48 32 782 95 95 | fax +48 32 782 95 94
www.mediarecovery.pl | www.forensictools.pl
Mediarecovery. Wyższy poziom bezpieczeństwa
Transportowanie nośników informatycznych
Cel: zaleca się ochronę nośników zawierających informacje przed
nieautoryzowanym
dostępem,
niewłaściwym
użyciem
lub
uszkodzeniem podczas transportu poza fizyczne granicie organizacji.
A 10.8.3
Wskazówki: zabezpieczenie ma na celu określenie sposobów
ochrony
nośników
informacji
transportowanych
między
organizacjami. NP. jak zabezpieczyć nośnik przed kradzieżą w czasie
transportu do firmy która będzie go utylizować?
Sąd Rejestrowy w Katowicach, KRS 0000232909, NIP: 634-23-41-032, REGON: 276541897, Kapitał Zakładowy: 400.000 PLN
Raiffeisen Bank 76 1750 1035 0000 0000 0956 8767