Norma ISO
Transkrypt
Norma ISO
Media Sp. z o.o. | ul. Piotrowicka 61 | 40-723 Katowice tel. +48 32 782 95 95 | fax +48 32 782 95 94 www.mediarecovery.pl | www.forensictools.pl Mediarecovery. Wyższy poziom bezpieczeństwa NORMA ISO/IEC 27001 Załącznik normatywny A Wybrane zagadnienia Zabezpieczenia Cel zabezpieczenia Określenie ryzyk związanych ze stronami zewnętrznym Cel: przed przyznaniem dostępu stronom zewnętrznym, zaleca się zidentyfikowanie ryzyk dla informacji należących do organizacji i środków przetwarzania informacji, związanych z tymi stronami. A 6.2.1 Wyjaśnienie: Tam, gdzie zachodzi potrzeba przyznania stronom zewnętrznym dostępu do środków przetwarzania informacji lub do informacji należących do organizacji, zaleca się wzięcie pod uwagę różnych środków i zabezpieczeń wprowadzanych przez stronę zewnętrzną do przechowywania, przekazywania i niszczenia informacji. Należy również mieć na uwadze praktyki i procedury związane z bezpieczeństwem informacji i potencjalnych szkód w przypadku wystąpienia incydentu związanego z bezpieczeństwem informacji. Należy upewnić się, że storna zewnętrzna jest świadoma swoich zobowiązań, akceptuje odpowiedzialność i zobowiązania związane z dostępem, przetwarzaniem, przekazywaniem lub zarządzaniem informacji należących do organizacji. Warto pamiętać, że informacje mogą być narażone na ryzyko związane ze stronami zewnętrznymi przez niewłaściwe zarządzanie bezpieczeństwem. NP. jeśli przy przekazaniu nośnika do utylizacji konieczne jest zachowanie poufności, to można zastosować umowy o nieujawnianiu informacji. Bezpieczeństwo w umowach ze stroną trzecią A 6.2.3 Cel: Zaleca się, aby umowy ze stronami trzecimi, dotyczące dostępu, przetwarzania, przekazywania lub zarządzania informacjami lub środkami przetwarzania informacji, należącymi do organizacji, lub dodania produktów lub usług do środków przetwarzania informacji, obejmowały wszystkie stosowne wymagania bezpieczeństwa. Wyjaśnienie: zaleca się, aby umowa zapewniała, że nie ma żadnych nieporozumień między organizacją a stroną trzecią. Zaleca się włączenie klauzul odpowiedzialności odszkodowawczej od strony trzeciej Sąd Rejestrowy w Katowicach, KRS 0000232909, NIP: 634-23-41-032, REGON: 276541897, Kapitał Zakładowy: 400.000 PLN Raiffeisen Bank 76 1750 1035 0000 0000 0956 8767 Media Sp. z o.o. | ul. Piotrowicka 61 | 40-723 Katowice tel. +48 32 782 95 95 | fax +48 32 782 95 94 www.mediarecovery.pl | www.forensictools.pl Mediarecovery. Wyższy poziom bezpieczeństwa Własność aktywów Cel: zaleca się, aby wszystkie informacje i aktywa związane ze środkami przetwarzania informacji miały właściciela w postaci wyznaczonej części organizacji. A 7.2.1 Wyjaśnienie: Właściciel aktywów jest odpowiedzialny za dostarczenie usługi. To właściciel aktywów ponosi odpowiedzialność za przekazanie danego nośnika do utylizacji (właściciel – osoba lub podmiot, który ma zatwierdzoną kierowniczą odpowiedzialność za sterowanie produkcją, rozwój, utrzymanie, korzystanie i bezpieczeństwo aktywów). Bezpieczeństwo sprzętu poza siedzibą A 9.2.5 Cel: zaleca się ochronę sprzętu poza siedzibą przy uwzględnieniu różnych ryzyk związanych z pracą poza siedzibą organizacji Wyjaśnienie: Kierownictwo powinno autoryzować przekazanie np. nośnika do utylizacji poza siedzibą firmy. Bezpieczeństwo zbywalne lub przekazywanie do ponownego użycia A 9.2.6 Cel: zaleca się sprawdzanie wszystkich składników sprzętu zawierającego nośniki informacji, aby przed jego zbyciem upewnić się, że wszelkie informacji wrażliwe i licencjonowane oprogramowanie zostały usunięte lub bezpiecznie nadpisane. Wyjaśnienie: zaleca się fizyczne niszczenie urządzeń zawierających informacje wrażliwe, zamiast standardowego kasowania lub formatowania zaleca się zniszczenie, skasowanie lub nadpisanie informacji za pomocą technik uniemożliwiających ich odtworzenie. Wynoszenie mienia A 9.2.7 Cel: zaleca się, aby sprzęt, informacje lub oprogramowanie nie były wynoszone bez uprzedniego zezwolenia. Wyjaśnienie: wskazanie pracowników, wykonawców lub użytkowników, którzy odpowiedzialni są za przekazanie nośnika do utylizacji ( tzw. Rekomendacje). Sąd Rejestrowy w Katowicach, KRS 0000232909, NIP: 634-23-41-032, REGON: 276541897, Kapitał Zakładowy: 400.000 PLN Raiffeisen Bank 76 1750 1035 0000 0000 0956 8767 Media Sp. z o.o. | ul. Piotrowicka 61 | 40-723 Katowice tel. +48 32 782 95 95 | fax +48 32 782 95 94 www.mediarecovery.pl | www.forensictools.pl Mediarecovery. Wyższy poziom bezpieczeństwa Zarządzanie usługami dostarczanymi przez strony trzecie Cel: Wdrożenie i utrzymanie odpowiedniego poziomu bezpieczeństwa informacji i dostaw usług zgodnie z umowami serwisowymi zawartymi ze stronami trzecimi. Aby zapewnić, że wszystkie dostarczane usługi spełniają wszystkie wymagania ustalone z trzecią stroną, zaleca się, aby organizacja sprawdzała realizację umów, monitorowała zgodność z nimi i zarządzała zmianami A 10.2.2 Wyjaśnienie: ważne jest monitorowanie i przeglądy usług dostarczanych przez stronę trzecią w celu sprawdzenia zgodności z zapisami i warunkami bezpieczeństwa informacji zawartymi w umowach i właściwego zarządzania problemami i incydentami związanymi z bezpieczeństwem informacji. Zaleca się przypisanie odpowiedzialności za zarządzanie relacjami ze stroną trzecią do wyznanej osoby lub zespołu zarządzania usługą. W przypadku zlecenia np. utylizacji, do firm zewnętrznych potrzebna jest świadomość organizacji, że odpowiedzialność za informacje które są przekazywane pozostaje w danej organizacji. Niszczenie nośników Cel: zaleca się, aby nośniki, które nie będą dłużej wykorzystywane, były niszczone w sposób bezpieczny i pewny zgodnie z formalnymi procedurami A 10.7.2 Wyjaśnienie: w celu ograniczenia ryzyka wycieku informacji do nieupoważnionych osób zaleca się wdrożenie formalnych procedur bezpiecznego niszczenia nośnika. Zaleca się, aby procedury bezpiecznego niszczenia nośników zawierających informacje wrażliwe były współmierne do wrażliwości informacji. W trakcie gromadzenia nośników do niszczenia, należy wziąć pod uwagę efekt agregacji, który może spowodować, że duża ilość niewrażliwych informacji stanie się wrażliwa. Informacja wrażliwa może zostać ujawniona przez nieuważne niszczenie nośników. Procedury postępowania z informacjami A 10.7.3 Cel: zaleca się wdrożenie procedur postępowania z informacjami oraz ich przechowywania w celu ochrony informacji przed nieautoryzowanym ujawnieniem lub niewłaściwym użyciem. Sąd Rejestrowy w Katowicach, KRS 0000232909, NIP: 634-23-41-032, REGON: 276541897, Kapitał Zakładowy: 400.000 PLN Raiffeisen Bank 76 1750 1035 0000 0000 0956 8767 Media Sp. z o.o. | ul. Piotrowicka 61 | 40-723 Katowice tel. +48 32 782 95 95 | fax +48 32 782 95 94 www.mediarecovery.pl | www.forensictools.pl Mediarecovery. Wyższy poziom bezpieczeństwa Transportowanie nośników informatycznych Cel: zaleca się ochronę nośników zawierających informacje przed nieautoryzowanym dostępem, niewłaściwym użyciem lub uszkodzeniem podczas transportu poza fizyczne granicie organizacji. A 10.8.3 Wskazówki: zabezpieczenie ma na celu określenie sposobów ochrony nośników informacji transportowanych między organizacjami. NP. jak zabezpieczyć nośnik przed kradzieżą w czasie transportu do firmy która będzie go utylizować? Sąd Rejestrowy w Katowicach, KRS 0000232909, NIP: 634-23-41-032, REGON: 276541897, Kapitał Zakładowy: 400.000 PLN Raiffeisen Bank 76 1750 1035 0000 0000 0956 8767