1 / 99

ISO 27000-es család

ISO 27000-es család. Krasznay Csaba. Bevezetés. Információbiztonsági Irányítási Rendszert (IBIR v. ISMS) létrehozni a fejlesztőnek és a megrendelőnek is fontos lehet. A szabvány bemutatása során tehát két szempontot kell figyelembe venni:

bryga
Download Presentation

ISO 27000-es család

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ISO 27000-es család Krasznay Csaba

  2. Bevezetés • Információbiztonsági Irányítási Rendszert (IBIR v. ISMS) létrehozni a fejlesztőnek és a megrendelőnek is fontos lehet. • A szabvány bemutatása során tehát két szempontot kell figyelembe venni: • A megrendelő olyan szoftvert szeretne, ami segít az IBIR követelményeinek megfelelni • A fejlesztő olyan környezetet szeretne, ahol nem kell félnie a kód kiszivárgásától, az adatvesztéstől, stb. • Ez utóbbit a Common Criteria is előírja

  3. Mi az IBIR? • Az átfogó irányítási rendszernek az a része, amely – egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva – kialakítja, bevezeti, működteti, figyeli, átvizsgálja, fenntartja és fejleszti az információvédelmet. • Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat.

  4. Mi az IBIR? • Az IBIR létrehozásának számos oka lehet: • Törvénynek vagy szabályozásnak való megfelelés • Az információ értéke olyan nagy, hogy nem lehet védtelenül hagyni • Külső nyomás (tulajdonosok, partnerek, vásárlók) • Ennél kevésbé nyilvánvaló okok is vannak: • Az információs rendszerek egyszerűbb kezelése • Csökkenő költségek (bár ez elsőre nehezen hihető)

  5. Mi az IBIR? • IBIR-t bevezetni nem egyszerű, mert • viszonylag sok idő kell ahhoz, hogy gördülékenyen működjön (ld. ISO 9000) • a bevezetés megakadhat a vállalaton belül • szervezeti változások miatt • a támogatás, az anyagiak vagy az emberek kiesése miatt • A tapasztalat azt mutatja, hogy a nagyobb szervezeteknél szokott lenni IBIR-szerű szabályozás, ami viszont • nem alkot összefüggő rendszert, • hiányos lehet • nem lehet tanúsítványt szerezni rá, ami bizonyos esetekben fontos lehet.

  6. A szabványról • Két részre bontható • 1. rész : A Code of Practice for Information Security Managementet (magyarul: Az informatikai biztonság menedzsmentjének gyakorlati kódexe) • 2. rész: Specification for Information Security Management Systems. (Az informatikai biztonsági menedzsment rendszerének specifikációja) • Nemzetközileg elfogadott és széles körben elismert biztonsági szabvány • Definíció szerint „a legszéleskörűbb eljárások, melyek az információs biztonság legjobb gyakorlati megvalósítását szolgálják”.

  7. A szabvány rövid története ISO/IEC 17799:2005 ISO/IEC 27001:2005 ISO/IEC 27002:2005 MSZ ISO/IEC 17799:2006 MSZ ISO/IEC 27001:2006

  8. ISO 27001 • Nagyon rövid, mindössze 8 oldal a szabvány, a többi melléklet és szómagyarázat. • Leírja egy olyan modellt az IBIR-re, amivel azt • elő lehet készíteni, • meg lehet valósítani, • működtetni lehet, • ellenőrizni lehet, • át lehet tekinteni, • karban lehet tartani, • és fejleszteni lehet. • Ez alapján tanúsítják az IBIR rendszereket.

  9. ISO 27001 • A Plan-Do-Check-Act modellt használja

  10. ISO 27001

  11. ISO 27002 • Jelentős változások történtek a szabvány megközelítésében • Korábban a CIA követelmények biztosítása volt a fókuszban • Az új szabvány az üzleti igényeket helyezi előtérbe • Az információbiztonság az információ védelme a széleskörű fenyegetésektől, hogy biztosítsák az üzleti folyamatok működésének folytonosságát, a lehető legkisebbre csökkentsék a kockázatot, és legnagyobbra növeljék a befektetési megtérülést és a működési lehetőségeket.

  12. A védelem területei (ISO 27002 szerint) • Az ISMS kialakítása kockázatelemzéssel kezdődik!!! • Szabályzati rendszer • Biztonsági szervezet • Vagyontárgyak kezelése • Személyi biztonság • Fizikai és környezeti biztonság • Kommunikáció és üzemeltetés biztonsága • Hozzáférés-ellenőrzés • Információs rendszerek beszerzése, fejlesztése és karbantartása • Incidenskezelés • Üzletmenet-folytonosság • Megfelelőség

  13. Az ISO 27000-es család további szabványai • A tervek szerint rövid időn belül kialakítják a szabvány teljes rendszerét • Ennek elemei a következők: • 27000: IBIR alapok és szótár (stage 30.20) • 27003: IBIR megvalósítási útmutató (még nem kezdték el kialakítani) • 27004: Az információbiztonság irányításának mérése (stage 30.20) • 27005: IBIR kockázatmenedzsment (stage 40.99) • 27006: Az IBIR tanúsítást végző szervezetre vonatkozó követelmények (megjelent: ISO/IEC 27006:2007)

  14. Magyar vonatkozású hírek • Az ISO 27000-es család és a Common Criteria alapján készül a közigazgatás számára a Magyar Informatikai Biztonsági Ajánlás. • Ez valószínűleg a közigazgatás bizonyos részein kötelezően ajánlott lesz. • Tartalmazza az ISO 27001, ISO 27002 és ISO 27006 követelményeit is. • A készítők szándéka szerint sokkal gyakorlatiasabb lesz, mint a szabványszöveg. • Érdemes rá odafigyelni!

  15. Az IBIR létrehozása • Az IBIR kialakítása előtt néhány fontos dolgot tisztázni kell: • Az egész szervezetre érvényes legyen a szabályozás, vagy csak egy részére? • Az ISO 27002 mely elemeit akarjuk szabályozni egyáltalán? • Cél a tanúsítvány megszerzése? • Ki vegyen részt a kialakításban a szervezet részéről?

  16. Az IBIR létrehozása • 1. lépés: Tervezés • Itt kell meghatározni az IBIR szabályait és céljait • Ezeknek összhangban kell lenniük az üzleti célokkal • Meg kell határozni az alkalmazási területét, a szabályzatát, a kockázatelemzés módszerét, • El kell végezni a kockázatelemzést • Ez alapján azonosítani kell a kockázatokat, a kockázatkezelés módszereit, valamint a védelmi intézkedéseket • Mindehhez meg kell szerezni a vezetés jóváhagyását és alkalmazhatósági nyilatkozatot kell tenni

  17. A lehetséges védelmi intézkedések • A lehetséges védelmi intézkedések az ISO 27002-ből származnak. • Ez részletesen leírja, hogy az információbiztonság területén mit kell figyelembe venni. • A védelmi intézkedések felsorolásánál a már említett két nézőpontot alkalmazzuk: • Mit tehetünk, ha fejlesztőként kell a saját szervezetnél bevezetni a védelmi intézkedést? • Mit tehetünk, ha szállítóként akarjuk támogatni a partnerünket?

  18. Biztonsági szabályzat • Információbiztonsági politika • Cél: Vezetői iránymutatás és támogatás nyújtása az információbiztonság a működés követelményeinek, valamint a vonatkozó törvényeknek és szabályozásnak megfelelően. • Az információbiztonsági szabályzat dokumentuma • Intézkedés: A vezetésnek információbiztonsági szabályzatot kell jóváhagynia, azt közzé kell tennie és ismertetnie kell valamennyi alkalmazottal és a megfelelő külső partnerekkel. • Az információbiztonsági szabályzat átvizsgálása • Intézkedés: Az információbiztonsági szabályzatot meghatározott időközönként, illetve lényeges változások bekövetkezésekor, át kell vizsgálni annak biztosítására, hogy továbbra is alkalmas, helytálló és hatékony maradjon.

  19. Biztonsági szabályzat • Szoftveres támogatási lehetőség: • A szabályzat egészét vagy egyes pontjait folyamatosan, minden érintettnek közzétenni nehézkes. • A szöveg közzétételét segíthet az, ha szerepkörtől függően a szoftver folyamatosan emlékezteti a felhasználót a jogaira és kötelességeire. • A vezetőségi átvizsgáláshoz statisztikákat lehet nyújtani a későbbi védelmi intézkedések hatékonyságáról (pl. jelentett incidensek száma)

  20. Az információbiztonság szervezete • Belső szervezet • Cél: Az információbiztonság irányítása a szervezeten belül. • A vezetés elkötelezettsége az információbiztonság ügye iránt • Intézkedés: A vezetésnek világos iránymutatással, elkötelezettsége kinyilvánításával, az információbiztonsággal összefüggő felelősségi körök egyértelmű kijelölésével és elismertetésével aktív módon támogatnia kell a biztonságot a szervezeten belül. • Az információbiztonság koordinálása • Intézkedés: Az információbiztonsági tevékenységeket a szervezet különböző részeitől delegált és megfelelő feladat- és munkaköri funkciókkal felruházott képviselők révén kell koordinálni.

  21. Az információbiztonság szervezete • Az információbiztonsági felelősségi körök kijelölése • Intézkedés: Az információbiztonsággal összefüggő valamennyi felelősségi kört egyértelműen meg kell határozni. • Jogosultsági engedélyezési folyamat az információ-feldolgozó eszközökre vonatkozóan • Intézkedés: Folyamatot kell kialakítani és bevezetni az új információ-feldolgozó eszközökkel kapcsolatos jogosultságok vezetőségi engedélyezésére. • Titoktartási megállapodások • Intézkedés: Meg kell határozni, illetve rendszeresen át kell vizsgálni a szervezet információbiztonsággal kapcsolatos igényeit tükröző bizalmassági vagy titoktartási megállapodások követelményeit.

  22. Az információbiztonság szervezete • Kapcsolattartás a felhatalmazott szervezetekkel • Intézkedés: Megfelelő kapcsolatokat kell fenntartani az illetékes felhatalmazott szervezetekkel. • Kapcsolattartás speciális érdekcsoportokkal • Intézkedés: Megfelelő kapcsolatokat kell fenntartani a speciális érdekcsoportokkal, illetve más speciális biztonsági fórumokkal és szakmai társaságokkal. • Az információbiztonság független átvizsgálása • Intézkedés: A szervezetnek az információbiztonság kezelését és az információbiztonság megvalósítását (azaz a szabályozási célokat, az Intézkedéseket, a szabályzatokat, a folyamatokat és információbiztonsági eljárásokat) meghatározott időközönként, illetve amikor az információbiztonság bevezetésében lényeges változások következnek be, független módon át kell vizsgálni.

  23. Az információbiztonság szervezete • Külső ügyfelek • Cél: A szervezet külső felek, ügyfelek által hozzáférhető, feldolgozott vagy részükre kommunikált, illetve általuk kezelt információk és információ-feldolgozó eszközök biztonságának fenntartása. • A külső ügyfelekkel összefüggő kockázatok azonosítása • Intézkedés: Azonosítani kell a szervezet információit és információ-feldolgozó eszközeit fenyegető kockázatokat, amelyek olyan működési folyamatokból származnak, amelyekben külső ügyfelek vesznek részt, ezekkel szemben megfelelő intézkedéseket kell hozni és érvényesíteni a hozzáférési jog megadása előtt.

  24. Az információbiztonság szervezete • A biztonság kérdésének kezelése az ügyfelekkel való foglalkozás során • Intézkedés: Foglalkozni kell valamennyi azonosított biztonsági követelménnyel, mielőtt a szervezet hozzáférést biztosít információihoz, illetve vagyontárgyaihoz az ügyfelek számára. • A biztonság kérdésének kezelése harmadik féllel kötött megállapodásokban • Intézkedés: A harmadik felekkel kötött megállapodásoknak, beleértve a szervezet információihoz, illetve információfeldolgozó eszközeihez való hozzáférést, azok feldolgozását, kommunikálását, illetve kezelését, valamint termékeknek, illetve szolgáltatásoknak az információfeldolgozó eszközökhöz való hozzáadását, valamennyi vonatkozó biztonsági követelményt tartalmazniuk kell.

  25. Az információbiztonság szervezete • Szoftveres támogatási lehetőség: • Az adatgazdák kijelölése ebben a fázisban történik meg, ezt a jogosultságkezelésben kell a későbbiekben implementálni • A titoktartási szerződésben rögzített hozzáférési jogosultságokat és időket figyelembe kell venni • A hozzáféréssel kapcsolatos szabálysértésekről információt, statisztikát kell szolgáltatni • A megrendelőt folyamatosan értesíteni kell a szoftverben talált sérülékenységekről • Ebben a pontban határozhatják meg, hogy a szállítóval, mint harmadik féllel szemben milyen biztonsági követelmények vannak, amit vagy be kell tartani, vagy implementálni kell.

  26. Vagyontárgyak kezelése • Felelősség a vagyontárgyakért • Cél: Megfelelő védelem elérése és fenntartása a szervezet vagyontárgyait illetően. • Vagyonleltár • Intézkedés: Valamennyi vagyontárgyat egyértelműen azonosítani kell és valamennyi fontos vagyontárgyról leltárt kell felvenni és azt meg kell őrizni.

  27. Vagyontárgyak kezelése • Vagyontárgyak tulajdonjoga • Intézkedés: Valamennyi információt és az információfeldolgozással összefüggő vagyontárgyat a szervezet meghatározott része kell birtokoljon. • Vagyontárgyak elfogadható használata • Intézkedés: Szabályokat kell azonosítani, dokumentálni és érvényesíteni az információk és az információfeldolgozással összefüggő vagyontárgyak elfogadható használatára vonatkozóan.

  28. Vagyontárgyak kezelése • Információk osztályozása • Cél: az információk megfelelő szintű védelmének biztosítása • Osztályozási elvek • Intézkedés: Az információkat értékük, a jogi előírások, a szervezet szempontjából képviselt érzékenységük és kritikusságuk szempontjából kell osztályozni. • Az információk jelölése és kezelése • Intézkedés: Összhangban a szervezet által elfogadott osztályozási rendszerrel, megfelelő eljárásokat kell kidolgozni és bevezetni az információk cimkézésére és kezelésére.

  29. Vagyontárgyak kezelése • Szoftveres támogatási lehetőségek: • Figyelembe kell venni, hogy a szállított szoftver milyen biztonsági szintű vagyontárgynak minősül • Ezt a biztonsági szintet megfelelő címkézéssel kell biztosítani • A címkékkel ellátott információt a biztonsági szabályzat (pl. Bell-LaPadula, MAC, DAC) szerint kell kezelni.

  30. Az emberi erőforrások biztonsága • Az alkalmazást megelőzően • Cél: Annak biztosítása, hogy az alkalmazottak, a szerződő felek és harmadik felek, mint felhasználók legyenek tisztában felelősségükkel, legyenek alkalmasak a nekik szánt feladatkörök betöltésére, valamint a lopásból, a csalásból, illetve az eszközökkel való visszaélésből származó kockázatok csökkentésére. • Feladat- és felelősségi körök • Intézkedés : Az alkalmazottak, szerződő felek és harmadik felek, mint felhasználók, biztonsággal összefüggő feladat- és felelősségi körét a szervezet információbiztonsági szabályzatával összhangban kell meghatározni és dokumentálni.

  31. Az emberi erőforrások biztonsága • Átvilágítás • Intézkedés: A vonatkozó törvényi, szabályozási és etikai előírásoknak, az elérendő információ osztályozásának és az érzékelt kockázatoknak megfelelően, valamint a működés által megkívánt mértékben valamennyi állásra pályázó, szerződő vállalkozó, felhasználó harmadik fél tekintetében végzett igazoló háttérellenőrzések. • Alkalmazási kifejezések és feltételek • Intézkedés: Szerződéses kötelezettségük részeként, az alkalmazottaknak, szerződőknek és a felhasználó harmadik feleknek el kell fogadniuk és alá kell írniuk alkalmazási szerződésük feltételeit és kikötéseit, amelyeknek rögzíteniük kell az alkalmazottak és a szervezet információbiztonsággal kapcsolatos felelősségét.

  32. Az emberi erőforrások biztonsága • Az alkalmazás időtartama alatt • Cél: Annak biztosítása, hogy valamennyi alkalmazott, szerződő vállalkozó és felhasználó harmadik fél legyen tudatában az információ biztonságát fenyegető veszélyeknek és nyugtalanító tényezőnek, saját felelősségének és kötelezettségeinek, továbbá, hogy legyenek felkészülve mindennapi munkájuk során a szervezet biztonsági politikájának támogatására, s az emberi hibából eredő kockázat csökkentésére. • A vállalatvezetés felelőssége • Intézkedés: A vállalatvezetésnek meg kell követelnie alkalmazottaitól, a szerződőktől és a felhasználó harmadik felektől, hogy a biztonságot a szervezet által meghatározott politikáknak és eljárásoknak megfelelően alkalmazzák.

  33. Az emberi erőforrások biztonsága • Az információbiztonság tudatosítása, oktatás és képzés • Intézkedés: A szervezet valamennyi alkalmazottját és, ahol ez jelentőséggel bír, a szerződőket és a felhasználó harmadik feleit megfelelő, tudatosító képzésben kell részesíteni, és a munkaköri feladataiknak megfelelően a szervezeti szabályzatok és eljárások tekintetében rendszeresen friss ismeretanyaggal kell ellátni. • Fegyelmi eljárás • Intézkedés: Hivatalos fegyelmi eljárást kell lefolytatni a biztonsági előírásokat megsértő alkalmazottakkal szemben.

  34. Az emberi erőforrások biztonsága • Az alkalmazás megszűnése, illetve megváltozása • Cél: annak biztosítása, hogy az alkalmazottak, szerződő és felhasználó harmadik felek szabályos módon váljanak meg egy szervezettől, illetve változtassanak munkahelyet. • Felelősségek az alkalmazás megszűnésekor • Intézkedés: Egyértelműen meg kell határozni és ki kell jelölni az alkalmazás megszüntetésekor, illetve megváltoztatásakor fennálló felelősségeket.

  35. Az emberi erőforrások biztonsága • Vagyontárgyak visszaszolgáltatása • Intézkedés: Valamennyi alkalmazottnak, a szerződőknek és a felhasználó harmadik félnek vissza kell szolgáltatnia a szervezet valamennyi birtokukban lévő vagyontárgyát, amikor alkalmazásuk, szerződésük, illetve megállapodásuk lejár, illetve megszűnik. • Hozzáférési jogok megszüntetése • Intézkedés: Valamennyi alkalmazottnak, a szerződőknek és a felhasználó harmadik feleknek információkhoz és információ-feldolgozó eszközökhöz való hozzáférési jogosultságát meg kell szüntetni, amikor alkalmazásuk megszűnik, szerződésük, illetve megállapodásuk lejár, vagy azt módosulás esetén a változáshoz kell igazítani.

  36. Az emberi erőforrások biztonsága • Szoftveres támogatási lehetőségek • Az információbiztonsági képzést lehetőség szerint támogatni kell a szállított alkalmazás biztonsági aspektusainak ismertetésével • Folyamatosan kell gyűjteni a szoftverben azokat a bizonyítékokat, melyek a szabálysértésekre utalnak • Egy felhasználó jogosultságait a lehető legkönnyebben és leghamarabb lehessen visszavonni.

  37. Fizikai és környezeti biztonság • Területek védelme, biztosítása • Cél: A szervezet helyiségeinek és információinak védelme, a jogosulatlan, illetéktelen fizikai behatolás, károkozás és zavarkeltés megakadályozása. • Fizikai biztonsági határzóna • Intézkedés: Azokon a területeken, ahol információkat vagy információ-feldolgozó eszközöket tartanak, biztonsági határzónákat (lehatároló védfalakat, kártyával ellenőrzött beléptető kapukat, illetve személyzettel ellátott portaszolgálatot) kell alkalmazni e területek védelmére.

  38. Fizikai és környezeti biztonság • Fizikai belépés ellenőrzése • Intézkedés: A biztonsági területeket a belépés megfelelő ellenőrzésével kell védeni, hogy e területekre csak a belépésre jogosultak juthassanak be. • Irodák, helyiségek és létesítmények védelme • Intézkedés: Az irodák, helyiségek és létesítmények fizikai védelmét ki kell alakítani és azt alkalmazni kell. • Külső és környezeti veszélyekkel szembeni védelem • Intézkedés: Ki kell alakítani a tűzvész, áradás, földrengés, robbanás, polgári zavargás, valamint a természeti és ember által előidézett katasztrófák más formái által okozott károk elleni védelmet és azt alkalmazni kell.

  39. Fizikai és környezeti biztonság • Munkavégzés biztonsági területeken • Intézkedés: Ki kell alakítani és alkalmazni kell a biztonsági területeken történő munkavégzésre vonatkozó fizikai védelmeket és irányelveket. • Közforgalmi bejutási pontok, szállítási és rakodási területek • Intézkedés: A szállítási és rakodási területek belépési pontjait, és egyéb olyan pontokat, amelyeken keresztül arra jogosulatlan egyének a helyiségekbe bejuthatnak, ellenőrizni kell, és lehetőség szerint, ezeket az illetéktelen hozzáférés megelőzése érdekében el kell különíteni az információ-feldolgozás létesítményeitől.

  40. Fizikai és környezeti biztonság • Berendezések védelme • Cél: A vagyontárgyak elvesztésének, károsodásának, eltulajdonításának, illetve megrongálásának, valamint a szervezeti működés fennakadásának megelőzése. • Berendezések elhelyezése és védelme • Intézkedés: A berendezéseket úgy kell elhelyezni, illetve védeni, hogy csökkenjen a környezeti fenyegetésekből és veszélyekből eredő kockázat, valamint a jogosulatlan hozzáférés lehetősége. • Közműszolgáltatások • Intézkedés: A berendezéseket védeni kell a közüzemi létesítményekben bekövetkező meghibásodások okozta áramkimaradásoktól és más kiesésektől.

  41. Fizikai és környezeti biztonság • Kábelbiztonság • Intézkedés: Az adatátvitelt bonyolító, illetve az információszolgáltatásokat támogató elektromos energiaátviteli és távközlési kábelhálózatot védeni kell a lehallgatástól és a károsodástól. • Berendezések karbantartása • Intézkedés: A berendezéseket előírásszerűen karban kell tartani folyamatos rendelkezésre állásuk és sértetlenségük biztosítása érdekében. • Berendezések biztonsága a telephelyen kívül • Intézkedés: A telephelyen kívüli berendezések biztonságot nyújtsanak, figyelembe véve a szervezet telephelyein kívül történő munkavégzésből eredő különböző kockázatokat.

  42. Fizikai és környezeti biztonság • Berendezések biztonságos selejtezése, illetve újrafelhasználása • Intézkedés: Valamennyi olyan berendezést, amely tárolóeszközt foglal magában, ellenőrizni kell annak biztosítása érdekében, hogy az érzékeny adatok és engedélyezett szoftverek a selejtezést megelőzően eltávolításra, illetve biztonságos felülírásra kerüljenek. • Vagyontárgyak eltávolítása • Intézkedés: Berendezések, információk, illetve szoftverek előzetes engedély nélkül nem vihetők ki a telephelyről. • Ezt a követelménytípust természetéből adódóan nem nagyon lehet szoftveresen támogatni.

  43. Kommunikáció és üzemeltetés irányítása • Üzemeltetési eljárások és felelősségi körök • Cél: Az információ-feldolgozó eszközök előírásszerű és biztonságos üzemeltetésének biztosítása • Dokumentált üzemeltetési eljárások • Intézkedés: Az üzemeltetési eljárásokat dokumentálni kell és azokat karban kell tartani, és minden olyan felhasználó számára hozzáférhetővé kell tenni, akiknek arra szükségük van. • Változáskezelés • Intézkedés: Az információ-feldolgozó eszközök és rendszerek változtatásait szabályozni kell.

  44. Kommunikáció és üzemeltetés irányítása • Feladatkörök, kötelezettségek elhatárolása • Intézkedés: A feladatköröket és felelősségi területeket szét kell választani a szervezet vagyontárgyai jogosulatlan, illetve nem szándékolt módosítása, illetve az azokkal való visszaélés lehetőségeinek csökkentése érdekében. • Fejlesztési, vizsgáló és üzemeltetési berendezések különválasztása • Intézkedés: A fejlesztési, vizsgáló és üzemeltetési berendezéseket egymástól külön kell választani az üzemelő rendszerekhez való jogosulatlan hozzáférés, illetve azok jogosulatlan módosítása kockázatainak csökkentése érdekében.

  45. Kommunikáció és üzemeltetés irányítása • Harmadik felek szolgáltatásnyújtásának irányítása • Cél: Az információbiztonság és szolgáltatásnyújtás megfelelő szintjének bevezetése és fenntartása a harmadik felekkel kötött szolgáltatásnyújtási megállapodásokkal összhangban. • Szolgáltatásnyújtás • Intézkedés: Biztosítani kell a harmadik felekkel szolgáltatásnyújtására kötött megállapodásokban foglalt biztonsági intézkedések, szolgáltatás-meghatározások és szolgáltatásnyújtási szintek harmadik felek általi megvalósítását, működtetését és fenntartását.

  46. Kommunikáció és üzemeltetés irányítása • Harmadik felek szolgáltatásainak figyelemmel kísérése és átvizsgálása • Intézkedés: A harmadik felek által nyújtott szolgáltatásokat, jelentéseket és feljegyzéseket rendszeresen figyelemmel kell kísérni és át kell vizsgálni, valamint rendszeres auditjukat is el kell végezni. • Harmadik felek szolgáltatásaival kapcsolatos változások kezelése • Intézkedés: A szolgáltatások nyújtását, beleértve a meglévő információbiztonsági szabályzatok, eljárások és ellenőrző intézkedések fenntartását és fejlesztését, érintő változásokat . az érintett működési rendszerek kritikusságára beleértve a folyamatokat és a kockázatok újraértékelését . kezelni kell.

  47. Kommunikáció és üzemeltetés irányítása • Rendszertervezés és elfogadás • Cél: A rendszerhibák kockázatának minimalizálása. • Kapacitásmenedzselés • Intézkedés: A rendszer megkívánt teljesítőképességének biztosítása érdekében az erőforrások felhasználását figyelemmel kell kísérni, össze kell hangolni, valamint a jövőbeli kapacitásigényekre vonatkozóan előrejelzéseket kell készíteni. • Rendszerek elfogadása, átvétele • Intézkedés: Ki kell alakítani az új információs rendszerekre, a bővítésekre és az új változatokra vonatkozó elfogadási, átvételi kritériumokat és a fejlesztés során az átvétel előtt el kell végezni a rendszer(ek) megfelelő vizsgálatát.

  48. Kommunikáció és üzemeltetés irányítása • Védelem a rosszindulatú és mobil kódok ellen • Cél: A szoftver és az információ sértetlenségének megóvása. • Rosszindulatú kód elleni intézkedések • Intézkedés: A rosszindulatú kódok elleni védekezés érdekében észlelési, megelőzési és helyreállítási intézkedéseket kell megvalósítani, valamint a felhasználók részére megfelelő, tudatosító eljárásokat kell bevezetni. • Mobil kód elleni intézkedések • Intézkedés: Ahol a mobil kód használata engedélyezett, a konfigurációnak biztosítania kell, hogy az engedélyezett mobil kód az egyértelműen meghatározott biztonsági szabályzatnak megfelelően működjék, valamint a nem engedélyezett mobil kódot a használatból ki kell zárni.

  49. Kommunikáció és üzemeltetés irányítása • Biztonsági mentés • Cél: Az információk és az információ-feldolgozó berendezések sértetlenségének és rendelkezésre állásának fenntartása. • Információk biztonsági mentése • Intézkedés: Az információkról és a szoftverekről biztonsági másolatokat kell készíteni és azokat rendszeresen vizsgálni kell a megállapított biztonsági mentési szabályzatnak megfelelően.

  50. Kommunikáció és üzemeltetés irányítása • Hálózatbiztonság kezelése • Cél: A hálózatokban lévő információk megóvásának és a támogató infrastruktúra védelmének biztosítása. • Hálózatok védelme • Intézkedések: A hálózatokat a fenyegetésektől való megóvásuk, és a hálózatot használó rendszerek és alkalmazások, beleértve az átvitel alatti információt, biztonságának fenntartása érdekében megfelelő irányítás és ellenőrzés alatt kell tartani. • Hálózati szolgáltatások biztonsága • Intézkedés: A biztonsági jellemzőket, a szolgáltatási szinteket és a valamennyi hálózati szolgáltatásra vonatkozó irányítási követelményeket azonosítani és hálózati szolgáltatási megállapodásban rögzíteni kell, legyenek ezek akár belső, akár kiszervezett szolgáltatásként nyújtottak.

More Related