logo_opentech2

AktuALNOŚCI

kontrola_organizacji_iso27002_2022
Facebook
Twitter
LinkedIn

ISO 27002:2002 – Kontrole organizacyjne

Nowa wersja normy ISO/IEC 27002:2022 zmienia podejście do bezpieczeństwa informacji i jest dokumentem, który jest przeznaczony dla organizacji wszystkich typów i rozmiarów. Norma 27001:2022 powinna być stosowania jako punkt odniesienia przy określeniu i wdrażaniu mechanizmów kontrolnych przy postępowaniu z ryzykiem w zakresie bezpieczeństwa informacji w systemie zarządzania bezpieczeństwa informacji (SZBI), który oparty jest na normie 27001.  Należy uwzględnić, że można rozszerzyć o dodatkowy  zakres kontroli bezpieczeństwa informacji, w przypadku kiedy występują dodatkowe wymagania w tym zakresie podczas oceny ryzyka.

Organizacje wszystkich typów i rozmiarów zarówno podmioty sektora publicznego, prywatnego czy komercyjnego i non profit tworzą, gromadzą, przetwarzają, przechowują przekazują i pozbywają się informacji w wielu formatach, w tym elektronicznym, fizycznym i werbalnym (rozmowy) czy prezentacji również uwzględnia się w tym zakresie. Informacja obecnie wykracza już poza słowa pisane, liczby i obrazy, przede wszystkim mam tu na myśli wiedzę, koncepcję pomysłu i marki. To są właśnie te przykłady niematerialnych form informacji bezpieczeństwo informacji i bezpieczeństwo ich osiąga się poprzez wdrożenie odpowiedniego zestawu mechanizmów kontrolnych w tym polityk zasad procesów procedur struktur organizacyjnych oraz funkcji oprogramowania i sprzętu. Organizacja aby spełnić swoje cele biznesowe i związane z bezpieczeństwem informacji powinna zdefiniować, wdrożyć, monitorować, przeglądać i w razie potrzeby ulepszać te mechanizmy kontrolne zarządzania bezpieczeństwem informacji.

Najważniejsze jest to aby organizacja określiła wymogi w zakresie bezpieczeństwa informacji. Norma 27002:2022 określa 3 główne źródła wymagań dotyczących bezpieczeństwa informacji:

– oceny ryzyka w organizacji z uwzględnieniem ogólnej strategii i celów biznesowych organizacji ma tu przede wszystkim za zadanie ułatwienie i wspieranie przez oceny ryzyka związanego z bezpieczeństwem informacji wynikiem takiej oceny powinno być określenie kontroli niezbędnych do zapewnienia że ryzyko szczątkowe dla organizacji spełnia kryteria akceptacji ryzyka

– następnym jest spełnienie  wymogów prawnych ustawowe wykonawczy i umownych który organizacja musi spełniać i musi również spełniać zainteresowane strony jak na przykład partnerzy handlowi dostawcy usług oraz ich otoczenie społeczno – kulturowe.

– zbiór zasad celów i wymogów biznesowych dotyczących wszystkich etapów cyklu życia informacji które organizacja opracowała wspierania swojej działalności między innymi polityki procedury procesy instrukcje zarządzenia plany.

Kontrole definiuje się jako środek modyfikujący lub utrzymujący ryzyko niektóre kontrole modyfikują a inne utrzymują to ryzyko przykładem tutaj może być polityka bezpieczeństwa informacji która utrzymuje tylko ryzyko podczas gdy zgodne z polityką bezpieczeństwa informacji może je modyfikować.

W normie 27002:2022 przedstawiono ogólne zestawienie organizacyjnych, osobowych, fizycznych i technologicznych środków kontroli bezpieczeństwa informacji które pochodzą z najlepszych praktyk międzynarodowych mając na celu odpowiednie podejście do zarządzania bezpieczeństwem informacji, jego nadzoru i kontrolowania. Należy pamiętać o tym że określenie kontroli zależy od decyzji organizacji podjętych po przeprowadzeniu oceny ryzyka. Należy oczywiście brać pod uwagę wszystkie wymagania prawne międzynarodowe i regulacje w tym zakresie. Normę ISO 27002:2022 należy traktować jako punkt wyjścia do opracowania wytycznych dla poszczególnych organizacji. Nie wszystkie wytyczne kontroli mogą być zastosowane we wszystkich organizacjach. Należy pamiętać o podstawowej zasadzie jaka ma wpływ na bezpieczeństwo informacji, to jest o cyklu życia informacji to jest od momentu jej powstania do momentu jej usunięcia, dlatego ważne jest aby bezpieczeństwie informacji określało również wartość informacji i zagrożenia jakie mogą występować w trakcie cyklu jej życia.

Cykl życia dotyczy systemów informatycznych i innych zasobów które są związane z bezpieczeństwem informacji. Są one przecież tworzone, określane projektowane, rozwijane, testowane, wdrażane, użytkowane, utrzymywane, ostatecznie wycofane z użytku i usuwane. Bezpieczeństwo informacji powinno być uwzględniane na każdym etapie.

W niniejszym artykule zostaną przedstawione w skrócie wymagania określone w rozdziale Kontrola organizacji (rozdział 5).

Kontrole organizacyjne  (5)

Polityka bezpieczeństwa informacji (5.1)

Organizacja tworzy dokument zawierający sposób, w jaki będzie zarządzać celami bezpieczeństwa informacji. Dokument ten musi być zatwierdzony przez kierownictwo i musi zawierać zarówno polityki wysokiego, jak i niskiego poziomu. Po wprowadzeniu (wdrożeniu) polityk należy je regularnie przeglądać. Najlepszym podejściem jest wyznaczenie regularnych spotkań i zaplanowanie dodatkowego spotkania pomiędzy nimi, jeśli wymaga tego sytuacja. Jeśli wprowadzane są jakiekolwiek zmiany, kierownictwo musi je zatwierdzić. Zasady należy udostępniać interesariuszom wewnętrznym i zewnętrznym.

Role i obowiązki w zakresie bezpieczeństwa informacji (5.2)

Polityka musi określać, kto jest odpowiedzialny za dany zasób, proces lub działanie związane z ryzykiem dotyczącym bezpieczeństwa informacji. Ważne jest, aby przydział obowiązków był jasny i dotyczył wszystkich zadań. Należy się upewnić, że role i obowiązki odpowiadają potrzebom organizacji i prawidłowego funkcjonowania (wdrożenia) SZBI.

Podział obowiązków (5.3)

Organizacja w celu zapobiegania niewłaściwemu wykorzystaniu zasobów podmiotu, „uprawnienia” do pełnej kontroli nad wrażliwą działalnością nie powinny należeć do jednej osoby. Jednym z najlepszych sposobów realizacji tego celu jest rejestrowanie wszystkich działań i dzielenie ważnych zadań na wykonywanie i sprawdzanie lub zatwierdzanie i inicjowanie. Działanie takie ma na celu zabieganie podejmowania i realizowanie zadań przez tą samą osobę.

Obowiązki kierownictwa (5.4)

Kierownictwo musi upewnić się, że wszyscy pracownicy i wykonawcy są świadomi i przestrzegają polityki bezpieczeństwa informacji organizacji. Powinni oni dawać przykład i pokazywać, że bezpieczeństwo informacji jest zarówno użyteczne, jak i konieczne. Obowiązki powinny wynikać również ze strategii  i celów bezpieczeństwa informacji.

Kontakt z władzami (5.5)

Powinno się jasno zadeklarować, kto jest odpowiedzialny za kontakt z władzami (np. organami ścigania, organami regulacyjnymi, organami nadzoru), z jakimi władzami należy się kontaktować (np. organy nadzorcze, policja, CSIRT, NASK, ABW itd.)w jakich przypadkach należy to zrobić. Szybka i właściwa reakcja na incydenty może znacznie zmniejszyć ich skutki, a nawet może być obowiązkowa z mocy prawa (KSC, RODO).

Kontakt z grupami szczególnego zainteresowania (5.6)

Aby mieć pewność, że najnowsze trendy i wymagania w zakresie bezpieczeństwa informacji i najlepsze praktyki są na bieżąco aktualizowane, personel odpowiedzialny za SZBI powinien utrzymywać dobry kontakt z grupami specjalnych interesów. Do takich grup można w pewnych przypadkach zwracać się o porady ekspertów, a także mogą one być doskonałym źródłem pogłębiania własnej wiedzy. Przykładami takich grup są ENISA, EROD, NIST, … .

Rozpoznanie zagrożeń (5.7)

Organizacja powinna gromadzić i analizować informacje o istniejących zagrożenia. Zbierając i analizując informacje o zagrożeniach dla organizacji, można lepiej określić, jakie mechanizmy ochrony należy wdrożyć, aby zabezpieczyć się przed zagrożeniami istotnymi dla organizacji. Informacje o zagrożeniach na zasadzie wywiadu można podzielić na trzy warstwy. Pierwsza – określa wymianę informacji wysokiego szczebla na temat zmieniającego krajobrazu zagrożeń, druga – informację o metodach, narzędziach i technologiach stosowanych przez napastników, trzecia – szczegółowe informacje na temat konkretnych ataków.

Bezpieczeństwo informacji w zarządzaniu projektami (5.8)

Zapewnienie prawidłowego i przynoszącego efekty wdrożenie SZBI w całej organizacji, bezpieczeństwo informacji powinno być uwzględniane i dokumentowane we wszystkich projektach w postaci wymagań. Wymagania te mogą wynikać z uwarunkowań biznesowych, prawnych, zgodności z innymi normami lub przepisami. W dokumentacji lub w szablonach do zarządzania projektami należy uwzględnić rozdział poświęcony bezpieczeństwu informacji.

Inwentaryzacja informacji i innych związanych z nimi aktywów (5.9)

Organizacja powinna mieć zidentyfikowane wszystkie aktywa związane z informacją i jej przetwarzaniem. Wszystkie te aktywa muszą być spisane w formie spisu, który powinien być odpowiednio prowadzony. Wiedza o tym, jakie są aktywa, jakie jest ich znaczenie, gdzie się znajdują i jak są traktowane, jest niezbędna do identyfikacji i przewidywania ryzyka. Może to być nawet obowiązkowe ze względu na zobowiązania prawne lub cele ubezpieczeniowe. Wszystkie aktywa w ewidencji, a więc i w całym przedsiębiorstwie lub podmiocie publicznym, jeśli ewidencja jest kompletna, muszą mieć właściciela. Dzięki własności aktywów aktywa są obserwowane i objęte opieką przez cały cykl ich życia. Podobne aktywa mogą być grupowane, a codzienny nadzór nad nimi może być powierzony tzw. opiekunowi, ale właściciel pozostaje odpowiedzialny. Własność aktywów musi być zatwierdzona przez kierownictwo.

Dopuszczalne wykorzystanie informacji i innych powiązanych aktywów (5.10)

Należy opracować i wdrożyć dobrze udokumentowane zasady dostępu do aktywów informacyjnych. Użytkownicy aktywów powinni być świadomi wymogów bezpieczeństwa informacji dotyczących korzystania z tych aktywów i przestrzegać ich. Należy także opracować procedury postępowania z aktywami. Personel musi rozumieć zasady oznaczania zasobów i wiedzieć, jak postępować z różnymi poziomami klasyfikacji. Ponieważ nie ma uniwersalnego standardu klasyfikacji, ważne jest też, aby znać poziomy klasyfikacji innych podmiotów, ponieważ najprawdopodobniej będą się one różnić od Twoich.

Zwrot aktywów (5.11)

Organizacja powinna nadzorować i kontrolować zwrot aktywów, np.: gdy pracownik lub strona zewnętrzna nie ma już dostępu do aktywów, np. z powodu zakończenia zatrudnienia lub podpisania umowy, musi zwrócić te aktywa organizacji. Powinna istnieć jasna polityka w tym zakresie, która musi być znana wszystkim zainteresowanym. Aktywa niematerialne ważne dla bieżącej działalności, takie jak specyficzna wiedza, która nie została jeszcze udokumentowana, powinny być udokumentowane i zwrócone jako takie.

Klasyfikacja informacji (5.12)

Niektóre informacje są uważane za wrażliwe ze względu np. na wartość pieniężną lub prawną i muszą pozostać poufne, podczas gdy inne informacje są mniej istotne. Organizacja powinna mieć opracowaną politykę dotyczącą sposobu postępowania z informacjami niejawnymi. Odpowiedzialność za nadawanie klauzul zasobom informacyjnym spoczywa na ich właścicielu. Aby rozróżnić znaczenie poszczególnych aktywów niejawnych, przydatne może być wprowadzenie kilku poziomów poufności – od nieistniejącego do mającego poważny wpływ na przetrwanie organizacji.

Oznaczanie informacji (5.13)

Nie wszystkie informacje należą do tej samej kategorii, co omówiono w punkcie 5.12 powyżej. Dlatego ważne jest, aby oznaczać wszystkie informacje zgodnie z ich klasyfikacją. Gdy informacje są przetwarzane, przechowywane lub wymieniane, znajomość klasyfikacji obiektu może być niezbędna. Niestety, może to być przydatne dla osób o złych zamiarach, a także może być wskazówką dla interesujących przedmiotów. Ważne jest, aby być świadomym tego ryzyka.

Przekazywanie informacji (5.14)

Informacje są wymieniane wewnątrz i na zewnątrz organizacji. Powinien istnieć protokół dotyczący wszystkich rodzajów wymiany informacji, w tym dokumentów cyfrowych, dokumentów fizycznych, nagrań wideo, ale także przekazów ustnych. Jasne zasady dotyczące bezpiecznego dzielenia się informacjami pomagają zmniejszyć ryzyko ich zanieczyszczenia i wycieku. Informacje, które są udostępniane pomiędzy organizacją a stronami zewnętrznymi, muszą być poprzedzone umową o przekazywaniu informacji.

Kontrola dostępu (5.15)

Polityka kontroli dostępu powinna określać, w jaki sposób zarządza się dostępem i kto ma prawo dostępu do jakich zasobów. Właściciele informacji i innych związanych z nimi aktywów powinni określić wymagania dotyczące bezpieczeństwa informacji i wymagania biznesowe związane z kontrolą dostępu. Zasady kontroli dostępu organizacja wdraża poprzez zdefiniowanie i przyporządkowanie odpowiednich praw dostępu i ograniczeń do właściwych podmiotów. Podmiot może reprezentować zarówno użytkownika, jak i element techniczny lub logiczny (np. maszynę, urządzenie lub usługę). Aby uprościć zarządzanie kontrolą dostępu, do grup encji można przypisać określone role.

Zarządzanie tożsamością (5.16)

Organizacja powinna przypisywać prawa dostępu do zasobów i sieci oraz śledzić, kto faktycznie uzyskuje dostęp, użytkownicy muszą być zarejestrowani pod określonym identyfikatorem. W przypadku gdy pracownik odchodzi z organizacji, należy usunąć identyfikator i dostęp do niego. Jeżeli pracownik musi tylko otrzymać odmowę dostępu, dostęp do identyfikatora może być ograniczony. Nawet jeśli korzystanie z identyfikatora innego pracownika może być szybsze i łatwiejsze, to w większości przypadków kierownictwo nie powinno na to zezwalać. Dzielenie się identyfikatorami usuwa powiązanie między ograniczeniem dostępu a pracownikiem i niemal uniemożliwia przypisanie właściwej osobie odpowiedzialności za jej działania. Przypisywanie, zmienianie i w końcu usuwanie tożsamości jest często nazywane cyklem życia tożsamości.

Informacje uwierzytelniające (5.17)

Uwierzytelnianie, takie jak hasła i karty dostępu, musi być zarządzane w ramach formalnego procesu. Do innych działań, które powinny być ujęte w polityce, to na przykład zakaz dzielenia się przez użytkowników tajnymi informacjami uwierzytelniającymi, nadawanie nowym użytkownikom hasła, które musi być zmienione przy pierwszym użyciu, oraz wymaganie od wszystkich systemów uwierzytelniania użytkownika tajnych informacji uwierzytelniających (hasło na komputerze, karta dostępu na drzwiach).  Jeżeli stosuje się systemy zarządzania hasłami, to muszą one zapewniać dobre hasła i ściśle przestrzegać polityki organizacji w zakresie tajnych informacji uwierzytelniających. Same hasła powinny być przechowywane i przekazywane w bezpieczny sposób przez system zarządzania hasłami.

Prawa dostępu (5.18)

Kierownictwo organizacji powinno dysponować systemem nadawania i odbierania praw dostępu. Zaleca się tworzenie pewnych ról na podstawie czynności wykonywanych przez określonych pracowników i nadawanie im takich samych podstawowych praw dostępu. Częścią posiadania systemu są odpowiednie reakcje w przypadku prób nieautoryzowanego dostępu. Pracownicy nie muszą próbować uzyskiwać dostępu do miejsc, do których nie powinni, ponieważ o prawa dostępu można łatwo zwrócić się do właściciela i/lub kierownictwa zasobów. Organizacje i ich pracownicy nie wykonują tylko stałych zadań. Zmieniają się role lub pracownicy odchodzą z firmy, co stale zmienia potrzeby w zakresie dostępu. Właściciele aktywów powinni regularnie sprawdzać, kto może uzyskać dostęp do ich aktywów, natomiast zmiana ról lub odejście pracownika powinno spowodować przegląd praw dostępu przez kierownictwo. Ponieważ prawa dostępu uprzywilejowanego są bardziej wrażliwe, powinny być częściej przeglądane. Po rozwiązaniu umowy lub porozumienia należy usunąć prawa dostępu strony otrzymującej.

Bezpieczeństwo informacji w relacjach z dostawcami (5.19)

Ponieważ dostawcy mają dostęp do pewnych aktywów, organizacje muszą ustanowić politykę określającą wymagania dotyczące ograniczania ryzyka. Polityka ta powinna być zakomunikowana dostawcom i uzgodniona. Przykładami takich wymagań są wstępnie ustalone procesy logistyczne, zobowiązania dotyczące procesów incydentalnych dla obu stron, umowy o zachowaniu poufności oraz dokumentacja procesu dostaw (zaopatrzenia).

Uwzględnianie kwestii bezpieczeństwa informacji w umowach z dostawcami (5.20)

W zależności od rodzaju relacji z dostawcą organizacja musi ustalić i uzgodnić z każdym dostawcą odpowiednie wymagania w zakresie bezpieczeństwa informacji. Każdy dostawca, który w jakikolwiek sposób, bezpośrednio lub pośrednio, styka się z informacjami organizacji, musi przestrzegać ustalonych wymagań dotyczących bezpieczeństwa informacji i wyrazić na nie zgodę. Przykładem mogą być wymagania dotyczące klasyfikacji informacji, dopuszczalnego użytkowania oraz prawa do audytu. Łatwo zapominanym aspektem umowy jest to, co należy zrobić, gdy dostawca nie może lub nie chce już dostarczać informacji. Należy wprowadzić odpowiednie klauzule umowne w tym zakresie, celu zapewnienia kontroli i nadzorowania wymagań w zakresie bezpieczeństwa informacji u wykonawców.

Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT (5.21)

Organizacja powinna w umowach z dostawcami określać wymagania dotyczące bezpieczeństwa informacji oraz uzgodnienia dotyczące usług ICT (Information and Communication Technologies nazywane często technologiami informacyjno-telekomunikacyjnymi, teleinformatycznymi lub technikami informacyjnymi) i łańcucha dostaw. Przykładem takich wymagań może być konieczność śledzenia elementów w całym łańcuchu dostaw oraz utrzymanie pewnego minimalnego poziomu bezpieczeństwa na każdym poziomie tego łańcucha.

Monitorowanie, przegląd i zarządzanie zmianami w usługach dostawców (5.22)

Organizacja powinna regularnie monitorować, przeglądać, oceniać i zarządzać zmianami w praktykach dostawcy w zakresie bezpieczeństwa informacji i świadczenia usług. Dostawcy mogą popełniać błędy lub realizować usługi niezgodnie z zapisami umownymi. Niezależnie od tego, czy błąd jest przypadkowy, czy zamierzony, rezultat jest taki sam: organizacja nie otrzymuje dokładnie tego, co zostało uzgodnione, a zaufanie może spaść. Z tego powodu organizacje powinny uważnie obserwować dostawców i w razie potrzeby przeprowadzać u nich audyty. W ten sposób organizacja jest świadoma, kiedy dostawca robi coś nietypowego. Podobnie jak w przypadku zmian w systemie, kierownictwo musi kontrolować wszelkie zmiany w usługach dostawców. Organizacja musi się upewnić, że polityka bezpieczeństwa informacji jest aktualna, a wszelkie zmiany w świadczeniu usług są zarządzane. Niewielka zmiana w świadczonej usłudze w połączeniu z nieaktualną polityką bezpieczeństwa informacji może spowodować powstanie nowego, dużego ryzyka.

Bezpieczeństwo informacji przy korzystaniu z usług w chmurze (5.23)

Organizacja powinna ustanowić i zakomunikować wszystkim zainteresowanym stronom politykę dotyczącą korzystania z usług w chmurze, odnoszącą się do danego tematu. Może to być rozszerzenie lub część istniejącego podejścia do tego, jak organizacja zarządza usługami świadczonymi przez strony zewnętrzne. Korzystanie z usług w chmurze może wiązać się ze współodpowiedzialnością za bezpieczeństwo informacji oraz współpracą między dostawcą usługi w chmurze a organizacją działającą jako odbiorca usługi w chmurze. Istotne jest, aby obowiązki zarówno dostawcy usługi w chmurze, jak i organizacji działającej jako odbiorca usługi w chmurze, zostały odpowiednio określone i wdrożone. Dostawcy usług w chmurze oferują usługę, która, gdy jest wykorzystywana, częściej niż zwykle stanowi istotną część infrastruktury organizacji. Dokumenty Office są przechowywane w chmurze, ale wielu dostawców oprogramowania w chmurze SaaS, oferuje swoje produkty klientom za pośrednictwem dostawcy usług w chmurze, np.:  Microsoft Azure, Google Cloud, Amazon AWS, … Należy ograniczyć ryzyko związane z tą krytyczną częścią organizacji i powinno zapewnić procesy dotyczące korzystania z chmury jej używania, zarządzania i wychodzenia z niej. Zerwanie więzi z dostawcą chmury często oznacza, że na horyzoncie pojawia się nowy dostawca chmury, dlatego nie należy również zapominać o kontrolowaniu procesu zakupu i wdrażania do nowej chmury. Organizacja powinna uwzględnić odpowiedni poziom zapewnienia bezpieczeństwa informacji przez podmioty świadczące usługi w chmurze.

Planowanie i przygotowanie zarządzania incydentami związanymi z bezpieczeństwem informacji (5.24)

Organizacje muszą stworzyć i udokumentować procedury dotyczące zarządzania incydentami związanymi z bezpieczeństwem informacji oraz określić, kto jest za co odpowiedzialny. W ten sposób, w przypadku wystąpienia incydentu bezpieczeństwa informacji, można go skutecznie i szybko opanować. Incydenty związane z bezpieczeństwem zdarzają się nieoczekiwanie i mogą powodować spory chaos, który można złagodzić, stosując protokół postępowania, którego przestrzegają wykwalifikowani i przeszkoleni pracownicy.

Ocena i podejmowanie decyzji dotyczących zdarzeń związanych z bezpieczeństwem informacji (5.25)

Organizacje powinny dysponować dobrze udokumentowaną metodą oceny zdarzeń związanych z bezpieczeństwem. W przypadku wystąpienia podejrzanego zdarzenia osoba odpowiedzialna powinna sprawdzić je pod kątem wymagań i określić, czy rzeczywiście doszło do zdarzenia związanego z bezpieczeństwem informacji. Wyniki tej oceny powinny być udokumentowane, tak aby można je było wykorzystać w przyszłości.

Reagowanie na incydenty związane z bezpieczeństwem informacji (5.26)

Organizacja powinna ustanowić i przekazać wszystkim zainteresowanym stronom procedury reagowania na incydenty związane z bezpieczeństwem informacji.  Na incydenty związane z bezpieczeństwem informacji powinien reagować wyznaczony zespół o odpowiednich kompetencjach w tym zakresie. Ten punkt wydaje się prosty, ale warto o nim wspomnieć i czasami trudno go zrealizować w praktyce. Należy podjąć wcześniej ustalone działania, a cały proces dokładnie udokumentować. Pomaga to zapobiegać przyszłym incydentom i eliminować związane z nimi luki w bezpieczeństwie.

Wyciąganie wniosków z incydentów związanych z bezpieczeństwem informacji (5.27)

Wiedza zdobyta na podstawie incydentów związanych z bezpieczeństwem informacji powinna być wykorzystywana do wzmacniania i doskonalenia kontroli bezpieczeństwa informacji. Organizacja powinna ustanowić procedury określania ilościowego i monitorowania rodzajów, wielkości i kosztów incydentów związanych z bezpieczeństwem informacji. Wiedza zdobyta podczas rozwiązywania incydentu powinna być wykorzystywana do zapobiegania podobnym incydentom w przyszłości, a także może pomóc w zidentyfikowaniu ewentualnego problemu systemowego. W przypadku dodatkowych kontroli ważne jest, aby zwracać uwagę na koszty; nowa kontrola nie powinna kosztować organizacji więcej w skali roku niż incydenty, którym zapobiega.

Gromadzenie dowodów (5.28)

Należy zapewnić opracowanie i przestrzeganie odpowiednich procedur postępowania z dowodami, które dotyczą zdarzeń związanych z bezpieczeństwem informacji na potrzeby postępowań dyscyplinarnych i prawnych (sądowych, organów nadzorczych). Należy rozważyć wymogi różnych jurysdykcji, aby zmaksymalizować szanse dopuszczenia do postępowania w odpowiednich jurysdykcjach. Ogólnie rzecz biorąc, procedury zarządzania dowodami powinny zawierać instrukcje dotyczące identyfikacji, gromadzenia, i zabezpieczania dowodów zgodnie z różnymi rodzajami nośników pamięci, urządzeń i stanów urządzeń (tj. włączonych lub wyłączonych). Dowody zazwyczaj należy gromadzić w sposób, który jest dopuszczalny przez odpowiednie krajowe sądy lub inne organy nadzorcze i kontrolne na podstawie przepisów prawa danego kraju.

Bezpieczeństwo informacji w czasie zakłóceń (5.29)

Organizacja powinna zaplanować, w jaki sposób utrzymać bezpieczeństwo informacji na odpowiednim poziomie w czasie zakłóceń. Należy określić wymagania dotyczące dostosowania kontroli bezpieczeństwa informacji w czasie zakłóceń. Wymogi związane z bezpieczeństwem informacji powinny być włączone do procesów zarządzania ciągłością działania. Należy opracować, wdrożyć, przetestować, poddać przeglądowi i ocenie plany utrzymania lub przywrócenia bezpieczeństwa informacji dotyczących krytycznych procesów biznesowych po ich przerwaniu lub awarii. Bezpieczeństwo informacji powinno być przywrócone na wymaganym poziomie i w wymaganych ramach czasowych. W miarę jak zmieniają się organizacje, zmieniają się także najlepsze sposoby reagowania na kryzys. Na przykład organizacja, która w ciągu roku podwoiła swoją wielkość, najprawdopodobniej będzie musiała zareagować inaczej niż rok temu. Z tego powodu należy regularnie przeprowadzać kontrole ciągłości bezpieczeństwa informacji.

Gotowość ICT do ciągłości działania (5.30)

Organizacja powinna zapewnić, że gotowość ICT jest odpowiednio planowana, wdrażana, utrzymywana i testowana w oparciu o cele ciągłości działania i wymagania dotyczące ciągłości ICT. Gotowość ICT do zapewnienia ciągłości działania jest ważnym elementem zarządzania ciągłością działania i zarządzania bezpieczeństwem informacji, zapewniającym realizację celów organizacji w czasie zakłóceń. Wymogi dotyczące ciągłości działania ICT są wynikiem analizy wpływu na działalność (BIA). Podczas planowania ciągłości działania należy zwrócić szczególną uwagę na scenariusze, w których dochodzi do awarii systemów informatycznych. Należy opracować jasną strategię, w jaki sposób systemy zostaną przywrócone, kto to zrobi i ile czasu może to zająć. Powinno być również jasne, co w danym scenariuszu oznacza „przywracanie”, ponieważ przez pierwszy tydzień po całkowitym załamaniu się systemu prawdopodobnie wystarczą tylko podstawowe systemy.

Identyfikacja wymagań prawnych, ustawowych, wykonawczych i kontraktowych (5.31)

Organizacja musi przestrzegać wymagań prawnych, regulacyjnych  umownych dotyczących bezpieczeństwa informacji oraz stworzyć odpowiednie podejście w celu ich spełnienia, dlatego powinny one być zidentyfikowane, udokumentowane i aktualizowane.  Wymagania mogą się zmieniać lub być dodawane, przegląd zgodności z wymaganiami musi być aktualizowany na bieżąco. Jednym z przykładów zmieniających się wymagań jest sytuacja, gdy organizacja rozszerza swoją działalność na nowy kraj na innym kontynencie. Organizacja powinna odpowiednio zidentyfikować te wymagania, które w danym kraju obowiązują i tak samo je udokumentować i aktualizować.

Prawa własności intelektualnej (5.32)

Prawa własności intelektualnej obejmują prawa autorskie do oprogramowania lub dokumentów, prawa projektowe, znaki towarowe, patenty i licencje na kody źródłowe. Własność intelektualna może mieć ogromną wartość, dlatego ważne jest, aby dobrze dokumentować własną własność intelektualną i korzystanie z własności intelektualnej innych osób. Niewłaściwe wykorzystanie cudzej własności intelektualnej nawet przypadkowe, może skutkować dużymi pozwami sądowymi i należy temu za wszelką cenę zapobiegać.

Ochrona dokumentacji (5.33)

Organizacja powinna zapewnić odpowiednią ochronę dokumentacji przed  jej utratą, zniszczeniem, sfałszowaniem, nieuprawnionym dostępem i nieuprawnionym ujawnieniem. Należy zapewnić zgodności z wymogami prawnymi, ustawowymi, wykonawczymi i umownymi, a także oczekiwaniami społecznymi związanymi z ochroną i dostępnością dokumentacji. Organizacja powinna podjąć odpowiednie kroki w celu ochrony autentyczności, wiarygodności, integralności i użyteczności zapisów, ponieważ kontekst biznesowy i wymagania dotyczące zarządzania nimi zmieniają się w czasie.

Prywatność i ochrona informacji umożliwiających identyfikację osób (PII) (5.34)

Organizacja powinna określić i spełnić wymagania dotyczące zachowania prywatności i ochrony danych osobowych (PII) zgodnie z obowiązującym prawem i przepisami oraz wymaganiami umownymi. Należy  ustanowić i przekazać wszystkim zainteresowanym stronom politykę prywatności i ochrony danych osobowych (PII). Organizacja powinna opracować i wdrożyć procedury zachowania prywatności i ochrony danych osobowych. Procedury te powinny być zakomunikowane wszystkim odpowiednim zainteresowanym stronom uczestniczącym w przetwarzaniu informacji umożliwiających identyfikację osób.  Przestrzeganie tych procedur oraz wszystkich stosownych przepisów i regulacji dotyczących zachowania prywatności i ochrony danych osobowych wymaga odpowiednich ról, obowiązków i kontroli. Często najlepiej jest to osiągnąć poprzez wyznaczenie osoby odpowiedzialnej, np. specjalisty ds. ochrony prywatności, który powinien zapewnić personelowi, usługodawcom i innym zainteresowanym stronom wytyczne dotyczące ich indywidualnych obowiązków i konkretnych procedur, których należy przestrzegać. Odpowiedzialność za postępowanie z danymi osobowymi powinna uwzględniać odpowiednie przepisy i regulacje prawne. Należy wdrożyć odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych. Organizacje znajdujące się w UE i/lub przetwarzające dane osobowe obywateli UE podlegają Ogólnemu Rozporządzeniu o Ochronie Danych Osobowych (RODO / GDPR). Organizacje muszą upewnić się, że są świadome wymogów określonych w tych przepisach i ściśle ich przestrzegać. Na przykład RODO nakazuje zawieranie umów dotyczących przetwarzania danych, prowadzenie rejestru czynności przetwarzania oraz przejrzystość przetwarzania danych.

Niezależny przegląd bezpieczeństwa informacji (5.35)

Organizacji powinna opracować odpowiednie podejście do zarządzania bezpieczeństwem informacji oraz jego realizacją, w tym ludzie, procesy i technologie, powinny być poddawane niezależnemu przeglądowi w zaplanowanych odstępach czasu lub w przypadku wystąpienia istotnych zmian. Opracowanie odpowiednich procesów umożliwiają przeprowadzanie niezależnych przeglądów.  Kierownictwo powinno planować i inicjować okresowe niezależne przeglądy. Przeglądy te powinny obejmować ocenę możliwości wprowadzenia usprawnień oraz potrzebę zmian w podejściu do bezpieczeństwa informacji, w tym w polityce bezpieczeństwa informacji, politykach tematycznych i innych mechanizmach kontroli.  Organizacje nie są w stanie obiektywnie ocenić własnego systemu bezpieczeństwa informacji. Z tego powodu organizacje powinny regularnie lub w przypadku dużych zmian zlecać niezależnemu podmiotowi przeprowadzenie audytu bezpieczeństwa informacji. Dzięki temu obraz bezpieczeństwa informacji w organizacji jest prawidłowy i przejrzysty. Niezależną stroną może być również pełnoetatowy audytor wewnętrzny, którego jedynym zadaniem jest przeprowadzanie audytów wewnętrznych i który nie ma innych sprzecznych zadań i obowiązków.

Zgodność z politykami i standardami bezpieczeństwa informacji (5.36)

Organizacja powinna zapewnić, że bezpieczeństwo informacji jest wdrażane i stosowane zgodnie z polityką bezpieczeństwa informacji, politykami tematycznymi, zasadami i normami. Przy wszystkich tych politykach, standardach i procedurach bezpieczeństwa ważne jest, aby kierownicy regularnie sprawdzali, czy działania i/lub procesy, za które są odpowiedzialni, są w pełni zgodne z nimi. Aby było to wykonywane prawidłowo, powinni oni być świadomi, które dokładnie zasady i wymagania muszą być przestrzegane, i sprawdzać to ręcznie lub za pomocą automatycznego narzędzia raportującego. Również systemy informatyczne muszą być regularnie sprawdzane pod kątem zgodności z przepisami. Najłatwiejszym i zazwyczaj najbardziej opłacalnym sposobem jest zastosowane zautomatyzowanych narzędzi. Narzędzia te mogą szybko sprawdzić wszystkie zakamarki systemu i dokładnie raportować, co poszło/poszło nie tak. Testy podatności, takie jak testy penetracyjne, mogą skutecznie wykazać wszelkie słabe punkty, ale mogą też zaszkodzić systemowi, jeśli zostaną przeprowadzone bez zachowania ostrożności.

Udokumentowane procedury operacyjne (5.37)

Organizacja opracowuje procedury obsługi sprzętu, które powinny być udokumentowane i udostępnione osobom korzystającym z tego sprzętu. Od prostej procedury obsługi komputera (od uruchomienia do wyłączenia) do obsługi bardziej skomplikowanego sprzętu powinien istnieć przewodnik, jak bezpiecznie i prawidłowo go obsługiwać. Ze względu na swoje znaczenie procedury powinny być traktowane jako dokumenty formalne, co oznacza, że wszelkie zmiany powinny być zatwierdzane przez kierownictwo.

To  było, krótkie przedstawienie wymagań normy ISO/IEC 27002:2022 rozdziału piątego „Kontrola organizacyjna”, zapraszamy na następny artykuł dotyczący „Kontroli ludzi” rozdział 6.

Niniejszy artykuł objęty jest prawami autorskimi.

Więcej możecie Państwo dowiedzieć na organizowanych przez nas szkoleniach w zakresie ISO/IEC 27002:2022.

Mariusz Piskorczyk

Specjalista ds. bezpieczeństwa informacji, ochrony danych i cyberbezpieczeństwa. Audytor wiodący ISO 27001, 9001. Od 10 lat zajmujący się praktycznie bezpieczeństwem informacji i cyberbezpieczeństwem. Administrator systemów IT.