Политика безбедности информација
Политика информационе безбедности Академије ЕИТЦА
Овај документ прецизира Политику безбедности информација (ИСП) Европског института за ИТ сертификацију, која се редовно прегледа и ажурира како би се обезбедила ефикасност и релевантност. Последње ажурирање ЕИТЦИ политике безбедности информација је направљено 7. јануара 2023.
Део 1. Увод и изјава о политици безбедности информација
КСНУМКС. увод
Европски институт за ИТ сертификацију препознаје важност безбедности информација у одржавању поверљивости, интегритета и доступности информација и поверења наших заинтересованих страна. Посвећени смо заштити осетљивих информација, укључујући личне податке, од неовлашћеног приступа, откривања, измене и уништења. Одржавамо ефикасну политику безбедности информација како бисмо подржали нашу мисију пружања поузданих и непристрасних услуга сертификације нашим клијентима. Политика безбедности информација истиче нашу посвећеност заштити информационих средстава и испуњавању наших законских, регулаторних и уговорних обавеза. Наша политика је заснована на принципима ИСО 27001 и ИСО 17024, водећим међународним стандардима за управљање безбедношћу информација и стандардима рада сертификационих тела.
1.2. Изјава о политици
Европски институт за ИТ сертификацију је посвећен:
- Заштита поверљивости, интегритета и доступности информационих средстава,
- Усклађеност са законским, регулаторним и уговорним обавезама у вези са сигурношћу информација и обрадом података имплементирајући своје процесе и операције сертификације,
- Непрестано унапређујући своју политику безбедности информација и сродни систем управљања,
- Пружање адекватне обуке и свести запосленима, извођачима и учесницима,
- Укључивање свих запослених и извођача у спровођење и одржавање политике информационе безбедности и система управљања безбедношћу информација.
1.3. Обим
Ова политика се примењује на сву информациону имовину коју поседује, контролише или обрађује Европски ИТ институт за сертификацију. Ово укључује сва дигитална и физичка информациона средства, као што су системи, мреже, софтвер, подаци и документација. Ова политика се такође примењује на све запослене, уговараче и добављаче услуга трећих лица који приступају нашим информационим средствима.
КСНУМКС. Сагласност
Европски институт за ИТ сертификацију је посвећен поштовању релевантних стандарда безбедности информација, укључујући ИСО 27001 и ИСО 17024. Редовно прегледавамо и ажурирамо ову политику како бисмо обезбедили њену сталну релевантност и усклађеност са овим стандардима.
Део 2. Организациона безбедност
2.1. Безбедносни циљеви организације
Спровођењем организационих безбедносних мера, циљ нам је да обезбедимо да се наша информациона средства и праксе и процедуре обраде података спроводе са највишим нивоом безбедности и интегритета, као и да будемо у складу са релевантним законским прописима и стандардима.
2.2. Улоге и одговорности у области безбедности информација
Европски институт за ИТ сертификацију дефинише и саопштава улоге и одговорности за безбедност информација у целој организацији. Ово укључује додељивање јасног власништва за информациону имовину у вези са безбедношћу информација, успостављање структуре управљања и дефинисање специфичних одговорности за различите улоге и одељења широм организације.
2.3. Управљање ризиком
Вршимо редовне процене ризика да бисмо идентификовали и одредили приоритете безбедносних ризика за организацију, укључујући ризике везане за обраду личних података. Успостављамо одговарајуће контроле за ублажавање ових ризика и редовно прегледамо и ажурирамо наш приступ управљању ризицима на основу промена у пословном окружењу и окружењу претњи.
2.4. Политике и процедуре за безбедност информација
Ми успостављамо и одржавамо скуп политика и процедура за безбедност информација које су засноване на најбољим индустријским праксама и усклађене са релевантним прописима и стандардима. Ове политике и процедуре покривају све аспекте безбедности информација, укључујући обраду личних података, и редовно се прегледају и ажурирају како би се осигурала њихова ефикасност.
2.5. Свест о безбедности и обука
Пружамо редовне програме подизања свести о безбедности и обуке за све запослене, уговараче и партнере треће стране који имају приступ личним подацима или другим осетљивим информацијама. Ова обука покрива теме као што су пхисхинг, друштвени инжењеринг, хигијена лозинки и друге најбоље праксе за безбедност информација.
2.6. Физичка и еколошка безбедност
Примењујемо одговарајуће физичке и безбедносне контроле животне средине како бисмо заштитили од неовлашћеног приступа, оштећења или ометања наших објеката и информационих система. Ово укључује мере као што су контрола приступа, надзор, надгледање и резервни системи за напајање и хлађење.
2.7. Управљање инцидентима у безбедности информација
Успоставили смо процес управљања инцидентима који нам омогућава да брзо и ефикасно реагујемо на све инциденте у области безбедности информација који се могу десити. Ово укључује процедуре за пријављивање, ескалацију, истрагу и решавање инцидената, као и мере за спречавање понављања и побољшање наших способности реаговања на инциденте.
2.8. Континуитет рада и опоравак од катастрофе
Успоставили смо и тестирали континуитет рада и планове опоравка од катастрофе који нам омогућавају да задржимо наше критичне оперативне функције и услуге у случају прекида или катастрофе. Ови планови укључују процедуре за прављење резервних копија и опоравак података и система, као и мере за обезбеђивање доступности и интегритета личних података.
2.9. Управљање трећим странама
Успостављамо и одржавамо одговарајуће контроле за управљање ризицима повезаним са партнерима треће стране који имају приступ личним подацима или другим осетљивим информацијама. Ово укључује мере као што су дужна пажња, уговорне обавезе, праћење и ревизије, као и мере за раскид партнерства када је то неопходно.
Део 3. Безбедност људских ресурса
3.1. Провера запошљавања
Европски институт за ИТ сертификацију успоставио је процес провере запошљавања како би осигурао да су појединци који имају приступ осетљивим информацијама од поверења и да имају неопходне вештине и квалификације.
3.2. Контрола приступа
Успоставили смо политике и процедуре контроле приступа како бисмо осигурали да запослени имају приступ само информацијама неопходним за њихове пословне обавезе. Права приступа се редовно прегледају и ажурирају како би се осигурало да запослени имају приступ само информацијама које су им потребне.
3.3. Свест о информационој безбедности и обука
Редовно пружамо обуку о свести о безбедности информација свим запосленима. Ова обука покрива теме као што су безбедност лозинки, пхисхинг напади, друштвени инжењеринг и други аспекти сајбер безбедности.
3.4. Прихватљива употреба
Успоставили смо политику прихватљивог коришћења која наводи прихватљиву употребу информационих система и ресурса, укључујући личне уређаје који се користе у радне сврхе.
3.5. Безбедност мобилних уређаја
Успоставили смо политике и процедуре за безбедно коришћење мобилних уређаја, укључујући коришћење лозинки, шифровање и могућности даљинског брисања.
3.6. Процедуре раскида
Европски институт за ИТ сертификацију успоставио је процедуре за раскид радног односа или уговора како би обезбедио да приступ осетљивим информацијама буде брзо и безбедно опозван.
3.7. Особље треће стране
Успоставили смо процедуре за управљање особљем треће стране које има приступ осетљивим информацијама. Ове политике укључују скрининг, контролу приступа и обуку за подизање свести о безбедности информација.
3.8. Пријављивање инцидената
Успоставили смо политике и процедуре за пријављивање инцидената или забринутости у вези са безбедношћу информација одговарајућем особљу или властима.
3.9. Уговори о поверљивости
Европски институт за ИТ сертификацију захтева од запослених и извођача да потпишу уговоре о поверљивости како би заштитили осетљиве информације од неовлашћеног откривања.
3.10. Дисциплинске мере
Европски институт за ИТ сертификацију успоставио је политике и процедуре за дисциплинске мере у случају кршења политике безбедности информација од стране запослених или уговарача.
Део 4. Процена и управљање ризиком
КСНУМКС. Процена ризика
Вршимо периодичне процене ризика да бисмо идентификовали потенцијалне претње и рањивости наших информационих средстава. Користимо структурирани приступ да идентификујемо, анализирамо, проценимо и одредимо приоритете ризика на основу њихове вероватноће и потенцијалног утицаја. Процењујемо ризике повезане са нашим информационим средствима, укључујући системе, мреже, софтвер, податке и документацију.
4.2. Третман ризика
Користимо процес третмана ризика да бисмо ублажили или смањили ризике на прихватљив ниво. Процес третмана ризика укључује одабир одговарајућих контрола, примену контрола и праћење ефикасности контрола. Дајемо приоритет имплементацији контрола на основу нивоа ризика, расположивих ресурса и пословних приоритета.
4.3. Праћење и преглед ризика
Редовно пратимо и ревидирамо ефикасност нашег процеса управљања ризицима како бисмо осигурали да остаје релевантан и ефикасан. Користимо метрике и индикаторе да меримо учинак нашег процеса управљања ризицима и идентификујемо могућности за побољшање. Такође прегледамо наш процес управљања ризиком као део наших периодичних прегледа менаџмента како бисмо осигурали његову сталну прикладност, адекватност и делотворност.
4.4. Планирање одговора на ризик
Имамо успостављен план реаговања на ризик како бисмо осигурали да можемо ефикасно да одговоримо на све идентификоване ризике. Овај план укључује процедуре за идентификацију и извештавање о ризицима, као и процесе за процену потенцијалног утицаја сваког ризика и одређивање одговарајућих акција реаговања. Такође имамо планове за ванредне ситуације како бисмо осигурали континуитет пословања у случају значајног ризика.
4.5. Оперативна анализа утицаја
Вршимо периодичне анализе утицаја на пословање да бисмо идентификовали потенцијални утицај поремећаја на наше пословање. Ова анализа укључује процену критичности наших пословних функција, система и података, као и процену потенцијалног утицаја поремећаја на наше клијенте, запослене и друге заинтересоване стране.
4.6. Управљање ризиком треће стране
Имамо успостављен програм управљања ризицима треће стране како бисмо осигурали да наши продавци и други добављачи услуга трећих страна такође управљају ризицима на одговарајући начин. Овај програм укључује провере дужне пажње пре ангажовања са трећим странама, стално праћење активности трећих страна и периодичне процене праксе управљања ризиком трећих страна.
4.7. Одговор на инциденте и управљање
Имамо реаговање на инциденте и план управљања како бисмо осигурали да можемо ефикасно да одговоримо на све безбедносне инциденте. Овај план укључује процедуре за идентификацију и пријављивање инцидената, као и процесе за процену утицаја сваког инцидента и одређивање одговарајућих акција реаговања. Такође имамо план за континуитет пословања како бисмо осигурали да се критичне пословне функције могу наставити у случају значајног инцидента.
Део 5. Физичка и еколошка безбедност
5.1. Периметар физичке безбедности
Успоставили смо физичке мере безбедности да заштитимо физичке просторије и осетљиве информације од неовлашћеног приступа.
5.2. Контрола приступа
Успоставили смо политике и процедуре контроле приступа за физичке просторије како бисмо осигурали да само овлашћено особље има приступ осетљивим информацијама.
5.3. Сигурност опреме
Обезбеђујемо да је сва опрема која садржи осетљиве информације физички обезбеђена, а приступ овој опреми је ограничен само на овлашћено особље.
5.4. Сигурно одлагање
Успоставили смо процедуре за безбедно одлагање осетљивих информација, укључујући папирну документацију, електронске медије и хардвер.
5.5. Физичко окружење
Обезбеђујемо да физичко окружење просторија, укључујући температуру, влажност и осветљење, буде одговарајуће за заштиту осетљивих информација.
КСНУМКС. Напајање
Осигуравамо да је напајање у просторијама поуздано и заштићено од нестанка струје или пренапона.
5.7. Заштита од пожара
Установили смо политике и процедуре заштите од пожара, укључујући инсталацију и одржавање система за детекцију и гашење пожара.
5.8. Заштита од оштећења воде
Успоставили смо политике и процедуре за заштиту осетљивих информација од оштећења водом, укључујући инсталацију и одржавање система за откривање и превенцију поплава.
5.9. Одржавање опреме
Успоставили смо процедуре за одржавање опреме, укључујући инспекцију опреме на знаке неовлашћеног приступа или неовлашћеног приступа.
5.10. Прихватљива употреба
Успоставили смо политику прихватљивог коришћења која описује прихватљиво коришћење физичких ресурса и објеката.
5.11. Даљински приступ
Успоставили смо политике и процедуре за даљински приступ осетљивим информацијама, укључујући коришћење безбедних веза и шифровања.
5.12. Мониторинг и надзор
Успоставили смо политике и процедуре за праћење и надзор физичких просторија и опреме за откривање и спречавање неовлашћеног приступа или неовлашћеног приступа.
Парт. 6. Сигурност комуникација и операција
6.1. Управљање безбедношћу мреже
Успоставили смо политике и процедуре за управљање безбедношћу мреже, укључујући употребу заштитних зидова, система за откривање и превенцију упада, као и редовне провере безбедности.
6.2. Трансфер информација
Успоставили смо политике и процедуре за безбедан пренос осетљивих информација, укључујући коришћење шифровања и протокола безбедног преноса датотека.
6.3. Комуникације треће стране
Успоставили смо политике и процедуре за безбедну размену осетљивих информација са организацијама трећих страна, укључујући коришћење безбедних веза и шифровања.
6.4. Руковање медијима
Успоставили смо процедуре за руковање осетљивим информацијама у различитим облицима медија, укључујући папирна документа, електронске медије и преносиве уређаје за складиштење.
6.5. Развој и одржавање информационих система
Успоставили смо политике и процедуре за развој и одржавање информационих система, укључујући коришћење безбедних пракси кодирања, редовно ажурирање софтвера и управљање закрпама.
6.6. Заштита од злонамерног софтвера и вируса
Успоставили смо политике и процедуре за заштиту информационих система од малвера и вируса, укључујући употребу антивирусног софтвера и редовна безбедносна ажурирања.
6.7. Резервна копија и рестаурација
Успоставили смо политике и процедуре за прављење резервних копија и обнављање осетљивих информација како бисмо спречили губитак или оштећење података.
КСНУМКС. Управа догађаја
Успоставили смо политике и процедуре за идентификацију, истрагу и решавање безбедносних инцидената и догађаја.
6.9. Управљање рањивостима
Успоставили смо политике и процедуре за управљање рањивостима информационог система, укључујући коришћење редовних процена рањивости и управљање закрпама.
6.10. Контрола приступа
Успоставили смо политике и процедуре за управљање приступом корисника информационим системима, укључујући коришћење контрола приступа, аутентификацију корисника и редовне прегледе приступа.
6.11. Мониторинг и евидентирање
Успоставили смо политике и процедуре за праћење и евидентирање активности информационог система, укључујући коришћење ревизорских трагова и евидентирање безбедносних инцидената.
Део 7. Набавка, развој и одржавање информационих система
КСНУМКС. Захтеви
Успоставили смо политике и процедуре за идентификацију захтева информационог система, укључујући пословне захтеве, законске и регулаторне захтеве и безбедносне захтеве.
7.2. Односи са добављачима
Успоставили смо политике и процедуре за управљање односима са независним добављачима информационих система и услуга, укључујући процену безбедносних пракси добављача.
7.3. Развој система
Успоставили смо политике и процедуре за безбедан развој информационих система, укључујући употребу безбедних пракси кодирања, редовно тестирање и осигурање квалитета.
7.4. Тестирање система
Успоставили смо политике и процедуре за тестирање информационих система, укључујући тестирање функционалности, тестирање перформанси и тестирање безбедности.
7.5. Прихватање система
Успоставили смо политике и процедуре за прихватање информационих система, укључујући одобравање резултата тестирања, процене безбедности и тестирање прихватања корисника.
7.6. Одржавање система
Успоставили смо политике и процедуре за одржавање информационих система, укључујући редовна ажурирања, безбедносне закрпе и резервне копије система.
7.7. Повлачење система
Успоставили смо политике и процедуре за повлачење информационих система, укључујући безбедно одлагање хардвера и података.
7.8. Задржавање података
Успоставили смо политике и процедуре за задржавање података у складу са законским и регулаторним захтевима, укључујући безбедно складиштење и одлагање осетљивих података.
7.9. Безбедносни захтеви за информационе системе
Успоставили смо политике и процедуре за идентификацију и примену безбедносних захтева за информационе системе, укључујући контролу приступа, шифровање и заштиту података.
7.10. Безбедна развојна окружења
Успоставили смо политике и процедуре за безбедна развојна окружења за информационе системе, укључујући коришћење безбедних развојних пракси, контроле приступа и безбедне мрежне конфигурације.
7.11. Заштита окружења за тестирање
Успоставили смо политике и процедуре за заштиту окружења за тестирање информационих система, укључујући коришћење безбедних конфигурација, контроле приступа и редовно тестирање безбедности.
7.12. Принципи сигурног инжењеринга система
Успоставили смо политике и процедуре за примену принципа безбедног системског инжењеринга за информационе системе, укључујући коришћење безбедносних архитектура, моделирање претњи и праксе безбедног кодирања.
7.13. Смернице за сигурно кодирање
Успоставили смо политике и процедуре за примену смерница за безбедно кодирање за информационе системе, укључујући употребу стандарда кодирања, прегледе кода и аутоматизовано тестирање.
Део 8. Набавка хардвера
8.1. Поштовање стандарда
Придржавамо се стандарда ИСО 27001 за систем управљања безбедношћу информација (ИСМС) како бисмо осигурали да се хардверска средства набаве у складу са нашим безбедносним захтевима.
КСНУМКС. Процена ризика
Вршимо процену ризика пре набавке хардверских средстава да бисмо идентификовали потенцијалне безбедносне ризике и осигурали да изабрани хардвер испуњава безбедносне захтеве.
8.3. Одабир добављача
Хардверска средства набављамо само од поузданих добављача који имају доказану евиденцију о испоруци сигурних производа. Прегледавамо безбедносне политике и праксе добављача и захтевамо од њих да обезбеде гаранцију да њихови производи испуњавају наше безбедносне захтеве.
8.4. Сецуре Транспорт
Обезбеђујемо да се хардверска средства безбедно транспортују до наших просторија како бисмо спречили неовлашћено коришћење, оштећење или крађу током транспорта.
8.5. Верификација аутентичности
Ми проверавамо аутентичност хардверских средстава приликом испоруке како бисмо били сигурни да нису фалсификовани или неовлашћени.
8.6. Физичка контрола и контрола животне средине
Примењујемо одговарајуће физичке контроле и контроле животне средине како бисмо заштитили хардверску имовину од неовлашћеног приступа, крађе или оштећења.
8.7. Инсталација хардвера
Обезбеђујемо да су сва хардверска средства конфигурисана и инсталирана у складу са утврђеним безбедносним стандардима и смерницама.
8.8. Хардваре Ревиевс
Вршимо периодичне прегледе хардверских средстава како бисмо осигурали да и даље испуњавају наше безбедносне захтеве и да су ажурирани са најновијим безбедносним закрпама и ажурирањима.
8.9. Одлагање хардвера
Одлажемо хардверску имовину на безбедан начин како бисмо спречили неовлашћени приступ осетљивим информацијама.
Део 9. Заштита од злонамерног софтвера и вируса
9.1. Политика ажурирања софтвера
Одржавамо ажуриран софтвер за заштиту од вируса и малвера на свим информационим системима које користи Европски институт за ИТ сертификацију, укључујући сервере, радне станице, лаптопове и мобилне уређаје. Осигуравамо да је софтвер за заштиту од вируса и малвера конфигурисан да аутоматски ажурира своје датотеке са дефиницијама вируса и верзије софтвера на редовној основи и да се овај процес редовно тестира.
9.2. Анти-Вирус и Скенирање малвера
Вршимо редовно скенирање свих информационих система, укључујући сервере, радне станице, лаптопове и мобилне уређаје, да бисмо открили и уклонили све вирусе или малвер.
9.3. Политика без онемогућавања и без мењања
Спроводимо смернице које забрањују корисницима да онемогућавају или мењају софтвер за заштиту од вируса и малвера на било ком информационом систему.
КСНУМКС. Мониторинг
Пратимо упозорења и евиденције нашег софтвера за заштиту од вируса и малвера да бисмо идентификовали све инциденте заразе вирусом или малвером и благовремено реагујемо на такве инциденте.
9.5. Одржавање записа
Водимо евиденцију о конфигурацији софтвера за заштиту од вируса и малвера, ажурирањима и скенирању, као ио свим инцидентима заразе вирусима или малвером, у сврхе ревизије.
9.6. Софтваре Ревиевс
Вршимо периодичне прегледе нашег софтвера за заштиту од вируса и малвера како бисмо били сигурни да испуњава тренутне индустријске стандарде и да је адекватан за наше потребе.
9.7. Обука и свест
Пружамо програме обуке и подизања свести како бисмо све запослене едуковали о важности заштите од вируса и злонамерног софтвера, као и како да препознају и пријаве све сумњиве активности или инциденте.
Део 10. Управљање информационим средствима
10.1. Информациони попис средстава
Европски институт за ИТ сертификацију одржава инвентар информационих средстава који укључује сву дигиталну и физичку информациону имовину, као што су системи, мреже, софтвер, подаци и документација. Информациона средства класификујемо на основу њихове критичности и осетљивости како бисмо осигурали да се примењују одговарајуће мере заштите.
10.2. Руковање информацијама о имовини
Примењујемо одговарајуће мере за заштиту информационих средстава на основу њихове класификације, укључујући поверљивост, интегритет и доступност. Осигуравамо да се свим информационим средствима рукује у складу са важећим законима, прописима и уговорним захтевима. Такође обезбеђујемо да се сва информациона средства правилно чувају, штите и одлажу када више нису потребна.
10.3. Власништво над информацијском имовином
Власништво над информацијском имовином додељујемо појединцима или одељењима одговорним за управљање и заштиту информационих средстава. Такође обезбеђујемо да власници информационих средстава разумеју своје одговорности и одговорности за заштиту информационих средстава.
10.4. Заштита информацијске имовине
Користимо различите мере заштите да бисмо заштитили информациону имовину, укључујући физичке контроле, контроле приступа, шифровање и процесе прављења резервних копија и опоравка. Такође осигуравамо да су сва информациона средства заштићена од неовлашћеног приступа, модификације или уништења.
Део 11. Контрола приступа
11.1. Политика контроле приступа
Европски институт за ИТ сертификацију има Политику контроле приступа која наводи захтеве за одобравање, модификовање и опозив приступа информацијама. Контрола приступа је критична компонента нашег система управљања безбедношћу информација и примењујемо је да бисмо обезбедили да само овлашћени појединци имају приступ нашим информационим средствима.
11.2. Имплементација контроле приступа
Мере контроле приступа спроводимо по принципу најмање привилегија, што значи да појединци имају приступ само информационим средствима неопходним за обављање њихових радних функција. Користимо различите мере контроле приступа, укључујући аутентификацију, ауторизацију и рачуноводство (ААА). Такође користимо листе контроле приступа (АЦЛ) и дозволе за контролу приступа информационим средствима.
11.3. Политика лозинке
Европски институт за ИТ сертификацију има политику лозинки која наводи захтеве за креирање и управљање лозинкама. Потребне су нам јаке лозинке које имају најмање 8 знакова, са комбинацијом великих и малих слова, бројева и специјалних знакова. Такође захтевамо периодичне промене лозинки и забрањујемо поновну употребу претходних лозинки.
11.4. Управљање корисницима
Имамо процес управљања корисницима који укључује креирање, модификовање и брисање корисничких налога. Кориснички налози се креирају на основу принципа најмањих привилегија, а приступ се одобрава само информационим средствима неопходним за обављање радних функција појединца. Такође редовно прегледамо корисничке налоге и уклањамо налоге који више нису потребни.
Део 12. Управљање инцидентима у безбедности информација
12.1. Политика управљања инцидентима
Европски институт за ИТ сертификацију има Политику управљања инцидентима која наводи захтеве за откривање, извештавање, процену и реаговање на безбедносне инциденте. Безбедносне инциденте дефинишемо као сваки догађај који угрожава поверљивост, интегритет или доступност информационих средстава или система.
12.2. Откривање инцидената и пријављивање
Спроводимо мере за благовремено откривање и пријављивање безбедносних инцидената. Користимо различите методе за откривање безбедносних инцидената, укључујући системе за откривање упада (ИДС), антивирусни софтвер и пријављивање корисника. Такође обезбеђујемо да сви запослени буду упознати са процедурама за пријављивање безбедносних инцидената и подстичемо пријављивање свих инцидената на које се сумња.
12.3. Процена инцидената и одговор
Имамо процес за процену и реаговање на безбедносне инциденте на основу њихове озбиљности и утицаја. Дајемо приоритет инцидентима на основу њиховог потенцијалног утицаја на информациона средства или системе и додељујемо одговарајуће ресурсе да одговоримо на њих. Такође имамо план реаговања који укључује процедуре за идентификацију, задржавање, анализу, искорењивање и опоравак од безбедносних инцидената, као и обавештавање релевантних страна, и спровођење прегледа након инцидената. Наше процедуре реаговања на инциденте су дизајниране да обезбеде брз и ефикасан одговор на безбедносне инциденте. Процедуре се редовно прегледају и ажурирају како би се осигурала њихова ефикасност и релевантност.
12.4. Тим за реаговање на инциденте
Имамо Тим за реаговање на инциденте (ИРТ) који је одговоран за реаговање на безбедносне инциденте. ИРТ се састоји од представника различитих јединица и води га службеник за безбедност информација (ИСО). ИРТ је одговоран за процену озбиљности инцидената, обуздавање инцидента и покретање одговарајућих процедура за реаговање.
12.5. Извештавање о инцидентима и преглед
Успоставили смо процедуре за пријављивање безбедносних инцидената релевантним странама, укључујући клијенте, регулаторне органе и агенције за спровођење закона, у складу са важећим законима и прописима. Такође одржавамо комуникацију са погођеним странама током процеса реаговања на инцидент, обезбеђујући благовремено ажурирање о статусу инцидента и свим радњама које се предузимају да би се ублажио његов утицај. Такође спроводимо преглед свих безбедносних инцидената да бисмо идентификовали основни узрок и спречили да се слични инциденти дешавају у будућности.
Део 13. Управљање континуитетом пословања и опоравак од катастрофе
13.1. Планирање континуитета пословања
Иако је Европски институт за ИТ сертификацију непрофитна организација, он има План за континуитет пословања (БЦП) који наводи процедуре за обезбеђивање континуитета његовог пословања у случају инцидента који изазива поремећај. БЦП покрива све критичне оперативне процесе и идентификује ресурсе потребне за одржавање операција током и након инцидента који је пореметио. Такође наводи процедуре за одржавање пословних операција током поремећаја или катастрофе, процену утицаја поремећаја, идентификацију најкритичнијих оперативних процеса у контексту одређеног инцидента који омета, и развијање процедура за реаговање и опоравак.
13.2. Планирање опоравка од катастрофе
Европски институт за ИТ сертификацију има План опоравка од катастрофе (ДРП) који описује процедуре за опоравак наших информационих система у случају прекида или катастрофе. ДРП укључује процедуре за прављење резервних копија података, обнављање података и опоравак система. ДРП се редовно тестира и ажурира како би се осигурала његова ефикасност.
13.3. Анализа утицаја на пословање
Спроводимо анализу утицаја на пословање (БИА) да бисмо идентификовали критичне оперативне процесе и ресурсе потребне за њихово одржавање. БИА нам помаже да одредимо приоритете у напорима за опоравак и у складу са тим расподелимо ресурсе.
13.4. Стратегија континуитета пословања
На основу резултата БИА, развијамо Стратегију континуитета пословања у којој су наведене процедуре за реаговање на инцидент који ремети. Стратегија укључује процедуре за активирање граничног прелаза, обнављање критичних оперативних процеса и комуникацију са релевантним заинтересованим странама.
13.5. Тестирање и одржавање
Редовно тестирамо и одржавамо наше БЦП и ДРП како бисмо осигурали њихову ефикасност и релевантност. Спроводимо редовне тестове да бисмо потврдили БЦП/ДРП и идентификовали области за побољшање. Такође ажурирамо БЦП и ДРП по потреби како бисмо одражавали промене у нашим операцијама или пејзажу претњи. Тестирање укључује вежбе на столу, симулације и тестирање процедура уживо. Такође прегледамо и ажурирамо наше планове на основу резултата тестирања и научених лекција.
13.6. Алтернативне локације за обраду
Одржавамо алтернативне сајтове за обраду онлајн који се могу користити за наставак пословања у случају прекида или катастрофе. Алтернативне локације за обраду су опремљене потребном инфраструктуром и системима и могу се користити за подршку критичним пословним процесима.
Део 14. Усклађеност и ревизија
14.1. Усклађеност са законима и прописима
Европски институт за ИТ сертификацију је посвећен поштовању свих важећих закона и прописа који се односе на безбедност и приватност информација, укључујући законе о заштити података, индустријске стандарде и уговорне обавезе. Редовно прегледавамо и ажурирамо наше политике, процедуре и контроле како бисмо осигурали усклађеност са свим релевантним захтевима и стандардима. Главни стандарди и оквири које следимо у контексту информационе безбедности укључују:
- Стандард ИСО/ИЕЦ 27001 пружа смернице за имплементацију и управљање системом управљања безбедношћу информација (ИСМС) који укључује управљање рањивостима као кључну компоненту. Он пружа референтни оквир за имплементацију и одржавање нашег система управљања безбедношћу информација (ИСМС) укључујући управљање рањивостима. У складу са овим стандардним одредбама идентификујемо, процењујемо и управљамо ризицима по безбедност информација, укључујући рањивости.
- Оквир за сајбер безбедност америчког Националног института за стандарде и технологију (НИСТ) пружа смернице за идентификацију, процену и управљање ризицима сајбер безбедности, укључујући управљање рањивостима.
- Оквир за сајбер безбедност Националног института за стандарде и технологију (НИСТ) за побољшање управљања ризицима у сајбер безбедности, са основним скупом функција укључујући управљање рањивостима којих се придржавамо да бисмо управљали нашим ризицима сајбер безбедности.
- САНС критичне безбедносне контроле које садрже скуп од 20 безбедносних контрола за побољшање сајбер безбедности, покривајући низ области, укључујући управљање рањивостима, пружајући специфичне смернице за скенирање рањивости, управљање закрпама и друге аспекте управљања рањивостима.
- Стандард безбедности података индустрије платних картица (ПЦИ ДСС), који захтева руковање информацијама о кредитној картици у вези са управљањем рањивостима у овом контексту.
- Центар за контролу безбедности на Интернету (ЦИС) укључујући управљање рањивостима као једну од кључних контрола за обезбеђивање безбедних конфигурација наших информационих система.
- Пројекат безбедности отворених веб апликација (ОВАСП), са својом листом Топ 10 најкритичнијих безбедносних ризика веб апликација, укључујући процену рањивости као што су напади убризгавањем, оштећена аутентификација и управљање сесијама, скриптовање на више локација (КССС) итд. Користимо ОВАСП Топ 10 да дамо приоритет нашим напорима за управљање рањивостима и фокусирамо се на најкритичније ризике у вези са нашим веб системима.
14.2. Интерна ревизија
Спроводимо редовне интерне ревизије како бисмо проценили ефикасност нашег Система управљања безбедношћу информација (ИСМС) и обезбедили да се наше политике, процедуре и контроле поштују. Процес интерне ревизије укључује идентификацију неусаглашености, развој корективних радњи и праћење напора на санацији.
14.3. Екстерне ревизије
Повремено сарађујемо са спољним ревизорима како бисмо потврдили нашу усклађеност са важећим законима, прописима и индустријским стандардима. Омогућавамо ревизорима приступ нашим објектима, системима и документацији како је потребно да потврдимо нашу усклађеност. Такође радимо са спољним ревизорима на адресирању свих налаза или препорука идентификованих током процеса ревизије.
14.4. Праћење усклађености
Континуирано пратимо нашу усклађеност са важећим законима, прописима и индустријским стандардима. Користимо различите методе за праћење усклађености, укључујући периодичне процене, ревизије и прегледе добављача трећих страна. Такође редовно прегледамо и ажурирамо наше политике, процедуре и контроле како бисмо обезбедили сталну усклађеност са свим релевантним захтевима.
Део 15. Управљање трећим странама
15.1. Политика управљања трећим странама
Европски институт за ИТ сертификацију има Политику управљања трећим странама која наводи захтеве за избор, процену и праћење добављача трећих страна који имају приступ нашим информационим средствима или системима. Смернице се примењују на све добављаче треће стране, укључујући добављаче услуга у облаку, продавце и извођаче радова.
15.2. Избор и процена треће стране
Спроводимо дужну пажњу пре него што ступимо у контакт са добављачима трећих страна како бисмо осигурали да они имају адекватне безбедносне контроле за заштиту наших информационих средстава или система. Такође процењујемо усклађеност провајдера трећих страна са важећим законима и прописима који се односе на безбедност информација и приватност.
15.3. Праћење треће стране
Стално пратимо добављаче трећих страна како бисмо осигурали да и даље испуњавају наше захтеве за безбедност информација и приватност. Користимо различите методе за надгледање добављача трећих страна, укључујући периодичне процене, ревизије и прегледе извештаја о безбедносним инцидентима.
15.4. Уговорни захтеви
Ми укључујемо уговорне захтеве у вези са безбедношћу информација и приватношћу у све уговоре са независним добављачима. Ови захтеви укључују одредбе за заштиту података, безбедносне контроле, управљање инцидентима и праћење усклађености. Такође укључујемо одредбе за раскид уговора у случају безбедносног инцидента или непоштовања.
Део 16. Безбедност информација у процесима сертификације
16.1 Сигурност процеса сертификације
Предузимамо адекватне и системске мере како бисмо осигурали сигурност свих информација у вези са нашим процесима сертификације, укључујући личне податке појединаца који траже сертификацију. Ово укључује контроле за приступ, складиштење и пренос свих информација у вези са сертификацијом. Применом ових мера, циљ нам је да обезбедимо да се процеси сертификације одвијају са највишим нивоом безбедности и интегритета, као и да лични подаци појединаца који траже сертификацију буду заштићени у складу са релевантним прописима и стандардима.
16.2. Аутентификација и ауторизација
Користимо контроле аутентификације и ауторизације како бисмо осигурали да само овлашћено особље има приступ информацијама о сертификацији. Контроле приступа се редовно прегледају и ажурирају на основу промена у улогама и одговорностима особља.
КСНУМКС. Заштита података
Штитимо личне податке током целог процеса сертификације применом одговарајућих техничких и организационих мера како бисмо обезбедили поверљивост, интегритет и доступност података. Ово укључује мере као што су шифровање, контрола приступа и редовно прављење резервних копија.
16.4. Сигурност испитних процеса
Обезбеђујемо сигурност процеса испитивања применом одговарајућих мера за спречавање варања, праћење и контролу испитног окружења. Такође одржавамо интегритет и поверљивост испитних материјала кроз безбедне процедуре складиштења.
16.5. Сигурност испитног садржаја
Обезбеђујемо безбедност испитног садржаја применом одговарајућих мера за заштиту од неовлашћеног приступа, измене или откривања садржаја. Ово укључује коришћење безбедног складиштења, шифровања и контроле приступа за испитни садржај, као и контроле за спречавање неовлашћене дистрибуције или ширења садржаја испита.
16.6. Сигурност испоруке прегледа
Обезбеђујемо сигурност испоруке испита применом одговарајућих мера за спречавање неовлашћеног приступа окружењу испита или манипулације њиме. Ово укључује мере као што су праћење, ревизија и контрола испитног окружења и посебне приступе испитивању, како би се спречило варање или друга кршења безбедности.
16.7. Сигурност резултата испита
Обезбеђујемо сигурност резултата испитивања применом одговарајућих мера за заштиту од неовлашћеног приступа, измене или откривања резултата. Ово укључује коришћење безбедног складиштења, шифровања и контроле приступа за резултате прегледа, као и контроле за спречавање неовлашћене дистрибуције или ширења резултата испитивања.
16.8. Сигурност издавања сертификата
Обезбеђујемо сигурност издавања сертификата применом одговарајућих мера за спречавање превара и неовлашћеног издавања сертификата. Ово укључује контроле за проверу идентитета појединаца који примају сертификате и безбедно складиштење и процедуре издавања.
16.9. Жалбе и жалбе
Успоставили смо процедуре за управљање жалбама и жалбама у вези са процесом сертификације. Ове процедуре обухватају мере за обезбеђивање поверљивости и непристрасности процеса, као и сигурност информација у вези са притужбама и жалбама.
16.10. Управљање квалитетом процеса сертификације
Успоставили смо Систем управљања квалитетом (КМС) за процесе сертификације који укључује мере за обезбеђивање ефективности, ефикасности и сигурности процеса. КМС укључује редовне ревизије и прегледе процеса и њихове безбедносне контроле.
16.11. Континуирано унапређење безбедности процеса сертификације
Посвећени смо сталном унапређењу наших процеса сертификације и њихове безбедносне контроле. Ово укључује редовне прегледе и ажурирања безбедносних политика и процедура везаних за сертификацију на основу промена у пословном окружењу, регулаторних захтева и најбољих пракси у управљању безбедношћу информација, у складу са ИСО 27001 стандардом за управљање безбедношћу информација, као и са ИСО 17024 стандард за рад сертификационих тела.
Део 17. Завршне одредбе
17.1. Преглед и ажурирање смерница
Ова Политика безбедности информација је документ који се стално ревидира и ажурира на основу промена у нашим оперативним захтевима, регулаторним захтевима или најбољим праксама у управљању безбедношћу информација.
17.2. Праћење усклађености
Успоставили смо процедуре за праћење усклађености са овом Политиком безбедности информација и повезаним безбедносним контролама. Праћење усклађености обухвата редовне ревизије, процене и прегледе безбедносних контрола и њихове ефикасности у постизању циљева ове политике.
17.3. Пријављивање безбедносних инцидената
Успоставили смо процедуре за пријављивање безбедносних инцидената у вези са нашим информационим системима, укључујући и оне који се односе на личне податке појединаца. Запослени, извођачи и друге заинтересоване стране се подстичу да пријаве све безбедносне инциденте или сумњиве инциденте одређеном безбедносном тиму што је пре могуће.
17.4. Обука и свест
Пружамо редовну обуку и програме подизања свести запосленима, извођачима и другим заинтересованим странама како бисмо осигурали да су свесни својих одговорности и обавеза у вези са безбедношћу информација. Ово укључује обуку о безбедносним политикама и процедурама, као и мерама заштите личних података појединаца.
17.5. Одговорност и одговорност
Сматрамо да су сви запослени, уговарачи и друге заинтересоване стране одговорни и одговорни за поштовање ове Политике безбедности информација и повезаних безбедносних контрола. Такође сматрамо да је менаџмент одговоран за обезбеђивање да су алоцирани одговарајући ресурси за примену и одржавање ефективних контрола безбедности информација.
Ова политика безбедности информација је критична компонента оквира за управљање безбедношћу информација Европског института за ИТ сертификацију и показује нашу посвећеност заштити информационих средстава и обрађених података, обезбеђивању поверљивости, приватности, интегритета и доступности информација, и усклађености са регулаторним и уговорним захтевима.