Informacijos apsauga, informacijos apsaugos darbai - Ryšiai ir operacijų valdymas |
puslapis 3 iš 5
Ryšiai ir operacijų valdymas
- 1. Veiklos procedūros ir atsakomybės
- i. Dokumentuotos veiklos procedūros (veiklos procedūros turi būti dokumentuotos, prižiūrimos ir prieinamos vartotojams, kuriems jos reikalingos)
- ii. Pokyčių valdymas (turi būti valdomi informacijos apdorojimo priemonių ir sistemų pokyčiai)
- iii. Pareigų atskyrimas (pareigos ir atsakomybių ribos organizacijoje turi būti atskirtos)
- iv. Kūrimo, testavimo ir veiklos aplinkų atskyrimas (turi būti numatytas šių aplinkų atskyrimas, siekiant apsaugoti nuo neautorizuotos prieigos prie sistemos ar jos pakeitimo)
- 2. Trečiųjų šalių IT paslaugų teikimo valdymas
- i. Paslaugų teikimas (turi būti užtikrinta, kad trečiosios šalys, teikiančios paslaugas, laikytųsi sutartyje apibrėžtų paslaugų lygio ir saugumo priemonių)
- ii. Trečiųjų šalių teikiamų paslaugų stebėjimas ir peržiūra (turi būti atliekamas teikiamų paslaugų stebėjimas ir kontrolė)
- iii. Trečiųjų šalių teikiamų paslaugų keitimų valdymas (turi būti atliekamas teikiamų paslaugų pokyčių stebėjimas ir kontrolė)
- 3. IT sistemų planavimas ir priėmimas
- i. Pajėgumų valdymas (turi būti stebimas resursų panaudojimas, ir atliekamas pajėgumų planavimas, siekiant užtikrinti reikalaujamą sistemos našumą)
- ii. Sistemų priėmimas (turi būti numatyti naujų sistemų, atnaujinamų sistemų priėmimo naudojimui kriterijai)
- 4. Apsauga nuo kenksmingos programinės įrangos ir mobilaus kodo
- i. Apsauga nuo kenksmingos programinės įrangos (turi būti įgyvendintos stebėjimo, prevencijos ir atstatymo priemonės apsaugai nuo kenksmingos programinės įrangos, taip pat turi būti numatytas vartotojų švietimas)
- ii. Apsauga nuo mobilaus kodo, angl. - mobile code (turi būti užtikrinama, kad mobilaus kodo naudojimas būtų autorizuotas ir atitiktų saugumo politiką. Mobilaus kodo pavyzdžiai - JavaScript, VBScript, Java appletai, ActiveX priemonės)
- 5. Atsarginės kopijos, Back Up sistemos
- i. Informacijos atsarginės kopijos (turi būti reguliariai daromos informacijos kopijos, ir išbandomas atstatymas atsižvelgiant į patvirtintą atsarginių kopijų darymo politiką)
- 6. IT tinklo saugumo valdymas
- i. Tinklo valdymas (organizacijos tinklas turi būti valdomas tam, kad būtų užtikrinta apsauga nuo grėsmių, užtikrintas sistemų ir informacijos tinkle saugumas)
- ii. Tinklo paslaugų (servisų) apsauga (turi būti nustatyti saugumo reikalavimai, paslaugų lygiai ir valdymo reikalavimai visoms tinklo paslaugoms)
- 7. Laikmenų naudojimas
- i. Pernešamų informacijos laikmenų valdymas (turi būti parengtos pernešamų laikmenų valdymo procedūros)
- ii. Laikmenų utilizavimas (informacijos laikmenos turi būti saugiai utilizuojamos, laikantis formalių procedūrų)
- iii. Informacijos naudojimo procedūros (turi būti parengtos informacijos naudojimo ir saugojimo procedūros)
- iv. Sisteminės dokumentacijos apsauga (sisteminė dokumentacija turi būti apsaugota nuo neautorizuotos prieigos)
- 8. Informacijos apsikeitimas
- i. Informacijos apsikeitimo politika ir procedūros (siekiant užtikrinti informacijos apsikeitimo apsaugą, turi būti parengtos formalios politikos procedūros ir priemonės)
- ii. Informacijos apsikeitimo sutartys (informacijos apsikeitimas tarp organizacijos ir kitų šalių turi būti reglamentuotas sutartyse)
- iii. Fizinė laikmenų apsauga (transportuojant informacijos laikmenas už organizacijos ribų, turi būti užtikrinta laikmenų apsauga nuo neautorizuotos prieigos ar praradimo)
- iv. Elektroninis susirašinėjimas (informacija, perduodama elektroninio susirašinėjimo metu, turi būti tinkamai apsaugota)
- v. Biznio/biuro informacinės sistemos (turi būti numatytos politikos ir procedūros, siekiant apsaugoti biznio/biuro informacinėse sistemose esančią informaciją)
- 9. Elektroninės komercijos paslaugos
- i. Elektroninė komercija (elektroninės komercijos informacija, perduodama viešaisiais tinklais, turi būti apsaugota nuo jai kylančių grėsmių)
- ii. Elektroniniai mokėjimai (elektroninių mokėjimų informacija turi būti apsaugota nuo jai kylančių grėsmių)
- iii. Viešai prieinama informacija (turi būti užtikrinta viešai prieinamos informacijos vientisumo apsauga)
- 10. IT monitoringas
- i. Žurnaliniai įrašai (turi būti pildomi ir nustatytą laiko tarpą saugomi žurnaliniai įrašai apie vartotojų veiksmus ir saugumo įvykius)
- ii. Sistemų naudojimas (turi būti parengtos procedūros, leidžiančios registruoti informacijos apdorojimo priemonių panaudojimą)
- iii. Žurnalinių įrašų apsauga (žurnaliniai įrašai turi būti apsaugoti nuo neautorizuotos prieigos ir pakeitimo)
- iv. Administratorių ir operatorių veiksmų žurnaliniai įrašai (sistemų administratorių ir operatorių veiksmai turi būti registruojami)
- v. Gedimų registravimas (gedimai turi būti registruojami, analizuojami ir priimamos atitinkamos priemonės)
- vi. Laiko sinchronizavimas (laikas visose organizacijos informacijos apdorojimo priemonėse turi būti sinchronizuotas)
|