Dauguma kompanijų atstovų pripažįsta, kad jų informacijos apsauga organizacijoje nėra kokybiška. Saugumo politika atsilieka nuo techninės, programinės ir aparatinės įrangos plėtojimo. Rezultatas - saugumo politikos įdiegimas ir visos apsaugos sistemos auditas atliekamas jau po nelaimės. Siūlome įgyvendinti prevencinę programą ir sutvarkyti Jūsų įmonės IT saugumą bei juo rūpintis:
- Saugotinų objektų identifikacija.
- Objekto reikšmės nustatymas.
- Saugotinam objektui tenkančių pavojų įvertinimas.
- Apsaugos prioritetų paskirstymas atitinkamai pagal objekto svarbumo reikšmę.
- Informacijos saugos audito ataskaitos pateikimas.
- Informacijos apsaugos sustiprinimo darbai pagal pateiktą audito ataskaitą naudojant ISO17799 ir COBIT standartus.
- Duomenų apsaugos sistemų darbai, sistemų priežiūra, konsultacijos.
Susijusios paslaugos:
Kas yra duomenų saugumas ir dalis apsaugos procesų aprašymo
Elektroninė informacija, kaip ir kitas svarbus komercinės veiklos turtas, organizacijoje turi tam tikrą vertę, todėl ją reikia tinkamai apsaugoti. Atitinkami reikalavimai turi būti taikomi tiek darbovietėje, tiek pajungus kompiuterį namuose. Informacijos saugumas padeda išvengti daugelio įvairių grėsmių, siekiant užtikrinti komercinės veiklos nepertraukiamumą, kiek galima sumažinti komercinės veiklos nuostolius ir kiek galima padidinti investicijų pelną bei komercinės veiklos galimybes naudojantis ISO17799 ir COBIT standartais.Techniniai pavyzdžiai – formules, algoritmus, funkcines specifikacijas, duomenis, technologijos procesus, metodus, sistemas, duomenų bazes, atradimus, dizainus, nepatentuotus išradimus, patobulinimas, pagerinimas taip pat suprantame kaip komercine informacija. Kiti pavyzdžiai: receptai, ingridientai, slaptas ženklinimas, atsarginiai veikimo būdai.
DIFERENCIJUOTOS PASLAUGOS PAGAL ISO17799 STANDARTĄ
CK 1.116 str.:„Informacija laikoma komercine (gamybine) paslaptimi, jeigu turi tikrą ar potencialią komercinę (gamybinę) vertę dėl to, kad jos nežino tretieji asmenys ir ji negali būti laisvai prieinama dėl šios informacijos savininko ar kito asmens, kuriam savininkas ją yra patikėjęs, protingų pastangų išsaugoti jos slaptumą. Informaciją, kuri negali būti laikoma komercine (gamybine) paslaptimi, nustato įstatymai.“ Vadybos pavyzdžiai - darbo planus, tyrimų kryptis, tyrimų sėkmę ar nesėkmę, veiklos kryptis, strategijas, prognozes, konkuruojančių produktų ir paslaugų analizes, naujus produktus ir planuojamas paslaugas , nepaskelbtas finansines ataskaitas, biudžetus, projektus, licencijas, kainas, sąnaudas, klientų ir tiekėjų sąrašus galime laikyti komercine informacija.
Ryšiai ir operacijų valdymas - 1. Veiklos procedūros ir atsakomybės
- i. Dokumentuotos veiklos procedūros (veiklos procedūros turi būti dokumentuotos, prižiūrimos ir prieinamos vartotojams, kuriems jos reikalingos)
- ii. Pokyčių valdymas (turi būti valdomi informacijos apdorojimo priemonių ir sistemų pokyčiai)
- iii. Pareigų atskyrimas (pareigos ir atsakomybių ribos organizacijoje turi būti atskirtos)
- iv. Kūrimo, testavimo ir veiklos aplinkų atskyrimas (turi būti numatytas šių aplinkų atskyrimas, siekiant apsaugoti nuo neautorizuotos prieigos prie sistemos ar jos pakeitimo)
- 2. Trečiųjų šalių IT paslaugų teikimo valdymas
- i. Paslaugų teikimas (turi būti užtikrinta, kad trečiosios šalys, teikiančios paslaugas, laikytųsi sutartyje apibrėžtų paslaugų lygio ir saugumo priemonių)
- ii. Trečiųjų šalių teikiamų paslaugų stebėjimas ir peržiūra (turi būti atliekamas teikiamų paslaugų stebėjimas ir kontrolė)
- iii. Trečiųjų šalių teikiamų paslaugų keitimų valdymas (turi būti atliekamas teikiamų paslaugų pokyčių stebėjimas ir kontrolė)
- 3. IT sistemų planavimas ir priėmimas
- i. Pajėgumų valdymas (turi būti stebimas resursų panaudojimas, ir atliekamas pajėgumų planavimas, siekiant užtikrinti reikalaujamą sistemos našumą)
- ii. Sistemų priėmimas (turi būti numatyti naujų sistemų, atnaujinamų sistemų priėmimo naudojimui kriterijai)
- 4. Apsauga nuo kenksmingos programinės įrangos ir mobilaus kodo
- i. Apsauga nuo kenksmingos programinės įrangos (turi būti įgyvendintos stebėjimo, prevencijos ir atstatymo priemonės apsaugai nuo kenksmingos programinės įrangos, taip pat turi būti numatytas vartotojų švietimas)
- ii. Apsauga nuo mobilaus kodo, angl. - mobile code (turi būti užtikrinama, kad mobilaus kodo naudojimas būtų autorizuotas ir atitiktų saugumo politiką. Mobilaus kodo pavyzdžiai - JavaScript, VBScript, Java appletai, ActiveX priemonės)
- 5. Atsarginės kopijos, Back Up sistemos
- i. Informacijos atsarginės kopijos (turi būti reguliariai daromos informacijos kopijos, ir išbandomas atstatymas atsižvelgiant į patvirtintą atsarginių kopijų darymo politiką)
- 6. IT tinklo saugumo valdymas
- i. Tinklo valdymas (organizacijos tinklas turi būti valdomas tam, kad būtų užtikrinta apsauga nuo grėsmių, užtikrintas sistemų ir informacijos tinkle saugumas)
- ii. Tinklo paslaugų (servisų) apsauga (turi būti nustatyti saugumo reikalavimai, paslaugų lygiai ir valdymo reikalavimai visoms tinklo paslaugoms)
- 7. Laikmenų naudojimas
- i. Pernešamų informacijos laikmenų valdymas (turi būti parengtos pernešamų laikmenų valdymo procedūros)
- ii. Laikmenų utilizavimas (informacijos laikmenos turi būti saugiai utilizuojamos, laikantis formalių procedūrų)
- iii. Informacijos naudojimo procedūros (turi būti parengtos informacijos naudojimo ir saugojimo procedūros)
- iv. Sisteminės dokumentacijos apsauga (sisteminė dokumentacija turi būti apsaugota nuo neautorizuotos prieigos)
- 8. Informacijos apsikeitimas
- i. Informacijos apsikeitimo politika ir procedūros (siekiant užtikrinti informacijos apsikeitimo apsaugą, turi būti parengtos formalios politikos procedūros ir priemonės)
- ii. Informacijos apsikeitimo sutartys (informacijos apsikeitimas tarp organizacijos ir kitų šalių turi būti reglamentuotas sutartyse)
- iii. Fizinė laikmenų apsauga (transportuojant informacijos laikmenas už organizacijos ribų, turi būti užtikrinta laikmenų apsauga nuo neautorizuotos prieigos ar praradimo)
- iv. Elektroninis susirašinėjimas (informacija, perduodama elektroninio susirašinėjimo metu, turi būti tinkamai apsaugota)
- v. Biznio/biuro informacinės sistemos (turi būti numatytos politikos ir procedūros, siekiant apsaugoti biznio/biuro informacinėse sistemose esančią informaciją)
- 9. Elektroninės komercijos paslaugos
- i. Elektroninė komercija (elektroninės komercijos informacija, perduodama viešaisiais tinklais, turi būti apsaugota nuo jai kylančių grėsmių)
- ii. Elektroniniai mokėjimai (elektroninių mokėjimų informacija turi būti apsaugota nuo jai kylančių grėsmių)
- iii. Viešai prieinama informacija (turi būti užtikrinta viešai prieinamos informacijos vientisumo apsauga)
- 10. IT monitoringas
- i. Žurnaliniai įrašai (turi būti pildomi ir nustatytą laiko tarpą saugomi žurnaliniai įrašai apie vartotojų veiksmus ir saugumo įvykius)
- ii. Sistemų naudojimas (turi būti parengtos procedūros, leidžiančios registruoti informacijos apdorojimo priemonių panaudojimą)
- iii. Žurnalinių įrašų apsauga (žurnaliniai įrašai turi būti apsaugoti nuo neautorizuotos prieigos ir pakeitimo)
- iv. Administratorių ir operatorių veiksmų žurnaliniai įrašai (sistemų administratorių ir operatorių veiksmai turi būti registruojami)
- v. Gedimų registravimas (gedimai turi būti registruojami, analizuojami ir priimamos atitinkamos priemonės)
- vi. Laiko sinchronizavimas (laikas visose organizacijos informacijos apdorojimo priemonėse turi būti sinchronizuotas)
IT prieigos valdymas - 1. IT veiklos reikalavimai prieigos valdymui
- i. Prieigos valdymo politika
- 2. Vartotojo prieigos valdymas
- i. Vartotojo registravimas
- ii. Teisių valdymas
- iii. Vartotojo slaptažodžio valdymas
- iv. Vartotojo teisių peržiūra
- 3. Vartotojo atsakomybės
- i. Slaptažodžio naudojimas
- ii. Įranga palikta be priežiūros
- iii. Švaraus stalo ir švaraus ekrano politika
- 4. IT tinklo prieigos valdymas
- i. Tinklo paslaugų (servisų) naudojimo politika
- ii. Vartotojo autentifikavimas išoriniams prisijungimams
- iii. Įrangos tinkle identifikavimas
- iv. Nuotolinių priežiūros ir administravimo prieigų apsauga
- v. Tinklų atskyrimas
- vi. Tinklų sujungimo valdymas
- vii. Tinklų maršrutizavimo valdymas
- 5. Prieigos prie IT operacinės sistemos valdymas
- i. Saugi įsiregistravimo procedūra
- ii. Vartotojo identifikavimas ir autentifikavimas
- iii. Slaptažodžių valdymo sistema
- iv. Sisteminių programinių priemonių naudojimas
- v. Sesijos time-out‘as
- vi. Sujungimo laiko apribojimas
- 6. Prieigos prie aplikacijų ir informacijos valdymas
- i. Prieigos prie informacijos ribojimas
- ii. Svarbių sistemų izoliavimas
- 7. Mobilūs įtaisai ir nuotolinis darbas
- i. Mobilūs įtaisai ir komunikacijos
- ii. Nuotolinis darbas
Informacinių sistemų įsigijimas, kūrimas ir priežiūra- 1. Saugumo reikalavimai informacinėms sistemoms
- i. Saugumo reikalavimų analizė ir specifikavimas
- 2. Tikslus programinės įrangos duomenų apdorojimas
- i. Įvedamų duomenų tikrinimas
- ii. Vidinio duomenų apdorojimo kontrolė
- iii. Duomenų vientisumas
- iv. Rezultato sutikrinimas
- 3. Kriptografinės priemonės
- i. Kriptografinių priemonių naudojimo politika
- ii. Raktų valdymas
- 4. Sisteminių bylų apsauga
- i. Operacinės programinės įrangos kontrolė
- ii. Sistemos testavimo duomenų apsauga
- iii. Prieigos prie programinio kodo valdymas
- 5. Apsauga kūrimo ir palaikymo procese
- i. Pokyčių valdymo procedūra
- ii. Techninė sistemų peržiūra pakeitus operacinę sistemą
- iii. Programinės įrangos paketų keitimo ribojimai
- iv. Informacijos nutekėjimas
- v. Trečioms šalims perduotos programinės įrangos (outsourced) kūrimas
- 6. Techninių pažeidžiamumų valdymas
- i. Techninių pažeidžiamumų valdymas
- 7. Informacijos apdorojimo įrangos apsauga
- i. Saugus įrangos išdėstymas (planuojant įrangos išdėstymą, pastatymo vietas turi būti numatyta jos apsauga nuo aplinkos grėsmių ir nuo neautorizuotos prieigos)
- ii. Palaikymas (turi būti numatytos apsaugos priemonės, apsaugančios nuo elektros tiekimo sutrikimų, kondicionavimo sutrikimų, kitų informacijos apdorojimo priemonių veiklą palaikančių funkcijų sutrikimų)
- iii. Elektros ir duomenų perdavimo linijų apsauga (elektros ir duomenų perdavimo linijos, kabeliai turį būti apsaugoti nuo pažeidimų)
- iv. Įrangos priežiūra (įranga turi būti atitinkamai prižiūrima, užtikrinant jos prieinamumą ir vientisumą)
- v. Įrangos už organizacijos ribų apsauga (turi būti įvertintos rizikos ir užtikrinta įrangos, esančios už organizacijos ribų, apsauga)
- vi. Saugus įrangos utilizavimas ir pakartotinis panaudojimas (visa įranga, turinti galimybę saugoti informaciją, turi būti patikrinama prieš utilizuojant ar pakartotinai panaudojant)
- vii. Nuosavybės apsauga (negalimas neautorizuotas įrangos ar informacijos patekimas už organizacijos ribų)
|
