ARSIS mokymai naudotojams · • Audito posistemė ... Sistemų klasifikavimas ir informacijos svarba (2) • Ypatingos svarbos elektroninė informacija • Informacijos konfidencialumo,

ARSIS mokymai naudotojams

Adolfas Vala

Informacijos saugumo valdymo konsultantas

ISO 27001 Lead Auditor, CISA, CISM, CISSP

2015-11-18/20

2

Aplinka

• Asmeninių daiktų saugumas

• Mobilieji telefonai

• Tualetai

• Kavos pertraukėlės

• Pietūs

• Darbotvarkė

• Nuomonės išsakymas

• Klausimai

• Apie save

3

Darbotvarkė

• Lapkričio 18, 19 ir 20 d.

• 09.00 – 10.20 Mokymai

• 10.20 – 10.30 Kavos pertraukėlė

• 10.30 – 12.00 Mokymai

• 12.00 – 13.00 Pietūs

• 13.00 – 14.20 Mokymai

• 14.20 – 14.30 Kavos pertraukėlė

• 14.30 – 17.00 Mokymai

4

Turinys

• ARSIS

• Elektroninės informacijos saugą reglamentuojantys teisės aktai

• Informacijos saugumo valdymo principai

• ARSIS apsaugos priemonių auditas

• ARSIS rizikos vertinimo metodas

• Praktiniai ARSIS užsiėmimai

5

1 dalis

ARSIS

6

Turinys

• ARSIS tikslai, uždaviniai, funkcijos

• Valstybės informacinių išteklių valdytojų ir tvarkytojų pareigos, duomenų teikimo į ARSIS tvarka

• ARSIS struktūra

• ARSIS sukuriamos galimybės;

7

ARSIS

• ARSIS – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistema

• ARSIS tikslas – automatiniu būdu vykdyti valstybės informacinių išteklių atitikties nustatytiems elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėseną.

8

ARSIS uždaviniai

• Rinkti, kaupti, saugoti, apdoroti, sisteminti ir kitaip tvarkyti duomenis apie elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimą valdant ir tvarkant informacinius išteklius

• Vykdyti informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams priežiūrą

• Informuoti valstybės informacinių sistemų, valstybės ir žinybinių registrų valdytojus apie jų valdomų informacinių išteklių atitiktį elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams

9

Valdytojas, tvarkytojas, duomenų teikėjai

• Valdytoja– Lietuvos Respublikos vidaus reikalų ministerija

• Tvarkytojas– Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus

reikalų ministerijos

• Duomenų teikėjas– Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos

susisiekimo ministerijos

– Registrų ir informacinių sistemų registras (RISR)

10

ARSIS funkcinė struktūra

• Duomenų įvedimo ir gavimo posistemė

• Informacinių išteklių posistemė

• Elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų posistemė

• Ataskaitų ir vizualizavimo posistemė

• Audito posistemė

• Automatinės stebėsenos posistemė

• Rizikos vertinimo posistemė

• Informacinių išteklių saugos tobulinimo projektų posistemė

• Administravimo posistemė

11

Plėtros programa

• LRV 2011-06-29 nutarimas Nr. 796 „Dėl Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programos patvirtinimo“.

• 2019 m. atitiktis informacijos saugumo reikalavimams – 98 proc. visų valstybės informacinių išteklių;

• vidutinis ypatingos svarbos informacinės infrastruktūros incidentų likvidavimo laikas sumažėtų iki 0,5 valandos;

• Lietuvos gyventojų, kurie saugiai jaučiasi kibernetinėje erdvėje, dalis pasiektų 60 procentų.

12

Bendrieji tikslai

• Gauti informacijos efektyviam ir planingam lėšų, skiriamų valstybės informacinių išteklių informacijos apsaugai, panaudojimui

• Efektyvus, savalaikis, planingas, optimalus informacijos apsaugos priemonių diegimas įgalina sutaupyti lėšų, skiriamų valstybės informacinių išteklių informacijos apsaugai. Šiuo projektu siekiama optimizuoti lėšas, skiriamas valstybės informacinių išteklių informacijos apsaugai

• Pagerinta informacijos apsauga lemia mažesnį incidentų skaičių ir galimus nuostolius dėl jų. Šiuo projektu siekiama sumažinti nuostolius dėl saugos incidentų

• Padidinti valstybės informacinių sistemų ir jose saugomų duomenų saugumo lygmenį

13

Problematika (1)

• Informacinių sistemų ir registrų informacijos technologijų saugos atitikties vertinimų tikslumas ir pagrįstumas paliekamas vertintojo nuožiūrai.

• Vertinimų organizavimas ir rastų neatitikčių šalinimas yra vidinis institucijų reguliavimo ir kontrolės dalykas.

• Neužtikrinamas vertinimų tęstinumas

• Nekontroliuojama vertinimų kokybė

• Vertinimų rezultatai nėra sisteminami ir analizuojami

14

Problematika (2)

• Atitikties reikalavimams stebėsena iš esmės nėra vykdoma.

• RISR duomenimis Lietuvoje veikia 235 įvairaus sudėtingumo ir jose tvarkomos elektroninės informacijos svarbos valstybės informacinės sistemos ir 162 valstybės ir žinybiniai registrai.

• Vidaus administravimo funkcijas vykdyti skirtos informacinės sistemos nėra registruojamos ir jų skaičius nėra žinomas.

• Įgyvendinant plėtros programą, numatyta identifikuoti ypatingos svarbos infrastruktūros objektus ir patvirtinti jiems saugos reikalavimus, todėl tikslinga vykdyti ir atitikties šiems reikalavimams stebėseną, o veikianti sistema sudarytų sąlygas tai atlikti.

15

Valdytojų ir tvarkytojų pareigos

• Informacinių išteklių valdytojų ir tvarkytojų pareigos– Teikti atitikties vertinimus

– Teikti rizikos vertinimus

• Duomenų teikimo į ARSIS tvarka

16

IT GRC tipo sistemos

• IT GRC – IT Governance, Risk and Compliance

• IT strateginis valdymas

• Rizikos valdymas

• Atitikties valdymas

• ARSIS – šio tipo sistema

• IT GRC sistemų paplitimas

17

ARSIS funkcionalumas

• Reikalavimų valdymas

• Atitikties valdymas

• Rizikos valdymas

• Projektai

• Saugos įvykiai

• Klasifikatoriai ir žinių bazės

18

ARSIS sukuriamos galimybės

• Rizikos ir atitikties vertinimų objektyvumas

• Vertinimų organizavimo ir rastų neatitikčių šalinimo kontrolė

• Vertinimų tęstinumas

• Vertinimų kokybė

• Vertinimų rezultatų sisteminimas ir analizė

• Atitikties reikalavimams stebėsena

• Stebėsena -> Analizė -> Teisės aktų keitimas

19

2 dalis

Elektroninės informacijos saugą reglamentuojantys teisės aktai

20

Teisės aktai (1)

• Įstatymai– Lietuvos Respublikos valstybės informacinių išteklių valdymo

įstatymas;

– Lietuvos Respublikos kibernetinio saugumo įstatymas

• Vyriausybės nutarimai– 2013-07-24 nutarimas Nr. 716 „Dėl Bendrųjų elektroninės

informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“

– 2013-02-27 nutarimas Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“

21

Teisės aktai (2)

• Vyriausybės nutarimai:– 2012-07-18 d. nutarimas Nr. 881 „Dėl Registrų steigimo, kūrimo,

reorganizavimo ir likvidavimo tvarkos aprašo patvirtinimo“

– 1997-09-04 nutarimas Nr. 952 „Dėl elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose“

– 2011-06-29 nutarimas Nr. 796 „Dėl Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programos patvirtinimo“

22

Teisės aktai (3)

• Įsakymai– VRM 2013-10-04 įsakymas Nr. 1V-832 „Dėl Techninių valstybės registrų

(kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“

– Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymas Nr. 1V-247 „Dėl Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo (Dėl valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių patvirtinimo)“

23

Teisės aktai (4)

• Įsakymai– VRM 2007-05-08 įsakymas Nr. 1V-172 „Dėl Saugos dokumentų turinio

gairių patvirtinimo“

– VRM 2004-05-21 įsakymas Nr. 1V-176 „Dėl Interneto tarnybinių stočių apsaugos rekomendacijų patvirtinimo“ (Žin., 2004, Nr. 85-3095)

– VRM 2004-05-06 įsakymas Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“

– FM 2013-10-07 įsakymas Nr. 1K-334 „Dėl Informacinių sistemų, kuriomis tvarkoma informacija, susijusi su materialinių ir finansinių išteklių valdymu, steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“

24

Teisės aktai (5)

• Įsakymai– VRM 2013-09-27 įsakymas Nr. 1V-807 „Dėl Informacinių sistemų,

kuriomis tvarkoma informacija, susijusi su personalo valdymu, steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“

– Lietuvos vyriausiojo archyvaro 2013-06-18 įsakymas Nr. V-45 „Dėl Informacinių sistemų, kuriomis tvarkoma informacija, susijusi su dokumentų valdymu, steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“

– IVPK prie SM 2014 m. vasario 25 d. įsakymas Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“

25

Teisės aktai (6)

• Įsakymai– VDAI 2014-12-18 įsakymas Nr. 1T-74(1.12.E) „Dėl Valstybinės

duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymo Nr. 1T-12(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ pakeitimo“

– VDAI 2008-11-12 įsakymas Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ pakeitimo“ su 2010 m. spalio 1 d. įsakymu Nr. 1T-80 (1.12) patvirtintu pakeitimu.

26

Teisės aktai (7)

• Standartai:– LST ISO/IEC 27001:2013 Informacinės technologijos. Saugumo

metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001:2013)

– LST ISO/IEC 27002:2014 Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai (tapatus ISO/IEC 27002:2013)

27

Valstybės informacinių išteklių įstatymas (1)

• Tikslas:– užtikrinti tinkamą valstybės informacinių išteklių kūrimą, tvarkymą,

valdymą, naudojimą, priežiūrą, sąveiką, planavimą, finansavimą ir saugą.

• Taikymas:– valstybės institucijoms steigiančioms, kuriančioms ir (arba)

tvarkančioms valstybės registrus (kadastrus), žinybinius registrus, valstybės informacines sistemas ir kitas informacines sistemas, finansuojamoms iš valstybės biudžeto, Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotoms atlikti viešąjį administravimą.

28


• Nustato valstybės informacinių išteklių:– rūšis

– politikos formavimą ir jos įgyvendinimą

– valdymo tarybos, duomenų valdymo įgaliotinių veiklą

– valdytojų, tvarkytojų, duomenų gavėjų ir teikėjų teises, pareigas ir atsakomybę

– kūrimo ir tvarkymo principus ir planavimą

– sąveikumo platformą

– IT priemonių saugos vertinimą

– kūrimo, tvarkymo ir priežiūros išlaidų finansavimą

29


• Ypatingos svarbos– visai valstybei svarbi informacija, apdorojama valstybės IS ir

pagrindiniuose valstybės registruose

• Svarbūs– kelioms institucijoms svarbi informacija, apdorojama valstybės IS ir

valstybės registruose

• Žinybinės svarbos– vienai institucijai svarbi informacija, apdorojama valstybės IS ir

žinybiniuose registruose

• Kiti– IS skirtos vidaus administravimo funkcijoms atlikti

30


• Lietuvos Respublikos Vyriausybė:– nustato valstybės informacinių išteklių veiklos prioritetus, plėtros

kryptis, siektinus rezultatus ir jų pasiekimo būdus;

– nustato informacijos svarbos įvertinimo tvarką;

– tvirtina informacijos saugos reikalavimų aprašą,

– tvirtina saugos dokumentų turinio gaires;

– tvirtina valstybės IS, registrų ir kitų informacinių sistemų klasifikavimo gaires.

31


• Susisiekimo ministerija– formuoja valstybės informacinių išteklių plėtros politiką

• Teisingumo ministerija– formuoja valstybės registrų politiką

• Vidaus reikalų ministerija– formuoja valstybės informacinių išteklių saugos politiką

32


• Informacinės visuomenės plėtros komitetas prie SM– atsako už valstybės informacinių išteklių funkcinį suderinamumą,

kūrimą, tvarkymą ir plėtrą.

• Valstybinė duomenų apsaugos inspekcija– atsako už asmens duomenų apsaugos reikalavimų įgyvendinimą.

33

Kibernetinio saugumo įstatymas (1)

• Nustato– kibernetinio saugumo sistemos organizavimą, valdymą ir kontrolę

– apibrėžia kibernetinio saugumo politiką formuojančias ir įgyvendinančias institucijas, jų kompetenciją, funkcijas, teises ir pareigas

– valstybės informacinių išteklių valdytojų ir (arba) tvarkytojų, ypatingos svarbos informacinės infrastruktūros valdytojų, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų ir elektroninės informacijos prieglobos paslaugų teikėjų pareigas bei atsakomybę ir kibernetinio saugumo užtikrinimo priemones

34

Kibernetinio saugumo įstatymas (2)

• Principai– kibernetinės erdvės nediskriminavimo

– kibernetinio saugumo proporcingumo

– viešojo intereso viršenybės

• Institucijų įgaliojimai– LRV, KAM, VRM, RRT, VDAI, Policijos departamentas

• Kibernetinio saugumo taryba

• Nacionalinis kibernetinio saugumo centras

35

Bendrųjų elektroninės informacijos saugos reikalavimų aprašas (1)

• Tikslas:– sudaryti sąlygas saugiai automatiniu būdu tvarkyti valstybės registrų ir

žinybinių registrų duomenis, dokumentus ir informaciją, valstybės informacinių sistemų ir kitų informacinių sistemų informaciją.

• Reikalavimai:– elektroninės informacijos sauga informacinėse sistemose turi atitikti

vidaus reikalų ministro tvirtinamus Techninius informacinių sistemų elektroninės informacijos saugos reikalavimus.

• Rekomendacijos:– užtikrinant informacijos saugą, vadovautis Lietuvos standartu LST

ISO/IEC 27001, LST ISO/IEC 27002.

36

Bendrųjų elektroninės informacijos saugos reikalavimų aprašas (2)

• Turi būti parengti saugos politiką reglamentuojantys dokumentai:– Saugos nuostatai

– Informacinės sistemos naudotojų administravimo taisyklės

– Saugaus elektroninės informacijos tvarkymo taisyklės

– Informacinės sistemos veiklos tęstinumo valdymo planas

• Reikalavimai– Saugos organizavimas

– Saugos incidentų valdymas

– Rizikos įvertinimas

– IS funkcijų pokyčių valdymas

– IT saugos atitikties vertinimas

– IS naudotojų atsakomybė

37

Saugos dokumentų turinio gairių aprašas (1)

• Saugos nuostatai:– Bendrosios nuostatos

– Elektroninės informacijos saugos valdymas

– Organizaciniai ir techniniai reikalavimai

– Reikalavimai personalui

– Informacinės sistemos naudotojų supažindinimo su saugos dokumentai principai

38


• Saugaus elektroninės informacijos tvarkymo taisyklės:– Bendrosios nuostatos.

– Techninių ir kitų saugos priemonių aprašymas.

– Saugus elektroninės informacijos tvarkymas.

– Reikalavimai, keliami informacinėms sistemoms funkcionuoti reikalingoms paslaugos ir jų tiekėjams.

39


• Informacinės sistemos veiklos tęstinumo valdymo planas:– Bendrosios nuostatos

– Organizacinės nuostatos

– Aprašomosios nuostatos

– Plano veiksmingumo išbandymo nuostatos

• Naudotojų administravimo taisyklės:– Bendrosios nuostatos

– Saugaus elektroninės informacijos teikimo informacinės sistemos naudotojams kontrolės tvarka

40

Sistemų klasifikavimas ir informacijos svarba (1)

• Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas

• Elektroninės informacijos klasifikavimas:– Ypatingos svarbos elektroninė informacija

– Svarbi elektroninė informacija

– Žinybinės svarbos elektroninė informacija

– Kita elektroninė informacija

• Informacinių sistemų klasifikavimas:– Pirma, antra, trečia, ketvirta

41


• Ypatingos svarbos elektroninė informacija

• Informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali sukelti ypač sunkius padarinius visai valstybei ir gali kilti grėsmė įvykti procesams (ne mažiau kaip 2), kurie gali:

– tiesiogiai paveikti LR gyventojų sveikatą ir gyvybę;

– turėti neigiamų padarinių viešajai tvarkai ir gyventojų saugumui;

– padaryti neigiamus padarinius gamtai ir aplinkos saugumui;

– turėti sunkių padarinių Lietuvos ūkiui – sukelti žymų, daugiau kaip 5% metinio nacionalinio produkto sumažėjimą ar kitus sunkius padarinius;

– sukelti didesnius kaip 5 mln. Lt (1,5 mln. €) finansinius nuostolius valstybei;

– sukelti valstybės tarptautinių sutarčių ir įsipareigojimų pažeidimą, kurio pasekmių pašalinimas sukeltų didesnius kaip 5 mln. Lt (1,5 mln. €) nuostolius;

– sukelti kitų sunkių padarinių valstybei ar jos gyventojams.

42


• Svarbi elektroninė informacija

• Informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti sunkių padarinių kelių institucijų veiklai ir gali kilti grėsmė įvykti procesams (ne mažiau kaip 2), kurie gali:

– turėti neigiamų padarinių gyventojų sveikatos apsaugai;

– sukelti pavojų viešajai tvarkai ir gyventojų saugumui;

– sukelti pavojų gamtos ir aplinkos saugumui;

– sutrikdyti kelių institucijų veiklą ar viešųjų paslaugų teikimą daugiau kaip vienai dienai;

– kelioms institucijoms sukelti finansinius nuostolius, didesnius nei 1 mln. Lt (0,3 mln. €), bet ne didesnius nei 5 mln. Lt (1,5 mln. €);

– sukelti kelių institucijų tarptautinių sutarčių ir įsipareigojimų pažeidimą, kurio pasekmių pašalinimas sukeltų didesnius nei 1 mln. Lt (0,3 mln. €), bet ne didesnius nei 5 mln. Lt (1,5 mln. €), nuostolius;

– sukelti kitų sunkių padarinių kelioms institucijoms ar jų reguliavimo sričiai priskirtai ūkio šakai.

43


• Žinybinės svarbos elektroninė informacija

• Informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti neigiamą įtaką vienos institucijos veiklai ir gali kilti grėsmė įvykti procesams (ne mažiau kaip 2), kurie gali:– padaryti žalą vieno ar kelių fizinių ar juridinių asmenų teisėtiems

interesams, taip pat ir asmens duomenų apsaugai

– turėti neigiamų padarinių institucijos veiklai

– vienai institucijai sukelti finansinius nuostolius, ne didesnius nei 1 mln. Lt (0,3 mln. €)

– sukelti kitų neigiamų padarinių institucijai

44

Techniniai saugos reikalavimai (1)

• Techniniai valstybės registrų (kadastro), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai

• Tikslas:– nustatyti minimalius elektroninės informacijos saugos techninius

reikalavimus valstybės registrams (kadastrams), žinybiniams registrams, valstybės informacinėms sistemoms ir kitoms informacinėms sistemoms.

45


• IS kiekvienas IS naudotojas turi būti unikaliai identifikuojamas;

• IS naudotojas ar IS administratorius turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;

• IS priežiūros funkcijos turi būti atliekamos, naudojant atskirą IS administratoriaus paskyrą, kuria naudojantis negalima atlikti IS naudotojo funkcijos;

• IS naudotojams negali būti suteikiamos IS administratoriaus teisės;

• IS turi būti įrašomi ir saugomi duomenys apie– IS įjungimą, išjungimą,

– IS naudotojų sėkmingus ir nesėkmingus bandymus registruotis IS,

– visus IS naudotojų vykdomus veiksmus,

– nurodant IS naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką;

46


• IS naudotojui teisė dirbti su IS turi būti sustabdoma, kai jis nesinaudoja IS ilgiau kaip 3 mėn., kai įstatymų nustatytais atvejais IS naudotojas nušalinamas nuo darbo (pareigų)

• Pasibaigus tarnybos (darbo) santykiams, IS naudotojo teisė naudotis IS turi būti panaikinta nedelsiant

• Nuotolinis prisijungimas prie IS turi būti vykdomas šifruotu protokolu

47


• IS naudotojas baigęs darbą ar pasitraukęs iš darbo vietos turi imtis priemonių, kad IS negalėtų pasinaudoti kiti asmenys (atsijungti nuo IS, įjungti ekrano užsklanda su slaptažodžiu, dokumentus padėti į pašaliniams asmenims neprieinamą vietą)

• IS naudotojui neatliekant jokių veiksmų IS, IS turi ne vėliau kaip per 15 min. automatiškai užsirakinti

48


• IS neveikimo laikotarpis negali būti ilgesnis nei:

– 24 val. - IV kategorijos IS

– 16 val. - III kategorijos IS

– 12 val. - II kategorijos IS

– 8 val. - I kategorijos IS

• Per metus turi būti užtikrintas IS prieinamumas:

– ne mažiau kaip 70 proc. laiko darbo metu darbo dienomis - IV kategorijos IS

– ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis - III kategorijos IS

– ne mažiau kaip 96 proc. laiko visą parą - II kategorijos IS

– ne mažiau kaip 99 proc. laiko visą parą - I kategorijos IS.

• Ne rečiau kaip kartą per du metus turi būti atliekamas IS saugos atitikties vertinimas

49


• Reikalavimai patalpoms:– Serverių patalpos turi būti apsaugotos nuo neteisėto asmenų

patekimo į jas

– Serverių patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir (arba) apsaugos tarnybos stebėjimo pulto

– pagrindinė IS kompiuterinė įranga turi turėti įtampos filtrą ir rezervinį maitinimo šaltinį

– Serverių patalpose turi būti įrengta oro kondicionavimo įranga;

50


• Reikalavimai IS programinei įrangai:– IS techninė ir programinė įranga turi būti prižiūrima laikantis gamintojo

rekomendacijų,

– IS techninės ir programinės įrangos priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai,

– turi būti naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga,

– operatyviai įdiegiami ištestuoti naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai,

– turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo priemonės,

51


• Turi būti daromos atsarginės elektroninės informacijos kopijos

• Elektroninė informacija kopijose turi būti užšifruota (arba turi būti imtasi kitų priemonių)

• Laikmenas su IS programinės įrangos kopijomis draudžiama laikyti serverių patalpose

52


• Papildomi pirmosios kategorijos informacinių sistemų elektroninės informacijos saugos techniniai reikalavimai:

– ne rečiau kaip kartą per trejus metus atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai

– institucija turi įgyvendinti Lietuvos standarte LST ISO/IEC 27002:2009 nurodytas saugos priemones, išskyrus priemones, kurios netaikytinos dėl institucijos veiklos, informacinės sistemos ar naudojamos informacinėje sistemoje techninės įrangos pobūdžio, ir Lietuvos standarte LST ISO/IEC 27001:2006 nurodytus reikalavimus informacijos saugumo valdymo sistemai

53

Asmens duomenų apsauga (1)

• Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms– patvirtinti VDAI direktoriaus 2008-11-12 įsakymu Nr. 1T-71(1.12) (Žin.,

2008, Nr. 135-5298)

• Patvirtintos asmens duomenų tvarkymo taisyklės

• Už duomenų apsaugą atsakingas asmuo negali atlikti administratoriaus funkcijų

54

Asmens duomenų saugumo lygiai

• Pirmasis:– tvarkomi viešai skelbiami asmens duomenys ir automatiniu būdu

tvarkomi duomenys, prie kurių nėra prieigos per išorinius duomenų perdavimo tinklus;

• Antrasis– automatiniu būdu tvarkomi asmens duomenys, prie kurių yra prieiga

per išorinius duomenų perdavimo tinklus;

• Trečiasis– automatiniu būdu tvarkomi ypatingi asmens duomenys.

55

Pirmasis saugumo lygis

• Prieigos apsauga, valdymas ir kontrolė

• Prieiga tik funkcijoms vykdyti

• Naudotojui galimi atlikti veiksmai (teisės)

• Slaptažodžiai:– Ne mažiau kaip 8 simbolių

– Keičiami ne rečiau kaip kas 2 mėn.

– Privalo būti pakeisti pirmojo prisijungimo metu

• Apsauga nuo neteisėto prisijungimo prie vidinio kompiuterių tinklo

• Patalpų saugumas

56

Antrasis saugumo lygis

• Registravimosi bei teisių gavimo pastangų fiksavimas ir kontrolė

• Nustatomas leistinų nepavykusių prisijungimų prie programinės įrangos skaičius

• Fiksuojami naudotojų veiksmai:– prisijungimo identifikatorius

– data, laikas, trukmė

– jungimosi rezultatas

– bylos, prie kurių buvo jungtasi

– šie įrašai turi būti saugomi ne trumpiau kaip 1 metus

• Teikiamų asmens duomenų paieškos užklausoje turi būti suformuluotas duomenų paieškos tikslas

57

Antrasis saugumo lygis

• Saugių protokolų ir (arba) slaptažodžių naudojimas, kai asmens duomenys perduodami išoriniais duomenų perdavimo tinklais

• Išorinės duomenų laikmenos, elektroninis paštas, ištrynimas po panaudojimo

• Registruojami duomenų kopijavimo ir atkūrimo praradimo atveju veiksmai

• Testavimas neturi būti vykdomas su realiais asmens duomenimis (išskyrus būtinus atvejus)

• Patalpų saugumas

58

Trečiasis saugumo lygis

• Fiksuojami prisijungimų prie asmens duomenų įrašai:– Bylos, prie kurių buvo jungtasi

– Atlikti veiksmai (įvedimas, peržiūra, keitimas, naikinimas ir kiti)

– Įrašai turi būti saugomi ne trumpiau kaip 1 metus.

• Ne rečiau kaip kartą per 1 mėn.:– peržiūrėti naudotojų prisijungimų žurnalą

– duomenų valdytojui teikti peržiūros ataskaitas

• Mobilieji įrenginiai (jeigu naudojami ne vidiniame kompiuterių tinkle):– ypatingi asmens duomenys ir prisijungimo prie tvarkomų asmens

duomenų informacija

– šifruojama ar apsaugoma tokiomis priemonėmis

59

Trečiasis saugumo lygis

• Atsarginės duomenų kopijos turi būti saugomos kitoje vietoje

• Atsarginių kopijų, archyvų ir išorinių duomenų laikmenų šifravimas

• Elektroniniu paštu perduodamų ypatingi asmens duomenų šifravimas

60

Rekomendacijos dėl ypatingų asmens duomenų apsaugos

• ne rečiau kaip kartą per 1 metus atlikti asmens duomenų tvarkymo rizikos vertinimą

• ne rečiau kaip kartą per 1 metus patikrinti avarinio asmens duomenų atkūrimo tvarką atliekant praktinius bandymus

• šifruoti aktyvioje (veikiančioje) duomenų bazėje saugomus asmens duomenis

• kontroliuoti informacinę sistemą administruojančių asmenų veiksmus (organizacinės ir techninės priemonės)

61

3 dalis

Informacijos saugumo valdymo principai

62

Vadybos sistemų standartai

ISO 9001Kokybė

ISO 14001Aplikosauga

ISO 18001Sveikata ir sauga

darbe

ISO 20000IT paslaugos

ISO 22000Maisto saugumas

ISO 22301Veiklos

tęstinumas

ISO 27001Informacijos

saugumas

ISO 28000Fizinė sauga

63

ISO 27001 serijos istorija

19901995

2000

20072008+

ISO 27006

Reikalavimai

sertifikuojančioms

organizacijoms

Kiti 27000

šeimos

standartai

BS7799-1

Geriausios

praktikos

kodeksas

BS7799-2

ISMS sertifikavimo schema

Geriausios

praktikos

kodeksas

(išleistas grupės

kompanijų)

ISO 17799

Geriausios

praktikos

kodeksas

Nauja ISO17799versija

ISO 27001 publikacija

1998

2005

64

ISO 27000 standartų šeimaŽ

od

yn

as

Reik

ala

vim

ai

Ben

dri

eji

vad

ov

ai

Ats

kir

ų š

akų

vad

ov

ai

ISO 27001

ISVS

reikalavimai

ISO 27006

Reikalavimai

Sertifikuojančioms

organizacijoms

ISO 27005

Rizikos

valdymas

ISO 27004

Metrikos

ISO 27003

Diegimo

vadovas

ISO 27002

Praktikos

kodeksas

ISO 27007-27008

Audito vadovas

ISO 27011

Telekomunikacijos

ISO 27799

Sveikata

ISO 270XX

kiti

ISO 27000

Žodynas

65

ISO 27001

• Reglamentuoja reikalavimus

ISVS valdymui

(4-10 skyriai)

• Reikalavimuose naudojamas

angliškas žodis „shall“

• A priedas: 14 skyrių su 35

valdymo tikslais ir 114

valdymo priemonėmis

• Organizacija gali būti

sertifikuojama pagal šį

standartą

66

ISO 27002• Pakeitė ISO 17799

• Informacijos saugumo

valdymo praktikos kodeksas

(rekomendacinis

dokumentas)

• Sakiniai parašyti, naudojant

anglišką žodį „should“

• Sudarytas iš 14 skyrių su 35

valdymo tikslais ir 114

valdymo priemonėmis

• Organizacija negali būti

sertifikuojama pagal šį

standartą

67

ISO 27001 privalumai

1. Saugumo sustiprinimas

2. Geras strateginis valdymas

3. Atitiktis

4. Kaštų mažinimas

5. Marketingas

PRIVALUMAI

68

ISO 27001 sertifikavimo naudos

• Atitiktis teisės aktų reikalavimams– 1-os kategorijos informacinės sistemos turi atitikti šio standarto

reikalavimus

• Klientų lūkesčių užtikrinimas– Fiziniai ir juridiniai asmenys

• Atitiktis tarptautinių sutarčių reikalavimams– su kitomis valstybėmis ir organizacijomis

• Užsakovo lūkesčių užtikrinimas– Informacinių išteklių valdytojai

• Nepriklausoma informacijos saugumo valdymo būklės peržiūra

69

Informacijos saugumas

• Informacijos saugumas – tai informacijos apsauga

nuo daugelio įvairių grėsmių,

– siekiant užtikrinti veiklos nepertraukiamumą,

– kiek galima sumažinti veiklos riziką ir

– kiek galima padidinti investicijų pelną bei veiklos galimybes.

• Informacijos konfidencialumo, vientisumo ir

prieinamumo išsaugojimas.

70

Informacijos formos

• Atspausdinta arba užrašyta ranka

• Įrašyta technologinio proceso

• Persiųsta elektroniniu būdu

• Įdėta į interneto svetainę

• Parodyta vaizdo filme

• Išsakyta susitikimo metu

• ir t.t.

71

Pažeidžiamumai

Turto arba saugumo priemonės silpnumas, kurį gali išnaudoti grėsmė

Pažeidžiamumo tipas Pavyzdys

1. Aparatinė įrangaNepakankama priežiūra

Nešiojama įranga

2. Programinė įrangaNėra registracinių įrašų

Komplikuota vartotojo sąsaja

3. TinklasDuomenys nešifruojami

Prieiga per vieną tašką

4. PersonalasNepakankami mokymai

Priežiūros stoka

5. PastatasNestabilus elektros tiekimas

Pastatas gali būti užlietas potvynio

6. Organizacinė struktūraPareigos nėra atskirtos

Nėra pareiginių instrukcijų

72

Grėsmės

Potenciali nepageidaujamo incidento, galinčio sukelti žalos sistemai ar organizacijai galimybė

Grėsmės tipas Pavyzdys

1. Fizinė žalaGaisras

Vandens žala

2. Gamtinė nelaimėŽemės drebėjimas

Potvynis

3. Pagrindinių paslaugų praradimasOro kondicionieriaus gedimas

Elektros tiekimo nutrūkimas

4. SpinduliavimasElektromagnetinis spinduliavimas

Šiluminis spinduliavimas

5. Informacijos nutekėjimasPasiklausymo įranga

Dokumentų vagystė

6. Techninis gedimasĮrangos gedimas

Per didelis tinklo apkrautumas

73

Konfidencialumas, vientisumas ir prieinamumas

• Konfidencialumas– savybė, nusakanti, kad informacija

nebus prieinama ar pateikiama neįgaliotiems fiziniams ar juridiniams asmenims arba procesams

• Vientisumas– savybė, nusakanti turto tikslumo ir

pilnumo apsaugą

• Prieinamumas– savybė, užtikrinanti įgaliotojo subjekto

prieigos ir naudojimosi, esant reikalui galimybę.

74

Informacijos saugumo rizika

• Galimybė, kad konkreti grėsmė išnaudos turto pažeidžiamumus ir taip pakenks organizacijai.

Pasekmė

(Poveikis)RizikaTikimybė

75

Valdymo tikslai ir valdymo priemonės

Valdymo tikslas

Teiginys, nurodantis, kas turi būti pasiekta, įdiegus valdymo priemonesTechninės

priemonės

Administracinės

priemonės

Vadybinės

priemonės

Teisinės

priemonės

Valdymo priemonė

Būdai valdyti riziką

Apima politikas, procedūras, vadovus arba organizacijos struktūrą

Sinonimai: priemonės, apsaugos priemonės, saugumo įranga

76

Valdymo priemonės

Prevencinės priemonės

Atgrasinti arba užkirsti kelią problemų atsiradimui.

Detekcinės priemonės

Ieškoti, aptikti ir nustatyti anomalijas.

Korekcinės priemonės

Išspręsti aptiktas problemas ir užkirsti kelią

anomalijų atsiradimui.

Prevencinės

Detekcinės Korekcinės

77

Strateginės, bendrosios ir taikomųjų sistemų valdymo priemonės

Strateginės priemonės

(4-10 skyriai)

Sistemų kūrimo

valdymasFizinė apsauga

Prieigos

kontrolėTurto valdymas

Incidentų

valdymas

Finansai Pardavimai Marketingas Personalas

Įvestys, apdorojimas, išvestys

ISVS politikaStebėsena ir

ISVS peržiūra

Vadovybės

analizė

Nuolatinis

tobulėjimas

Rizikos

valdymas

Taikomoji sistema

Valdymo priemonės

Bendrosios

priemonės

(A priemonės)

Taikomųjų sistemų valdymo

priemonės

(neaprašytos

ISO 27001)

78

Ryšiai tarp informacijos saugumo sąvokų

Savininkas

Priemonės

Pažeidžiamumai

Rizika

Grėsmės

Turtas

Nustato vertę

Norėtų sumažinti

mažina

gali turėti

gali sumažinti

did

ina

išn

au

do

ja

didina

turi

gali paveikti

parenka

79

Nustatytos rizikos

• Gamintojo nepalaikoma programinė įranga

• Personalo trūkumas

• Neteisėtas prieigos prie informacinių išteklių naudojimas

• Netinkamas informacinių išteklių naudojimas

• Sistemų architektūros klaidos

80

Procesinis požiūris

Peržiūrėti ir

Tobulinti ISVS

Įgyvendinti ir

naudoti ISVS

Parengti ISVS

Stebėti ir

analizuoti ISVS

Suinteresuotos šalys

Valdomas informacijos saugumas

Suinteresuotos šalys

Informacijos saugumo

reikalavimai ir lūkesčiai

Planavimas

Tikrinimas

Plėtra Taikymas

81

ISVS diegimas

Planavimas

Preliminari analizė

Projekto planavimas

Strateginis valdymas

Rizikos vertinimas

Taikomumo pareiškimas

TaikymasDokumentų

valdymas

Priemonių ir procedūrų kūrimas

Valdymo priemonių įdiegimas

Mokymas ir suvokimo didinimas

Incidentų valdymas

Operacijų valdymas

Tikrinimas

Valdymo priemonių stebėsena

Veiksmingumo matavimas

Vidinis auditas

Vadovybinė analizė

Plėtra

Neatitikčių nustatymas

Neatitikčių šalinimas

Nuolatinis tobulinimasis

82

ISO 27001 – apžvalga ir struktūra

• 4 skyrius: Organizacijos kontekstas

• 5 skyrius: Vadovavimas

• 6 skyrius: Planavimas

• 7 skyrius: Parama

• 8 skyrius: Operacijos

• 9 skyrius: Vykdymo vertinimas

• 10 skyrius: Tobulinimas

• A priedas: Valdymo tikslai ir valdymo priemonės

83

Apibrėžti ISVS taikymo sritį ir kontekstą

Veiklos procesas

Struktūrinis padalinys

Visa organizacija

Organizacija ir suinteresuotosios šalys

Pastaba: Bet kokios išimtys turi būti pagrįstos

84

Apibrėžti ISVS politiką ir atsakomybes

1. Vadovybės įsipareigojimai informacijos saugumo srityje

2. Bendroji veiklos kryptis ir principai, susiję su informacijos saugumu

3. Numatyti kriterijai, pagal kuriuos įvertinama rizika

4. ISVS politika patvirtinta organizacijos vadovybės

5. Paskirstyti pareigas informacijos saugumo srityje

85

Apibrėžti organizacijos rizikos vertinimo būdus

Pastaba: Užtikrinkite, kad rizikos vertinimas

garantuos palyginamus ir pakartotinai galimus

rezultatus

Apibrėžti

rizikos vertinimo būdus

Nustatyti

metodiką

Nustatyti rizikos

priėmimo kriterijus

Nustatyti

priimtinus

rizikos lygius

86

Identifikuoti rizikas

Identifikuoti ISVS taikymo srityje esantį turtą bei šio turto valdytojus

Identifikuoti poveikį, galintį kilti turtui dėl konfidencialumo, vientisumo ar parengtumo praradimo

Identifikuoti šiam turtui kylančias grėsmes

Identifikuoti pažeidžiamas vietas, kuriomis grėsmės šaltiniai gali pasinaudoti

Identifikuoti

turtąIdentifikuoti

grėsmes

Identifikuoti

pažeidžiamas

vietas

Identifikuoti

poveikį

87

Išanalizuoti ir įvertinti rizikas

Įvertinti veiklos įtakas organizacijai kilus saugumo nesklandumams, atsižvelgiant į konfidencialumo, vientisumo ir parengtumo praradimo padarinius

Numatyti, kada rizika yra priimtina, o kada reikalauja atsakomųjų priemonių, atsižvelgiant į rizikos prisiėmimo kriterijus

Įvertinti saugumo nesklandumų atsiradimo tikimybę, atsižvelgiant į esamas grėsmes ir pažeidžiamas vietas, su turtu susijusius poveikius ir esamu metu taikomas valdymo priemones

Nustatyti rizikos lygius

Įvertinti poveikį

Apskaičiuoti

atsiradimo

tikimybę

Nustatyti

rizikos lygius

Nustatyti

rizikos

priimtinumą

88

Identifikuoti ir įvertinti susidorojimo su rizikomis galimybes

Susidoroti su rizika

Tinkamų valdymo priemonių taikymas

Prisiimti riziką

Vadovybė nusprendžia prisiimti riziką

Perduoti riziką

Sprendimas pasidalinti rizika su išorinėmis šalimis:

draudimas arba užsakomosios paslaugos

Vengti rizikos

Su rizika susijusių veiklų nutraukimas arba

pakeitimas

Susidoroti

su rizika

Perduoti

riziką

Prisiimti

riziką

Vengti

rizikos

89

Parinkti valdymo priemones

• Parinkti valdymo priemones, kurios atitinka rizikos

vertinimo ir susidorojimo su rizikomis proceso metu

nustatytus poreikius

• Valdymo priemones gali būti parinktos iš A priedo

REIKIA ATSIŽVELGTI Į:

– Rizikos priimtinumo kriterijus

– Teisinius, sutarčių ir standartų įsipareigojimus

90

Pritarimas liekamosioms rizikoms

2. Sudorota rizikaValdymo priemonėmis eliminuota rizika

1. Liekamoji rizikaPo susidorojimo su rizika likusi rizika

Vadovybė turi suvokti

liekamąją riziką ir

atsakingai ją prisiimti

Prigimtinė rizikaVisa rizika, neįvertinant

valdymo priemonių

2

1

91

Leidimas įgyvendinti ISVS

Vadovybės

leidimas

•Direktorių tarybos rezoliucija

•Oficialus raštas

•Susirinkimas

• ir t.t.

Vadovybės leidimo

galimi įrodymai

ISVS

įgyvendinimas

92

Parengti taikomumo pareiškimą

• Dokumentuota deklaracija, aprašanti valdymo

priemonių tikslus ir juos atitinkančias bei

taikytinas valdymo priemones.

• Taikomumo pareiškime turi būti nurodyta:

– Pasirinkti valdymo tikslai ir valdymo priemonės bei

priežastys, paskatinusios juos pasirinkti

– Esamu momentu jau įgyvendinti valdymo tikslai ir

valdymo priemonės

– Netaikomi A priede pateikti valdymo tikslai ir valdymo

priemonės bei jų netaikymo pagrindimas

93

ISVS įgyvendinimas ir naudojimas

Diekite valdymo priemones

ir apibrėžkite, kaip

matuosite priemonių

efektyvumą.

Kasdieninės ISVS

valdymo operacijos

Sudarykite planą

(veiksmai, ištekliai,

atsakomybės,

prioritetai, tikslai) ir jį

patvirtinkite

Įgyvendinkite

mokymo ir suvokimo

didinimo programas

Įgyvendinkite

incidentų valdymo

procesą, siekiant

greitai aptikti

incidentus ir juos

suvaldyti

Rizikos

priežiūros

planas

Įgyvendinimas

ir priemonių

matavimas

ISVS

valdymas

Incidentų

valdymas

Mokymai ir

suvokimo

didinimas

94

ISVS stebėsena ir analizė

2. Periodinė ISVS efektvymo

analizė, įvertinant atsiliepimus iš

suinteresuotųjų šalių.

4. Rizikos vertinimų peržiūra

1. Monitoringas ir saugumo įvykių

aptikimo bei prevencijos procedūrų

analizė

3. Valdymo priemonių

efektyvumo matavimas

6. Vadovybinė analizė ir

saugumo planų

atnaujinimas

5. Vidaus auditai

ISVS

stebėsena

Ir analizė

Pastaba: Visi šie veiksmai turi būti dokumentuoti ir apskaitomi

95

Vidinis ISVS auditas

• Organizacija periodiškai, numatytais intervalais, turi

atlikti ISVS auditą.

• Audito programa turi būti planuojama, atsižvelgiant į

numatomų audituoti procedūrų ir sričių svarbą bei į

ankstesnių auditų rezultatus.

96

Vadovybės atliekama ISVS analizė

Pradiniai analizės duomenys Išvestiniai analizės duomenys

1. ISVS auditų ir analizių rezultatai

2. Suinteresuotų šalių pastabos

3. Metodai, produktai ir procedūros, kurias

būtų galima panaudoti, siekiant pagerinti

organizacijos ISVS veikimą ir

veiksmingumą

4. Prevencinių ir korekcinių veiksmų padėtis

5. Pažeidžiamos vietos arba grėsmės, į

kurias nebuvo adekvačiai sureaguota,

atliekant ankstesnįjį rizikos vertinimą

6. Veiksmingumo matavimo rezultatai

7. Paskesni veiksmai po ankstesnių valdymo

peržiūrų

8. Visi pokyčiai, galintys turėti įtakos ISVS

9. Patobulinimo rekomendacijos

1. ISVS efektyvumo tobulinimas

2. Rizikos vertinimo ir rizikos

priežiūros planų atnaujinimas

3. Informacijos saugumo

procedūrų ir priemonių

modifikavimas

4. Reikiami ištekliai

5. Valdymo priemonių

efektyvumo tobulinimas

97

ISVS tobulinimas

• Organizacija nuolat turi kelti ISVS efektyvumą, pasitelkdama informacijos saugumo politiką, informacijos saugumo tikslus, audito rezultatus bei analizuodama stebimus įvykius, korekcinius ir prevencinius veiksmus bei vadovybės peržiūras.

98

Korekciniai veiksmai

Priežasčių

nustatymas

Galimybių

įvertinimas

Sprendimų

parinkimas

Taikytų korekcinių veiksmų peržiūra

Sprendimų įgyvendinimas

ir veiksmų registravimas

Neatitikčių identifikavimas ir

dokumentavimas

Nuolatinis tobulinimas

Korekcinis veiksmas

Padėties analizė

Neatitikties identifikavimas

99

Prevenciniai veiksmai

Siekdama išvengti potencialių ISVS

reikalavimų neatitikčių atvejų, organizacija turi

imtis atitinkamų veiksmų.

Prevenciniai veiksmai Korekciniai veiksmai

Efektyvumas Sąnaudos

100

4 dalis

Informacijos saugumo valdymo auditas

(atitikties vertinimas)

101

ISO 19011: Vadybos sistemų audito gairės

1. Taikymo sritis

2. Nuorodos į kitus standartus

3. Terminai ir apibrėžtys

4. Audito principai

5. Audito programos valdymas

6. Audito veiklos

7. Auditorių kompetencijair vertinimas

102

Kas yra auditas?

ISO 19011, 3.1 skyrius

• Sisteminis, nepriklausomas ir dokumentuotasprocesas audito įrodymų gavimui ir jų objektyviamįvertinimui, siekiant nustatyti audito kriterijųtenkinimo apimtį.

Trumpai:

Auditavimas reiškia audituojamųjų klausinėjimą,

ką jis/ji daro ir patikrinimą, ar jis/ji daro tai.

103

Auditų tipai

Antrosios šalies auditas

Mūsų organizacija

audituoja mūsų tiekėją

Antrosios šalies auditas

Mūsų klientas audituoja

mūsų organizaciją

Trečiosios šalies

auditas

Mūsų organizaciją

audituoja

nepriklausoma

organizacija

Klientas Tiekėjas

Išorinis

Vidinis

Organizacija

Pirmosios šalies auditas

Mūsų organizacija

audituoja savo sistemas

104

Audito įrodymai

• ISO 19011, 3.3 skyrius

• Įrašai, faktų teiginiai ir kita informacija, kuri yra susijusi su audito kriterijais ir gali būti patikrinama

• Audito įrodymai turi būti pasiekiami

• Įrodymų prigimtis:

– kokybiniai

– kiekybiniai

105

Audito įrodymai ir jų patikimumas

Patvirtinantys įrodymai

Analitiniai įrodymai

Techniniai įrodymai

Dokumentų įrodymai

Žodiniai įrodymai

Fiziniai ir matematiniai

įrodymai

106

Dokumentų įvertinimo kriterijai

Turinys

Dokumentų

valdymo

procedūra

Formatas

107

Audituojamų dokumentų tipai

Suteikia objektyvius įrodymus

ISVS reikalavimų atitikčiai

Aprašo pareigų ir veiklų

atlikimą

Aprašo procesus ir

valdymo priemones

(kas, ką, kada, kaip kur ir kodėl)

Strateginio

valdymo

struktūra

ISVS politika, taikomumo pareiškimas,

taikymo sritis, vadovybės analizė ir kiti

strateginiai dokumentai

Procesų ir valdymo priemonių

aprašai

Mokomoji medžiaga,

formos, priemonių

sąrašai ir t.t.

Įrašai

1 lygis

2 lygis

3 lygis

4 lygis

108

Reikalavimai dokumentams

ISVS apibrėžimas

ISVS turi būti dokumentuota:

• ISVS taikymo sritis

• ISVS politikos ir valdymo tikslųteiginiai

• Taikomumo pareiškimas

109

Reikalavimai dokumentai (tęs.)

Rizikos valdymas

• Rizikos vertinimo būdo ir metodo aprašas

• Rizikos vertinimo ataskaita

• Rizikos valdymo planas

110

Reikalavimai dokumentams (tęs.)

Valdymo priemonių dokumentai

• Deklaruojamų valdymo priemonių aprašai irprocedūros

• Dokumentuotos procedūros, skirtos užtikrintiplanavimą, operacijas ir efektyvią ISVS kontrolę

• Reikalingi įrašai

111

Strateginių dokumentų patikrinimas

Dokumentuose turi būti informacijos, susijusios su sprendimais, patvirtinimais ir vadovybės veiksmaisdėl:

• ISVS taikymo srities ir taikomumo pareiškimo

• ISVS politikos

• Rizikos vertinimo kriterijų

• Liekamosios rizikos priimtinumo

• ISVS veiklai reikalingų išteklių

• Vadovybinės analizės

• Audito ataskaitų

112

Dokumentų valdymo procedūros tikrinimas

5. Tvirtinimas

4. Pakeitimas

8 . Archyvavimas

1. Sukūrimas

3. Klasifikavimas ir

saugumas2. Identifikavimas

6. Paskirstymas7. Tinkamas

naudojimas

9. Sunaikinimas

Turi būti patvinta procedūra, skirta

dokumentų gyvavimo ciklo valdymui

113

Neatitiktys

• Neatitiktis yra „reikalavimo neįvykdymas“.

• Du neatitikčių tipai:

– Esminė neatitiktis (angl. major nonconformity)

– Neesminė neatitiktis (angl. minor nonconformity)

114

Esminė neatitiktis

Reikalaujama sąlyga nėra vykdoma arba valdymo priemonė nėra naudojama arba yra visai neveiksmingos:

• kelia rimtas abejones dėl ISVS gebėjimo apsaugoti svarbios informacijos konfidencialumą, vientisumą arba pasiekiamumą (parengtumą)

• ir (arba) yra nepriimtina rizika suinteresuotoms šalims

http://images.google.ca/imgres?imgurl=http://www.doh.state.fl.us/chdBrevard/images/BL00520_1.gif&imgrefurl=http://www.doh.state.fl.us/chdBrevard/emergency_prep/fire.htm&h=364&w=374&sz=6&hl=en&start=3&tbnid=jvVzz3sHby3qEM:&tbnh=119&tbnw=122&prev=/images?q=fire+clipart&gbv=2&svnum=100&hl=en&safe=off

http://images.google.ca/imgres?imgurl=http://www.doh.state.fl.us/chdBrevard/images/BL00520_1.gif&imgrefurl=http://www.doh.state.fl.us/chdBrevard/emergency_prep/fire.htm&h=364&w=374&sz=6&hl=en&start=3&tbnid=jvVzz3sHby3qEM:&tbnh=119&tbnw=122&prev=/images?q=fire+clipart&gbv=2&svnum=100&hl=en&safe=off

115

Esminė neatitiktis

• Vadovybės įsipareigojimų stoka

• Už ISVS valdymą atsakingi darbuotojai neturi reikiamos kvalifikacijos

• Pasikartojantiems incidentams trūksta korekcinių veiksmų

• Rizikos vertinimas neapima privalomų aspektų (turto nustatymas, grėsmės, pažeidžiamumai, tikimybės ir t.t.)

• Standarto reikalavimai nėra vykdomi

• Visiškas kurios nors A priedo valdymo priemonės neveikimas

116

Neesminė neatitiktis

Valdymo priemonė buvo nepilnai įdiegta arba pritaikyta:

– kelia tam tikras abejones dėl ISVS gebėjimo apsaugoti svarbios informacijos konfidencialumą, vientisumą arba prieinamumą

– ir (arba) maža, tačiau ne nereikšminga rizika suinteresuotoms šalims

http://images.google.ca/imgres?imgurl=http://www.designedtoat.com/clipart6/smoke_10.gif&imgrefurl=http://www.designedtoat.com/smoke.shtml&h=153&w=88&sz=7&hl=en&start=9&tbnid=pOOJP4-PKc6InM:&tbnh=96&tbnw=55&prev=/images?q=fire+clipart&gbv=2&ndsp=18&svnum=100&hl=en&safe=off&sa=N

http://images.google.ca/imgres?imgurl=http://www.designedtoat.com/clipart6/smoke_10.gif&imgrefurl=http://www.designedtoat.com/smoke.shtml&h=153&w=88&sz=7&hl=en&start=9&tbnid=pOOJP4-PKc6InM:&tbnh=96&tbnw=55&prev=/images?q=fire+clipart&gbv=2&ndsp=18&svnum=100&hl=en&safe=off&sa=N

117

Neesminė neatitiktis

• Rizikos vertinimo ataskaitoje yra nenuoseklumų

• Kai kurie už ISVS atsakingi darbuotojai nėra tinkamai

apmokyti

• Prieiga prie operacinės sistemos programinės įrangos

yra apsaugota, tačiau tai nėra dokumentuota

• Kai kurios procedūros nebuvo peržiūrėtos ir atnaujintos

organizacijos nustatytais terminais

118

Anomalija

Apibrėžimas: Anomalija yra atsitiktinis arba izoliuotas nuokrypis nuo reikalavimo

Anomalija nebūtinai yra neatitiktis

Auditorius turi įsitikinti, kad audituojamiesiems anomalija yra priimtina

119

Pastaba

Apibrėžimas: pastaba yra

teikiama tada, kai audito metu

nustatyta padėtis arba

elementas gali būti pagerinti,

neskelbiant neatitikties

Pastabos dažniausiai yra

siejamos su ISVS

veiksmingumo sustiprinimo

rekomendacijomis

Audituojamasis nėra

įpareigotas įgyvendinti

korekcinius veiksmus pagal

pateiktas rekomendacijas

120

ARSIS atitikties vertinimo metodika

• VRM 2004-05-06 įsakymas Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“

• Vertinimo tvarka:

• Pirmas etapas – informacijos surinkimas ir vertinimas

• Antras etapas –atitikties vertinimo ataskaitos parengimas

• Atitikties vertinimo skalė

• 1 – nėra vertinamo objekto

• 2 – parengtas vertinamo objekto projektas

• 3 – vertinamas objektas patvirtintas, tačiau netaikomas (nesivadovaujama parengtomis priemonėmis ar procedūromis, vartotojai nesupažindinti su jomis, nepaskirtas atsakingas vykdytojas ir pan.)

• 4 – vertinamas objektas taikomas, tačiau rasta nežymių trūkumų, kurie nurodomi pastabose

• 5 – vertinamas objektas taikomas.

121

5 dalis

ARSIS apsaugos priemonių auditas (atitikties vertinimas)

122

Valdymo priemonių sritys

5. Informacijos saugumo politikos

6. Informacijos saugumo organizavimas

7. Žmogiškųjų išteklių saugumas

8. Turto valdymas

9. Prieigos kontrolė

10. Kriptografija

11. Fizinė ir aplinkos apsauga

12. Operacijų saugumas

13. Ryšių saugumas

14. Kūrimo ir priežiūros procesų saugumas

15. Ryšiai su rangovais

16. Informacijos saugumo incidentų valdymas

17. Informacijos saugumo aspektai veiklos tęstinumo valdyme

18. Atitiktis

123

5. Informacijos saugumo politikos

124

5.1. Informacijos saugumo valdymo kryptis

• Tikslas:– nustatyti valdymo kryptį ir užtikrinti informacijos saugumą

atitinkančius veiklos reikalavimus ir atitinkamus įstatymus bei reglamentus.

• Vadovybė turėtų:– nustatyti aiškią politikos kryptį, atitinkančią veiklos tikslus

– akivaizdžiai ją palaikyti ir įsipareigoti

– paskelbti

– remti.

125

5.1. Informacijos saugumo valdymo kryptis

• 5.1.1. Informacijos saugumo politikos– Informacijos saugumo politikų visuma turi būti apibrėžta, patvirtinta

vadovybės, paskelbta ir pateikta visiems darbuotojams bei su tuo susijusioms išorinėms šalims.

– Saugos nuostatai, naudotojų administravimo taisyklės, saugos elektroninės informacijos tvarkymo taisyklės, veiklos tęstinumo valdymo planas

• 5.1.2. Informacijos saugumo politikų peržiūra– Kas tam tikrą numatytą laiką

– Įvykus reikšmingiems pasikeitimams

126

6. Informacijos saugumo organizavimas

127

6.1 Vidinis organizavimas

• Tikslas:– Siekiant įdiegti informacijos saugumą organizacijoje ir jį valdyti, turėtų

būti sudaryta valdymo struktūra.

• Jeigu reikia, organizacijoje turėtų būti sudarytos sąlygos prieinamai informacijos saugumo specialisto konsultacijai.

• Turėtų būti plėtojami ryšiai su išoriniais saugumo specialistais ar jų grupėmis.

• Informacijos saugumas turi būti projektų valdymo dalimi.

128


• 6.1.1. Informacijos saugumo rolės ir atsakomybės– Visos informacijos saugumo atsakomybės turi būti apibrėžtos ir

paskirtos atsakingiems asmenims.

• 6.1.2. Pareigų atskyrimas– Konfliktuojančios pareigybės ir atsakomybių sritys turi būti atskirtos

kad sumažinti neautorizuotų ar netyčinių modifikacijų ar piktnaudžiavimo organizacijos turtu galimybę.

• 6.1.3. Ryšys su valdžios institucijomis– Turi būti palaikomi atitinkami ryšiai su svarbiomis valdžios

institucijomis.

129


• 6.1.4. Ryšys su specialiomis interesų grupėmis– Turi būti palaikomi atitinkami ryšiai su specialių interesų grupėmis ar

kitais specialistų saugumo forumais bei profesinėmis asociacijomis.

• 6.1.5. Informacijos saugumas projektų valdyme– Informacijos saugumas turi būti aptartas projektų valdyme,

nepriklausomai nuo projekto tipo.

130

6.2. Mobilieji įrenginiai ir nuotolinis darbas

• Tikslas:– Užtikrinti nuotolinio darbo ir mobiliųjų įrenginių saugumą

• Neapsaugos darbo aplinkos rizikos įvertinimas

• Nuotolinio darbo vietos apsaugos priemonės

131

6.2. Mobilieji įrenginiai ir nuotolinis darbas

• 6.2.1. Mobilių įrenginių politika– Politika ir palaikančios saugumą priemonės turi būti pritaikytos, kad

valdyti mobilių įrenginių naudojimo keliamas rizikas.

– Nešiojamieji/planšetiniai kompiuteriai, mobilieji telefonai

– WiFi, 3G, 4G, VPN

• 6.2.2. Nuotolinis darbas– Politika ir palaikančios saugumą priemonės turi būti įdiegtos, kad

apsaugoti priėjimą prie informacijos, apdorojimą ar saugojimą nutolusiose vietose.

– VPN, skirtų IT priemonių naudojimas, kietojo disko šifravimas

– Fizinė sauga

132

7. Žmogiškųjų išteklių saugumas

133

7.1. Įdarbinimas

• Tikslas: – užtikrinti, kad darbuotojai ir rangovai supranta savo atsakomybę ir yra

tinkami jiems paskirtoms užduotims atlikti

• Saugumo atsakomybės darbo sutarties nuostatuose

• Kandidatų išankstinė patikra

• Sutartys dėl saugumo užtikrinimo ir atsakomybės

134

7.1. Įdarbinimas

• 7.1.1. Tikrinimas– Visų pretendentų į darbą, rangovų ir trečiosios šalies atstovų praeitis

turi būti tikrinama nepažeidžiant galiojančių įstatymų, reglamentų ir etikos bei suderintas su veiklos reikalavimais, teikiamos informacijos klasifikacija ir nustatyta rizika.

• 7.1.2. Įdarbinimo nuostatai ir sąlygos– Sutartyse su darbuotojais ir rangovais turi būti nurodyta jų ir

organizacijos atsakomybės dėl informacijos saugumo.

135

7.2. Informacijos saugumas įdarbinimo laikotarpiu

• Tikslas:– užtikrinti, kad darbuotojai ir rangovai supranta ir atlieka savo

informacijos saugumo atsakomybes

• Darbuotojai ir rangovai turi turėti:– Deramą supratimą,

– Kvalifikaciją,

– Būti apmokyti saugumo procedūrų

• Drausminės nuobaudos

136

7.2. Informacijos saugumas įdarbinimo laikotarpiu

• 7.2.1. Vadovybės atsakomybės– Vadovybė turi reikalauti, kad darbuotojai ir rangovai vadovautųsi

saugumo reikalavimais, numatytais organizacijos nustatytose politikose ir procedūrose.

• 7.2.2. Informacijos saugumo supratimas, švietimas ir mokymas– Visi organizacijos darbuotojai ir, kai reikia, rangovai turi būti tinkamai

mokomi ir nuolat informuojami apie organizacijos politikos bei procedūrų, susijusių su jų darbu, pokyčius.

• 7.2.3. Drausminė procedūra– Turi būti iškomunikuota drausminė procedūra ir taikoma

darbuotojams, pažeidusiems saugumo reikalavimus.

137

7.3. Darbo santykių nutraukimas arba pakeitimas

• Tikslas:– Apsaugoti organizacijos interesus darbo santykių nutraukimo arba

pakeitimo procese.

• 7.3.1. Atsakomybė, nustojus galioti darbo sutarčiai ar keičiant pareigas– Informacijos saugumo atsakomybės ir pareigos, kurios lieka

galiojančios po darbo sutarties nutraukimo ar pareigų pakeitimo, turi būti apibrėžtos, iškomunikuotos darbuotojui ar rangovui ir vykdomos.

138

8. Turto tvarkymas

139

8.1 Atsakomybė už turtą

• Tikslas:– Identifikuoti organizacijos turtą ir nustatyti tinkamas apsaugos

atsakomybes

• Visas turtas turėtų būti inventorizuotas

• Paskirtas turto valdytojas

• Numatyta jų atsakomybė už priežiūrą

• Apsaugos priemonių įgyvendinimas gali būti pavestas kitam asmeniui

140

8.1 Atsakomybė už turtą

• 8.1.1. Turto aprašai– Turi būti nustatytas turtas, susijęs su informacija ir informacijos

apdorojimo įrenginiais ir viso pagrindinio turto aprašai turi būti sudaryti ir prižiūrimi.

• 8.1.2. Turto valdymas– Prižiūrimas turtas, esantis turto aprašuose, turi būti valdomas.

• 8.1.3. Priimtinas turto naudojimas– Turi būti apibrėžtos, įformintos dokumentais ir įgyvendintos taisyklės,

skirtos informacijos ir turto, susijusio su informacijos apdorojimo priemonėmis, priimtinam naudojimui.

• 8.1.4. Turto grąžinimas– Visi darbuotojai ir išorinių šalių vartotojai turi grąžinti visą jų valdomą

organizacijos turtą iki darbo sutarties ar kontrakto galiojimo pabaigos.

141

7.2 Informacijos klasifikavimas

• Tikslas:– užtikrinti tinkamą informacijos apsaugos lygį pagal jos svarbą

organizacijai

• Valstybės ir tarnybos paslapčių įstatymas:– Riboto naudojimo, konfidencialiai, slaptai ir visiškai slaptai.

• Asmens duomenų teisinės apsaugos įstatymas:– Asmens duomenys

– Ypatingieji asmens duomenys

142

8.2 Informacijos klasifikavimas

• 8.2.1. Informacijos klasifikavimas– Informacija turi būti klasifikuojama atsižvelgiant į teisinius

reikalavimus, jos vertę, svarbą ir jautrumą nesankcionuotam atskleidimui ar pakeitimui.

• 8.2.2. Informacijos žymėjimas– Turi būti parengtas ir įgyvendintas tinkamas informacijos žymėjimui

skirtų procedūrų rinkinys, atitinkantis organizacijos priimtą informacijos klasifikavimo schemą.

• 8.2.3. Turto priežiūra– Turi būti parengtas ir įgyvendintas turto priežiūrai tinkamas skirtų

procedūrų rinkinys, atitinkantis organizacijos priimtą informacijos klasifikavimo schemą.

143

8.3. Laikmenų valdymas

• Tikslas:– Užkirsti kelią neteisėtam laikmenose saugomos informacijos

atskleidimui, pakeitimui, pašalinimui arba sunaikinimui

144


• 8.3.1. Keičiamųjų duomenų laikmenų tvarkymas– Turėtų būti taikomos keičiamųjų laikmenų tvarkymo procedūros.

– Neatkuriamas pašalinimas, laikmenų saugojimo aplinka

– Duomenų saugojimo ilgaamžiškumas, laikmenų registravimas

– Duomenų laikmenų blokavimas

• 8.3.2. Duomenų laikmenų naikinimas– Nebereikalingos laikmenos turėtų būti saugiai ir patikimai

sunaikinamos, taikant oficialias procedūras.

– Mechaninis naikinimas, deginimas, saugus duomenų ištrynimas

– Sunaikinimo registravimas

145


• 8.3.3. Fizinių laikmenų perdavimas– Duomenų laikmenos, kuriose yra informacija, transportavimo metu

turi būti apsaugotos nuo nesankcionuoto priėjimo, netinkamo naudojimo ar jų pažeidimo.

– Transportas, kurjeris, kurjerio identifikavimas, įpakavimas, įteikimas į rankas, užrakinamas konteineris

146

9. Prieigos valdymas

147

9.1. Įstaigos veiklos prieigos valdymo reikalavimai

• Tikslas:– Riboti prieigą prie informacijos ir informacija apdorojančios

infrastruktūros

• Prieigos valdymo reikalavimai (politika)

• Prieiga prie tinklų ir tinklo paslaugų

148


• 9.1.1. Prieigos valdymo politika– Turi būti numatyta, įforminta dokumentais ir peržiūrima prieigos

valdymo politika, remiantis įstaigos veiklos ir informacijos saugumo reikalavimais.

• Taikomųjų programų rizikos įvertinimas

• Principas „būtina žinoti“

• Skirtingi prieigos lygiai

• Tipiniai prieigos profiliai (rolės)

• Prieigos valdymo procedūros

• Periodinė prieigos teisių peržiūra

• Prieigos teisių panaikinimas

149


• 9.1.2. Prieiga prie tinklo ir tinklo paslaugų– Vartotojams turi būti suteikta tik ta prieiga prie tinklo ar tinklo

paslaugų, kuriomis buvo leista jiems naudotis.

– „Būtina žinoti“, mažiausių privilegijų principas

– Prieigos forma (lokali, nutolusi)

150

9.2. Naudotojų prieigos valdymas

• Tikslas: – užtikrinti sankcionuotą naudotojo prieigą ir išvengti nesankcionuotos

prieigos prie sistemų ir paslaugų

• Oficialios procedūros

• Prieigos valdymas: nuo registravimo iki išregistravimo

• Privilegijuotų prieigos teisių valdymas

151


• 9.2.1. Naudotojų registravimas ir išregistravimas– Turi būti parengta oficiali naudotojo registravimo ir išregistravimo

procedūra, nustatanti prieigos teises.

– Unikalus identifikatorius, derami įgaliojimai, prieigos teisių suteikimas, prieigos sąlygų supratimas ir patvirtinimas, prieigos teisių panaikinimas

• 9.2.2. Naudotojų teisių suteikimas– Turi būti parengta oficiali prieigos teisų suteikimo naudotojui

procedūra, paskirianti ar panaikinanti prieigos teisių visiems vartotojams prie visų sistemų ir paslaugų.

152


• 9.2.3. Privilegijuotų prieigos teisių valdymas– Privilegijuotų prieigos teisių skyrimas ir naudojimasis jomis turi būti

apribotas ir valdomas.

– Operacinė sistema, taikomosios sistemos

– Naudotojo ir administratoriaus rolės

• 9.2.4. Naudotojų slaptos autentifikavimo informacijos valdymas– Slaptos autentifikavimo informacijos paskyrimas turi būti

kontroliuojamas oficialios valdymo procedūros.

– Konfidencialumo įsipareigojimai

– Laikinų slaptažodžių pakeitimas, perdavimas, kompleksiškumas

– Numatytųjų slaptažodžių pakeitimas

153


• 9.2.5. Naudotojų prieigos teisių peržiūra– Turto savininkai reguliariai turi peržiūrėti naudotojų prieigos teises.

– Naudotojų ir administratorių

• 9.2.6. Prieigos teisių naikinimas ar koregavimas– Visų darbuotojų ir išorinių šalių prieigos teisės prie informacijos ir

informacijos apdorojimo priemonių turi būti pašalintos ar pakoreguotos iki darbo sutarties ar kontrakto galiojimo pabaigos.

154

9.3. Naudotojo atsakomybės

• Tikslas:– Užtikrinti, kad naudotojai būtų atsakingais už jų autentikavimo

informacijos apsaugą

• 9.3.1. Slaptos autentifikavimo informacijos naudojimas– Naudotojai, naudodami slaptą autentifikavimo informaciją, privalo

laikytis organizacijoje taikomų praktikų.

– Atsiminimo/užrašymo problematika, keitimas

– Kokybė: prisimenamas, ne iš žodyno, kompleksiškumas

– Skirtingi slaptažodžiai skirtingiems naudotojams

155

9.4. Prieigos prie sistemų ir programų valdymas

• Tikslas:– išvengti nesankcionuotos prieigos prie sistemų ir taikomųjų programų.

• Informacijos prieigos ribojimas

• Saugios prisijungimo procedūros

• Slaptažodžių tvarkymo sistema

• Privilegijuotų paslaugų programų naudojimas

• Prieigos prie programos išeities kodų kontrolė

156


• 9.4.1. Informacijos prieigos ribojimas– Prieiga prie informacijos ir taikomųjų sistemų funkcijų turi būti

apribota, atsižvelgiant į numatytą prieigos valdymo politiką.

– Sistemos funkcijų meniu apribojimas, read/write/execute

– Taikomųjų programų prieigos teisių apribojimas

• 9.4.2. Saugios prisijungimo procedūros– Kur numato prieigos valdymo politika, prieiga prie sistemų ir taikomųjų

programų turi būti valdoma pasitelkiant saugią prisijungimo procedūrą.

– Nerodyti sistemos identifikatorių, leidžiamas prisijungimo mėginimų skaičius, ilgiausias/trumpiausias prisijungimo laikas, įvedamo slaptažodžio nerodymas

157


• 9.4.3. Slaptažodžių tvarkymo sistema– Slaptažodžių tvarkymo sistemos turi būti interaktyvios ir pajėgios

užtikrinti kokybiškų slaptažodžių naudojimą.

– Unikalių naudotojo identifikatorių ir slaptažodžių naudojimas

– Kokybiškų slaptažodžių pasirinkimo galimybė

– Periodinis slaptažodžių keitimas

– Slaptažodžių saugojimas užšifruotu pavidalu

158


• 9.4.4. Privilegijuotų paslaugų programų naudojimas– Paslaugų programų, kurios galėtų nustelbti sistemą ir taikomųjų

programų valdymo priemones, naudojimas turi būti apribotas ir griežtai valdomas.

• 9.4.5. Prieigos prie programos išeities kodų kontrolė– Prieiga prie programos išeities kodų turi būti apribota.

– Pirminio teksto saugojimo vieta

– Versijų keitimo valdymas

– Prieigos prie pirminio teksto ribojimas

159

10. Šifravimas

160

10.1. Šifravimo valdymo priemonės

• Tikslas:– Užtikrinti tinkamą ir efektyvų šifravimo naudojimą, apsaugant

informacijos konfidencialumą, autentiškumą ir (arba) vientisumą.

• Šifravimo valdymo priemonių naudojimo politika

• Šifravimo raktų valdymas

161

10.1. Šifravimo valdymo priemonės

• 10.1.1. Šifravimo valdymo priemonių naudojimo politika– Turėtų būti numatyta ir įgyvendinta šifravimo valdymo priemonių

naudojimo politika.

– Panaudojimo sritys: elektroninis parašas, slaptažodžių saugojimas, nuotolinė prieiga

– Algoritmai, schemos, protokolai, raktų ilgiai

• 10.1.2 Raktų tvarkymas– Turi būti numatyta ir įgyvendinta šifravimo raktų naudojimo, apsaugos

ir gyvavimo ciklo politika.

– Šifravimo raktai, slaptažodžiai, skaitmeniniai sertifikatai

– Generavimas, perdavimas, panaikinimas, apsauga

162

11. Fizinis ir aplinkos saugumas

163

11.1. Saugiosios vietos

• Tikslas:– išvengti nesankcionuotos fizinės prieigos, nuostolių ir trukdžių

organizacijos informacijai ir informacijos apdorojimo priemonėms.

• Nustatytos saugumo aptvaros

• Apsauga turi būti proporcinga nustatytoms rizikoms

164


• 11.1.1. Fizinė saugumo aptvara– Turi būti numatytos ir įgyvendintos saugumo aptvaros, siekiant

apsaugoti vietas, kuriose laikoma jautri ir kritinė informacija ir informacijos apdorojimo priemonės.

– Tvoros, grotos, durys, vartai, apsaugos darbuotojai, apsauginė signalizacija, vaizdo stebėjimo sistemos

• 11.1.2. Fizinė įėjimo kontrolė– Siekiant užtikrinti, kad būtų įleidžiamas tik įgaliotas personalas,

saugiosios vietos turi būti apsaugotos tinkamomis įėjimo kontrolės priemonėmis.

– Raktai, įeigos kortelės, signalizacijos kodai

165


• 11.1.3. Įstaigų, patalpų ir priemonių apsauga– Turi būti numatyta ir taikoma įstaigų, patalpų ir priemonių fizinė

apsauga.

– Nepažymėti kabinetai, vidinės informacijos katalogai, multifunkciniai įrenginiai koridoriuose

• 11.1.4. Apsauga nuo išorinių ir aplinkos grėsmių– Turi būti numatytos ir pritaikytos fizinės apsaugos nuo stichinių

nelaimių, kenkėjiškų atakų ar nelaimingų atsitikimų.

– Gesintuvai, priešgaisrinė signalizacija, degių medžiagų saugojimas, rūkymo vietos

166


• 11.1.5. Darbas saugiosiose vietose– Turi būti numatytos ir pritaikytos procedūros, skirtos darbui

saugiosiose vietose.

– Valstybės ir tarnybos paslapčių apsauga

• 11.1.6. Pristatymo ir krovimo vietos– Siekiant išvengti nesankcionuotos prieigos, prieigos taškai, pavyzdžiui,

pristatymo ir krovimo vietos, pro kurias nepageidaujami asmenys galėtų patekti į patalpas, turi būti prižiūrimos ir, esant galimybei, atskiriamos nuo informacijos apdorojimo priemonių.

– Klientų aptarnavimo skyriai, krovinių pristatymas

167

11.2. Įrangos saugumas

• Tikslas:– išvengti turto netekties, žalos, vagystės arba defektų ir organizacijos

veiklos pertrūkių.

• Įranga turėtų būti apsaugota nuo fizinių ar aplinkos keliamų grėsmių.

• Nesankcionuotos prieigos rizikos mažinimas

• Duomenų apsauga nuo netekties arba žalos

• Įrangos laikymo vietos

• Elektros tinklai ir kabelių infrastruktūra

168


• 11.2.1. Įrangos vietos parinkimas ir apsauga– Siekiant sumažinti aplinkos grėsmių ir pavojų riziką bei

nesankcionuotos prieigos galimybę, turi būti parinkta atitinkama įrangos laikymo vieta ir apsaugos priemonės.

• 11.2.2. Komunalinės paslaugos– Įranga turi būti apsaugota nuo energijos tiekimo sutrikimų bei kitų

nesklandumų, susijusių su komunalinių paslaugų tiekimu.

– Elektros tiekimas, rezervinis elektros tiekimas

– Šildymas, ventiliavimas, oro kondicionavimas

169


• 11.2.3. Kabelių apsauga– Maitinimo ir nuotolinių ryšių kabeliai, kuriais perduodami duomenys

arba teikiamos informacijos paslaugos, turi būti apsaugoti nuo slapto prisijungimo, trukdymo arba pažeidimo.

– Elektros maitinimas, kompiuterių tinklas (LAN, WAN)

• 11.2.4. Įrangos priežiūra– Įranga turi būti tinkamai prižiūrima, siekiant užtikrinti tolesnį jos

parengtumą ir vientisumą.

– Gamintojo nurodymai ir instrukcijos

– Kvalifikuotas priežiūros personalas

170


• 11.2.5. Nuosavybės perkėlimas– Įranga, informacija arba programinė įranga neturi būti išnešama iš

darbo vietos, prieš tai negavus leidimo.

– Žymėjimas, tikrinimas, inventorizavimas

• 11.2.6. Įrangos ir nuosavybės, esančios ne organizacijos patalpose, saugumas– Turi būti apsaugota ne organizacijos patalpose esanti nuosavybė,

atsižvelgiant į skirtingas dėl darbo ne organizacijos patalpose kylančias rizikas.

– Nešiojamieji kompiuteriai ir duomenų laikmenos

– Fizinės apsaugos priemonės

171


• 11.2.7. Saugus įrangos naikinimas arba pakartotinis naudojimas– Prieš įrangą sunaikinant ar perrašant bei panaudojant iš naujo, visi jos

elementai, kuriuose yra atmintinės, turi būti patikrinami, siekiant užtikrinti, kad visi slapti duomenys arba licencijuota programinė įranga yra sunaikinta.

– Duomenų perrašymas, mechaninis naikinimas

• 11.2.8. Be priežiūros paliekama naudotojo įranga– Naudotojai turi užtikrinti, kad jų be priežiūros paliekama įranga būtų

tinkamai apsaugota.

– Veiksmai, baigus darbą

172


• 11.2.9. Saugaus stalo ir saugaus ekrano politika– Popierinių dokumentų ir keičiamųjų laikmenų atžvilgiu turi būti

taikoma saugaus stalo politika, o informacijos apdorojimo priemonių atžvilgiu – saugaus ekrano politika.

• Popierinių dokumentų ir laikmenų saugojimas

• Kompiuterių įrangos priežiūra:– Išjungimas, ekrano užsklanda

– Kabineto rakinimas, langai, signalizacija

• Kopijavimo aparatai, spausdintuvai, faksimilinio ryšio aparatai– Atspausdintų lapų saugumas

173

12. Darbo procedūrų valdymas

174

12.1. Darbo procedūros ir atsakomybės

• Tikslas:– užtikrinti tikslų ir saugų informacijos apdorojimo priemonių darbą.

• Darbo procedūrų įforminimas dokumentais

• Keitimų valdymas

• Pajėgumų valdymas

• Kūrimo, testavimo ir eksploatavimo aplinkų atskyrimas

175


• 12.1.1. Darbo procedūrų įforminimas dokumentais– Darbo procedūros turi būti įformintos dokumentais ir pateikiamos

visiems naudotojams, kuriems jų reikia.

• 12.1.2. Keitimų valdymas– Keitimai vykstantys organizacijoje, verslo procesuose, taip pat

informacijos apdorojimo priemonių ir sistemų, kur įtakojamas informacijos saugumas, turi būti valdomi.

– Nustatymas, registravimas, planavimas, bandymas, tvirtinimas

– IT pagalbos tarnyba

176


• 12.1.3. Pajėgumų valdymas– Turi būti stebimas ir derinamas išteklių naudojimas bei numatomi

būsimų pajėgumų reikalavimai, skirti užtikrinti reikiamą sistemos veiklos lygį.

– Esamos ir naujos veiklos, rezervų planavimas

• 12.1.4. Kūrimo, testavimo ir eksploatavimo aplinkų atskyrimas– Siekiant sumažinti nesankcionuotos prieigos ar pakeitimų operacinėje

sistemoje riziką, kūrimo, testavimo ir eksploatavimo aplinkos turi būti atskirtos.

177

12.2. Apsauga nuo kenksmingų programų

• Tikslas:– Užtikrinti informacijos ir informacijos apdorojimo priemones nuo

kenksmingų programų

• Kenksmingų programų atpažinimas

• Rizikos mažinimo priemonės

178

12.2. Apsauga nuo kenksmingų programų

• 12.2.1. Apsauga nuo kenksmingų programų– Turi būti įgyvendintos tinkamos naudotojų informavimo procedūros ir

taikomos aptikimo, išvengimo bei atkūrimo priemonės, skirtos apsisaugoti nuo kenksmingų programų.

• Antivirusinė programinė įranga:

– Kompiuteriuose

– Tarnybinėse stotyse

– Tinklo įrenginiuose

• Periodinis antivirusinės įrangos atnaujinimas

179

12.3. Atsarginės kopijos

• Tikslas:– Apsisaugoti nuo duomenų praradimo

• Atsarginių kopijų politika ir strategija

• Atsargines duomenų kopijų darymas

• Atkūrimo išbandymas

180

12.3. Atsarginės kopijos

• 12.3.1. Atsarginės informacijos kopijos– Vadovaujantis numatyta atsarginių kopijų politika turi būti reguliariai

daromos ir išbandomos informacijos, programinės įrangos ir sistemų vaizdų (images) atsarginės kopijos.

– Tolerancija sistemos neveikimui (angl. Recovery Time Objective, RTO)

– Tolerancija duomenų netekčiai (angl. Recovery Point Objective, RPO)

– Kopijavimo grafikas

– Kopijų saugojimas (fizinė aplinka, šifravimas)

– Išbandymas (dalinis, pilnas)

181

12.4. Registravimas ir stebėsena

• Tikslas:– Įrašyti įvykius ir generuoti įrodymus

• Įvykių registravimas

• Žurnalo duomenų apsauga

• Administratoriaus ir operatoriaus žurnalai

• Laikrodžių sinchronizavimas

182


• 12.4.1. Įvykių registravimas– Siekiant palengvinti tyrimus, kuriuos reikės atlikti ateityje, ir prieigos

valdymo stebėseną, turi būti vedami ir sutartą laiko tarpą saugomi naudotojų veiklos, išimčių, klaidų ir informacijos saugumo įvykių audito žurnalai.

– Naudotojo identifikatorius, įvykis, data ir laikas, veiksmo sėkmingumas

• 12.4.2. Žurnalo duomenų apsauga– Registravimo priemonės ir užregistruota informacija turi būti

apsaugota nuo iškraipymų ir nesankcionuotos prieigos.

– Konkrečių įrašų keitimas, failų taisymas arba trynimas, rašymas ant viršaus

183


• 12.4.3. Administratoriaus ir operatoriaus žurnalai– Sistemos administratoriaus ir sistemos operatoriaus veiksmai turi būti

registruojami ir žurnalai apsaugoti ir reguliariai peržiūrimi.

• 12.4.4. Laikrodžių sinchronizavimas– Visų organizacijoje ar saugumo vietoje esančių informacijos

apdorojimo sistemų laikrodžiai turi būti sinchronizuoti pagal vieną sutartą tikslų laiko šaltinį.

184

12.5. Programinės įrangos valdymas

• Tikslas:– Užtikrinti operacinių sistemų vientisumą

• 12.5.1. Programinės įrangos diegimas į operacines sistemas– Turi būti numatytos procedūros, skirtos programinės įrangos diegimui į

operacines sistemas valdyti.

185

12.6. Techninio pažeidžiamumo valdymas

• Tikslas:– Išvengti techninių pažeidžiamumų išnaudojimo.

• Techninio pažeidžiamumo valdymas– efektyvus, sistemingas, veiksmingumas

• Operacinės sistemos

• Taikomosios programos

186


• 12.6.1. Techninio pažeidžiamumo valdymas– Laiku turi būti gaunama informacija, susijusi su naudojamų

informacijos sistemų techniniu pažeidžiamumu, įvertinama tokio pažeidžiamumo įtaka organizacijai bei imamasi atitinkamų priemonių išvengti susijusių rizikų.

– Funkcijų ir atsakomybių nustatymas

– Informacinių išteklių (inventoriaus) sąrašas

– Veiksmai, sužinojus apie potencialų techninį pažeidžiamumą

– Veiksmai, nustačius techninį pažeidžiamumą

– Reagavimo trukmės

– Pakeitimų išbandymas

– Pakeitimų prioretizavimas

187


• 12.6.2. Programinės įrangos diegimo apribojimai– Turi būti numatytos ir įgyvendintos taisyklės, valdančios vartotojų

instaliuojamą programinę įrangą.

• Kompiuterizuotos darbo vietos, tarnybinės stotys

• Virtualiosios mašinos

• „Nešiojamos programos“ (Firefox portable, uTorrent portable)

• Programėlės mobiliesiems telefonams

188

12.7. Informacijos sistemų audito įvertinimas

• Tikslas:– Sumažinti audito veiklų poveikį operacinėms sistemoms.

• 12.7.1. Informacijos sistemų audito valdymo priemonės– Siekiant kiek galima labiau sumažinti veiklos pertrūkius, turi būti

kruopščiai planuojami ir suderinami audito reikalavimai ir su operacinės sistemos tikrinimais susiję veiksmai.

189

13. Ryšių saugumas

190

13.1. Tinklo apsaugos valdymas

• Tikslas:– Užtikrinti informacijos apsaugą tinkluose ir juos remiančiose

informacijos apdorojimo priemonėse.

• Tinklo valdymo priemonės

• Tinklo paslaugų saugumas

• Tinklų atskyrimas

191


• 13.1.1. Tinklo valdymo priemonės– Tinklai turi būti valdomi ir prižiūrimi, siekiant apsaugoti informaciją

sistemose ir programose.

– Už kompiuterių tinklą atsakingi darbuotojai, veiksmų registravimas, stebėsena

• 13.1.2. Tinklo paslaugų saugumas– Turi būti nustatyti ir į su tinklo paslaugomis susijusias sutartis

įtraukiami visų tinklo paslaugų saugumo mechanizmai, paslaugų lygiai ir valdymo reikalavimai, nepriklausomai nuo to, ar sutartis sudaroma dėl vidinio ar nuomojamo tinklo.

– Tapatumo nustatymas, duomenų šifravimas, techniniai parametrai

192


• 13.1.3. Tinklų atskyrimas– Tinkluose turi būti atskirtos atskiros informacijos paslaugų, naudotojų

ir informacijos sistemų grupės.

• Išorinių tinklų atskyrimas (internetas, partneriai ir t.t.)

• Vidinio tinklo segmentavimas:– Kompiuterizuotos darbo vietos

– Taikomosios sistemos

– Nutolę padaliniai

193

13.2. Keitimasis informacija

• Tikslas:– užtikrinti informacijos, kuria keičiamasi organizacijos viduje arba su bet

kuriuo išoriniu subjektu, saugumą.

• Informacija ir programinė įranga

• Keitimasis viduje

• Keitimasis su išore

• Keitimosi forma (kompiuterių tinklas, laikmenos)

194


• 13.2.1. Informacijos perdavimo politikos ir procedūros– Turi būti numatyta oficiali perdavimo politika, procedūros ir valdymo

priemonės, skirtos apsaugoti informacijos perdavimą naudojant visas įmanomas ryšio priemones.

– Kenksmingas kodas, elektroninio pašto priedai, bevielio ryšio naudojimas, šifravimas, automatinis laiškų persiuntimas, kopijavimo aparatai

• 13.2.2. Informacijos perdavimo susitarimai– Tarp organizacijos ir išorinių šalių turi būti susitarimai dėl saugaus

verslo informacijos perdavimo.

– Keitimosi objektas, atsakomybės ir įsipareigojimai, techniniai reikalavimai, veiksmai incidentų metu, žymėjimas

195


• 13.2.3. Elektroninis susirašinėjimas– Elektroninio susirašinėjimo būdu siunčiama informacija turi būti

tinkamai apsaugota.

– Nesankcionuota prieiga, modifikavimas, siuntimo/gavimo atsižadėjimas, adresų teisingumas, elektroninių parašų teisėtumas

• 13.2.4. Konfidencialumo ir neatskleidimo sutartys– Turi būti identifikuojami, reguliariai peržiūrimi ir dokumentuoti

reikalavimai, skirti konfidencialumo ir informacijos neatskleidimo sutartims, atsižvelgiant į organizacijos informacijos apsaugos poreikius.

– Su darbuotojais, su rangovais (subrangovais), duomenų gavėjais

196

14. Informacijos sistemų užsakymas, tobulinimas ir priežiūra

197

14.1. Informacijos sistemų saugumo reikalavimai

• Tikslas:– užtikrinti, kad saugumas būtų integrali informacijos sistemų dalis viso

gyvavimo ciklo metu.

• Operacinės sistemos, infrastruktūra, taikomosios programos, standartiniai produktai, paslaugos

• Saugumo reikalavimų identifikavimas

• Saugumo reikalavimai:– identifikuoti projektinių reikalavimų nustatymo stadijoje

– Įteisinti

– Aptarti

– Įforminti dokumentais

198


• 14.1.1. Informacijos saugumo reikalavimų analizė ir aprašas– Reikalavimai, susiję su informacijos saugumu, turi būti įtraukti į

naujoms informacijos sistemoms ar esamų informacijos sistemų išplėtimui keliamus reikalavimus.

• Vidiniai/išoriniai saugumo reikalavimai

• Saugumo reikalavimai <-> turto vertė, galima žala

• Oficialus išbandymas prieš įsigyjant

• Papildomo funkcionalumo keliama rizika

199


• 14.1.2. Taikomųjų programų, teikiamų viešaisiais ryšių tinklais, saugumo užtikrinimas– Informacija, įtraukta į viešaisiais ryšiais teikiamas taikomųjų programų

paslaugas, turi būti apsaugota nuo nesąžiningos veiklos, sutarties ginčų, nesankcionuoto atskleidimo ir pakeitimo.

• 14.1.3. Apsaugoti taikomųjų programų paslaugų operacijas– Informacija, įtraukta į taikomųjų programų paslaugas, turi būti

apsaugota nuo neužbaigtų ir neteisingų perdavimų, neleistinų klaidų pranešimų ir nesankcionuoto atskleidimo, neleistinų pranešimų dubliavimo ar pakartojimo.

200

14.2. Saugumas kūrimo ir priežiūros procesuose

• Tikslas:– Užtikrinti, kad informacijos saugumas būtų projektuojamas ir

diegiamas informacinių sistemų gyvavimo ciklo kūrimo metu

• Projekto ir priežiūros aplinkos

• Sistemos keitimų peržiūra

• Rizika sistemos arba operacinės aplinkos saugumui

201


• 14.2.1. Vystymo politikos užtikrinimas– Programinės įrangos ir sistemų vystymui, turi būti numatytos taisyklės

ir taikomos plėtojimui organizacijoje.

• 14.2.2. Sistemos keitimų valdymo procedūros– Sistemų keitimai vystymo ciklo metu turi būti valdomi pasitelkiant

oficialias keitimų valdymo procedūras.

– Keitimų rizikos vertinimas, keitimo masto nustatymas, planavimas, keitimų priimtinumas naudotojams, testavimas, keitimo užklausų registravimas, keitimų įdiegimo laikas

202


• 14.2.3. Techninė programos peržiūra pakeitus operacinę platformą– Pakeitus operacinę platformą, vykdomai veiklai svarbios taikomosios

programos turi būti peržiūrimos ir testuojamos, siekiant užtikrinti, kad organizacijos veiklai ir saugumui nebūtų padaryta neigiamos įtakos.

– Rizikos taikomųjų programoms įvertinimas, testavimas, veiklos tęstinumo ir atstatymo planų atnaujinimas

• 14.2.4. Programinės įrangos paketų keitimų apribojimai– Programinės įrangos paketų keitimai turi būti neskatinami, ribojami,

leidžiant atlikti tik būtinus keitimus; visi pakeitimai turi būti griežtai valdomi.

– Tipinė darbo vietos programinė įranga (angl. build)

203


• 14.2.5. Saugių sistemų kūrimo principų užtikrinimas– Turi būti numatyti, dokumentuoti, palaikomi ir taikomi saugių sistemų

kūrimo principai bet kurios informacinės sistemos įgyvendinime.

• 14.2.6. Kūrimo aplinkos saugumas– Organizacijoje turi būti numatytos ir tinkamai apsaugotos aplinkos

sistemų kūrimui ir integravimui viso sistemos kūrimo ciklo metu.

• 14.2.7. Užsakomasis kūrimas– Organizacija turi prižiūrėti ir stebėti užsakomosios programinės įrangos

kūrimo darbus.

204


• 14.2.8. Sistemos saugumo testavimas– Kūrimo metu turi būti atliekamas saugumo funkcionalumo testavimas.

• 14.2.9. Sistemos priėmimo testavimas– Naujoms informacinėms sistemos, atnaujinimams bei versijoms turi

būti numatytas testavimo programų ir susijusių kriterijų priėmimas.

205

14.3. Testavimo duomenys

• Tikslas:– Užtikrinti testavimui naudojamų duomenų apsaugą

• 14.3.1. Testavimo duomenų apsauga– Testavimo duomenys turi būti deramai surinkti, apsaugoti ir valdomi.

– Testavimo duomenų generavimas

– Darbinių duomenų nuasmeninimas

206

15. Santykiai su rangovais

207

15.1. Informacijos saugumas santykiuose su rangovais

• Tikslas:– Užtikrinti rangovams pasiekiamo organizacijos turto apsaugą.

• Gaunamų paslaugų kokybė

• Atitiktis sutarties reikalavimams

208


• 15.1.1. Santykių su tiekėjais informacijos saugumo politika– Informacijos saugumo reikalavimai, siekiant sušvelninti rizikas,

susijusias su tiekėjų prieiga prie organizacijos turto, turi būti aptarti su tiekėjais ir dokumentuoti.

• 15.1.2. Saugumo reikalavimai sutartyse su tiekėjais– Su kiekvienu tiekėju, kuris gali prieiti, apdoroti, laikyti, perduoti ar

teikti IT infrastruktūros komponentus, turi būti numatyti ir sutarti visi susiję informacijos saugumo reikalavimai.

– Paslaugų teikimo lygis (SLA)

– Apsaugos priemonės sutartyse su tiekėjais

209


• 15.1.3. Informacijos ir ryšių technologijų tiekimo grandinė– Sutartyse su tiekėjais turi būti aptarta informacijos saugumo rizika,

susijusi su informacijos ir ryšių technologijų paslaugomis ir produkto tiekimo grandine.

• Rizika dėl išorinių šalių produktų ar paslaugų.

• Išorinių šalių prieiga turėtų būti kontroliuojama.

• Rizikos vertinimas dėl trečiųjų šalių įtakos

210

15.2. Tiekėjų paslaugų tiekimo valdymas

• Tikslas:– palaikyti sutartą informacijos saugumo ir paslaugų teikimo lygį pagal

sutartis su tiekėjais

• 15.2.1. Tiekėjų teikiamų paslaugų stebėsena ir peržiūra– Organizacijos turi nuolat stebėti, peržiūrėti ir tikrinti teikėjų teikiamas

paslaugas.

• 15.2.2. Tiekėjų paslaugų keitimo valdymas– Pokyčiai, susiję su apsirūpinimu tiekėjų paslaugomis, įskaitant esamos

informacijos saugumo politikos, procedūrų ir valdymo priemonių palaikymą ir tobulinimą, turi būti atliekami, atsižvelgiant į su tuo susijusių įstaigos veiklos sistemų ir procesų svarbą ir pakartotinai įvertinus riziką.

211

16. Informacijos saugumo incidentų valdymas

212

16.1. Informacijos saugumo incidentų ir tobulinimų valdymas

• Tikslas:– Užtikrinti nuoseklų ir efektyvų požiūrį į informacijos saugumo

incidentų valdymą, apimantį pranešimus apie saugumo incidentus ir silpnąsias vietas

• Atsakomybės ir procedūros

• Pranešimai apie informacijos saugumo įvykius

• Pranešimai apie informacijos saugumo silpnąsias vietas

• Informacijos saugumo įvykių įvertinimas

• Reagavimas į informacijos saugumo incidentus

• Mokymasis iš informacijos saugumo incidentų

• Įrodymų rinkimas

213


• 16.1.1. Atsakomybės ir procedūros– Siekiant užtikrinti greitą, efektyvų ir deramą atsaką į informacijos

saugumo incidentus, turi būti numatytos valdymo atsakomybės ir procedūros.

– Įvairių tipų incidentų procedūros, incidento priežasties nustatymas, korekcinių ir prevencinių veiksmų planavimas, įrodymų kaupimas

• 16.1.2. Pranešimai apie informacijos saugumo įvykius– Apie informacijos saugumo įvykius turi būti pranešta kiek įmanoma

greičiau, pasitelkus tinkamus valdymo kanalus.

– Atgalinis ryšys su pranešusiuoju apie incidentą

– Informacijos surinkimo, registravimo formos

– Deramo elgesio instrukcijos

– Drausminės nuobaudos

214


• 16.1.3. Pranešimai apie informacijos saugumo silpnąsias vietas– Turi būti reikalaujama, kad visi darbuotojai ir rangovai,

besinaudojantys informacijos sistemomis ir paslaugomis, atkreiptų dėmesį į visas esamas ar galimas sistemos arba paslaugos informacijos saugumo silpnąsias vietas ir apie jas praneštų.

• 16.1.4. Informacijos saugumo įvykių įvertinimas– Informacijos saugumo įvykiai turi būti įvertinti ir turi būti nuspręsta, ar

juos klasifikuoti kaip informacijos saugumo incidentus.

• 16.1.5. Reagavimas į informacijos saugumo incidentus– Reagavimas į informacijos saugumo incidentus turi būti vykdomas

pagal dokumentuotas procedūras.

215


• 16.1.6. Mokymasis iš informacijos saugumo incidentų– Žinios, įgytos analizuojant ir sprendžiant informacijos saugumo

incidentus turi būti panaudotos sumažinti ateities incidentų tikimybę ar poveikį.

– Pasikartojančių ir didelio poveikio incidentų įvertinimas

• 16.1.7. Įrodymų rinkimas– Organizacija turi numatyti ir taikyti procedūras informacijos, kuri gali

pasitarnauti kaip įrodymai, identifikavimui, rinkimui, kaupimui ir išsaugojimui.

– Įrodymų teisėtumas

– Įrodymų pagrįstumas

– Popieriniai dokumentai

– Kompiuterių laikmenose saugoma informacija

216

17. Veiklos tęstinumo valdymo informacijos saugumo aspektai

217

17.1. Informacijos saugumo tęstinumas

• Tikslas:– Informacijos saugumo tęstinumas turi būti organizacijos veiklos

tęstinumo valdymo sistemų dalimi.

• Sumažinti neigiamus padarinius organizacijai

• Atkurti veiklą iki priimtino lygio

• Informacijos saugumas – neatskiriama veiklos tęstinumo dalis

• Apriboti incidentų sukeliamos žalos padarinius

• Užtikrinti, kad įstaigos veiklai reikalinga informacija būtų prieinama laiku

218


• 17.1.1. Informacijos saugumo tęstinumo planavimas– Organizacija turi nustatyti reikalavimus informacijos saugumui ir

informacijos saugumo tęstinumo valdymui esant nepalankioms situacijoms, t.y. krizėms ar katastrofoms.

• 17.1.2. Informacijos saugumo tęstinumo diegimas– Organizacija turi numatyti, dokumentuoti, įgyvendinti ir palaikyti

procesus, procedūras ir valdymo priemones reikiamo informacijos saugumo tęstinumo lygio užtikrinimui esant nepalankioms situacijoms.

219


• 17.1.3. Informacijos saugumo tęstinumo tikrinimas, peržiūra ir įvertinimas– Organizacija reguliariais laiko tarpais turi tikrinti numatytas ir

įgyvendintas informacijos saugumo tęstinumo valdymo priemones tam, kad užtikrintų kad jos bus veiksmingos nepalankiose situacijose.

– Įvairių scenarijų tikrinimas

– Imitavimas

– Techninio atkūrimo tikrinimas

– Atkūrimo tikrinimas alternatyvioje darbo vietoje

– Tiekėjo įrangos ir priemonių tikrinimas

220

17.2. Pertekliškumas (angl. redundancies)

• Tikslas:– Užtikrinti informacijos apdorojimo priemonių prieinamumą

• 17.2.1. Informacijos apdorojimo priemonių prieinamumas– Siekiant atitikti prieinamumo reikalavimus, informacijos apdorojimo

priemonėms turi būti numatyta pakankamai išteklių.

– Esamos ir naujos veiklos, rezervų planavimas

– Dubliavimas: ryšio linijos, serveriai.

– Pakaitinė įranga

221

18. Atitiktis

222

18.1 Atitiktis teisiniams ir sutarčių reikalavimams

• Tikslas:– išvengti bet kurių įstatymų, statuto, reglamentų arba sutarčių

įsipareigojimų pažeidimų ir bet kokių saugumo reikalavimų pažeidimų.

• Galimas reikalavimų objektas:– sistemų projektavimas, paleidimas, naudojimas ir valdymas

• Konsultacijos dėl specifinių teisinių reikalavimų

• Skirtingi įvairių šalių teisiniai reikalavimai

223


• 18.1.1. Galiojantys įstatymai ir sutartiniai reikalavimai– Visi su organizacija ir kiekviena joje naudojama sistema susiję

įstatymų, reglamentų ir sutarčių reikalavimai bei organizacijos priemonės šiems reikalavimams įgyvendinti turi būti aiškiai apibrėžti, įforminti dokumentais ir nuolat peržiūrimi.

• 18.1.2. Intelektinės nuosavybės teisės– Siekiant užtikrinti, kad produktų, kuriems gali būti taikomos

intelektinės nuosavybės teisės, ir patentuotos programinės įrangos naudojimas atitiktų įstatymų, reglamentų ir sutarčių reikalavimus, turi būti įgyvendintos atitinkamos procedūros.

– Programinė įranga, filmai, muzika, elektroninės knygos

224


• 18.1.3. Oficialių dokumentų apsauga– Oficialūs dokumentai turi būti apsaugoti nuo netekties, sunaikinimo

klastojimo, neautorizuotos prieigos ir neautorizuoto perdavimo, atsižvelgiant į įstatymų, reglamentų, sutarčių ar veiklos reikalavimus.

• 18.1.4. Asmeninės informacijos privatumas ir apsauga– Vadovaujantis galiojančiais įstatymais, reglamentais, esant poreikiui,

turi būti užtikrintas asmeninės informacijos privatumas ir apsauga.

– Darbuotojų, klientų, rangovų

• 18.1.5. Šifravimo valdymo priemonių reglamentavimas– Taikomos šifravimo valdymo priemonės turi atitikti visas su tuo

susijusias sutartis, įstatymus ir reglamentus.

225

18.2. Informacijos saugumo vertinimas

• Tikslas:– Užtikrinti, kad informacijos saugumas yra įdiegtas ir valdomas pagal

darbo procedūras ir politikas

• Nepriklausoma informacijos saugumo peržiūra

• Atitiktis saugumo politikoms ir standartams

• Techninio suderinamumo tikrinimas

226


• 18.2.1. Nepriklausoma informacijos saugumo peržiūra– Organizacijos informacijos saugumo valdymas ir jo įgyvendinimo būdai

(t. y. valdymo tikslai, valdymo priemonės, politikos, procesai ir informacijos saugumo procedūros) nepriklausomų specialistų turi būti peržiūrimi periodiškai arba įvykus svarbiems įgyvendinimo pasikeitimams.

• 18.2.2. Atitiktis saugumo politikoms ir standartams– Vadybininkai savo atsakomybės ribose turi reguliariai peržiūrėti kaip

informacijos apdorojimas ir procedūrų laikymasis atitinka saugumo politikas, standartus ir kitus saugumo reikalavimus.

– Vidiniai reikalavimai, teisės aktai, tarptautiniai standartai

227


• 18.2.3. Techninio suderinamumo tikrinimas– Turi būti periodiškai tikrinamas informacijos sistemų suderinamumas

su organizacijos informacijos saugumo įgyvendinimo politikomis ir standartais.

– Įsibrovimo testavimas (angl. penetration testing)

– Periodinė automatinė pažeidžiamumų paeiška

228

6 dalis

ARSIS rizikos vertinimo metodas

229

Rizikos vertinimo metodas

• Rizikos vertinimo objektas

• Kritiškumo nustatymas

• Grėsmių ir pažeidžiamumų įvertinimas

• Rizikos nustatymas

• Rizikos valdymo būdo parinkimas

• Apsaugos priemonių parinkimas

230

Kritiškumo vertinimas (1)

• Konfidencialumas, vientisumas, prieinamumas– Valdymo ir veiklos sutrikdymas

– Asmenų saugumas

– Gamta ir aplinkos saugumas

– Finansiniai nuostoliai

– Viešoji tvarka

– Tarptautiniai santykiai

– Padariniai valstybei ir institucijoms

231

Kritiškumo vertinimas (2)

• Kritiškumo lygiai kiekvienam kriterijui atskirai:– Konfidencialumas. Kas bus, jei informacija bus paviešinta?

– Vientisumas. Kas bus, jei informacija bus netiksli?

– Prieinamumas. Kas bus, jei sistema neveiks ilgiau, nei numatyta pagal jos kategoriją?

• Kritiškumo lygiai:– Labai žemas(1)

– Žemas (2)

– Vidutinis (3)

– Aukštas (4)

– Labai aukštas (5)

232

KritiškumasValdymo ir veiklos

sutrikdymasAsmenų saugumas

Gamta ir aplinkos

saugumasFinansiniai nuostoliai Viešoji tvarka Tarptautiniai santykiai

Padariniai valstybei ir

institucijoms

Labai mažas(1) Veikla nebus

sutrikdyta

Netaikoma Netaikoma Nuostolių nebus Netaikoma Netaikoma Padarinių valstybei ir

institucijoms nebus

Mažas (2) Gali kilti grėsmė įvykti

procesams, kurie gali

turėti neigiamų

padarinių atskirų

institucijos padalinių

veiklai

Netaikoma Netaikoma Gali kilti grėsmė įvykti

procesams, kurie vienai

institucijai gali sukelti

finansinius nuostolius,

ne didesnius nei 290

eurų



sukelti kitų neigiamų

padarinių institucijai

atskirų institucijos

padalinių veiklai

Vidutinis (3) Gali kilti grėsmė įvykti


turėti neigiamų

padarinių institucijos

veiklai


procesams, kurie vienai

institucijai gali sukelti


ne didesnius nei 0,3

mln. eurų

Gali kilti grėsmė įvykti


padaryti žalą vieno ar

kelių fizinių ar juridinių

asmenų teisėtiems

interesams, taip pat ir

asmens duomenų

apsaugai

Netaikoma Gali kilti grėsmė įvykti


sukelti kitų neigiamų

padarinių institucijai

Didelis (4) Gali kilti grėsmė įvykti


sutrikdyti kelių

institucijų veiklą ar

viešųjų paslaugų

teikimą daugiau kaip

vienai dienai



turėti neigiamų

padarinių Lietuvos

Respublikos teritorijos

gyventojų sveikatos

apsaugai



sukelti pavojų gamtos ir

aplinkos saugumui


procesams, kelioms

institucijoms gali sukelti


didesnius nei 0,3 mln.

eurų, bet ne didesnius

nei 1,5 mln. eurų



sukelti pavojų viešajai

tvarkai ir gyventojų

saugumui



sukelti kelių institucijų

tarptautinių sutarčių ir

įsipareigojimų

pažeidimą, kurio

pasekmių pašalinimas

sukeltų didesnius nei

0,3 mln. eurų, bet ne

didesnius nei 1,5 mln.

eurų, nuostolius



sukelti kitų sunkių

padarinių kelioms

institucijoms ar jų

reguliavimo sričiai

priskirtai ūkio šakai

Labai didelis (5) Gali kilti grėsmė įvykti

procesams, kurie

gali turėti sunkių

padarinių Lietuvos

ūkiui – sukelti žymų,

daugiau kaip 5

procentų, metinio

nacionalinio produkto

sumažėjimą ar kitus

sunkius padarinius


procesams, nuo kurių

tiesiogiai priklauso

Lietuvos Respublikos

teritorijos gyventojų

sveikata ir gyvybė


procesams, nuo kurių

tiesiogiai priklauso

neigiami padariniai

gamtai ir aplinkos

saugumui



sukelti didesnius kaip

1,5 mln. eurų

finansinius nuostolius

valstybei



turėti neigiamų

padarinių viešajai

tvarkai ir gyventojų

saugumui



sukelti valstybės

tarptautinių sutarčių ir

įsipareigojimų

pažeidimą, kurio

pasekmių pašalinimas

sukeltų didesnius kaip

1,5 mln. eurų nuostolius



sukelti kitų sunkių

padarinių valstybei ar

jos gyventojams

233

Grėsmių ir pažeidžiamumų vertinimas (1)

• Vertinamos grėsmių kilimo tikimybės dėl tikėtinų pažeidžiamumų, pvz.:– Slaptas klausymasis

– Įrangos, duomenų laikmenų ir dokumentų vagystė

– Įrangos, duomenų laikmenų ir dokumentų praradimas

– Netinkamas planavimas arba suderinamumo trūkumas

– Konfidencialios informacijos atskleidimas

234

Grėsmių ir pažeidžiamumų vertinimas (2)

• Grėsmių tikimybės lygis– informacijos saugumo incidento įvykio tikimybė

• Labai žemas (1) – rečiau nei vieną kartą per 3 metus

• Žemas (2) – ne dažniau nei vieną kartą per 3 metus

• Vidutinis (3) – vieną kartą per metus

• Aukštas (4) – kelis kartus per metus

• Labai aukštas (5) – vieną kartą per mėnesį ir dažniau

235

Rizikos lygio nustatymo taisyklės

5 1 2 3 4 5

4 1 2 3 4 4

3 1 2 3 3 3

2 1 2 2 2 2

1 1 1 1 1 1

1 2 3 4 5

Grėsmės tikimybė

Kritiš

kum

as

236

Rizikos valdymas

• Rizikos priimtinumas:– Priimtina, nepriimtina

• Nepriimtina rizika:– Mažinimas

– Perkėlimas

– Vengimas

– Ignoravimas

• Apsaugos priemonių parinkimas:– Kaina

– Efektyvumas

– Apsaugos tipas

– Mažinama rizika

237

Grėsmių katalogas (1)

• Federalinis informacijos saugumo biuras (Vokietija)– Bundesamt für Sicherheit in der Informationstechnik (BSI)

• BSI grėsmių katalogas

• 46 pagrindinės grėsmės

• Įkeltas į ARSIS su papildomais duomenimis:– Rizikos veiksnių grupė (nenugalima jėga, tyčiniai, netyčiniai)

– Paveikiamas konfidencialumas, vientisumas, prieinamumas

– Tikėtinas pasireiškimo dažnis

– Tikėtinas žalos lygis

– Siūlomos apsaugos priemonės

– Grėsmės tikimybę padedantys nustatyti klausimai

238


• Gaisras

• Nepalankios oro sąlygos

• Vanduo

• Tarša, dulkės, korozija

• Stichinės nelaimės

• Aplinkos nelaimės

• Dideli įvykiai aplinkoje

• Elektros tiekimo gedimas ar sutrikimas

• Ryšių tinklų gedimas ar sutrikimas

• Magistralinio tiekimo gedimas ar sutrikimas

239


• Paslaugų teikėjų patiriamas gedimas ar sutrikimas

• Įsiterpianti spinduliuotė

• Informatyvi spinduliuotė

• Informacijos perėmimas / Šnipinėjimas

• Slaptas klausymasis

• Įrangos, duomenų laikmenų ir dokumentų vagystė

• Įrangos, duomenų laikmenų ir dokumentų praradimas

• Netinkamas planavimas arba suderinamumo trūkumas

• Konfidencialios informacijos atskleidimas

240


• Informacija ar produktai iš nepatikimų šaltinių

• Manipuliavimas aparatine ir programine įranga

• Informacijos klastojimas

• Neleistina prieiga prie IT sistemų

• Įrangos ar duomenų laikmenų sunaikinimas

• Įrangos ar sistemų gedimas

• Įrangos ar sistemų sutrikimas

• Išteklių trūkumas

• Programinės įrangos pažeidžiamumai ar klaidos

241


• Teisės aktų ir taisyklių pažeidimai

• Nesankcionuotas įrangos ir sistemų naudojimas ar administravimas

• Netinkamas įrangos ir sistemų naudojimas ar administravimas

• Piktnaudžiavimas įgaliojimais

• Darbuotojų stygius

• Ataka

• Prievarta, plėšimas arba korupcija

• Tapatybės vagystė

242


• Veiksmų išsižadėjimas

• Piktnaudžiavimas asmens duomenimis

• Kenkėjiška programinė įranga

• Paslaugos atkirtimas

• Sabotažas

• Socialinė inžinerija

• Pranešimų persiuntimas

• Neleistinas patekimas į patalpas

• Duomenų praradimas

• Svarbios informacijos vientisumo praradimas

243

Apsaugos priemonių katalogai

• ARSIS įvesti du apsaugos priemonių katalogai:– ISO 27001 priedo A valdymo priemonės

– SANS 20 kritinių saugumo priemonių.

• Kiekviena naujai sukurta apsaugos priemonė „prisegama“ prie vieno arba abiejų katalogų– Kad nereikėtų ratų lyginti su batais

• ISO 27001 priedo A valdymo priemonės buvo aptartos ankstesniuose skyriuose.

244

SANS 20 kritinių saugumo priemonių

• SANS institutas www.sans.org– Įkurtas 1989 m.

– Informacijos saugumo tyrimai

– Informacijos saugumo mokymai

– Sertifikavimas (GIAC)

– Internet Storm Center

• SANS 20 kritinių saugumo priemonių

http://www.sans.org/

245


• 1. Leistinų ir nesankcionuotų įrenginių aprašai

• 2. Leistinos ir nesankcionuotos programinės įrangos aprašai

• 3. Saugus aparatinės ir programinės įrangos konfigūravimas mobiliesiems įrenginiams, darbo vietoms ir serveriams

• 4. Nuolatinis pažeidžiamumų vertinimas ir šalinimas

• 5. Apsauga nuo kenkėjiškos įrangos

• 6. Taikomosios programinės įrangos saugumas

• 7. Bevielės prieigos valdymas

• 8. Duomenų atstatymo pajėgumai

246


• 9. Saugumo įgūdžių įvertinimas ir reikiamų mokymų suteikimas

• 10. Tinklo įrangos saugus konfigūravimas (ugniasienės, maršrutizatoriai ir komutatoriai)

• 11. Tinklo prievadų, protokolų ir paslaugų ribojimas bei kontrolė

• 12. Administracinių privilegijų naudojimo priežiūra

• 13. Perimetro apsauga

• 14. Audito įrašų priežiūra, stebėsena ir analizė

• 15. Prieigos valdymas pagrįstas principu "būtina žinoti"

247


• 16. Paskyrų stebėsena ir valdymas

• 17. Duomenų apsauga

• 18. Reagavimas į incidentus ir jų valdymas

• 19. Saugi tinklų inžinerija

• 20. Įsibrovimų testai ir "Raudonųjų komandų" pratybos

248

7 dalis

Praktiniai užsiėmimai

249

Turinys

• Funkcionalumas

• Prisijungimas

• Atitikties vertinimo procesas

• Atitikties vertinimas – užduotis

• Rizikos vertinimo procesas

• Rizikos vertinimo – užduotis

• Elektroninis parašas

250

1. ARSIS funkcionalumas

• Prisijungimas

• Pagrindinis puslapis

• Naudotojo nustatymai

• Informaciniai ištekliai

• Reikalavimai

• Auditai

• Rizikos

• Apsaugos priemonės

• Projektai

• Įvykiai

• Dokumentai

251

Prisijungimas

• Nuoroda į sistemą– http://xxx.yyy.zzz.xxx:8180/arsis/

• Prisijungimas per VIISP

• Prisijungimas su naudotoju vardu ir slaptažodžiu

http://192.168.150.10:8180/arsis/

252

Pagrindinis puslapis

• Viršutinė juosta:– Logotipas

– Paieška

– Pagalba

– Naudotojo nustatymai

– Atsijungimas

• Meniu juosta

• Valdymo skydeliai

253

Naudotojo nustatymai

• Duomenys apie naudotoją

• El. laiškų gavimas

• Elektroninio parašo naudojimas

• Slaptažodžio keitimas

254

Informaciniai ištekliai

• Informacinio ištekliaus kortelė

• Informacinių išteklių kategorijos

• Asmens duomenų saugumo lygiai

• Informacinių išteklių rūšys

255

Reikalavimai

• Teisės aktai

• Reikalavimai

• Sąvokos

• Vidiniai teisės aktai ir reikalavimai

• COBIT brandos lygiai

256

Auditai

• Auditai

• Neatitiktys

257

Rizikos

• Rizikos

• Vertinimai

• Rizikos valdymo planai

• Grėsmių klasifikatorius

• Išteklių kritiškumas

• Grėsmių tikimybės

258

Apsaugos priemonės


• ISO 27001 klasifikatorius

• SANS klasifikatorius

259

Projektai

• Projektai

• Programos

• Portfeliai

260

Saugumo įvykiai

• Rankinis įvykių registravimas

• Automatinis įvykių registravimas

261

Paieška dokumentuose

• Įkeliami dokumentai

• Paieška

262

2. Prisijungimas

• Naudotojų vardai ir slaptažodžiai

• Prisijungimo išbandymas

263

3. Atitikties vertinimo procesas

• Naujo atitikties vertinimo sukūrimas

• Reikalavimų įtraukimo į auditą taisyklės

• Atitiktis vertinimo atlikimas

264

4. Atitikties vertinimas - užduotis

• Sukurti naują atitikties vertinimą

• Užpildyti audito klausimyną

265

5. Rizikos vertinimo procesas

• Naujo rizikos vertinimo sukūrimas

• Informacinių išteklių kritiškumas

• Grėsmių tikimybės

• Rizikos apskaičiavimo taisyklės

• Rizikos priimtinumas


• Rizikos valdymo planai

• Projektai

266

6. Rizikos vertinimas - užduotis

• Sukurti naują rizikos vertinimą

• Nustatyti ištekliaus kritiškumą

• Nustatyti grėsmių tikimybes

• Parinkti rizikos priimtinumą

• Nepriimtinoms rizikoms parinkti apsaugos priemones

• Užpildyti rizikos valdymo planą

267

7. Elektroninis parašas

• Elektroninio parašo naudojimas ARSIS

• Funkcionalumo įjungimas

• Elektroninio pasirašymo procesas

268

Svarbiau yra apgalvotai veikti negu protingai mąstyti

Ciceronas

Documents

ARSIS mokymai naudotojams · • Audito posistemė ... Sistemų klasifikavimas ir informacijos svarba (2) • Ypatingos svarbos elektroninė informacija • Informacijos konfidencialumo,