Řízení komunikace a řízení provozu
A.10.1 Provozní postupy a odpovědnosti
Cíl: Zajistit správný a bezpečný provoz zařízení pro zpracování informací.
A.10.1.1 Dokumentace provozních
postupů
Opatření
Provozní postupy by měly být zdokumentovány
a udržovány a měly by být dostupné všem uživatelům dle
potřeby.
A.10.1.2 Řízení změn Opatření
Změny ve vybavení a zařízení pro zpracování informací
by měly být řízeny.
A.10.1.3 Oddělení povinností Opatření
Pro snížení příležitostí k neoprávněné modifikaci nebo
zneužití aktiv organizace by mělo být zváženo oddělení
jednotlivých povinností a odpovědností.
A.10.1.4 Oddělení vývoje, testování a
provozu
A.10.2 Řízení dodávek třetích stran
Opatření
Pro snížení rizika neoprávněného přístupu k provoznímu
systému a nebo jeho změn by mělo být zváženo oddělení
procesů vývoje, testování a provozu.
Cíl: Zavést a udržovat přiměřenou úroveň bezpečnosti informací a úroveň dodávky služeb ve shodě
s uzavřenými dohodami.
A.10.2.1 Dodávky služeb Opatření
Zajistit, aby úroveň služeb týkajících se bezpečnosti
informací poskytovaných třetí stranou byla v souladu se
smluvními podmínkami.
A.10.2.2 Monitorování a
přezkoumávání služeb
třetích stran
A.10.2.3 Řízení změn služeb
poskytovaných třetími
stranami
Opatření
Služby, zprávy a záznamy poskytované třetí stranou by
měly být monitorovány a pravidelně přezkoumávány,
audity by měly být opakovány v pravidelných
intervalech.
Opatření
Změny v poskytování služeb, včetně udržování a
zlepšování existujících bezpečnostních politik, směrnic
a bezpečnostních opatření, by měly být řízeny
s ohledem na kritičnost systémů a procesů organizace,
které jsou součástí opakovaného hodnocení rizik.
A.10.3 Plánování a přejímání informačních systémů
Cíl: Minimalizovat riziko selhání informačních systémů.
A.10.3.1 Řízení kapacit Opatření
Pro zajištění požadovaného výkonu informačního
systému, s ohledem na budoucí kapacitní požadavky,
by mělo být monitorováno, nastaveno a projektováno
využití zdrojů.
A.10.3.2 Přejímání systémů Opatření
Měla by být určena kritéria pro přejímání nových
informačních systémů, jejich aktualizaci a zavádění
nových verzí a vhodný způsob testování systému
v průběhu vývoje a před zavedením do ostrého provozu.
A.10.4 Ochrana proti škodlivým programům a mobilním kódům
Cíl: Chránit integritu programů a dat.
A.10.4.1 Opatření na ochranu proti
škodlivým programům
A.10.4.2 Opatření na ochranu proti
mobilním kódům
A.10.5 Zálohování
Opatření
Na ochranu proti škodlivým programům a nepovoleným
mobilním kódům by měla být implementována opatření
na jejich detekci, prevenci a nápravu a zvyšováno
odpovídající bezpečnostní povědomí uživatelů.
Opatření
Použití povolených mobilních kódů by mělo být
nastaveno v souladu s bezpečnostní politikou, mělo by
být zabráněno spuštění nepovolených mobilních kódů.
Cíl: Udržovat integritu a dostupnost informací a zařízení pro jejich zpracování.
A.10.5.1 Zálohování informací Opatření
Záložní kopie důležitých informací a programového
vybavení organizace by měly být pořizovány a
testovány v pravidelných intervalech.
A.10.6 Správa sítě
Cíl: Zajistit ochranu informací v počítačových sítích a ochranu jejich infrastruktury.
A.10.6.1 Síťová opatření Opatření
Pro zajištění ochrany před možnými hrozbami, pro
zaručení bezpečnosti systémů a aplikací využívajících
sítí a pro zajištění bezpečnosti informací při přenosu by
počítačové sítě měly být vhodným způsobem
spravovány a kontrolovány.
A.10.6.2 Bezpečnost síťových služeb Opatření
Měly by být identifikovány a do dohod o poskytování
síťových služeb zahrnuty bezpečnostní prvky, úroveň
poskytovaných služeb a požadavky na správu všech
síťových služeb a to jak v případech, kdy jsou tyto
služby zajišťovány interně, tak i v případech, kdy jsou
zajišťovány cestou outsourcingu.
A.10.7 Bezpečnost při zacházení s médii
Cíl: Předcházet neoprávněnému prozrazení, modifikaci, ztrátě nebo poškození aktiv a přerušení činnosti
organizace.
A.10.7.1 Správa vyměnitelných
počítačových médií
Opatření
Měly by být vytvořeny postupy pro správu
vyměnitelných počítačových médií.
A.10.7.2 Likvidace médií Opatření
Jestliže jsou média dále provozně neupotřebitelná, měla
by být bezpečně a spolehlivě zlikvidována.
A.10.7.3 Postupy pro manipulaci
s informacemi
Opatření
Pro zabránění neautorizovanému přístupu nebo zneužití
informací by měla být stanovena pravidla pro manipulaci
s nimi a pro jejich ukládání.
A.10.7.4 Bezpečnost systémové
dokumentace
A.10.8 Výměny informací
Opatření
Systémová dokumentace by měla být chráněna proti
neoprávněnému přístupu.
Cíl: Zajistit bezpečnost informací a programů při jejich výměně v rámci organizace a při jejich výměně
s externími subjekty.
A.10.8.1 Postupy při výměně
informací a programů
A.10.8.2 Dohody o výměně informací
a programů
A.10.8.3 Bezpečnost médií při
přepravě
Opatření
Měly by být ustaveny a do praxe zavedeny formální
postupy, politiky a opatření na ochranu informací při
jejich výměně pro všechny typy používaných
komunikačních zařízení.
Opatření
Výměna informací a programů by měla být založena na
dohodách uzavřených mezi organizací a externími
subjekty.
Opatření
Média obsahující informace by měla být během
přepravy mimo organizaci chráněna proti
neoprávněného přístupu, zneužití nebo narušení.
A.10.8.4 Elektronické zasílání zpráv Opatření
Elektronicky přenášené informace by měly být vhodným
způsobem chráněny.
A.10.8.5 Podnikové informační
systémy
A.10.9 Služby elektronického obchodu
Opatření
Na ochranu informací v propojených podnikových
informačních systémech by měla být vytvořena a do
praxe zavedena politika a odpovídající směrnice.
Cíl: Zajistit bezpečnost služeb elektronického obchodu a jejich bezpečné použití.
A.10.9.1 Elektronický obchod Opatření
Informace přenášené ve veřejných sítích v rámci
elektronického obchodování by měly být chráněny před
podvodnými aktivitami, před zpochybňováním smluv,
prozrazením či modifikací.
A.10.9.2 On-line transakce Opatření
Měla by být zajištěna ochrana informací přenášených
při on-line transakcích tak, aby byl zajištěn úplný přenos
informací a zamezilo se špatnému směrování,
neoprávněné změně zpráv, neoprávněnému prozrazení,
neoprávněné duplikaci nebo opakování zpráv.
A.10.9.3 Veřejně přístupné informace Opatření
Informace publikované na veřejně přístupných
systémech by měly být chráněny proti neoprávněné
modifikaci.
A.10.10 Monitorování
Cíl: Detekovat neoprávněné zpracování informací.
A.10.10.1 Zaznamenávání událostí Opatření
Auditní záznamy, obsahující chybová hlášení a jiné
bezpečnostně významné události, byměly být pořizovány
a uchovány po stanovené období tak, aby byly se daly
použít pro budoucí vyšetřování a pro účely monitorování
řízení přístupu.
A.10.10.2 Monitorování používání
systému
A.10.10.3 Ochrana vytvořených
záznamů
A.10.10.4 Administrátorský a
operátorský deník
Opatření
Měla by být stanovena pravidla pro monitorování použití
zařízení pro zpracování informací, výsledky těchto
monitorování by měly být pravidelně přezkoumávány.
Opatření
Zařízení pro zaznamenávání informací a vytvořené
záznamy by měly být vhodným způsobem chráněny
proti neoprávněnému přístupu a zfalšování.
Opatření
Aktivity správce systému a systémového operátora by
měly být zaznamenávány.
A.10.10.5 Záznam selhání Opatření
Měly by být zaznamenány a analyzovány chyby
a provedena opatření k nápravě.
A.10.10.6 Synchronizace času Opatření
Hodiny všech důležitých systémů pro zpracování
informací by měly být v rámci organizace nebo domény
synchronizovány se schváleným zdrojem přesného
času.