A.10.1 Provozní postupy a odpovědnosti

Cíl: Zajistit správný a bezpečný provoz zařízení pro zpracování informací.

A.10.1.1 Dokumentace provozních

postupů

Opatření

Provozní postupy by měly být zdokumentovány

a udržovány a měly by být dostupné všem uživatelům dle

potřeby.

A.10.1.2 Řízení změn Opatření

Změny ve vybavení a zařízení pro zpracování informací

by měly být řízeny.

A.10.1.3 Oddělení povinností Opatření

Pro snížení příležitostí k neoprávněné modifikaci nebo

zneužití aktiv organizace by mělo být zváženo oddělení

jednotlivých povinností a odpovědností.

A.10.1.4 Oddělení vývoje, testování a

provozu

A.10.2 Řízení dodávek třetích stran

Opatření

Pro snížení rizika neoprávněného přístupu k provoznímu

systému a nebo jeho změn by mělo být zváženo oddělení

procesů vývoje, testování a provozu.

Cíl: Zavést a udržovat přiměřenou úroveň bezpečnosti informací a úroveň dodávky služeb ve shodě

s uzavřenými dohodami.

A.10.2.1 Dodávky služeb Opatření

Zajistit, aby úroveň služeb týkajících se bezpečnosti

informací poskytovaných třetí stranou byla v souladu se

smluvními podmínkami.

A.10.2.2 Monitorování a

přezkoumávání služeb

třetích stran

A.10.2.3 Řízení změn služeb

poskytovaných třetími

stranami

Opatření

Služby, zprávy a záznamy poskytované třetí stranou by

měly být monitorovány a pravidelně přezkoumávány,

audity by měly být opakovány v pravidelných

intervalech.

Opatření

Změny v poskytování služeb, včetně udržování a

zlepšování existujících bezpečnostních politik, směrnic

a bezpečnostních opatření, by měly být řízeny

s ohledem na kritičnost systémů a procesů organizace,

které jsou součástí opakovaného hodnocení rizik.

A.10.3 Plánování a přejímání informačních systémů

Cíl: Minimalizovat riziko selhání informačních systémů.

A.10.3.1 Řízení kapacit Opatření

Pro zajištění požadovaného výkonu informačního

systému, s ohledem na budoucí kapacitní požadavky,

by mělo být monitorováno, nastaveno a projektováno

využití zdrojů.

A.10.3.2 Přejímání systémů Opatření

Měla by být určena kritéria pro přejímání nových

informačních systémů, jejich aktualizaci a zavádění

nových verzí a vhodný způsob testování systému

v průběhu vývoje a před zavedením do ostrého provozu.

A.10.4 Ochrana proti škodlivým programům a mobilním kódům

Cíl: Chránit integritu programů a dat.

A.10.4.1 Opatření na ochranu proti

škodlivým programům

A.10.4.2 Opatření na ochranu proti

mobilním kódům

A.10.5 Zálohování

Opatření

Na ochranu proti škodlivým programům a nepovoleným

mobilním kódům by měla být implementována opatření

na jejich detekci, prevenci a nápravu a zvyšováno

odpovídající bezpečnostní povědomí uživatelů.

Opatření

Použití povolených mobilních kódů by mělo být

nastaveno v souladu s bezpečnostní politikou, mělo by

být zabráněno spuštění nepovolených mobilních kódů.

Cíl: Udržovat integritu a dostupnost informací a zařízení pro jejich zpracování.

A.10.5.1 Zálohování informací Opatření

Záložní kopie důležitých informací a programového

vybavení organizace by měly být pořizovány a

testovány v pravidelných intervalech.

A.10.6 Správa sítě

Cíl: Zajistit ochranu informací v počítačových sítích a ochranu jejich infrastruktury.

A.10.6.1 Síťová opatření Opatření

Pro zajištění ochrany před možnými hrozbami, pro

zaručení bezpečnosti systémů a aplikací využívajících

sítí a pro zajištění bezpečnosti informací při přenosu by

počítačové sítě měly být vhodným způsobem

spravovány a kontrolovány.

A.10.6.2 Bezpečnost síťových služeb Opatření

Měly by být identifikovány a do dohod o poskytování

síťových služeb zahrnuty bezpečnostní prvky, úroveň

poskytovaných služeb a požadavky na správu všech

síťových služeb a to jak v případech, kdy jsou tyto

služby zajišťovány interně, tak i v případech, kdy jsou

zajišťovány cestou outsourcingu.

A.10.7 Bezpečnost při zacházení s médii

Cíl: Předcházet neoprávněnému prozrazení, modifikaci, ztrátě nebo poškození aktiv a přerušení činnosti

organizace.

A.10.7.1 Správa vyměnitelných

počítačových médií

Opatření

Měly by být vytvořeny postupy pro správu

vyměnitelných počítačových médií.

A.10.7.2 Likvidace médií Opatření

Jestliže jsou média dále provozně neupotřebitelná, měla

by být bezpečně a spolehlivě zlikvidována.

A.10.7.3 Postupy pro manipulaci

s informacemi

Opatření

Pro zabránění neautorizovanému přístupu nebo zneužití

informací by měla být stanovena pravidla pro manipulaci

s nimi a pro jejich ukládání.

A.10.7.4 Bezpečnost systémové

dokumentace

A.10.8 Výměny informací

Opatření

Systémová dokumentace by měla být chráněna proti

neoprávněnému přístupu.

Cíl: Zajistit bezpečnost informací a programů při jejich výměně v rámci organizace a při jejich výměně

s externími subjekty.

A.10.8.1 Postupy při výměně

informací a programů

A.10.8.2 Dohody o výměně informací

a programů

A.10.8.3 Bezpečnost médií při

přepravě

Opatření

Měly by být ustaveny a do praxe zavedeny formální

postupy, politiky a opatření na ochranu informací při

jejich výměně pro všechny typy používaných

komunikačních zařízení.

Opatření

Výměna informací a programů by měla být založena na

dohodách uzavřených mezi organizací a externími

subjekty.

Opatření

Média obsahující informace by měla být během

přepravy mimo organizaci chráněna proti

neoprávněného přístupu, zneužití nebo narušení.

A.10.8.4 Elektronické zasílání zpráv Opatření

Elektronicky přenášené informace by měly být vhodným

způsobem chráněny.

A.10.8.5 Podnikové informační

systémy

A.10.9 Služby elektronického obchodu

Opatření

Na ochranu informací v propojených podnikových

informačních systémech by měla být vytvořena a do

praxe zavedena politika a odpovídající směrnice.

Cíl: Zajistit bezpečnost služeb elektronického obchodu a jejich bezpečné použití.

A.10.9.1 Elektronický obchod Opatření

Informace přenášené ve veřejných sítích v rámci

elektronického obchodování by měly být chráněny před

podvodnými aktivitami, před zpochybňováním smluv,

prozrazením či modifikací.

A.10.9.2 On-line transakce Opatření

Měla by být zajištěna ochrana informací přenášených

při on-line transakcích tak, aby byl zajištěn úplný přenos

informací a zamezilo se špatnému směrování,

neoprávněné změně zpráv, neoprávněnému prozrazení,

neoprávněné duplikaci nebo opakování zpráv.

A.10.9.3 Veřejně přístupné informace Opatření

Informace publikované na veřejně přístupných

systémech by měly být chráněny proti neoprávněné

modifikaci.

A.10.10 Monitorování

Cíl: Detekovat neoprávněné zpracování informací.

A.10.10.1 Zaznamenávání událostí Opatření

Auditní záznamy, obsahující chybová hlášení a jiné

bezpečnostně významné události, byměly být pořizovány

a uchovány po stanovené období tak, aby byly se daly

použít pro budoucí vyšetřování a pro účely monitorování

řízení přístupu.

A.10.10.2 Monitorování používání

systému

A.10.10.3 Ochrana vytvořených

záznamů

A.10.10.4 Administrátorský a

operátorský deník

Opatření

Měla by být stanovena pravidla pro monitorování použití

zařízení pro zpracování informací, výsledky těchto

monitorování by měly být pravidelně přezkoumávány.

Opatření

Zařízení pro zaznamenávání informací a vytvořené

záznamy by měly být vhodným způsobem chráněny

proti neoprávněnému přístupu a zfalšování.

Opatření

Aktivity správce systému a systémového operátora by

měly být zaznamenávány.

A.10.10.5 Záznam selhání Opatření

Měly by být zaznamenány a analyzovány chyby

a provedena opatření k nápravě.

A.10.10.6 Synchronizace času Opatření

Hodiny všech důležitých systémů pro zpracování

informací by měly být v rámci organizace nebo domény

synchronizovány se schváleným zdrojem přesného

času.