Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
ARSIS mokymai naudotojams
Adolfas Vala
Informacijos saugumo valdymo konsultantas
ISO 27001 Lead Auditor, CISA, CISM, CISSP
2015-11-18/20
2
Aplinka
• Asmeninių daiktų saugumas
• Mobilieji telefonai
• Tualetai
• Kavos pertraukėlės
• Pietūs
• Darbotvarkė
• Nuomonės išsakymas
• Klausimai
• Apie save
3
Darbotvarkė
• Lapkričio 18, 19 ir 20 d.
• 09.00 – 10.20 Mokymai
• 10.20 – 10.30 Kavos pertraukėlė
• 10.30 – 12.00 Mokymai
• 12.00 – 13.00 Pietūs
• 13.00 – 14.20 Mokymai
• 14.20 – 14.30 Kavos pertraukėlė
• 14.30 – 17.00 Mokymai
4
Turinys
• ARSIS
• Elektroninės informacijos saugą reglamentuojantys teisės aktai
• Informacijos saugumo valdymo principai
• ARSIS apsaugos priemonių auditas
• ARSIS rizikos vertinimo metodas
• Praktiniai ARSIS užsiėmimai
5
1 dalis
ARSIS
6
Turinys
• ARSIS tikslai, uždaviniai, funkcijos
• Valstybės informacinių išteklių valdytojų ir tvarkytojų pareigos, duomenų teikimo į ARSIS tvarka
• ARSIS struktūra
• ARSIS sukuriamos galimybės;
7
ARSIS
• ARSIS – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistema
• ARSIS tikslas – automatiniu būdu vykdyti valstybės informacinių išteklių atitikties nustatytiems elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėseną.
8
ARSIS uždaviniai
• Rinkti, kaupti, saugoti, apdoroti, sisteminti ir kitaip tvarkyti duomenis apie elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimą valdant ir tvarkant informacinius išteklius
• Vykdyti informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams priežiūrą
• Informuoti valstybės informacinių sistemų, valstybės ir žinybinių registrų valdytojus apie jų valdomų informacinių išteklių atitiktį elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams
9
Valdytojas, tvarkytojas, duomenų teikėjai
• Valdytoja– Lietuvos Respublikos vidaus reikalų ministerija
• Tvarkytojas– Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus
reikalų ministerijos
• Duomenų teikėjas– Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos
susisiekimo ministerijos
– Registrų ir informacinių sistemų registras (RISR)
10
ARSIS funkcinė struktūra
• Duomenų įvedimo ir gavimo posistemė
• Informacinių išteklių posistemė
• Elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų posistemė
• Ataskaitų ir vizualizavimo posistemė
• Audito posistemė
• Automatinės stebėsenos posistemė
• Rizikos vertinimo posistemė
• Informacinių išteklių saugos tobulinimo projektų posistemė
• Administravimo posistemė
11
Plėtros programa
• LRV 2011-06-29 nutarimas Nr. 796 „Dėl Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programos patvirtinimo“.
• 2019 m. atitiktis informacijos saugumo reikalavimams – 98 proc. visų valstybės informacinių išteklių;
• vidutinis ypatingos svarbos informacinės infrastruktūros incidentų likvidavimo laikas sumažėtų iki 0,5 valandos;
• Lietuvos gyventojų, kurie saugiai jaučiasi kibernetinėje erdvėje, dalis pasiektų 60 procentų.
12
Bendrieji tikslai
• Gauti informacijos efektyviam ir planingam lėšų, skiriamų valstybės informacinių išteklių informacijos apsaugai, panaudojimui
• Efektyvus, savalaikis, planingas, optimalus informacijos apsaugos priemonių diegimas įgalina sutaupyti lėšų, skiriamų valstybės informacinių išteklių informacijos apsaugai. Šiuo projektu siekiama optimizuoti lėšas, skiriamas valstybės informacinių išteklių informacijos apsaugai
• Pagerinta informacijos apsauga lemia mažesnį incidentų skaičių ir galimus nuostolius dėl jų. Šiuo projektu siekiama sumažinti nuostolius dėl saugos incidentų
• Padidinti valstybės informacinių sistemų ir jose saugomų duomenų saugumo lygmenį
13
Problematika (1)
• Informacinių sistemų ir registrų informacijos technologijų saugos atitikties vertinimų tikslumas ir pagrįstumas paliekamas vertintojo nuožiūrai.
• Vertinimų organizavimas ir rastų neatitikčių šalinimas yra vidinis institucijų reguliavimo ir kontrolės dalykas.
• Neužtikrinamas vertinimų tęstinumas
• Nekontroliuojama vertinimų kokybė
• Vertinimų rezultatai nėra sisteminami ir analizuojami
14
Problematika (2)
• Atitikties reikalavimams stebėsena iš esmės nėra vykdoma.
• RISR duomenimis Lietuvoje veikia 235 įvairaus sudėtingumo ir jose tvarkomos elektroninės informacijos svarbos valstybės informacinės sistemos ir 162 valstybės ir žinybiniai registrai.
• Vidaus administravimo funkcijas vykdyti skirtos informacinės sistemos nėra registruojamos ir jų skaičius nėra žinomas.
• Įgyvendinant plėtros programą, numatyta identifikuoti ypatingos svarbos infrastruktūros objektus ir patvirtinti jiems saugos reikalavimus, todėl tikslinga vykdyti ir atitikties šiems reikalavimams stebėseną, o veikianti sistema sudarytų sąlygas tai atlikti.
15
Valdytojų ir tvarkytojų pareigos
• Informacinių išteklių valdytojų ir tvarkytojų pareigos– Teikti atitikties vertinimus
– Teikti rizikos vertinimus
• Duomenų teikimo į ARSIS tvarka
16
IT GRC tipo sistemos
• IT GRC – IT Governance, Risk and Compliance
• IT strateginis valdymas
• Rizikos valdymas
• Atitikties valdymas
• ARSIS – šio tipo sistema
• IT GRC sistemų paplitimas
17
ARSIS funkcionalumas
• Reikalavimų valdymas
• Atitikties valdymas
• Rizikos valdymas
• Projektai
• Saugos įvykiai
• Klasifikatoriai ir žinių bazės
18
ARSIS sukuriamos galimybės
• Rizikos ir atitikties vertinimų objektyvumas
• Vertinimų organizavimo ir rastų neatitikčių šalinimo kontrolė
• Vertinimų tęstinumas
• Vertinimų kokybė
• Vertinimų rezultatų sisteminimas ir analizė
• Atitikties reikalavimams stebėsena
• Stebėsena -> Analizė -> Teisės aktų keitimas
19
2 dalis
Elektroninės informacijos saugą reglamentuojantys teisės aktai
20
Teisės aktai (1)
• Įstatymai– Lietuvos Respublikos valstybės informacinių išteklių valdymo
įstatymas;
– Lietuvos Respublikos kibernetinio saugumo įstatymas
• Vyriausybės nutarimai– 2013-07-24 nutarimas Nr. 716 „Dėl Bendrųjų elektroninės
informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“
– 2013-02-27 nutarimas Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“
21
Teisės aktai (2)
• Vyriausybės nutarimai:– 2012-07-18 d. nutarimas Nr. 881 „Dėl Registrų steigimo, kūrimo,
reorganizavimo ir likvidavimo tvarkos aprašo patvirtinimo“
– 1997-09-04 nutarimas Nr. 952 „Dėl elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose“
– 2011-06-29 nutarimas Nr. 796 „Dėl Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programos patvirtinimo“
22
Teisės aktai (3)
• Įsakymai– VRM 2013-10-04 įsakymas Nr. 1V-832 „Dėl Techninių valstybės registrų
(kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“
– Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymas Nr. 1V-247 „Dėl Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo (Dėl valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių patvirtinimo)“
23
Teisės aktai (4)
• Įsakymai– VRM 2007-05-08 įsakymas Nr. 1V-172 „Dėl Saugos dokumentų turinio
gairių patvirtinimo“
– VRM 2004-05-21 įsakymas Nr. 1V-176 „Dėl Interneto tarnybinių stočių apsaugos rekomendacijų patvirtinimo“ (Žin., 2004, Nr. 85-3095)
– VRM 2004-05-06 įsakymas Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“
– FM 2013-10-07 įsakymas Nr. 1K-334 „Dėl Informacinių sistemų, kuriomis tvarkoma informacija, susijusi su materialinių ir finansinių išteklių valdymu, steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“
24
Teisės aktai (5)
• Įsakymai– VRM 2013-09-27 įsakymas Nr. 1V-807 „Dėl Informacinių sistemų,
kuriomis tvarkoma informacija, susijusi su personalo valdymu, steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“
– Lietuvos vyriausiojo archyvaro 2013-06-18 įsakymas Nr. V-45 „Dėl Informacinių sistemų, kuriomis tvarkoma informacija, susijusi su dokumentų valdymu, steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“
– IVPK prie SM 2014 m. vasario 25 d. įsakymas Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“
25
Teisės aktai (6)
• Įsakymai– VDAI 2014-12-18 įsakymas Nr. 1T-74(1.12.E) „Dėl Valstybinės
duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymo Nr. 1T-12(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ pakeitimo“
– VDAI 2008-11-12 įsakymas Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ pakeitimo“ su 2010 m. spalio 1 d. įsakymu Nr. 1T-80 (1.12) patvirtintu pakeitimu.
26
Teisės aktai (7)
• Standartai:– LST ISO/IEC 27001:2013 Informacinės technologijos. Saugumo
metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001:2013)
– LST ISO/IEC 27002:2014 Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai (tapatus ISO/IEC 27002:2013)
27
Valstybės informacinių išteklių įstatymas (1)
• Tikslas:– užtikrinti tinkamą valstybės informacinių išteklių kūrimą, tvarkymą,
valdymą, naudojimą, priežiūrą, sąveiką, planavimą, finansavimą ir saugą.
• Taikymas:– valstybės institucijoms steigiančioms, kuriančioms ir (arba)
tvarkančioms valstybės registrus (kadastrus), žinybinius registrus, valstybės informacines sistemas ir kitas informacines sistemas, finansuojamoms iš valstybės biudžeto, Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų ir Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka įgaliotoms atlikti viešąjį administravimą.
28
Valstybės informacinių išteklių įstatymas (2)
• Nustato valstybės informacinių išteklių:– rūšis
– politikos formavimą ir jos įgyvendinimą
– valdymo tarybos, duomenų valdymo įgaliotinių veiklą
– valdytojų, tvarkytojų, duomenų gavėjų ir teikėjų teises, pareigas ir atsakomybę
– kūrimo ir tvarkymo principus ir planavimą
– sąveikumo platformą
– IT priemonių saugos vertinimą
– kūrimo, tvarkymo ir priežiūros išlaidų finansavimą
29
Valstybės informacinių išteklių įstatymas (3)
• Ypatingos svarbos– visai valstybei svarbi informacija, apdorojama valstybės IS ir
pagrindiniuose valstybės registruose
• Svarbūs– kelioms institucijoms svarbi informacija, apdorojama valstybės IS ir
valstybės registruose
• Žinybinės svarbos– vienai institucijai svarbi informacija, apdorojama valstybės IS ir
žinybiniuose registruose
• Kiti– IS skirtos vidaus administravimo funkcijoms atlikti
30
Valstybės informacinių išteklių įstatymas (4)
• Lietuvos Respublikos Vyriausybė:– nustato valstybės informacinių išteklių veiklos prioritetus, plėtros
kryptis, siektinus rezultatus ir jų pasiekimo būdus;
– nustato informacijos svarbos įvertinimo tvarką;
– tvirtina informacijos saugos reikalavimų aprašą,
– tvirtina saugos dokumentų turinio gaires;
– tvirtina valstybės IS, registrų ir kitų informacinių sistemų klasifikavimo gaires.
31
Valstybės informacinių išteklių įstatymas (5)
• Susisiekimo ministerija– formuoja valstybės informacinių išteklių plėtros politiką
• Teisingumo ministerija– formuoja valstybės registrų politiką
• Vidaus reikalų ministerija– formuoja valstybės informacinių išteklių saugos politiką
32
Valstybės informacinių išteklių įstatymas (6)
• Informacinės visuomenės plėtros komitetas prie SM– atsako už valstybės informacinių išteklių funkcinį suderinamumą,
kūrimą, tvarkymą ir plėtrą.
• Valstybinė duomenų apsaugos inspekcija– atsako už asmens duomenų apsaugos reikalavimų įgyvendinimą.
33
Kibernetinio saugumo įstatymas (1)
• Nustato– kibernetinio saugumo sistemos organizavimą, valdymą ir kontrolę
– apibrėžia kibernetinio saugumo politiką formuojančias ir įgyvendinančias institucijas, jų kompetenciją, funkcijas, teises ir pareigas
– valstybės informacinių išteklių valdytojų ir (arba) tvarkytojų, ypatingos svarbos informacinės infrastruktūros valdytojų, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų ir elektroninės informacijos prieglobos paslaugų teikėjų pareigas bei atsakomybę ir kibernetinio saugumo užtikrinimo priemones
34
Kibernetinio saugumo įstatymas (2)
• Principai– kibernetinės erdvės nediskriminavimo
– kibernetinio saugumo proporcingumo
– viešojo intereso viršenybės
• Institucijų įgaliojimai– LRV, KAM, VRM, RRT, VDAI, Policijos departamentas
• Kibernetinio saugumo taryba
• Nacionalinis kibernetinio saugumo centras
35
Bendrųjų elektroninės informacijos saugos reikalavimų aprašas (1)
• Tikslas:– sudaryti sąlygas saugiai automatiniu būdu tvarkyti valstybės registrų ir
žinybinių registrų duomenis, dokumentus ir informaciją, valstybės informacinių sistemų ir kitų informacinių sistemų informaciją.
• Reikalavimai:– elektroninės informacijos sauga informacinėse sistemose turi atitikti
vidaus reikalų ministro tvirtinamus Techninius informacinių sistemų elektroninės informacijos saugos reikalavimus.
• Rekomendacijos:– užtikrinant informacijos saugą, vadovautis Lietuvos standartu LST
ISO/IEC 27001, LST ISO/IEC 27002.
36
Bendrųjų elektroninės informacijos saugos reikalavimų aprašas (2)
• Turi būti parengti saugos politiką reglamentuojantys dokumentai:– Saugos nuostatai
– Informacinės sistemos naudotojų administravimo taisyklės
– Saugaus elektroninės informacijos tvarkymo taisyklės
– Informacinės sistemos veiklos tęstinumo valdymo planas
• Reikalavimai– Saugos organizavimas
– Saugos incidentų valdymas
– Rizikos įvertinimas
– IS funkcijų pokyčių valdymas
– IT saugos atitikties vertinimas
– IS naudotojų atsakomybė
37
Saugos dokumentų turinio gairių aprašas (1)
• Saugos nuostatai:– Bendrosios nuostatos
– Elektroninės informacijos saugos valdymas
– Organizaciniai ir techniniai reikalavimai
– Reikalavimai personalui
– Informacinės sistemos naudotojų supažindinimo su saugos dokumentai principai
38
Saugos dokumentų turinio gairių aprašas (2)
• Saugaus elektroninės informacijos tvarkymo taisyklės:– Bendrosios nuostatos.
– Techninių ir kitų saugos priemonių aprašymas.
– Saugus elektroninės informacijos tvarkymas.
– Reikalavimai, keliami informacinėms sistemoms funkcionuoti reikalingoms paslaugos ir jų tiekėjams.
39
Saugos dokumentų turinio gairių aprašas (3)
• Informacinės sistemos veiklos tęstinumo valdymo planas:– Bendrosios nuostatos
– Organizacinės nuostatos
– Aprašomosios nuostatos
– Plano veiksmingumo išbandymo nuostatos
• Naudotojų administravimo taisyklės:– Bendrosios nuostatos
– Saugaus elektroninės informacijos teikimo informacinės sistemos naudotojams kontrolės tvarka
40
Sistemų klasifikavimas ir informacijos svarba (1)
• Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas
• Elektroninės informacijos klasifikavimas:– Ypatingos svarbos elektroninė informacija
– Svarbi elektroninė informacija
– Žinybinės svarbos elektroninė informacija
– Kita elektroninė informacija
• Informacinių sistemų klasifikavimas:– Pirma, antra, trečia, ketvirta
41
Sistemų klasifikavimas ir informacijos svarba (2)
• Ypatingos svarbos elektroninė informacija
• Informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali sukelti ypač sunkius padarinius visai valstybei ir gali kilti grėsmė įvykti procesams (ne mažiau kaip 2), kurie gali:
– tiesiogiai paveikti LR gyventojų sveikatą ir gyvybę;
– turėti neigiamų padarinių viešajai tvarkai ir gyventojų saugumui;
– padaryti neigiamus padarinius gamtai ir aplinkos saugumui;
– turėti sunkių padarinių Lietuvos ūkiui – sukelti žymų, daugiau kaip 5% metinio nacionalinio produkto sumažėjimą ar kitus sunkius padarinius;
– sukelti didesnius kaip 5 mln. Lt (1,5 mln. €) finansinius nuostolius valstybei;
– sukelti valstybės tarptautinių sutarčių ir įsipareigojimų pažeidimą, kurio pasekmių pašalinimas sukeltų didesnius kaip 5 mln. Lt (1,5 mln. €) nuostolius;
– sukelti kitų sunkių padarinių valstybei ar jos gyventojams.
42
Sistemų klasifikavimas ir informacijos svarba (3)
• Svarbi elektroninė informacija
• Informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti sunkių padarinių kelių institucijų veiklai ir gali kilti grėsmė įvykti procesams (ne mažiau kaip 2), kurie gali:
– turėti neigiamų padarinių gyventojų sveikatos apsaugai;
– sukelti pavojų viešajai tvarkai ir gyventojų saugumui;
– sukelti pavojų gamtos ir aplinkos saugumui;
– sutrikdyti kelių institucijų veiklą ar viešųjų paslaugų teikimą daugiau kaip vienai dienai;
– kelioms institucijoms sukelti finansinius nuostolius, didesnius nei 1 mln. Lt (0,3 mln. €), bet ne didesnius nei 5 mln. Lt (1,5 mln. €);
– sukelti kelių institucijų tarptautinių sutarčių ir įsipareigojimų pažeidimą, kurio pasekmių pašalinimas sukeltų didesnius nei 1 mln. Lt (0,3 mln. €), bet ne didesnius nei 5 mln. Lt (1,5 mln. €), nuostolius;
– sukelti kitų sunkių padarinių kelioms institucijoms ar jų reguliavimo sričiai priskirtai ūkio šakai.
43
Sistemų klasifikavimas ir informacijos svarba (4)
• Žinybinės svarbos elektroninė informacija
• Informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti neigiamą įtaką vienos institucijos veiklai ir gali kilti grėsmė įvykti procesams (ne mažiau kaip 2), kurie gali:– padaryti žalą vieno ar kelių fizinių ar juridinių asmenų teisėtiems
interesams, taip pat ir asmens duomenų apsaugai
– turėti neigiamų padarinių institucijos veiklai
– vienai institucijai sukelti finansinius nuostolius, ne didesnius nei 1 mln. Lt (0,3 mln. €)
– sukelti kitų neigiamų padarinių institucijai
44
Techniniai saugos reikalavimai (1)
• Techniniai valstybės registrų (kadastro), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai
• Tikslas:– nustatyti minimalius elektroninės informacijos saugos techninius
reikalavimus valstybės registrams (kadastrams), žinybiniams registrams, valstybės informacinėms sistemoms ir kitoms informacinėms sistemoms.
45
Techniniai saugos reikalavimai (2)
• IS kiekvienas IS naudotojas turi būti unikaliai identifikuojamas;
• IS naudotojas ar IS administratorius turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;
• IS priežiūros funkcijos turi būti atliekamos, naudojant atskirą IS administratoriaus paskyrą, kuria naudojantis negalima atlikti IS naudotojo funkcijos;
• IS naudotojams negali būti suteikiamos IS administratoriaus teisės;
• IS turi būti įrašomi ir saugomi duomenys apie– IS įjungimą, išjungimą,
– IS naudotojų sėkmingus ir nesėkmingus bandymus registruotis IS,
– visus IS naudotojų vykdomus veiksmus,
– nurodant IS naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką;
46
Techniniai saugos reikalavimai (3)
• IS naudotojui teisė dirbti su IS turi būti sustabdoma, kai jis nesinaudoja IS ilgiau kaip 3 mėn., kai įstatymų nustatytais atvejais IS naudotojas nušalinamas nuo darbo (pareigų)
• Pasibaigus tarnybos (darbo) santykiams, IS naudotojo teisė naudotis IS turi būti panaikinta nedelsiant
• Nuotolinis prisijungimas prie IS turi būti vykdomas šifruotu protokolu
47
Techniniai saugos reikalavimai (4)
• IS naudotojas baigęs darbą ar pasitraukęs iš darbo vietos turi imtis priemonių, kad IS negalėtų pasinaudoti kiti asmenys (atsijungti nuo IS, įjungti ekrano užsklanda su slaptažodžiu, dokumentus padėti į pašaliniams asmenims neprieinamą vietą)
• IS naudotojui neatliekant jokių veiksmų IS, IS turi ne vėliau kaip per 15 min. automatiškai užsirakinti
48
Techniniai saugos reikalavimai (5)
• IS neveikimo laikotarpis negali būti ilgesnis nei:
– 24 val. - IV kategorijos IS
– 16 val. - III kategorijos IS
– 12 val. - II kategorijos IS
– 8 val. - I kategorijos IS
• Per metus turi būti užtikrintas IS prieinamumas:
– ne mažiau kaip 70 proc. laiko darbo metu darbo dienomis - IV kategorijos IS
– ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis - III kategorijos IS
– ne mažiau kaip 96 proc. laiko visą parą - II kategorijos IS
– ne mažiau kaip 99 proc. laiko visą parą - I kategorijos IS.
• Ne rečiau kaip kartą per du metus turi būti atliekamas IS saugos atitikties vertinimas
49
Techniniai saugos reikalavimai (6)
• Reikalavimai patalpoms:– Serverių patalpos turi būti apsaugotos nuo neteisėto asmenų
patekimo į jas
– Serverių patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir (arba) apsaugos tarnybos stebėjimo pulto
– pagrindinė IS kompiuterinė įranga turi turėti įtampos filtrą ir rezervinį maitinimo šaltinį
– Serverių patalpose turi būti įrengta oro kondicionavimo įranga;
50
Techniniai saugos reikalavimai (7)
• Reikalavimai IS programinei įrangai:– IS techninė ir programinė įranga turi būti prižiūrima laikantis gamintojo
rekomendacijų,
– IS techninės ir programinės įrangos priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai,
– turi būti naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga,
– operatyviai įdiegiami ištestuoti naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai,
– turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo priemonės,
51
Techniniai saugos reikalavimai (8)
• Turi būti daromos atsarginės elektroninės informacijos kopijos
• Elektroninė informacija kopijose turi būti užšifruota (arba turi būti imtasi kitų priemonių)
• Laikmenas su IS programinės įrangos kopijomis draudžiama laikyti serverių patalpose
52
Techniniai saugos reikalavimai (9)
• Papildomi pirmosios kategorijos informacinių sistemų elektroninės informacijos saugos techniniai reikalavimai:
– ne rečiau kaip kartą per trejus metus atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai
– institucija turi įgyvendinti Lietuvos standarte LST ISO/IEC 27002:2009 nurodytas saugos priemones, išskyrus priemones, kurios netaikytinos dėl institucijos veiklos, informacinės sistemos ar naudojamos informacinėje sistemoje techninės įrangos pobūdžio, ir Lietuvos standarte LST ISO/IEC 27001:2006 nurodytus reikalavimus informacijos saugumo valdymo sistemai
53
Asmens duomenų apsauga (1)
• Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms– patvirtinti VDAI direktoriaus 2008-11-12 įsakymu Nr. 1T-71(1.12) (Žin.,
2008, Nr. 135-5298)
• Patvirtintos asmens duomenų tvarkymo taisyklės
• Už duomenų apsaugą atsakingas asmuo negali atlikti administratoriaus funkcijų
54
Asmens duomenų saugumo lygiai
• Pirmasis:– tvarkomi viešai skelbiami asmens duomenys ir automatiniu būdu
tvarkomi duomenys, prie kurių nėra prieigos per išorinius duomenų perdavimo tinklus;
• Antrasis– automatiniu būdu tvarkomi asmens duomenys, prie kurių yra prieiga
per išorinius duomenų perdavimo tinklus;
• Trečiasis– automatiniu būdu tvarkomi ypatingi asmens duomenys.
55
Pirmasis saugumo lygis
• Prieigos apsauga, valdymas ir kontrolė
• Prieiga tik funkcijoms vykdyti
• Naudotojui galimi atlikti veiksmai (teisės)
• Slaptažodžiai:– Ne mažiau kaip 8 simbolių
– Keičiami ne rečiau kaip kas 2 mėn.
– Privalo būti pakeisti pirmojo prisijungimo metu
• Apsauga nuo neteisėto prisijungimo prie vidinio kompiuterių tinklo
• Patalpų saugumas
56
Antrasis saugumo lygis
• Registravimosi bei teisių gavimo pastangų fiksavimas ir kontrolė
• Nustatomas leistinų nepavykusių prisijungimų prie programinės įrangos skaičius
• Fiksuojami naudotojų veiksmai:– prisijungimo identifikatorius
– data, laikas, trukmė
– jungimosi rezultatas
– bylos, prie kurių buvo jungtasi
– šie įrašai turi būti saugomi ne trumpiau kaip 1 metus
• Teikiamų asmens duomenų paieškos užklausoje turi būti suformuluotas duomenų paieškos tikslas
57
Antrasis saugumo lygis
• Saugių protokolų ir (arba) slaptažodžių naudojimas, kai asmens duomenys perduodami išoriniais duomenų perdavimo tinklais
• Išorinės duomenų laikmenos, elektroninis paštas, ištrynimas po panaudojimo
• Registruojami duomenų kopijavimo ir atkūrimo praradimo atveju veiksmai
• Testavimas neturi būti vykdomas su realiais asmens duomenimis (išskyrus būtinus atvejus)
• Patalpų saugumas
58
Trečiasis saugumo lygis
• Fiksuojami prisijungimų prie asmens duomenų įrašai:– Bylos, prie kurių buvo jungtasi
– Atlikti veiksmai (įvedimas, peržiūra, keitimas, naikinimas ir kiti)
– Įrašai turi būti saugomi ne trumpiau kaip 1 metus.
• Ne rečiau kaip kartą per 1 mėn.:– peržiūrėti naudotojų prisijungimų žurnalą
– duomenų valdytojui teikti peržiūros ataskaitas
• Mobilieji įrenginiai (jeigu naudojami ne vidiniame kompiuterių tinkle):– ypatingi asmens duomenys ir prisijungimo prie tvarkomų asmens
duomenų informacija
– šifruojama ar apsaugoma tokiomis priemonėmis
59
Trečiasis saugumo lygis
• Atsarginės duomenų kopijos turi būti saugomos kitoje vietoje
• Atsarginių kopijų, archyvų ir išorinių duomenų laikmenų šifravimas
• Elektroniniu paštu perduodamų ypatingi asmens duomenų šifravimas
60
Rekomendacijos dėl ypatingų asmens duomenų apsaugos
• ne rečiau kaip kartą per 1 metus atlikti asmens duomenų tvarkymo rizikos vertinimą
• ne rečiau kaip kartą per 1 metus patikrinti avarinio asmens duomenų atkūrimo tvarką atliekant praktinius bandymus
• šifruoti aktyvioje (veikiančioje) duomenų bazėje saugomus asmens duomenis
• kontroliuoti informacinę sistemą administruojančių asmenų veiksmus (organizacinės ir techninės priemonės)
61
3 dalis
Informacijos saugumo valdymo principai
62
Vadybos sistemų standartai
ISO 9001Kokybė
ISO 14001Aplikosauga
ISO 18001Sveikata ir sauga
darbe
ISO 20000IT paslaugos
ISO 22000Maisto saugumas
ISO 22301Veiklos
tęstinumas
ISO 27001Informacijos
saugumas
ISO 28000Fizinė sauga
63
ISO 27001 serijos istorija
19901995
2000
20072008+
ISO 27006
Reikalavimai
sertifikuojančioms
organizacijoms
Kiti 27000
šeimos
standartai
BS7799-1
Geriausios
praktikos
kodeksas
BS7799-2
ISMS sertifikavimo schema
Geriausios
praktikos
kodeksas
(išleistas grupės
kompanijų)
ISO 17799
Geriausios
praktikos
kodeksas
Nauja ISO17799versija
ISO 27001 publikacija
1998
2005
64
ISO 27000 standartų šeimaŽ
od
yn
as
Reik
ala
vim
ai
Ben
dri
eji
vad
ov
ai
Ats
kir
ų š
akų
vad
ov
ai
ISO 27001
ISVS
reikalavimai
ISO 27006
Reikalavimai
Sertifikuojančioms
organizacijoms
ISO 27005
Rizikos
valdymas
ISO 27004
Metrikos
ISO 27003
Diegimo
vadovas
ISO 27002
Praktikos
kodeksas
ISO 27007-27008
Audito vadovas
ISO 27011
Telekomunikacijos
ISO 27799
Sveikata
ISO 270XX
kiti
ISO 27000
Žodynas
65
ISO 27001
• Reglamentuoja reikalavimus
ISVS valdymui
(4-10 skyriai)
• Reikalavimuose naudojamas
angliškas žodis „shall“
• A priedas: 14 skyrių su 35
valdymo tikslais ir 114
valdymo priemonėmis
• Organizacija gali būti
sertifikuojama pagal šį
standartą
66
ISO 27002• Pakeitė ISO 17799
• Informacijos saugumo
valdymo praktikos kodeksas
(rekomendacinis
dokumentas)
• Sakiniai parašyti, naudojant
anglišką žodį „should“
• Sudarytas iš 14 skyrių su 35
valdymo tikslais ir 114
valdymo priemonėmis
• Organizacija negali būti
sertifikuojama pagal šį
standartą
67
ISO 27001 privalumai
1. Saugumo sustiprinimas
2. Geras strateginis valdymas
3. Atitiktis
4. Kaštų mažinimas
5. Marketingas
PRIVALUMAI
68
ISO 27001 sertifikavimo naudos
• Atitiktis teisės aktų reikalavimams– 1-os kategorijos informacinės sistemos turi atitikti šio standarto
reikalavimus
• Klientų lūkesčių užtikrinimas– Fiziniai ir juridiniai asmenys
• Atitiktis tarptautinių sutarčių reikalavimams– su kitomis valstybėmis ir organizacijomis
• Užsakovo lūkesčių užtikrinimas– Informacinių išteklių valdytojai
• Nepriklausoma informacijos saugumo valdymo būklės peržiūra
69
Informacijos saugumas
• Informacijos saugumas – tai informacijos apsauga
nuo daugelio įvairių grėsmių,
– siekiant užtikrinti veiklos nepertraukiamumą,
– kiek galima sumažinti veiklos riziką ir
– kiek galima padidinti investicijų pelną bei veiklos galimybes.
• Informacijos konfidencialumo, vientisumo ir
prieinamumo išsaugojimas.
70
Informacijos formos
• Atspausdinta arba užrašyta ranka
• Įrašyta technologinio proceso
• Persiųsta elektroniniu būdu
• Įdėta į interneto svetainę
• Parodyta vaizdo filme
• Išsakyta susitikimo metu
• ir t.t.
71
Pažeidžiamumai
Turto arba saugumo priemonės silpnumas, kurį gali išnaudoti grėsmė
Pažeidžiamumo tipas Pavyzdys
1. Aparatinė įrangaNepakankama priežiūra
Nešiojama įranga
2. Programinė įrangaNėra registracinių įrašų
Komplikuota vartotojo sąsaja
3. TinklasDuomenys nešifruojami
Prieiga per vieną tašką
4. PersonalasNepakankami mokymai
Priežiūros stoka
5. PastatasNestabilus elektros tiekimas
Pastatas gali būti užlietas potvynio
6. Organizacinė struktūraPareigos nėra atskirtos
Nėra pareiginių instrukcijų
72
Grėsmės
Potenciali nepageidaujamo incidento, galinčio sukelti žalos sistemai ar organizacijai galimybė
Grėsmės tipas Pavyzdys
1. Fizinė žalaGaisras
Vandens žala
2. Gamtinė nelaimėŽemės drebėjimas
Potvynis
3. Pagrindinių paslaugų praradimasOro kondicionieriaus gedimas
Elektros tiekimo nutrūkimas
4. SpinduliavimasElektromagnetinis spinduliavimas
Šiluminis spinduliavimas
5. Informacijos nutekėjimasPasiklausymo įranga
Dokumentų vagystė
6. Techninis gedimasĮrangos gedimas
Per didelis tinklo apkrautumas
73
Konfidencialumas, vientisumas ir prieinamumas
• Konfidencialumas– savybė, nusakanti, kad informacija
nebus prieinama ar pateikiama neįgaliotiems fiziniams ar juridiniams asmenims arba procesams
• Vientisumas– savybė, nusakanti turto tikslumo ir
pilnumo apsaugą
• Prieinamumas– savybė, užtikrinanti įgaliotojo subjekto
prieigos ir naudojimosi, esant reikalui galimybę.
74
Informacijos saugumo rizika
• Galimybė, kad konkreti grėsmė išnaudos turto pažeidžiamumus ir taip pakenks organizacijai.
Pasekmė
(Poveikis)RizikaTikimybė
75
Valdymo tikslai ir valdymo priemonės
Valdymo tikslas
Teiginys, nurodantis, kas turi būti pasiekta, įdiegus valdymo priemonesTechninės
priemonės
Administracinės
priemonės
Vadybinės
priemonės
Teisinės
priemonės
Valdymo priemonė
Būdai valdyti riziką
Apima politikas, procedūras, vadovus arba organizacijos struktūrą
Sinonimai: priemonės, apsaugos priemonės, saugumo įranga
76
Valdymo priemonės
Prevencinės priemonės
Atgrasinti arba užkirsti kelią problemų atsiradimui.
Detekcinės priemonės
Ieškoti, aptikti ir nustatyti anomalijas.
Korekcinės priemonės
Išspręsti aptiktas problemas ir užkirsti kelią
anomalijų atsiradimui.
Prevencinės
Detekcinės Korekcinės
77
Strateginės, bendrosios ir taikomųjų sistemų valdymo priemonės
Strateginės priemonės
(4-10 skyriai)
Sistemų kūrimo
valdymasFizinė apsauga
Prieigos
kontrolėTurto valdymas
Incidentų
valdymas
Finansai Pardavimai Marketingas Personalas
Įvestys, apdorojimas, išvestys
ISVS politikaStebėsena ir
ISVS peržiūra
Vadovybės
analizė
Nuolatinis
tobulėjimas
Rizikos
valdymas
Taikomoji sistema
Valdymo priemonės
Bendrosios
priemonės
(A priemonės)
Taikomųjų sistemų valdymo
priemonės
(neaprašytos
ISO 27001)
78
Ryšiai tarp informacijos saugumo sąvokų
Savininkas
Priemonės
Pažeidžiamumai
Rizika
Grėsmės
Turtas
Nustato vertę
Norėtų sumažinti
mažina
gali turėti
gali sumažinti
did
ina
išn
au
do
ja
didina
turi
gali paveikti
parenka
79
Nustatytos rizikos
• Gamintojo nepalaikoma programinė įranga
• Personalo trūkumas
• Neteisėtas prieigos prie informacinių išteklių naudojimas
• Netinkamas informacinių išteklių naudojimas
• Sistemų architektūros klaidos
80
Procesinis požiūris
Peržiūrėti ir
Tobulinti ISVS
Įgyvendinti ir
naudoti ISVS
Parengti ISVS
Stebėti ir
analizuoti ISVS
Suinteresuotos šalys
Valdomas informacijos saugumas
Suinteresuotos šalys
Informacijos saugumo
reikalavimai ir lūkesčiai
Planavimas
Tikrinimas
Plėtra Taikymas
81
ISVS diegimas
Planavimas
Preliminari analizė
Projekto planavimas
Strateginis valdymas
Rizikos vertinimas
Taikomumo pareiškimas
TaikymasDokumentų
valdymas
Priemonių ir procedūrų kūrimas
Valdymo priemonių įdiegimas
Mokymas ir suvokimo didinimas
Incidentų valdymas
Operacijų valdymas
Tikrinimas
Valdymo priemonių stebėsena
Veiksmingumo matavimas
Vidinis auditas
Vadovybinė analizė
Plėtra
Neatitikčių nustatymas
Neatitikčių šalinimas
Nuolatinis tobulinimasis
82
ISO 27001 – apžvalga ir struktūra
• 4 skyrius: Organizacijos kontekstas
• 5 skyrius: Vadovavimas
• 6 skyrius: Planavimas
• 7 skyrius: Parama
• 8 skyrius: Operacijos
• 9 skyrius: Vykdymo vertinimas
• 10 skyrius: Tobulinimas
• A priedas: Valdymo tikslai ir valdymo priemonės
83
Apibrėžti ISVS taikymo sritį ir kontekstą
Veiklos procesas
Struktūrinis padalinys
Visa organizacija
Organizacija ir suinteresuotosios šalys
Pastaba: Bet kokios išimtys turi būti pagrįstos
84
Apibrėžti ISVS politiką ir atsakomybes
1. Vadovybės įsipareigojimai informacijos saugumo srityje
2. Bendroji veiklos kryptis ir principai, susiję su informacijos saugumu
3. Numatyti kriterijai, pagal kuriuos įvertinama rizika
4. ISVS politika patvirtinta organizacijos vadovybės
5. Paskirstyti pareigas informacijos saugumo srityje
85
Apibrėžti organizacijos rizikos vertinimo būdus
Pastaba: Užtikrinkite, kad rizikos vertinimas
garantuos palyginamus ir pakartotinai galimus
rezultatus
Apibrėžti
rizikos vertinimo būdus
Nustatyti
metodiką
Nustatyti rizikos
priėmimo kriterijus
Nustatyti
priimtinus
rizikos lygius
86
Identifikuoti rizikas
Identifikuoti ISVS taikymo srityje esantį turtą bei šio turto valdytojus
Identifikuoti poveikį, galintį kilti turtui dėl konfidencialumo, vientisumo ar parengtumo praradimo
Identifikuoti šiam turtui kylančias grėsmes
Identifikuoti pažeidžiamas vietas, kuriomis grėsmės šaltiniai gali pasinaudoti
Identifikuoti
turtąIdentifikuoti
grėsmes
Identifikuoti
pažeidžiamas
vietas
Identifikuoti
poveikį
87
Išanalizuoti ir įvertinti rizikas
Įvertinti veiklos įtakas organizacijai kilus saugumo nesklandumams, atsižvelgiant į konfidencialumo, vientisumo ir parengtumo praradimo padarinius
Numatyti, kada rizika yra priimtina, o kada reikalauja atsakomųjų priemonių, atsižvelgiant į rizikos prisiėmimo kriterijus
Įvertinti saugumo nesklandumų atsiradimo tikimybę, atsižvelgiant į esamas grėsmes ir pažeidžiamas vietas, su turtu susijusius poveikius ir esamu metu taikomas valdymo priemones
Nustatyti rizikos lygius
Įvertinti poveikį
Apskaičiuoti
atsiradimo
tikimybę
Nustatyti
rizikos lygius
Nustatyti
rizikos
priimtinumą
88
Identifikuoti ir įvertinti susidorojimo su rizikomis galimybes
Susidoroti su rizika
Tinkamų valdymo priemonių taikymas
Prisiimti riziką
Vadovybė nusprendžia prisiimti riziką
Perduoti riziką
Sprendimas pasidalinti rizika su išorinėmis šalimis:
draudimas arba užsakomosios paslaugos
Vengti rizikos
Su rizika susijusių veiklų nutraukimas arba
pakeitimas
Susidoroti
su rizika
Perduoti
riziką
Prisiimti
riziką
Vengti
rizikos
89
Parinkti valdymo priemones
• Parinkti valdymo priemones, kurios atitinka rizikos
vertinimo ir susidorojimo su rizikomis proceso metu
nustatytus poreikius
• Valdymo priemones gali būti parinktos iš A priedo
REIKIA ATSIŽVELGTI Į:
– Rizikos priimtinumo kriterijus
– Teisinius, sutarčių ir standartų įsipareigojimus
90
Pritarimas liekamosioms rizikoms
2. Sudorota rizikaValdymo priemonėmis eliminuota rizika
1. Liekamoji rizikaPo susidorojimo su rizika likusi rizika
Vadovybė turi suvokti
liekamąją riziką ir
atsakingai ją prisiimti
Prigimtinė rizikaVisa rizika, neįvertinant
valdymo priemonių
2
1
91
Leidimas įgyvendinti ISVS
Vadovybės
leidimas
•Direktorių tarybos rezoliucija
•Oficialus raštas
•Susirinkimas
• ir t.t.
Vadovybės leidimo
galimi įrodymai
ISVS
įgyvendinimas
92
Parengti taikomumo pareiškimą
• Dokumentuota deklaracija, aprašanti valdymo
priemonių tikslus ir juos atitinkančias bei
taikytinas valdymo priemones.
• Taikomumo pareiškime turi būti nurodyta:
– Pasirinkti valdymo tikslai ir valdymo priemonės bei
priežastys, paskatinusios juos pasirinkti
– Esamu momentu jau įgyvendinti valdymo tikslai ir
valdymo priemonės
– Netaikomi A priede pateikti valdymo tikslai ir valdymo
priemonės bei jų netaikymo pagrindimas
93
ISVS įgyvendinimas ir naudojimas
Diekite valdymo priemones
ir apibrėžkite, kaip
matuosite priemonių
efektyvumą.
Kasdieninės ISVS
valdymo operacijos
Sudarykite planą
(veiksmai, ištekliai,
atsakomybės,
prioritetai, tikslai) ir jį
patvirtinkite
Įgyvendinkite
mokymo ir suvokimo
didinimo programas
Įgyvendinkite
incidentų valdymo
procesą, siekiant
greitai aptikti
incidentus ir juos
suvaldyti
Rizikos
priežiūros
planas
Įgyvendinimas
ir priemonių
matavimas
ISVS
valdymas
Incidentų
valdymas
Mokymai ir
suvokimo
didinimas
94
ISVS stebėsena ir analizė
2. Periodinė ISVS efektvymo
analizė, įvertinant atsiliepimus iš
suinteresuotųjų šalių.
4. Rizikos vertinimų peržiūra
1. Monitoringas ir saugumo įvykių
aptikimo bei prevencijos procedūrų
analizė
3. Valdymo priemonių
efektyvumo matavimas
6. Vadovybinė analizė ir
saugumo planų
atnaujinimas
5. Vidaus auditai
ISVS
stebėsena
Ir analizė
Pastaba: Visi šie veiksmai turi būti dokumentuoti ir apskaitomi
95
Vidinis ISVS auditas
• Organizacija periodiškai, numatytais intervalais, turi
atlikti ISVS auditą.
• Audito programa turi būti planuojama, atsižvelgiant į
numatomų audituoti procedūrų ir sričių svarbą bei į
ankstesnių auditų rezultatus.
96
Vadovybės atliekama ISVS analizė
Pradiniai analizės duomenys Išvestiniai analizės duomenys
1. ISVS auditų ir analizių rezultatai
2. Suinteresuotų šalių pastabos
3. Metodai, produktai ir procedūros, kurias
būtų galima panaudoti, siekiant pagerinti
organizacijos ISVS veikimą ir
veiksmingumą
4. Prevencinių ir korekcinių veiksmų padėtis
5. Pažeidžiamos vietos arba grėsmės, į
kurias nebuvo adekvačiai sureaguota,
atliekant ankstesnįjį rizikos vertinimą
6. Veiksmingumo matavimo rezultatai
7. Paskesni veiksmai po ankstesnių valdymo
peržiūrų
8. Visi pokyčiai, galintys turėti įtakos ISVS
9. Patobulinimo rekomendacijos
1. ISVS efektyvumo tobulinimas
2. Rizikos vertinimo ir rizikos
priežiūros planų atnaujinimas
3. Informacijos saugumo
procedūrų ir priemonių
modifikavimas
4. Reikiami ištekliai
5. Valdymo priemonių
efektyvumo tobulinimas
97
ISVS tobulinimas
• Organizacija nuolat turi kelti ISVS efektyvumą, pasitelkdama informacijos saugumo politiką, informacijos saugumo tikslus, audito rezultatus bei analizuodama stebimus įvykius, korekcinius ir prevencinius veiksmus bei vadovybės peržiūras.
98
Korekciniai veiksmai
Priežasčių
nustatymas
Galimybių
įvertinimas
Sprendimų
parinkimas
Taikytų korekcinių veiksmų peržiūra
Sprendimų įgyvendinimas
ir veiksmų registravimas
Neatitikčių identifikavimas ir
dokumentavimas
Nuolatinis tobulinimas
Korekcinis veiksmas
Padėties analizė
Neatitikties identifikavimas
99
Prevenciniai veiksmai
Siekdama išvengti potencialių ISVS
reikalavimų neatitikčių atvejų, organizacija turi
imtis atitinkamų veiksmų.
Prevenciniai veiksmai Korekciniai veiksmai
Efektyvumas Sąnaudos
100
4 dalis
Informacijos saugumo valdymo auditas
(atitikties vertinimas)
101
ISO 19011: Vadybos sistemų audito gairės
1. Taikymo sritis
2. Nuorodos į kitus standartus
3. Terminai ir apibrėžtys
4. Audito principai
5. Audito programos valdymas
6. Audito veiklos
7. Auditorių kompetencijair vertinimas
102
Kas yra auditas?
ISO 19011, 3.1 skyrius
• Sisteminis, nepriklausomas ir dokumentuotasprocesas audito įrodymų gavimui ir jų objektyviamįvertinimui, siekiant nustatyti audito kriterijųtenkinimo apimtį.
Trumpai:
Auditavimas reiškia audituojamųjų klausinėjimą,
ką jis/ji daro ir patikrinimą, ar jis/ji daro tai.
103
Auditų tipai
Antrosios šalies auditas
Mūsų organizacija
audituoja mūsų tiekėją
Antrosios šalies auditas
Mūsų klientas audituoja
mūsų organizaciją
Trečiosios šalies
auditas
Mūsų organizaciją
audituoja
nepriklausoma
organizacija
Klientas Tiekėjas
Išorinis
Vidinis
Organizacija
Pirmosios šalies auditas
Mūsų organizacija
audituoja savo sistemas
104
Audito įrodymai
• ISO 19011, 3.3 skyrius
• Įrašai, faktų teiginiai ir kita informacija, kuri yra susijusi su audito kriterijais ir gali būti patikrinama
• Audito įrodymai turi būti pasiekiami
• Įrodymų prigimtis:
– kokybiniai
– kiekybiniai
105
Audito įrodymai ir jų patikimumas
Patvirtinantys įrodymai
Analitiniai įrodymai
Techniniai įrodymai
Dokumentų įrodymai
Žodiniai įrodymai
Fiziniai ir matematiniai
įrodymai
106
Dokumentų įvertinimo kriterijai
Turinys
Dokumentų
valdymo
procedūra
Formatas
107
Audituojamų dokumentų tipai
Suteikia objektyvius įrodymus
ISVS reikalavimų atitikčiai
Aprašo pareigų ir veiklų
atlikimą
Aprašo procesus ir
valdymo priemones
(kas, ką, kada, kaip kur ir kodėl)
Strateginio
valdymo
struktūra
ISVS politika, taikomumo pareiškimas,
taikymo sritis, vadovybės analizė ir kiti
strateginiai dokumentai
Procesų ir valdymo priemonių
aprašai
Mokomoji medžiaga,
formos, priemonių
sąrašai ir t.t.
Įrašai
1 lygis
2 lygis
3 lygis
4 lygis
108
Reikalavimai dokumentams
ISVS apibrėžimas
ISVS turi būti dokumentuota:
• ISVS taikymo sritis
• ISVS politikos ir valdymo tikslųteiginiai
• Taikomumo pareiškimas
109
Reikalavimai dokumentai (tęs.)
Rizikos valdymas
• Rizikos vertinimo būdo ir metodo aprašas
• Rizikos vertinimo ataskaita
• Rizikos valdymo planas
110
Reikalavimai dokumentams (tęs.)
Valdymo priemonių dokumentai
• Deklaruojamų valdymo priemonių aprašai irprocedūros
• Dokumentuotos procedūros, skirtos užtikrintiplanavimą, operacijas ir efektyvią ISVS kontrolę
• Reikalingi įrašai
111
Strateginių dokumentų patikrinimas
Dokumentuose turi būti informacijos, susijusios su sprendimais, patvirtinimais ir vadovybės veiksmaisdėl:
• ISVS taikymo srities ir taikomumo pareiškimo
• ISVS politikos
• Rizikos vertinimo kriterijų
• Liekamosios rizikos priimtinumo
• ISVS veiklai reikalingų išteklių
• Vadovybinės analizės
• Audito ataskaitų
112
Dokumentų valdymo procedūros tikrinimas
5. Tvirtinimas
4. Pakeitimas
8 . Archyvavimas
1. Sukūrimas
3. Klasifikavimas ir
saugumas2. Identifikavimas
6. Paskirstymas7. Tinkamas
naudojimas
9. Sunaikinimas
Turi būti patvinta procedūra, skirta
dokumentų gyvavimo ciklo valdymui
113
Neatitiktys
• Neatitiktis yra „reikalavimo neįvykdymas“.
• Du neatitikčių tipai:
– Esminė neatitiktis (angl. major nonconformity)
– Neesminė neatitiktis (angl. minor nonconformity)
114
Esminė neatitiktis
Reikalaujama sąlyga nėra vykdoma arba valdymo priemonė nėra naudojama arba yra visai neveiksmingos:
• kelia rimtas abejones dėl ISVS gebėjimo apsaugoti svarbios informacijos konfidencialumą, vientisumą arba pasiekiamumą (parengtumą)
• ir (arba) yra nepriimtina rizika suinteresuotoms šalims
115
Esminė neatitiktis
• Vadovybės įsipareigojimų stoka
• Už ISVS valdymą atsakingi darbuotojai neturi reikiamos kvalifikacijos
• Pasikartojantiems incidentams trūksta korekcinių veiksmų
• Rizikos vertinimas neapima privalomų aspektų (turto nustatymas, grėsmės, pažeidžiamumai, tikimybės ir t.t.)
• Standarto reikalavimai nėra vykdomi
• Visiškas kurios nors A priedo valdymo priemonės neveikimas
116
Neesminė neatitiktis
Valdymo priemonė buvo nepilnai įdiegta arba pritaikyta:
– kelia tam tikras abejones dėl ISVS gebėjimo apsaugoti svarbios informacijos konfidencialumą, vientisumą arba prieinamumą
– ir (arba) maža, tačiau ne nereikšminga rizika suinteresuotoms šalims
117
Neesminė neatitiktis
• Rizikos vertinimo ataskaitoje yra nenuoseklumų
• Kai kurie už ISVS atsakingi darbuotojai nėra tinkamai
apmokyti
• Prieiga prie operacinės sistemos programinės įrangos
yra apsaugota, tačiau tai nėra dokumentuota
• Kai kurios procedūros nebuvo peržiūrėtos ir atnaujintos
organizacijos nustatytais terminais
118
Anomalija
Apibrėžimas: Anomalija yra atsitiktinis arba izoliuotas nuokrypis nuo reikalavimo
Anomalija nebūtinai yra neatitiktis
Auditorius turi įsitikinti, kad audituojamiesiems anomalija yra priimtina
119
Pastaba
Apibrėžimas: pastaba yra
teikiama tada, kai audito metu
nustatyta padėtis arba
elementas gali būti pagerinti,
neskelbiant neatitikties
Pastabos dažniausiai yra
siejamos su ISVS
veiksmingumo sustiprinimo
rekomendacijomis
Audituojamasis nėra
įpareigotas įgyvendinti
korekcinius veiksmus pagal
pateiktas rekomendacijas
120
ARSIS atitikties vertinimo metodika
• VRM 2004-05-06 įsakymas Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“
• Vertinimo tvarka:
• Pirmas etapas – informacijos surinkimas ir vertinimas
• Antras etapas –atitikties vertinimo ataskaitos parengimas
• Atitikties vertinimo skalė
• 1 – nėra vertinamo objekto
• 2 – parengtas vertinamo objekto projektas
• 3 – vertinamas objektas patvirtintas, tačiau netaikomas (nesivadovaujama parengtomis priemonėmis ar procedūromis, vartotojai nesupažindinti su jomis, nepaskirtas atsakingas vykdytojas ir pan.)
• 4 – vertinamas objektas taikomas, tačiau rasta nežymių trūkumų, kurie nurodomi pastabose
• 5 – vertinamas objektas taikomas.
121
5 dalis
ARSIS apsaugos priemonių auditas (atitikties vertinimas)
122
Valdymo priemonių sritys
5. Informacijos saugumo politikos
6. Informacijos saugumo organizavimas
7. Žmogiškųjų išteklių saugumas
8. Turto valdymas
9. Prieigos kontrolė
10. Kriptografija
11. Fizinė ir aplinkos apsauga
12. Operacijų saugumas
13. Ryšių saugumas
14. Kūrimo ir priežiūros procesų saugumas
15. Ryšiai su rangovais
16. Informacijos saugumo incidentų valdymas
17. Informacijos saugumo aspektai veiklos tęstinumo valdyme
18. Atitiktis
123
5. Informacijos saugumo politikos
124
5.1. Informacijos saugumo valdymo kryptis
• Tikslas:– nustatyti valdymo kryptį ir užtikrinti informacijos saugumą
atitinkančius veiklos reikalavimus ir atitinkamus įstatymus bei reglamentus.
• Vadovybė turėtų:– nustatyti aiškią politikos kryptį, atitinkančią veiklos tikslus
– akivaizdžiai ją palaikyti ir įsipareigoti
– paskelbti
– remti.
125
5.1. Informacijos saugumo valdymo kryptis
• 5.1.1. Informacijos saugumo politikos– Informacijos saugumo politikų visuma turi būti apibrėžta, patvirtinta
vadovybės, paskelbta ir pateikta visiems darbuotojams bei su tuo susijusioms išorinėms šalims.
– Saugos nuostatai, naudotojų administravimo taisyklės, saugos elektroninės informacijos tvarkymo taisyklės, veiklos tęstinumo valdymo planas
• 5.1.2. Informacijos saugumo politikų peržiūra– Kas tam tikrą numatytą laiką
– Įvykus reikšmingiems pasikeitimams
126
6. Informacijos saugumo organizavimas
127
6.1 Vidinis organizavimas
• Tikslas:– Siekiant įdiegti informacijos saugumą organizacijoje ir jį valdyti, turėtų
būti sudaryta valdymo struktūra.
• Jeigu reikia, organizacijoje turėtų būti sudarytos sąlygos prieinamai informacijos saugumo specialisto konsultacijai.
• Turėtų būti plėtojami ryšiai su išoriniais saugumo specialistais ar jų grupėmis.
• Informacijos saugumas turi būti projektų valdymo dalimi.
128
6.1 Vidinis organizavimas
• 6.1.1. Informacijos saugumo rolės ir atsakomybės– Visos informacijos saugumo atsakomybės turi būti apibrėžtos ir
paskirtos atsakingiems asmenims.
• 6.1.2. Pareigų atskyrimas– Konfliktuojančios pareigybės ir atsakomybių sritys turi būti atskirtos
kad sumažinti neautorizuotų ar netyčinių modifikacijų ar piktnaudžiavimo organizacijos turtu galimybę.
• 6.1.3. Ryšys su valdžios institucijomis– Turi būti palaikomi atitinkami ryšiai su svarbiomis valdžios
institucijomis.
129
6.1 Vidinis organizavimas
• 6.1.4. Ryšys su specialiomis interesų grupėmis– Turi būti palaikomi atitinkami ryšiai su specialių interesų grupėmis ar
kitais specialistų saugumo forumais bei profesinėmis asociacijomis.
• 6.1.5. Informacijos saugumas projektų valdyme– Informacijos saugumas turi būti aptartas projektų valdyme,
nepriklausomai nuo projekto tipo.
130
6.2. Mobilieji įrenginiai ir nuotolinis darbas
• Tikslas:– Užtikrinti nuotolinio darbo ir mobiliųjų įrenginių saugumą
• Neapsaugos darbo aplinkos rizikos įvertinimas
• Nuotolinio darbo vietos apsaugos priemonės
131
6.2. Mobilieji įrenginiai ir nuotolinis darbas
• 6.2.1. Mobilių įrenginių politika– Politika ir palaikančios saugumą priemonės turi būti pritaikytos, kad
valdyti mobilių įrenginių naudojimo keliamas rizikas.
– Nešiojamieji/planšetiniai kompiuteriai, mobilieji telefonai
– WiFi, 3G, 4G, VPN
• 6.2.2. Nuotolinis darbas– Politika ir palaikančios saugumą priemonės turi būti įdiegtos, kad
apsaugoti priėjimą prie informacijos, apdorojimą ar saugojimą nutolusiose vietose.
– VPN, skirtų IT priemonių naudojimas, kietojo disko šifravimas
– Fizinė sauga
132
7. Žmogiškųjų išteklių saugumas
133
7.1. Įdarbinimas
• Tikslas: – užtikrinti, kad darbuotojai ir rangovai supranta savo atsakomybę ir yra
tinkami jiems paskirtoms užduotims atlikti
• Saugumo atsakomybės darbo sutarties nuostatuose
• Kandidatų išankstinė patikra
• Sutartys dėl saugumo užtikrinimo ir atsakomybės
134
7.1. Įdarbinimas
• 7.1.1. Tikrinimas– Visų pretendentų į darbą, rangovų ir trečiosios šalies atstovų praeitis
turi būti tikrinama nepažeidžiant galiojančių įstatymų, reglamentų ir etikos bei suderintas su veiklos reikalavimais, teikiamos informacijos klasifikacija ir nustatyta rizika.
• 7.1.2. Įdarbinimo nuostatai ir sąlygos– Sutartyse su darbuotojais ir rangovais turi būti nurodyta jų ir
organizacijos atsakomybės dėl informacijos saugumo.
135
7.2. Informacijos saugumas įdarbinimo laikotarpiu
• Tikslas:– užtikrinti, kad darbuotojai ir rangovai supranta ir atlieka savo
informacijos saugumo atsakomybes
• Darbuotojai ir rangovai turi turėti:– Deramą supratimą,
– Kvalifikaciją,
– Būti apmokyti saugumo procedūrų
• Drausminės nuobaudos
136
7.2. Informacijos saugumas įdarbinimo laikotarpiu
• 7.2.1. Vadovybės atsakomybės– Vadovybė turi reikalauti, kad darbuotojai ir rangovai vadovautųsi
saugumo reikalavimais, numatytais organizacijos nustatytose politikose ir procedūrose.
• 7.2.2. Informacijos saugumo supratimas, švietimas ir mokymas– Visi organizacijos darbuotojai ir, kai reikia, rangovai turi būti tinkamai
mokomi ir nuolat informuojami apie organizacijos politikos bei procedūrų, susijusių su jų darbu, pokyčius.
• 7.2.3. Drausminė procedūra– Turi būti iškomunikuota drausminė procedūra ir taikoma
darbuotojams, pažeidusiems saugumo reikalavimus.
137
7.3. Darbo santykių nutraukimas arba pakeitimas
• Tikslas:– Apsaugoti organizacijos interesus darbo santykių nutraukimo arba
pakeitimo procese.
• 7.3.1. Atsakomybė, nustojus galioti darbo sutarčiai ar keičiant pareigas– Informacijos saugumo atsakomybės ir pareigos, kurios lieka
galiojančios po darbo sutarties nutraukimo ar pareigų pakeitimo, turi būti apibrėžtos, iškomunikuotos darbuotojui ar rangovui ir vykdomos.
138
8. Turto tvarkymas
139
8.1 Atsakomybė už turtą
• Tikslas:– Identifikuoti organizacijos turtą ir nustatyti tinkamas apsaugos
atsakomybes
• Visas turtas turėtų būti inventorizuotas
• Paskirtas turto valdytojas
• Numatyta jų atsakomybė už priežiūrą
• Apsaugos priemonių įgyvendinimas gali būti pavestas kitam asmeniui
140
8.1 Atsakomybė už turtą
• 8.1.1. Turto aprašai– Turi būti nustatytas turtas, susijęs su informacija ir informacijos
apdorojimo įrenginiais ir viso pagrindinio turto aprašai turi būti sudaryti ir prižiūrimi.
• 8.1.2. Turto valdymas– Prižiūrimas turtas, esantis turto aprašuose, turi būti valdomas.
• 8.1.3. Priimtinas turto naudojimas– Turi būti apibrėžtos, įformintos dokumentais ir įgyvendintos taisyklės,
skirtos informacijos ir turto, susijusio su informacijos apdorojimo priemonėmis, priimtinam naudojimui.
• 8.1.4. Turto grąžinimas– Visi darbuotojai ir išorinių šalių vartotojai turi grąžinti visą jų valdomą
organizacijos turtą iki darbo sutarties ar kontrakto galiojimo pabaigos.
141
7.2 Informacijos klasifikavimas
• Tikslas:– užtikrinti tinkamą informacijos apsaugos lygį pagal jos svarbą
organizacijai
• Valstybės ir tarnybos paslapčių įstatymas:– Riboto naudojimo, konfidencialiai, slaptai ir visiškai slaptai.
• Asmens duomenų teisinės apsaugos įstatymas:– Asmens duomenys
– Ypatingieji asmens duomenys
142
8.2 Informacijos klasifikavimas
• 8.2.1. Informacijos klasifikavimas– Informacija turi būti klasifikuojama atsižvelgiant į teisinius
reikalavimus, jos vertę, svarbą ir jautrumą nesankcionuotam atskleidimui ar pakeitimui.
• 8.2.2. Informacijos žymėjimas– Turi būti parengtas ir įgyvendintas tinkamas informacijos žymėjimui
skirtų procedūrų rinkinys, atitinkantis organizacijos priimtą informacijos klasifikavimo schemą.
• 8.2.3. Turto priežiūra– Turi būti parengtas ir įgyvendintas turto priežiūrai tinkamas skirtų
procedūrų rinkinys, atitinkantis organizacijos priimtą informacijos klasifikavimo schemą.
143
8.3. Laikmenų valdymas
• Tikslas:– Užkirsti kelią neteisėtam laikmenose saugomos informacijos
atskleidimui, pakeitimui, pašalinimui arba sunaikinimui
144
8.3. Laikmenų valdymas
• 8.3.1. Keičiamųjų duomenų laikmenų tvarkymas– Turėtų būti taikomos keičiamųjų laikmenų tvarkymo procedūros.
– Neatkuriamas pašalinimas, laikmenų saugojimo aplinka
– Duomenų saugojimo ilgaamžiškumas, laikmenų registravimas
– Duomenų laikmenų blokavimas
• 8.3.2. Duomenų laikmenų naikinimas– Nebereikalingos laikmenos turėtų būti saugiai ir patikimai
sunaikinamos, taikant oficialias procedūras.
– Mechaninis naikinimas, deginimas, saugus duomenų ištrynimas
– Sunaikinimo registravimas
145
8.3. Laikmenų valdymas
• 8.3.3. Fizinių laikmenų perdavimas– Duomenų laikmenos, kuriose yra informacija, transportavimo metu
turi būti apsaugotos nuo nesankcionuoto priėjimo, netinkamo naudojimo ar jų pažeidimo.
– Transportas, kurjeris, kurjerio identifikavimas, įpakavimas, įteikimas į rankas, užrakinamas konteineris
146
9. Prieigos valdymas
147
9.1. Įstaigos veiklos prieigos valdymo reikalavimai
• Tikslas:– Riboti prieigą prie informacijos ir informacija apdorojančios
infrastruktūros
• Prieigos valdymo reikalavimai (politika)
• Prieiga prie tinklų ir tinklo paslaugų
148
9.1. Įstaigos veiklos prieigos valdymo reikalavimai
• 9.1.1. Prieigos valdymo politika– Turi būti numatyta, įforminta dokumentais ir peržiūrima prieigos
valdymo politika, remiantis įstaigos veiklos ir informacijos saugumo reikalavimais.
• Taikomųjų programų rizikos įvertinimas
• Principas „būtina žinoti“
• Skirtingi prieigos lygiai
• Tipiniai prieigos profiliai (rolės)
• Prieigos valdymo procedūros
• Periodinė prieigos teisių peržiūra
• Prieigos teisių panaikinimas
149
9.1. Įstaigos veiklos prieigos valdymo reikalavimai
• 9.1.2. Prieiga prie tinklo ir tinklo paslaugų– Vartotojams turi būti suteikta tik ta prieiga prie tinklo ar tinklo
paslaugų, kuriomis buvo leista jiems naudotis.
– „Būtina žinoti“, mažiausių privilegijų principas
– Prieigos forma (lokali, nutolusi)
150
9.2. Naudotojų prieigos valdymas
• Tikslas: – užtikrinti sankcionuotą naudotojo prieigą ir išvengti nesankcionuotos
prieigos prie sistemų ir paslaugų
• Oficialios procedūros
• Prieigos valdymas: nuo registravimo iki išregistravimo
• Privilegijuotų prieigos teisių valdymas
151
9.2. Naudotojų prieigos valdymas
• 9.2.1. Naudotojų registravimas ir išregistravimas– Turi būti parengta oficiali naudotojo registravimo ir išregistravimo
procedūra, nustatanti prieigos teises.
– Unikalus identifikatorius, derami įgaliojimai, prieigos teisių suteikimas, prieigos sąlygų supratimas ir patvirtinimas, prieigos teisių panaikinimas
• 9.2.2. Naudotojų teisių suteikimas– Turi būti parengta oficiali prieigos teisų suteikimo naudotojui
procedūra, paskirianti ar panaikinanti prieigos teisių visiems vartotojams prie visų sistemų ir paslaugų.
152
9.2. Naudotojų prieigos valdymas
• 9.2.3. Privilegijuotų prieigos teisių valdymas– Privilegijuotų prieigos teisių skyrimas ir naudojimasis jomis turi būti
apribotas ir valdomas.
– Operacinė sistema, taikomosios sistemos
– Naudotojo ir administratoriaus rolės
• 9.2.4. Naudotojų slaptos autentifikavimo informacijos valdymas– Slaptos autentifikavimo informacijos paskyrimas turi būti
kontroliuojamas oficialios valdymo procedūros.
– Konfidencialumo įsipareigojimai
– Laikinų slaptažodžių pakeitimas, perdavimas, kompleksiškumas
– Numatytųjų slaptažodžių pakeitimas
153
9.2. Naudotojų prieigos valdymas
• 9.2.5. Naudotojų prieigos teisių peržiūra– Turto savininkai reguliariai turi peržiūrėti naudotojų prieigos teises.
– Naudotojų ir administratorių
• 9.2.6. Prieigos teisių naikinimas ar koregavimas– Visų darbuotojų ir išorinių šalių prieigos teisės prie informacijos ir
informacijos apdorojimo priemonių turi būti pašalintos ar pakoreguotos iki darbo sutarties ar kontrakto galiojimo pabaigos.
154
9.3. Naudotojo atsakomybės
• Tikslas:– Užtikrinti, kad naudotojai būtų atsakingais už jų autentikavimo
informacijos apsaugą
• 9.3.1. Slaptos autentifikavimo informacijos naudojimas– Naudotojai, naudodami slaptą autentifikavimo informaciją, privalo
laikytis organizacijoje taikomų praktikų.
– Atsiminimo/užrašymo problematika, keitimas
– Kokybė: prisimenamas, ne iš žodyno, kompleksiškumas
– Skirtingi slaptažodžiai skirtingiems naudotojams
155
9.4. Prieigos prie sistemų ir programų valdymas
• Tikslas:– išvengti nesankcionuotos prieigos prie sistemų ir taikomųjų programų.
• Informacijos prieigos ribojimas
• Saugios prisijungimo procedūros
• Slaptažodžių tvarkymo sistema
• Privilegijuotų paslaugų programų naudojimas
• Prieigos prie programos išeities kodų kontrolė
156
9.4. Prieigos prie sistemų ir programų valdymas
• 9.4.1. Informacijos prieigos ribojimas– Prieiga prie informacijos ir taikomųjų sistemų funkcijų turi būti
apribota, atsižvelgiant į numatytą prieigos valdymo politiką.
– Sistemos funkcijų meniu apribojimas, read/write/execute
– Taikomųjų programų prieigos teisių apribojimas
• 9.4.2. Saugios prisijungimo procedūros– Kur numato prieigos valdymo politika, prieiga prie sistemų ir taikomųjų
programų turi būti valdoma pasitelkiant saugią prisijungimo procedūrą.
– Nerodyti sistemos identifikatorių, leidžiamas prisijungimo mėginimų skaičius, ilgiausias/trumpiausias prisijungimo laikas, įvedamo slaptažodžio nerodymas
157
9.4. Prieigos prie sistemų ir programų valdymas
• 9.4.3. Slaptažodžių tvarkymo sistema– Slaptažodžių tvarkymo sistemos turi būti interaktyvios ir pajėgios
užtikrinti kokybiškų slaptažodžių naudojimą.
– Unikalių naudotojo identifikatorių ir slaptažodžių naudojimas
– Kokybiškų slaptažodžių pasirinkimo galimybė
– Periodinis slaptažodžių keitimas
– Slaptažodžių saugojimas užšifruotu pavidalu
158
9.4. Prieigos prie sistemų ir programų valdymas
• 9.4.4. Privilegijuotų paslaugų programų naudojimas– Paslaugų programų, kurios galėtų nustelbti sistemą ir taikomųjų
programų valdymo priemones, naudojimas turi būti apribotas ir griežtai valdomas.
• 9.4.5. Prieigos prie programos išeities kodų kontrolė– Prieiga prie programos išeities kodų turi būti apribota.
– Pirminio teksto saugojimo vieta
– Versijų keitimo valdymas
– Prieigos prie pirminio teksto ribojimas
159
10. Šifravimas
160
10.1. Šifravimo valdymo priemonės
• Tikslas:– Užtikrinti tinkamą ir efektyvų šifravimo naudojimą, apsaugant
informacijos konfidencialumą, autentiškumą ir (arba) vientisumą.
• Šifravimo valdymo priemonių naudojimo politika
• Šifravimo raktų valdymas
161
10.1. Šifravimo valdymo priemonės
• 10.1.1. Šifravimo valdymo priemonių naudojimo politika– Turėtų būti numatyta ir įgyvendinta šifravimo valdymo priemonių
naudojimo politika.
– Panaudojimo sritys: elektroninis parašas, slaptažodžių saugojimas, nuotolinė prieiga
– Algoritmai, schemos, protokolai, raktų ilgiai
• 10.1.2 Raktų tvarkymas– Turi būti numatyta ir įgyvendinta šifravimo raktų naudojimo, apsaugos
ir gyvavimo ciklo politika.
– Šifravimo raktai, slaptažodžiai, skaitmeniniai sertifikatai
– Generavimas, perdavimas, panaikinimas, apsauga
162
11. Fizinis ir aplinkos saugumas
163
11.1. Saugiosios vietos
• Tikslas:– išvengti nesankcionuotos fizinės prieigos, nuostolių ir trukdžių
organizacijos informacijai ir informacijos apdorojimo priemonėms.
• Nustatytos saugumo aptvaros
• Apsauga turi būti proporcinga nustatytoms rizikoms
164
11.1. Saugiosios vietos
• 11.1.1. Fizinė saugumo aptvara– Turi būti numatytos ir įgyvendintos saugumo aptvaros, siekiant
apsaugoti vietas, kuriose laikoma jautri ir kritinė informacija ir informacijos apdorojimo priemonės.
– Tvoros, grotos, durys, vartai, apsaugos darbuotojai, apsauginė signalizacija, vaizdo stebėjimo sistemos
• 11.1.2. Fizinė įėjimo kontrolė– Siekiant užtikrinti, kad būtų įleidžiamas tik įgaliotas personalas,
saugiosios vietos turi būti apsaugotos tinkamomis įėjimo kontrolės priemonėmis.
– Raktai, įeigos kortelės, signalizacijos kodai
165
11.1. Saugiosios vietos
• 11.1.3. Įstaigų, patalpų ir priemonių apsauga– Turi būti numatyta ir taikoma įstaigų, patalpų ir priemonių fizinė
apsauga.
– Nepažymėti kabinetai, vidinės informacijos katalogai, multifunkciniai įrenginiai koridoriuose
• 11.1.4. Apsauga nuo išorinių ir aplinkos grėsmių– Turi būti numatytos ir pritaikytos fizinės apsaugos nuo stichinių
nelaimių, kenkėjiškų atakų ar nelaimingų atsitikimų.
– Gesintuvai, priešgaisrinė signalizacija, degių medžiagų saugojimas, rūkymo vietos
166
11.1. Saugiosios vietos
• 11.1.5. Darbas saugiosiose vietose– Turi būti numatytos ir pritaikytos procedūros, skirtos darbui
saugiosiose vietose.
– Valstybės ir tarnybos paslapčių apsauga
• 11.1.6. Pristatymo ir krovimo vietos– Siekiant išvengti nesankcionuotos prieigos, prieigos taškai, pavyzdžiui,
pristatymo ir krovimo vietos, pro kurias nepageidaujami asmenys galėtų patekti į patalpas, turi būti prižiūrimos ir, esant galimybei, atskiriamos nuo informacijos apdorojimo priemonių.
– Klientų aptarnavimo skyriai, krovinių pristatymas
167
11.2. Įrangos saugumas
• Tikslas:– išvengti turto netekties, žalos, vagystės arba defektų ir organizacijos
veiklos pertrūkių.
• Įranga turėtų būti apsaugota nuo fizinių ar aplinkos keliamų grėsmių.
• Nesankcionuotos prieigos rizikos mažinimas
• Duomenų apsauga nuo netekties arba žalos
• Įrangos laikymo vietos
• Elektros tinklai ir kabelių infrastruktūra
168
11.2. Įrangos saugumas
• 11.2.1. Įrangos vietos parinkimas ir apsauga– Siekiant sumažinti aplinkos grėsmių ir pavojų riziką bei
nesankcionuotos prieigos galimybę, turi būti parinkta atitinkama įrangos laikymo vieta ir apsaugos priemonės.
• 11.2.2. Komunalinės paslaugos– Įranga turi būti apsaugota nuo energijos tiekimo sutrikimų bei kitų
nesklandumų, susijusių su komunalinių paslaugų tiekimu.
– Elektros tiekimas, rezervinis elektros tiekimas
– Šildymas, ventiliavimas, oro kondicionavimas
169
11.2. Įrangos saugumas
• 11.2.3. Kabelių apsauga– Maitinimo ir nuotolinių ryšių kabeliai, kuriais perduodami duomenys
arba teikiamos informacijos paslaugos, turi būti apsaugoti nuo slapto prisijungimo, trukdymo arba pažeidimo.
– Elektros maitinimas, kompiuterių tinklas (LAN, WAN)
• 11.2.4. Įrangos priežiūra– Įranga turi būti tinkamai prižiūrima, siekiant užtikrinti tolesnį jos
parengtumą ir vientisumą.
– Gamintojo nurodymai ir instrukcijos
– Kvalifikuotas priežiūros personalas
170
11.2. Įrangos saugumas
• 11.2.5. Nuosavybės perkėlimas– Įranga, informacija arba programinė įranga neturi būti išnešama iš
darbo vietos, prieš tai negavus leidimo.
– Žymėjimas, tikrinimas, inventorizavimas
• 11.2.6. Įrangos ir nuosavybės, esančios ne organizacijos patalpose, saugumas– Turi būti apsaugota ne organizacijos patalpose esanti nuosavybė,
atsižvelgiant į skirtingas dėl darbo ne organizacijos patalpose kylančias rizikas.
– Nešiojamieji kompiuteriai ir duomenų laikmenos
– Fizinės apsaugos priemonės
171
11.2. Įrangos saugumas
• 11.2.7. Saugus įrangos naikinimas arba pakartotinis naudojimas– Prieš įrangą sunaikinant ar perrašant bei panaudojant iš naujo, visi jos
elementai, kuriuose yra atmintinės, turi būti patikrinami, siekiant užtikrinti, kad visi slapti duomenys arba licencijuota programinė įranga yra sunaikinta.
– Duomenų perrašymas, mechaninis naikinimas
• 11.2.8. Be priežiūros paliekama naudotojo įranga– Naudotojai turi užtikrinti, kad jų be priežiūros paliekama įranga būtų
tinkamai apsaugota.
– Veiksmai, baigus darbą
172
11.2. Įrangos saugumas
• 11.2.9. Saugaus stalo ir saugaus ekrano politika– Popierinių dokumentų ir keičiamųjų laikmenų atžvilgiu turi būti
taikoma saugaus stalo politika, o informacijos apdorojimo priemonių atžvilgiu – saugaus ekrano politika.
• Popierinių dokumentų ir laikmenų saugojimas
• Kompiuterių įrangos priežiūra:– Išjungimas, ekrano užsklanda
– Kabineto rakinimas, langai, signalizacija
• Kopijavimo aparatai, spausdintuvai, faksimilinio ryšio aparatai– Atspausdintų lapų saugumas
173
12. Darbo procedūrų valdymas
174
12.1. Darbo procedūros ir atsakomybės
• Tikslas:– užtikrinti tikslų ir saugų informacijos apdorojimo priemonių darbą.
• Darbo procedūrų įforminimas dokumentais
• Keitimų valdymas
• Pajėgumų valdymas
• Kūrimo, testavimo ir eksploatavimo aplinkų atskyrimas
175
12.1. Darbo procedūros ir atsakomybės
• 12.1.1. Darbo procedūrų įforminimas dokumentais– Darbo procedūros turi būti įformintos dokumentais ir pateikiamos
visiems naudotojams, kuriems jų reikia.
• 12.1.2. Keitimų valdymas– Keitimai vykstantys organizacijoje, verslo procesuose, taip pat
informacijos apdorojimo priemonių ir sistemų, kur įtakojamas informacijos saugumas, turi būti valdomi.
– Nustatymas, registravimas, planavimas, bandymas, tvirtinimas
– IT pagalbos tarnyba
176
12.1. Darbo procedūros ir atsakomybės
• 12.1.3. Pajėgumų valdymas– Turi būti stebimas ir derinamas išteklių naudojimas bei numatomi
būsimų pajėgumų reikalavimai, skirti užtikrinti reikiamą sistemos veiklos lygį.
– Esamos ir naujos veiklos, rezervų planavimas
• 12.1.4. Kūrimo, testavimo ir eksploatavimo aplinkų atskyrimas– Siekiant sumažinti nesankcionuotos prieigos ar pakeitimų operacinėje
sistemoje riziką, kūrimo, testavimo ir eksploatavimo aplinkos turi būti atskirtos.
177
12.2. Apsauga nuo kenksmingų programų
• Tikslas:– Užtikrinti informacijos ir informacijos apdorojimo priemones nuo
kenksmingų programų
• Kenksmingų programų atpažinimas
• Rizikos mažinimo priemonės
178
12.2. Apsauga nuo kenksmingų programų
• 12.2.1. Apsauga nuo kenksmingų programų– Turi būti įgyvendintos tinkamos naudotojų informavimo procedūros ir
taikomos aptikimo, išvengimo bei atkūrimo priemonės, skirtos apsisaugoti nuo kenksmingų programų.
• Antivirusinė programinė įranga:
– Kompiuteriuose
– Tarnybinėse stotyse
– Tinklo įrenginiuose
• Periodinis antivirusinės įrangos atnaujinimas
179
12.3. Atsarginės kopijos
• Tikslas:– Apsisaugoti nuo duomenų praradimo
• Atsarginių kopijų politika ir strategija
• Atsargines duomenų kopijų darymas
• Atkūrimo išbandymas
180
12.3. Atsarginės kopijos
• 12.3.1. Atsarginės informacijos kopijos– Vadovaujantis numatyta atsarginių kopijų politika turi būti reguliariai
daromos ir išbandomos informacijos, programinės įrangos ir sistemų vaizdų (images) atsarginės kopijos.
– Tolerancija sistemos neveikimui (angl. Recovery Time Objective, RTO)
– Tolerancija duomenų netekčiai (angl. Recovery Point Objective, RPO)
– Kopijavimo grafikas
– Kopijų saugojimas (fizinė aplinka, šifravimas)
– Išbandymas (dalinis, pilnas)
181
12.4. Registravimas ir stebėsena
• Tikslas:– Įrašyti įvykius ir generuoti įrodymus
• Įvykių registravimas
• Žurnalo duomenų apsauga
• Administratoriaus ir operatoriaus žurnalai
• Laikrodžių sinchronizavimas
182
12.4. Registravimas ir stebėsena
• 12.4.1. Įvykių registravimas– Siekiant palengvinti tyrimus, kuriuos reikės atlikti ateityje, ir prieigos
valdymo stebėseną, turi būti vedami ir sutartą laiko tarpą saugomi naudotojų veiklos, išimčių, klaidų ir informacijos saugumo įvykių audito žurnalai.
– Naudotojo identifikatorius, įvykis, data ir laikas, veiksmo sėkmingumas
• 12.4.2. Žurnalo duomenų apsauga– Registravimo priemonės ir užregistruota informacija turi būti
apsaugota nuo iškraipymų ir nesankcionuotos prieigos.
– Konkrečių įrašų keitimas, failų taisymas arba trynimas, rašymas ant viršaus
183
12.4. Registravimas ir stebėsena
• 12.4.3. Administratoriaus ir operatoriaus žurnalai– Sistemos administratoriaus ir sistemos operatoriaus veiksmai turi būti
registruojami ir žurnalai apsaugoti ir reguliariai peržiūrimi.
• 12.4.4. Laikrodžių sinchronizavimas– Visų organizacijoje ar saugumo vietoje esančių informacijos
apdorojimo sistemų laikrodžiai turi būti sinchronizuoti pagal vieną sutartą tikslų laiko šaltinį.
184
12.5. Programinės įrangos valdymas
• Tikslas:– Užtikrinti operacinių sistemų vientisumą
• 12.5.1. Programinės įrangos diegimas į operacines sistemas– Turi būti numatytos procedūros, skirtos programinės įrangos diegimui į
operacines sistemas valdyti.
185
12.6. Techninio pažeidžiamumo valdymas
• Tikslas:– Išvengti techninių pažeidžiamumų išnaudojimo.
• Techninio pažeidžiamumo valdymas– efektyvus, sistemingas, veiksmingumas
• Operacinės sistemos
• Taikomosios programos
186
12.6. Techninio pažeidžiamumo valdymas
• 12.6.1. Techninio pažeidžiamumo valdymas– Laiku turi būti gaunama informacija, susijusi su naudojamų
informacijos sistemų techniniu pažeidžiamumu, įvertinama tokio pažeidžiamumo įtaka organizacijai bei imamasi atitinkamų priemonių išvengti susijusių rizikų.
– Funkcijų ir atsakomybių nustatymas
– Informacinių išteklių (inventoriaus) sąrašas
– Veiksmai, sužinojus apie potencialų techninį pažeidžiamumą
– Veiksmai, nustačius techninį pažeidžiamumą
– Reagavimo trukmės
– Pakeitimų išbandymas
– Pakeitimų prioretizavimas
187
12.6. Techninio pažeidžiamumo valdymas
• 12.6.2. Programinės įrangos diegimo apribojimai– Turi būti numatytos ir įgyvendintos taisyklės, valdančios vartotojų
instaliuojamą programinę įrangą.
• Kompiuterizuotos darbo vietos, tarnybinės stotys
• Virtualiosios mašinos
• „Nešiojamos programos“ (Firefox portable, uTorrent portable)
• Programėlės mobiliesiems telefonams
188
12.7. Informacijos sistemų audito įvertinimas
• Tikslas:– Sumažinti audito veiklų poveikį operacinėms sistemoms.
• 12.7.1. Informacijos sistemų audito valdymo priemonės– Siekiant kiek galima labiau sumažinti veiklos pertrūkius, turi būti
kruopščiai planuojami ir suderinami audito reikalavimai ir su operacinės sistemos tikrinimais susiję veiksmai.
189
13. Ryšių saugumas
190
13.1. Tinklo apsaugos valdymas
• Tikslas:– Užtikrinti informacijos apsaugą tinkluose ir juos remiančiose
informacijos apdorojimo priemonėse.
• Tinklo valdymo priemonės
• Tinklo paslaugų saugumas
• Tinklų atskyrimas
191
13.1. Tinklo apsaugos valdymas
• 13.1.1. Tinklo valdymo priemonės– Tinklai turi būti valdomi ir prižiūrimi, siekiant apsaugoti informaciją
sistemose ir programose.
– Už kompiuterių tinklą atsakingi darbuotojai, veiksmų registravimas, stebėsena
• 13.1.2. Tinklo paslaugų saugumas– Turi būti nustatyti ir į su tinklo paslaugomis susijusias sutartis
įtraukiami visų tinklo paslaugų saugumo mechanizmai, paslaugų lygiai ir valdymo reikalavimai, nepriklausomai nuo to, ar sutartis sudaroma dėl vidinio ar nuomojamo tinklo.
– Tapatumo nustatymas, duomenų šifravimas, techniniai parametrai
192
13.1. Tinklo apsaugos valdymas
• 13.1.3. Tinklų atskyrimas– Tinkluose turi būti atskirtos atskiros informacijos paslaugų, naudotojų
ir informacijos sistemų grupės.
• Išorinių tinklų atskyrimas (internetas, partneriai ir t.t.)
• Vidinio tinklo segmentavimas:– Kompiuterizuotos darbo vietos
– Taikomosios sistemos
– Nutolę padaliniai
193
13.2. Keitimasis informacija
• Tikslas:– užtikrinti informacijos, kuria keičiamasi organizacijos viduje arba su bet
kuriuo išoriniu subjektu, saugumą.
• Informacija ir programinė įranga
• Keitimasis viduje
• Keitimasis su išore
• Keitimosi forma (kompiuterių tinklas, laikmenos)
194
13.2. Keitimasis informacija
• 13.2.1. Informacijos perdavimo politikos ir procedūros– Turi būti numatyta oficiali perdavimo politika, procedūros ir valdymo
priemonės, skirtos apsaugoti informacijos perdavimą naudojant visas įmanomas ryšio priemones.
– Kenksmingas kodas, elektroninio pašto priedai, bevielio ryšio naudojimas, šifravimas, automatinis laiškų persiuntimas, kopijavimo aparatai
• 13.2.2. Informacijos perdavimo susitarimai– Tarp organizacijos ir išorinių šalių turi būti susitarimai dėl saugaus
verslo informacijos perdavimo.
– Keitimosi objektas, atsakomybės ir įsipareigojimai, techniniai reikalavimai, veiksmai incidentų metu, žymėjimas
195
13.2. Keitimasis informacija
• 13.2.3. Elektroninis susirašinėjimas– Elektroninio susirašinėjimo būdu siunčiama informacija turi būti
tinkamai apsaugota.
– Nesankcionuota prieiga, modifikavimas, siuntimo/gavimo atsižadėjimas, adresų teisingumas, elektroninių parašų teisėtumas
• 13.2.4. Konfidencialumo ir neatskleidimo sutartys– Turi būti identifikuojami, reguliariai peržiūrimi ir dokumentuoti
reikalavimai, skirti konfidencialumo ir informacijos neatskleidimo sutartims, atsižvelgiant į organizacijos informacijos apsaugos poreikius.
– Su darbuotojais, su rangovais (subrangovais), duomenų gavėjais
196
14. Informacijos sistemų užsakymas, tobulinimas ir priežiūra
197
14.1. Informacijos sistemų saugumo reikalavimai
• Tikslas:– užtikrinti, kad saugumas būtų integrali informacijos sistemų dalis viso
gyvavimo ciklo metu.
• Operacinės sistemos, infrastruktūra, taikomosios programos, standartiniai produktai, paslaugos
• Saugumo reikalavimų identifikavimas
• Saugumo reikalavimai:– identifikuoti projektinių reikalavimų nustatymo stadijoje
– Įteisinti
– Aptarti
– Įforminti dokumentais
198
14.1. Informacijos sistemų saugumo reikalavimai
• 14.1.1. Informacijos saugumo reikalavimų analizė ir aprašas– Reikalavimai, susiję su informacijos saugumu, turi būti įtraukti į
naujoms informacijos sistemoms ar esamų informacijos sistemų išplėtimui keliamus reikalavimus.
• Vidiniai/išoriniai saugumo reikalavimai
• Saugumo reikalavimai <-> turto vertė, galima žala
• Oficialus išbandymas prieš įsigyjant
• Papildomo funkcionalumo keliama rizika
199
14.1. Informacijos sistemų saugumo reikalavimai
• 14.1.2. Taikomųjų programų, teikiamų viešaisiais ryšių tinklais, saugumo užtikrinimas– Informacija, įtraukta į viešaisiais ryšiais teikiamas taikomųjų programų
paslaugas, turi būti apsaugota nuo nesąžiningos veiklos, sutarties ginčų, nesankcionuoto atskleidimo ir pakeitimo.
• 14.1.3. Apsaugoti taikomųjų programų paslaugų operacijas– Informacija, įtraukta į taikomųjų programų paslaugas, turi būti
apsaugota nuo neužbaigtų ir neteisingų perdavimų, neleistinų klaidų pranešimų ir nesankcionuoto atskleidimo, neleistinų pranešimų dubliavimo ar pakartojimo.
200
14.2. Saugumas kūrimo ir priežiūros procesuose
• Tikslas:– Užtikrinti, kad informacijos saugumas būtų projektuojamas ir
diegiamas informacinių sistemų gyvavimo ciklo kūrimo metu
• Projekto ir priežiūros aplinkos
• Sistemos keitimų peržiūra
• Rizika sistemos arba operacinės aplinkos saugumui
201
14.2. Saugumas kūrimo ir priežiūros procesuose
• 14.2.1. Vystymo politikos užtikrinimas– Programinės įrangos ir sistemų vystymui, turi būti numatytos taisyklės
ir taikomos plėtojimui organizacijoje.
• 14.2.2. Sistemos keitimų valdymo procedūros– Sistemų keitimai vystymo ciklo metu turi būti valdomi pasitelkiant
oficialias keitimų valdymo procedūras.
– Keitimų rizikos vertinimas, keitimo masto nustatymas, planavimas, keitimų priimtinumas naudotojams, testavimas, keitimo užklausų registravimas, keitimų įdiegimo laikas
202
14.2. Saugumas kūrimo ir priežiūros procesuose
• 14.2.3. Techninė programos peržiūra pakeitus operacinę platformą– Pakeitus operacinę platformą, vykdomai veiklai svarbios taikomosios
programos turi būti peržiūrimos ir testuojamos, siekiant užtikrinti, kad organizacijos veiklai ir saugumui nebūtų padaryta neigiamos įtakos.
– Rizikos taikomųjų programoms įvertinimas, testavimas, veiklos tęstinumo ir atstatymo planų atnaujinimas
• 14.2.4. Programinės įrangos paketų keitimų apribojimai– Programinės įrangos paketų keitimai turi būti neskatinami, ribojami,
leidžiant atlikti tik būtinus keitimus; visi pakeitimai turi būti griežtai valdomi.
– Tipinė darbo vietos programinė įranga (angl. build)
203
14.2. Saugumas kūrimo ir priežiūros procesuose
• 14.2.5. Saugių sistemų kūrimo principų užtikrinimas– Turi būti numatyti, dokumentuoti, palaikomi ir taikomi saugių sistemų
kūrimo principai bet kurios informacinės sistemos įgyvendinime.
• 14.2.6. Kūrimo aplinkos saugumas– Organizacijoje turi būti numatytos ir tinkamai apsaugotos aplinkos
sistemų kūrimui ir integravimui viso sistemos kūrimo ciklo metu.
• 14.2.7. Užsakomasis kūrimas– Organizacija turi prižiūrėti ir stebėti užsakomosios programinės įrangos
kūrimo darbus.
204
14.2. Saugumas kūrimo ir priežiūros procesuose
• 14.2.8. Sistemos saugumo testavimas– Kūrimo metu turi būti atliekamas saugumo funkcionalumo testavimas.
• 14.2.9. Sistemos priėmimo testavimas– Naujoms informacinėms sistemos, atnaujinimams bei versijoms turi
būti numatytas testavimo programų ir susijusių kriterijų priėmimas.
205
14.3. Testavimo duomenys
• Tikslas:– Užtikrinti testavimui naudojamų duomenų apsaugą
• 14.3.1. Testavimo duomenų apsauga– Testavimo duomenys turi būti deramai surinkti, apsaugoti ir valdomi.
– Testavimo duomenų generavimas
– Darbinių duomenų nuasmeninimas
206
15. Santykiai su rangovais
207
15.1. Informacijos saugumas santykiuose su rangovais
• Tikslas:– Užtikrinti rangovams pasiekiamo organizacijos turto apsaugą.
• Gaunamų paslaugų kokybė
• Atitiktis sutarties reikalavimams
208
15.1. Informacijos saugumas santykiuose su rangovais
• 15.1.1. Santykių su tiekėjais informacijos saugumo politika– Informacijos saugumo reikalavimai, siekiant sušvelninti rizikas,
susijusias su tiekėjų prieiga prie organizacijos turto, turi būti aptarti su tiekėjais ir dokumentuoti.
• 15.1.2. Saugumo reikalavimai sutartyse su tiekėjais– Su kiekvienu tiekėju, kuris gali prieiti, apdoroti, laikyti, perduoti ar
teikti IT infrastruktūros komponentus, turi būti numatyti ir sutarti visi susiję informacijos saugumo reikalavimai.
– Paslaugų teikimo lygis (SLA)
– Apsaugos priemonės sutartyse su tiekėjais
209
15.1. Informacijos saugumas santykiuose su rangovais
• 15.1.3. Informacijos ir ryšių technologijų tiekimo grandinė– Sutartyse su tiekėjais turi būti aptarta informacijos saugumo rizika,
susijusi su informacijos ir ryšių technologijų paslaugomis ir produkto tiekimo grandine.
• Rizika dėl išorinių šalių produktų ar paslaugų.
• Išorinių šalių prieiga turėtų būti kontroliuojama.
• Rizikos vertinimas dėl trečiųjų šalių įtakos
210
15.2. Tiekėjų paslaugų tiekimo valdymas
• Tikslas:– palaikyti sutartą informacijos saugumo ir paslaugų teikimo lygį pagal
sutartis su tiekėjais
• 15.2.1. Tiekėjų teikiamų paslaugų stebėsena ir peržiūra– Organizacijos turi nuolat stebėti, peržiūrėti ir tikrinti teikėjų teikiamas
paslaugas.
• 15.2.2. Tiekėjų paslaugų keitimo valdymas– Pokyčiai, susiję su apsirūpinimu tiekėjų paslaugomis, įskaitant esamos
informacijos saugumo politikos, procedūrų ir valdymo priemonių palaikymą ir tobulinimą, turi būti atliekami, atsižvelgiant į su tuo susijusių įstaigos veiklos sistemų ir procesų svarbą ir pakartotinai įvertinus riziką.
211
16. Informacijos saugumo incidentų valdymas
212
16.1. Informacijos saugumo incidentų ir tobulinimų valdymas
• Tikslas:– Užtikrinti nuoseklų ir efektyvų požiūrį į informacijos saugumo
incidentų valdymą, apimantį pranešimus apie saugumo incidentus ir silpnąsias vietas
• Atsakomybės ir procedūros
• Pranešimai apie informacijos saugumo įvykius
• Pranešimai apie informacijos saugumo silpnąsias vietas
• Informacijos saugumo įvykių įvertinimas
• Reagavimas į informacijos saugumo incidentus
• Mokymasis iš informacijos saugumo incidentų
• Įrodymų rinkimas
213
16.1. Informacijos saugumo incidentų ir tobulinimų valdymas
• 16.1.1. Atsakomybės ir procedūros– Siekiant užtikrinti greitą, efektyvų ir deramą atsaką į informacijos
saugumo incidentus, turi būti numatytos valdymo atsakomybės ir procedūros.
– Įvairių tipų incidentų procedūros, incidento priežasties nustatymas, korekcinių ir prevencinių veiksmų planavimas, įrodymų kaupimas
• 16.1.2. Pranešimai apie informacijos saugumo įvykius– Apie informacijos saugumo įvykius turi būti pranešta kiek įmanoma
greičiau, pasitelkus tinkamus valdymo kanalus.
– Atgalinis ryšys su pranešusiuoju apie incidentą
– Informacijos surinkimo, registravimo formos
– Deramo elgesio instrukcijos
– Drausminės nuobaudos
214
16.1. Informacijos saugumo incidentų ir tobulinimų valdymas
• 16.1.3. Pranešimai apie informacijos saugumo silpnąsias vietas– Turi būti reikalaujama, kad visi darbuotojai ir rangovai,
besinaudojantys informacijos sistemomis ir paslaugomis, atkreiptų dėmesį į visas esamas ar galimas sistemos arba paslaugos informacijos saugumo silpnąsias vietas ir apie jas praneštų.
• 16.1.4. Informacijos saugumo įvykių įvertinimas– Informacijos saugumo įvykiai turi būti įvertinti ir turi būti nuspręsta, ar
juos klasifikuoti kaip informacijos saugumo incidentus.
• 16.1.5. Reagavimas į informacijos saugumo incidentus– Reagavimas į informacijos saugumo incidentus turi būti vykdomas
pagal dokumentuotas procedūras.
215
16.1. Informacijos saugumo incidentų ir tobulinimų valdymas
• 16.1.6. Mokymasis iš informacijos saugumo incidentų– Žinios, įgytos analizuojant ir sprendžiant informacijos saugumo
incidentus turi būti panaudotos sumažinti ateities incidentų tikimybę ar poveikį.
– Pasikartojančių ir didelio poveikio incidentų įvertinimas
• 16.1.7. Įrodymų rinkimas– Organizacija turi numatyti ir taikyti procedūras informacijos, kuri gali
pasitarnauti kaip įrodymai, identifikavimui, rinkimui, kaupimui ir išsaugojimui.
– Įrodymų teisėtumas
– Įrodymų pagrįstumas
– Popieriniai dokumentai
– Kompiuterių laikmenose saugoma informacija
216
17. Veiklos tęstinumo valdymo informacijos saugumo aspektai
217
17.1. Informacijos saugumo tęstinumas
• Tikslas:– Informacijos saugumo tęstinumas turi būti organizacijos veiklos
tęstinumo valdymo sistemų dalimi.
• Sumažinti neigiamus padarinius organizacijai
• Atkurti veiklą iki priimtino lygio
• Informacijos saugumas – neatskiriama veiklos tęstinumo dalis
• Apriboti incidentų sukeliamos žalos padarinius
• Užtikrinti, kad įstaigos veiklai reikalinga informacija būtų prieinama laiku
218
17.1. Informacijos saugumo tęstinumas
• 17.1.1. Informacijos saugumo tęstinumo planavimas– Organizacija turi nustatyti reikalavimus informacijos saugumui ir
informacijos saugumo tęstinumo valdymui esant nepalankioms situacijoms, t.y. krizėms ar katastrofoms.
• 17.1.2. Informacijos saugumo tęstinumo diegimas– Organizacija turi numatyti, dokumentuoti, įgyvendinti ir palaikyti
procesus, procedūras ir valdymo priemones reikiamo informacijos saugumo tęstinumo lygio užtikrinimui esant nepalankioms situacijoms.
219
17.1. Informacijos saugumo tęstinumas
• 17.1.3. Informacijos saugumo tęstinumo tikrinimas, peržiūra ir įvertinimas– Organizacija reguliariais laiko tarpais turi tikrinti numatytas ir
įgyvendintas informacijos saugumo tęstinumo valdymo priemones tam, kad užtikrintų kad jos bus veiksmingos nepalankiose situacijose.
– Įvairių scenarijų tikrinimas
– Imitavimas
– Techninio atkūrimo tikrinimas
– Atkūrimo tikrinimas alternatyvioje darbo vietoje
– Tiekėjo įrangos ir priemonių tikrinimas
220
17.2. Pertekliškumas (angl. redundancies)
• Tikslas:– Užtikrinti informacijos apdorojimo priemonių prieinamumą
• 17.2.1. Informacijos apdorojimo priemonių prieinamumas– Siekiant atitikti prieinamumo reikalavimus, informacijos apdorojimo
priemonėms turi būti numatyta pakankamai išteklių.
– Esamos ir naujos veiklos, rezervų planavimas
– Dubliavimas: ryšio linijos, serveriai.
– Pakaitinė įranga
221
18. Atitiktis
222
18.1 Atitiktis teisiniams ir sutarčių reikalavimams
• Tikslas:– išvengti bet kurių įstatymų, statuto, reglamentų arba sutarčių
įsipareigojimų pažeidimų ir bet kokių saugumo reikalavimų pažeidimų.
• Galimas reikalavimų objektas:– sistemų projektavimas, paleidimas, naudojimas ir valdymas
• Konsultacijos dėl specifinių teisinių reikalavimų
• Skirtingi įvairių šalių teisiniai reikalavimai
223
18.1 Atitiktis teisiniams ir sutarčių reikalavimams
• 18.1.1. Galiojantys įstatymai ir sutartiniai reikalavimai– Visi su organizacija ir kiekviena joje naudojama sistema susiję
įstatymų, reglamentų ir sutarčių reikalavimai bei organizacijos priemonės šiems reikalavimams įgyvendinti turi būti aiškiai apibrėžti, įforminti dokumentais ir nuolat peržiūrimi.
• 18.1.2. Intelektinės nuosavybės teisės– Siekiant užtikrinti, kad produktų, kuriems gali būti taikomos
intelektinės nuosavybės teisės, ir patentuotos programinės įrangos naudojimas atitiktų įstatymų, reglamentų ir sutarčių reikalavimus, turi būti įgyvendintos atitinkamos procedūros.
– Programinė įranga, filmai, muzika, elektroninės knygos
224
18.1 Atitiktis teisiniams ir sutarčių reikalavimams
• 18.1.3. Oficialių dokumentų apsauga– Oficialūs dokumentai turi būti apsaugoti nuo netekties, sunaikinimo
klastojimo, neautorizuotos prieigos ir neautorizuoto perdavimo, atsižvelgiant į įstatymų, reglamentų, sutarčių ar veiklos reikalavimus.
• 18.1.4. Asmeninės informacijos privatumas ir apsauga– Vadovaujantis galiojančiais įstatymais, reglamentais, esant poreikiui,
turi būti užtikrintas asmeninės informacijos privatumas ir apsauga.
– Darbuotojų, klientų, rangovų
• 18.1.5. Šifravimo valdymo priemonių reglamentavimas– Taikomos šifravimo valdymo priemonės turi atitikti visas su tuo
susijusias sutartis, įstatymus ir reglamentus.
225
18.2. Informacijos saugumo vertinimas
• Tikslas:– Užtikrinti, kad informacijos saugumas yra įdiegtas ir valdomas pagal
darbo procedūras ir politikas
• Nepriklausoma informacijos saugumo peržiūra
• Atitiktis saugumo politikoms ir standartams
• Techninio suderinamumo tikrinimas
226
18.2. Informacijos saugumo vertinimas
• 18.2.1. Nepriklausoma informacijos saugumo peržiūra– Organizacijos informacijos saugumo valdymas ir jo įgyvendinimo būdai
(t. y. valdymo tikslai, valdymo priemonės, politikos, procesai ir informacijos saugumo procedūros) nepriklausomų specialistų turi būti peržiūrimi periodiškai arba įvykus svarbiems įgyvendinimo pasikeitimams.
• 18.2.2. Atitiktis saugumo politikoms ir standartams– Vadybininkai savo atsakomybės ribose turi reguliariai peržiūrėti kaip
informacijos apdorojimas ir procedūrų laikymasis atitinka saugumo politikas, standartus ir kitus saugumo reikalavimus.
– Vidiniai reikalavimai, teisės aktai, tarptautiniai standartai
227
18.2. Informacijos saugumo vertinimas
• 18.2.3. Techninio suderinamumo tikrinimas– Turi būti periodiškai tikrinamas informacijos sistemų suderinamumas
su organizacijos informacijos saugumo įgyvendinimo politikomis ir standartais.
– Įsibrovimo testavimas (angl. penetration testing)
– Periodinė automatinė pažeidžiamumų paeiška
228
6 dalis
ARSIS rizikos vertinimo metodas
229
Rizikos vertinimo metodas
• Rizikos vertinimo objektas
• Kritiškumo nustatymas
• Grėsmių ir pažeidžiamumų įvertinimas
• Rizikos nustatymas
• Rizikos valdymo būdo parinkimas
• Apsaugos priemonių parinkimas
230
Kritiškumo vertinimas (1)
• Konfidencialumas, vientisumas, prieinamumas– Valdymo ir veiklos sutrikdymas
– Asmenų saugumas
– Gamta ir aplinkos saugumas
– Finansiniai nuostoliai
– Viešoji tvarka
– Tarptautiniai santykiai
– Padariniai valstybei ir institucijoms
231
Kritiškumo vertinimas (2)
• Kritiškumo lygiai kiekvienam kriterijui atskirai:– Konfidencialumas. Kas bus, jei informacija bus paviešinta?
– Vientisumas. Kas bus, jei informacija bus netiksli?
– Prieinamumas. Kas bus, jei sistema neveiks ilgiau, nei numatyta pagal jos kategoriją?
• Kritiškumo lygiai:– Labai žemas(1)
– Žemas (2)
– Vidutinis (3)
– Aukštas (4)
– Labai aukštas (5)
232
KritiškumasValdymo ir veiklos
sutrikdymasAsmenų saugumas
Gamta ir aplinkos
saugumasFinansiniai nuostoliai Viešoji tvarka Tarptautiniai santykiai
Padariniai valstybei ir
institucijoms
Labai mažas(1) Veikla nebus
sutrikdyta
Netaikoma Netaikoma Nuostolių nebus Netaikoma Netaikoma Padarinių valstybei ir
institucijoms nebus
Mažas (2) Gali kilti grėsmė įvykti
procesams, kurie gali
turėti neigiamų
padarinių atskirų
institucijos padalinių
veiklai
Netaikoma Netaikoma Gali kilti grėsmė įvykti
procesams, kurie vienai
institucijai gali sukelti
finansinius nuostolius,
ne didesnius nei 290
eurų
Netaikoma Netaikoma Gali kilti grėsmė įvykti
procesams, kurie gali
sukelti kitų neigiamų
padarinių institucijai
atskirų institucijos
padalinių veiklai
Vidutinis (3) Gali kilti grėsmė įvykti
procesams, kurie gali
turėti neigiamų
padarinių institucijos
veiklai
Netaikoma Netaikoma Gali kilti grėsmė įvykti
procesams, kurie vienai
institucijai gali sukelti
finansinius nuostolius,
ne didesnius nei 0,3
mln. eurų
Gali kilti grėsmė įvykti
procesams, kurie gali
padaryti žalą vieno ar
kelių fizinių ar juridinių
asmenų teisėtiems
interesams, taip pat ir
asmens duomenų
apsaugai
Netaikoma Gali kilti grėsmė įvykti
procesams, kurie gali
sukelti kitų neigiamų
padarinių institucijai
Didelis (4) Gali kilti grėsmė įvykti
procesams, kurie gali
sutrikdyti kelių
institucijų veiklą ar
viešųjų paslaugų
teikimą daugiau kaip
vienai dienai
Gali kilti grėsmė įvykti
procesams, kurie gali
turėti neigiamų
padarinių Lietuvos
Respublikos teritorijos
gyventojų sveikatos
apsaugai
Gali kilti grėsmė įvykti
procesams, kurie gali
sukelti pavojų gamtos ir
aplinkos saugumui
Gali kilti grėsmė įvykti
procesams, kelioms
institucijoms gali sukelti
finansinius nuostolius,
didesnius nei 0,3 mln.
eurų, bet ne didesnius
nei 1,5 mln. eurų
Gali kilti grėsmė įvykti
procesams, kurie gali
sukelti pavojų viešajai
tvarkai ir gyventojų
saugumui
Gali kilti grėsmė įvykti
procesams, kurie gali
sukelti kelių institucijų
tarptautinių sutarčių ir
įsipareigojimų
pažeidimą, kurio
pasekmių pašalinimas
sukeltų didesnius nei
0,3 mln. eurų, bet ne
didesnius nei 1,5 mln.
eurų, nuostolius
Gali kilti grėsmė įvykti
procesams, kurie gali
sukelti kitų sunkių
padarinių kelioms
institucijoms ar jų
reguliavimo sričiai
priskirtai ūkio šakai
Labai didelis (5) Gali kilti grėsmė įvykti
procesams, kurie
gali turėti sunkių
padarinių Lietuvos
ūkiui – sukelti žymų,
daugiau kaip 5
procentų, metinio
nacionalinio produkto
sumažėjimą ar kitus
sunkius padarinius
Gali kilti grėsmė įvykti
procesams, nuo kurių
tiesiogiai priklauso
Lietuvos Respublikos
teritorijos gyventojų
sveikata ir gyvybė
Gali kilti grėsmė įvykti
procesams, nuo kurių
tiesiogiai priklauso
neigiami padariniai
gamtai ir aplinkos
saugumui
Gali kilti grėsmė įvykti
procesams, kurie gali
sukelti didesnius kaip
1,5 mln. eurų
finansinius nuostolius
valstybei
Gali kilti grėsmė įvykti
procesams, kurie gali
turėti neigiamų
padarinių viešajai
tvarkai ir gyventojų
saugumui
Gali kilti grėsmė įvykti
procesams, kurie gali
sukelti valstybės
tarptautinių sutarčių ir
įsipareigojimų
pažeidimą, kurio
pasekmių pašalinimas
sukeltų didesnius kaip
1,5 mln. eurų nuostolius
Gali kilti grėsmė įvykti
procesams, kurie gali
sukelti kitų sunkių
padarinių valstybei ar
jos gyventojams
233
Grėsmių ir pažeidžiamumų vertinimas (1)
• Vertinamos grėsmių kilimo tikimybės dėl tikėtinų pažeidžiamumų, pvz.:– Slaptas klausymasis
– Įrangos, duomenų laikmenų ir dokumentų vagystė
– Įrangos, duomenų laikmenų ir dokumentų praradimas
– Netinkamas planavimas arba suderinamumo trūkumas
– Konfidencialios informacijos atskleidimas
234
Grėsmių ir pažeidžiamumų vertinimas (2)
• Grėsmių tikimybės lygis– informacijos saugumo incidento įvykio tikimybė
• Labai žemas (1) – rečiau nei vieną kartą per 3 metus
• Žemas (2) – ne dažniau nei vieną kartą per 3 metus
• Vidutinis (3) – vieną kartą per metus
• Aukštas (4) – kelis kartus per metus
• Labai aukštas (5) – vieną kartą per mėnesį ir dažniau
235
Rizikos lygio nustatymo taisyklės
5 1 2 3 4 5
4 1 2 3 4 4
3 1 2 3 3 3
2 1 2 2 2 2
1 1 1 1 1 1
1 2 3 4 5
Grėsmės tikimybė
Kritiš
kum
as
236
Rizikos valdymas
• Rizikos priimtinumas:– Priimtina, nepriimtina
• Nepriimtina rizika:– Mažinimas
– Perkėlimas
– Vengimas
– Ignoravimas
• Apsaugos priemonių parinkimas:– Kaina
– Efektyvumas
– Apsaugos tipas
– Mažinama rizika
237
Grėsmių katalogas (1)
• Federalinis informacijos saugumo biuras (Vokietija)– Bundesamt für Sicherheit in der Informationstechnik (BSI)
• BSI grėsmių katalogas
• 46 pagrindinės grėsmės
• Įkeltas į ARSIS su papildomais duomenimis:– Rizikos veiksnių grupė (nenugalima jėga, tyčiniai, netyčiniai)
– Paveikiamas konfidencialumas, vientisumas, prieinamumas
– Tikėtinas pasireiškimo dažnis
– Tikėtinas žalos lygis
– Siūlomos apsaugos priemonės
– Grėsmės tikimybę padedantys nustatyti klausimai
238
Grėsmių katalogas (2)
• Gaisras
• Nepalankios oro sąlygos
• Vanduo
• Tarša, dulkės, korozija
• Stichinės nelaimės
• Aplinkos nelaimės
• Dideli įvykiai aplinkoje
• Elektros tiekimo gedimas ar sutrikimas
• Ryšių tinklų gedimas ar sutrikimas
• Magistralinio tiekimo gedimas ar sutrikimas
239
Grėsmių katalogas (3)
• Paslaugų teikėjų patiriamas gedimas ar sutrikimas
• Įsiterpianti spinduliuotė
• Informatyvi spinduliuotė
• Informacijos perėmimas / Šnipinėjimas
• Slaptas klausymasis
• Įrangos, duomenų laikmenų ir dokumentų vagystė
• Įrangos, duomenų laikmenų ir dokumentų praradimas
• Netinkamas planavimas arba suderinamumo trūkumas
• Konfidencialios informacijos atskleidimas
240
Grėsmių katalogas (4)
• Informacija ar produktai iš nepatikimų šaltinių
• Manipuliavimas aparatine ir programine įranga
• Informacijos klastojimas
• Neleistina prieiga prie IT sistemų
• Įrangos ar duomenų laikmenų sunaikinimas
• Įrangos ar sistemų gedimas
• Įrangos ar sistemų sutrikimas
• Išteklių trūkumas
• Programinės įrangos pažeidžiamumai ar klaidos
241
Grėsmių katalogas (5)
• Teisės aktų ir taisyklių pažeidimai
• Nesankcionuotas įrangos ir sistemų naudojimas ar administravimas
• Netinkamas įrangos ir sistemų naudojimas ar administravimas
• Piktnaudžiavimas įgaliojimais
• Darbuotojų stygius
• Ataka
• Prievarta, plėšimas arba korupcija
• Tapatybės vagystė
242
Grėsmių katalogas (6)
• Veiksmų išsižadėjimas
• Piktnaudžiavimas asmens duomenimis
• Kenkėjiška programinė įranga
• Paslaugos atkirtimas
• Sabotažas
• Socialinė inžinerija
• Pranešimų persiuntimas
• Neleistinas patekimas į patalpas
• Duomenų praradimas
• Svarbios informacijos vientisumo praradimas
243
Apsaugos priemonių katalogai
• ARSIS įvesti du apsaugos priemonių katalogai:– ISO 27001 priedo A valdymo priemonės
– SANS 20 kritinių saugumo priemonių.
• Kiekviena naujai sukurta apsaugos priemonė „prisegama“ prie vieno arba abiejų katalogų– Kad nereikėtų ratų lyginti su batais
• ISO 27001 priedo A valdymo priemonės buvo aptartos ankstesniuose skyriuose.
244
SANS 20 kritinių saugumo priemonių
• SANS institutas www.sans.org– Įkurtas 1989 m.
– Informacijos saugumo tyrimai
– Informacijos saugumo mokymai
– Sertifikavimas (GIAC)
– Internet Storm Center
• SANS 20 kritinių saugumo priemonių
245
SANS 20 kritinių saugumo priemonių
• 1. Leistinų ir nesankcionuotų įrenginių aprašai
• 2. Leistinos ir nesankcionuotos programinės įrangos aprašai
• 3. Saugus aparatinės ir programinės įrangos konfigūravimas mobiliesiems įrenginiams, darbo vietoms ir serveriams
• 4. Nuolatinis pažeidžiamumų vertinimas ir šalinimas
• 5. Apsauga nuo kenkėjiškos įrangos
• 6. Taikomosios programinės įrangos saugumas
• 7. Bevielės prieigos valdymas
• 8. Duomenų atstatymo pajėgumai
246
SANS 20 kritinių saugumo priemonių
• 9. Saugumo įgūdžių įvertinimas ir reikiamų mokymų suteikimas
• 10. Tinklo įrangos saugus konfigūravimas (ugniasienės, maršrutizatoriai ir komutatoriai)
• 11. Tinklo prievadų, protokolų ir paslaugų ribojimas bei kontrolė
• 12. Administracinių privilegijų naudojimo priežiūra
• 13. Perimetro apsauga
• 14. Audito įrašų priežiūra, stebėsena ir analizė
• 15. Prieigos valdymas pagrįstas principu "būtina žinoti"
247
SANS 20 kritinių saugumo priemonių
• 16. Paskyrų stebėsena ir valdymas
• 17. Duomenų apsauga
• 18. Reagavimas į incidentus ir jų valdymas
• 19. Saugi tinklų inžinerija
• 20. Įsibrovimų testai ir "Raudonųjų komandų" pratybos
248
7 dalis
Praktiniai užsiėmimai
249
Turinys
• Funkcionalumas
• Prisijungimas
• Atitikties vertinimo procesas
• Atitikties vertinimas – užduotis
• Rizikos vertinimo procesas
• Rizikos vertinimo – užduotis
• Elektroninis parašas
250
1. ARSIS funkcionalumas
• Prisijungimas
• Pagrindinis puslapis
• Naudotojo nustatymai
• Informaciniai ištekliai
• Reikalavimai
• Auditai
• Rizikos
• Apsaugos priemonės
• Projektai
• Įvykiai
• Dokumentai
251
Prisijungimas
• Nuoroda į sistemą– http://xxx.yyy.zzz.xxx:8180/arsis/
• Prisijungimas per VIISP
• Prisijungimas su naudotoju vardu ir slaptažodžiu
252
Pagrindinis puslapis
• Viršutinė juosta:– Logotipas
– Paieška
– Pagalba
– Naudotojo nustatymai
– Atsijungimas
• Meniu juosta
• Valdymo skydeliai
253
Naudotojo nustatymai
• Duomenys apie naudotoją
• El. laiškų gavimas
• Elektroninio parašo naudojimas
• Slaptažodžio keitimas
254
Informaciniai ištekliai
• Informacinio ištekliaus kortelė
• Informacinių išteklių kategorijos
• Asmens duomenų saugumo lygiai
• Informacinių išteklių rūšys
255
Reikalavimai
• Teisės aktai
• Reikalavimai
• Sąvokos
• Vidiniai teisės aktai ir reikalavimai
• COBIT brandos lygiai
256
Auditai
• Auditai
• Neatitiktys
257
Rizikos
• Rizikos
• Vertinimai
• Rizikos valdymo planai
• Grėsmių klasifikatorius
• Išteklių kritiškumas
• Grėsmių tikimybės
258
Apsaugos priemonės
• Apsaugos priemonės
• ISO 27001 klasifikatorius
• SANS klasifikatorius
259
Projektai
• Projektai
• Programos
• Portfeliai
260
Saugumo įvykiai
• Rankinis įvykių registravimas
• Automatinis įvykių registravimas
261
Paieška dokumentuose
• Įkeliami dokumentai
• Paieška
262
2. Prisijungimas
• Naudotojų vardai ir slaptažodžiai
• Prisijungimo išbandymas
263
3. Atitikties vertinimo procesas
• Naujo atitikties vertinimo sukūrimas
• Reikalavimų įtraukimo į auditą taisyklės
• Atitiktis vertinimo atlikimas
264
4. Atitikties vertinimas - užduotis
• Sukurti naują atitikties vertinimą
• Užpildyti audito klausimyną
265
5. Rizikos vertinimo procesas
• Naujo rizikos vertinimo sukūrimas
• Informacinių išteklių kritiškumas
• Grėsmių tikimybės
• Rizikos apskaičiavimo taisyklės
• Rizikos priimtinumas
• Apsaugos priemonės
• Rizikos valdymo planai
• Projektai
266
6. Rizikos vertinimas - užduotis
• Sukurti naują rizikos vertinimą
• Nustatyti ištekliaus kritiškumą
• Nustatyti grėsmių tikimybes
• Parinkti rizikos priimtinumą
• Nepriimtinoms rizikoms parinkti apsaugos priemones
• Užpildyti rizikos valdymo planą
267
7. Elektroninis parašas
• Elektroninio parašo naudojimas ARSIS
• Funkcionalumo įjungimas
• Elektroninio pasirašymo procesas
268
Svarbiau yra apgalvotai veikti negu protingai mąstyti
Ciceronas