• 5 Оптимізовані інтегровані процеси безперервного обслуговування є проактивними,

саморегульованими, автоматизованими та самоаналітичними та враховують порівняльний

аналіз та найкращі зовнішні практики. Плани безперервного обслуговування та плани
безперервності бізнесу інтегровані, узгоджені та регулярно підтримуються.Бай-ін для
безперервних потреб в обслуговуванні забезпечується постачальниками та основними
постачальниками. Глобальне тестування відбувається, і результати тестування подаються
назад як частина процесу технічного обслуговування.Безперервна ефективність витрат на
обслуговування оптимізується завдяки інноваціям та інтеграції. Збір та аналіз даних
використовується для виявлення можливостей для вдосконалення. Практика резервування
та безперервне планування обслуговування повністю узгоджені. Керівництво не допускає
окремих моментів відмови та надає підтримку для їх усунення. Практика ескалації
розуміється та ретельно застосовується.

Забезпечення безпеки систем 64

Домен: Доставка & amp; Підтримка
Процес: DS5 Забезпечення безпеки систем
Бізнес-ціль: Забезпечення безпеки систем задовольняє бізнес-ціль захисту інформації від
несанкціонованого використання, розголошення або модифікації, пошкодження або
втрати.
Завдання контролю: Контроль за процесом забезпечення безпеки систем.
Детальні цілі контролю (DCOS):
• СИСТЕМИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ
• 5.1 Керування заходами безпеки
ІТ-безпекою необхідно керувати так, щоб заходи безпеки відповідали бізнес-вимогам.
Сюди входять:
• Переклад інформації з оцінки ризиків до планів ІТ-безпеки
• Реалізація плану ІТ-безпеки
• Оновлення плану ІТ-безпеки, щоб відобразити зміни в ІТ-конфігурації
• Оцінка впливу запитів на зміни на ІТ-безпеку
• Моніторинг виконання плану ІТ-безпеки
• Узгодження процедур ІТ-безпеки з іншими політиками та процедурами
• 5.2 Ідентифікація, автентифікація та доступ
Логічний доступ до та використання ІТ-обчислювальних ресурсів повинні бути обмежені
впровадженням належних механізмів ідентифікації, автентифікації та авторизації, пов
'язуючи користувачів та ресурси з правилами доступу. Такі механізми повинні запобігати
несанкціонованому доступу персоналу, комутованому з 'єднанню та іншим системним
(мережевим) виходам до комп' ютерних ресурсів та мінімізувати необхідність для
авторизованих користувачів використовувати декілька вхідних даних. Також повинні бути
впроваджені процедури для підтримки ефективності механізмів аутентифікації та доступу
(наприклад, регулярні зміни паролів).
• 5.3 Захист онлайн-доступу до даних
В онлайн-середовищі ІТ-менеджмент повинен впроваджувати процедури відповідно до
політики безпеки, яка забезпечує контроль безпеки доступу на основі продемонстрованої
потреби людини переглядати, додавати, змінювати або видаляти дані.
• 5.4 Управління обліковим записом користувача
Керівництво повинно встановити процедури для забезпечення своєчасних дій, пов 'язаних
з запитом, створенням, видачею, призупиненням та закриттям облікових записів
користувачів.Необхідно включити офіційну процедуру затвердження, що окреслює дані
або власника системи, що надають привілеї доступу. Безпека доступу третіх сторін
повинна бути визначена у договорі та стосуватися вимог щодо адміністрування та
нерозголошення. Домовленості про аутсорсинг повинні стосуватися ризиків, засобів
контролю безпеки та процедур для інформаційних систем та мереж у контракті між
сторонами.
• 5.5 Управлінський огляд облікових записів користувачів
Керівництво повинно мати процес контролю для періодичного перегляду та підтвердження
прав доступу. Періодичне порівняння ресурсів із зареєстрованою підзвітністю повинно
бути зроблено, щоб допомогти зменшити ризик помилок, шахрайства, неправильного
використання або несанкціонованих змін.
• 5.6 Керування обліковими записами користувачів
Користувачі повинні систематично контролювати діяльність власних облікових
записів.Також повинні бути наявні інформаційні механізми, які дозволяють їм
контролювати звичайну діяльність, а також своєчасно бути попередженими про
незвичайну діяльність.
• 5.7 Нагляд за безпекою
Адміністрація ІТ-безпеки повинна забезпечити реєстрацію діяльності з безпеки та негайне
повідомлення про будь-які ознаки неминучого порушення безпеки всім, кого це може
стосуватися, внутрішнім та зовнішнім, а також своєчасне реагування на них.
• 5.8 Класифікація даних
Керівництво повинно впровадити процедури для забезпечення того, щоб всі дані
класифікувалися з точки зору чутливості офіційним і чітким рішенням власника даних
відповідно до схеми класифікації даних. Навіть дані, що не потребують "захисту", повинні
вимагати офіційного рішення про це. Власники повинні визначити розташування та обмін
даними, а також чи і коли програми та файли повинні зберігатися, архівуватися або
видалятися. Слід зберігати докази схвалення власником та розташування даних. Політика
повинна бути визначена для підтримки перекласифікації інформації на основі зміни
чутливості. Схема класифікації повинна включати критерії управління обміном
інформацією між організаціями, що стосуються як безпеки, так і дотримання відповідного
законодавства.
• 5.9 Централізоване управління ідентифікацією та правами доступу
Існують засоби контролю для забезпечення того, щоб ідентифікація та права доступу
користувачів, а також ідентичність системи та володіння даними були встановлені та
управлялися унікальним та центральним чином для отримання узгодженості та
ефективності глобального контролю доступу.
• 5.10 Звіти про порушення та заходи безпеки
Адміністрація ІТ-безпеки повинна забезпечити реєстрацію, повідомлення, перегляд та
відповідну ескалацію порушень та заходів безпеки на регулярній основі для виявлення та
вирішення інцидентів, пов 'язаних з несанкціонованою діяльністю. Логічний доступ до
інформаційної звітності комп 'ютерних ресурсів (журналів безпеки та інших журналів)
повинен надаватися на основі принципу найменшого привілею або необхідності знати.
• 5.11 Вирішення інцидентів
Керівництво повинно створити можливість врегулювання інцидентів комп 'ютерної безпеки
для вирішення інцидентів безпеки шляхом надання централізованої платформи з достатнім
досвідом та обладнаними засобами швидкого та безпечного зв' язку. Слід встановити обов
'язки та процедури управління інцидентами, щоб забезпечити належне, ефективне та
своєчасне реагування на інциденти безпеки.
• 5.12 Повторна акредитація
Керівництво повинно гарантувати, що повторна акредитація безпеки (наприклад, через
"команди тигрів") періодично здійснюється, щоб бути в курсі офіційно затвердженого рівня
безпеки та прийняття залишкового ризику.
• 5.13 Контрагентський траст
Організаційна політика повинна забезпечити впровадження контрольних практик для
перевірки автентичності контрагента, що надає електронні інструкції або транзакції. Це
може бути реалізовано через довірчий обмін паролями,токенами або криптографічними
ключами.
• 5.14 Авторизація транзакції
Організаційна політика повинна гарантувати, що, де це доречно, впроваджуються засоби
контролю для забезпечення автентичності транзакцій та встановлення дійсності заявленої
особи користувача до системи. Це вимагає використання криптографічних прийомів для
підписання та перевірки транзакцій.
• 5.15 Невідповідність
Організаційна політика повинна гарантувати, що, де це доречно, транзакції не можуть
бути відхилені жодною зі сторін, і впроваджуються засоби контролю, щоб забезпечити
відмову від походження або отримання, підтвердження подання та отримання транзакцій.
Це може бути реалізовано за допомогою цифрових підписів, позначок часу та довірених
третіх сторін, з відповідною політикою, яка враховує відповідні нормативні вимоги.
• 5.16 Довірчий шлях
Організаційна політика повинна гарантувати, що конфіденційні дані транзакцій
обмінюються лише за довіреним шляхом. Конфіденційна інформація включає інформацію
про управління безпекою, конфіденційні дані транзакцій, паролі та криптографічні ключі.
Для цього, можливо, доведеться встановити довірені канали, використовуючи шифрування
між користувачами, між користувачами та системами, а також між системами.
• 5.17 Захист функцій безпеки
Всі апаратні та програмні засоби, пов 'язані з безпекою, повинні бути завжди захищені від
підробки для підтримки їх цілісності та від розголошення секретних ключів. Крім того,
організації повинні зберігати низький рівень уваги до свого дизайну безпеки, але не
повинні ґрунтувати свою безпеку на секретному дизайні.
• 5.18 Керування криптографічним ключем
Керівництво повинно визначити та впровадити процедури та протоколи, які будуть
використовуватися для генерації, зміни, відкликання, знищення, розповсюдження,
сертифікації, зберігання, введення, використання та архівування криптографічних ключів
для забезпечення захисту ключів від модифікації та несанкціонованого розголошення.
Якщо ключ скомпрометований, керівництво повинно забезпечити передачу цієї інформації
будь-якій зацікавленій стороні за допомогою списків відкликання сертифікатів або
аналогічних механізмів.
• 5.19 Попередження, виявлення та виправлення шкідливого програмного
забезпечення
Що стосується шкідливого програмного забезпечення, такого як комп 'ютерні віруси або
троянські коні, керівництво повинно встановити систему адекватних профілактичних,
детективних та коригувальних заходів контролю, а також реагування на випадки та
звітування. Управління бізнесом та ІТ повинно забезпечити встановлення процедур у всій
організації для захисту інформаційних систем та технологій від комп 'ютерних вірусів.
Процедури повинні включати захист від вірусів, виявлення, реагування на виникнення та
звітування.
• 5.20 Архітектури брандмауера та з 'єднання з загальнодоступними мережами
Якщо існує підключення до Інтернету або інших загальнодоступних мереж, належні
брандмауери повинні працювати для захисту від відмови у наданні послуг та будь-якого
несанкціонованого доступу до внутрішніх ресурсів; повинні контролювати будь-які потоки
застосунків та управління інфраструктурою в обох напрямках; і повинні захищати від атак
від відмови у наданні послуг.
• 5.21 Захист електронної вартості
Керівництво повинно захищати постійну цілісність всіх карт або подібних фізичних
механізмів, що використовуються для автентифікації або зберігання фінансової або іншої
конфіденційної інформації, з урахуванням відповідних засобів, пристроїв, співробітників та
методів перевірки, що використовуються.