Політика інформаційної безпеки
Політика інформаційної безпеки Академії EITCA
Цей документ визначає політику інформаційної безпеки (ISP) Європейського інституту сертифікації ІТ, яка регулярно переглядається та оновлюється для забезпечення її ефективності та відповідності. Останнє оновлення політики інформаційної безпеки EITCI було зроблено 7 січня 2023 року.
Частина 1. Вступ і Положення про політику інформаційної безпеки
1.1. Введення
Європейський інститут сертифікації ІТ визнає важливість інформаційної безпеки для підтримки конфіденційності, цілісності та доступності інформації та довіри наших зацікавлених сторін. Ми прагнемо захищати конфіденційну інформацію, включаючи особисті дані, від несанкціонованого доступу, розголошення, зміни та знищення. Ми дотримуємося ефективної Політики інформаційної безпеки, щоб підтримувати нашу місію з надання надійних і неупереджених сертифікаційних послуг нашим клієнтам. Політика інформаційної безпеки визначає наше зобов’язання щодо захисту інформаційних активів і дотримання наших юридичних, нормативних і договірних зобов’язань. Наша політика базується на принципах ISO 27001 та ISO 17024, провідних міжнародних стандартів управління інформаційною безпекою та стандартів діяльності органів сертифікації.
1.2. Політична заява
Європейський інститут сертифікації ІТ прагне:
- Захист конфіденційності, цілісності та доступності інформаційних активів,
- Дотримуючись юридичних, нормативних і договірних зобов’язань, пов’язаних із інформаційною безпекою та обробкою даних, реалізуючи процеси та операції сертифікації,
- Постійно вдосконалюючи свою політику інформаційної безпеки та відповідну систему управління,
- Забезпечення відповідного навчання та інформування працівників, підрядників та учасників,
- Залучення всіх співробітників і підрядників до реалізації та підтримки політики інформаційної безпеки та відповідної системи управління інформаційною безпекою.
1.3. Область застосування
Ця політика застосовується до всіх інформаційних активів, якими володіє, контролює чи обробляє Європейський інститут сертифікації ІТ. Це включає всі цифрові та фізичні інформаційні активи, такі як системи, мережі, програмне забезпечення, дані та документація. Ця політика також стосується всіх співробітників, підрядників і сторонніх постачальників послуг, які мають доступ до наших інформаційних активів.
1.4. Відповідність
Європейський інститут сертифікації ІТ прагне дотримуватись відповідних стандартів інформаційної безпеки, включаючи ISO 27001 та ISO 17024. Ми регулярно переглядаємо та оновлюємо цю політику, щоб забезпечити її постійну актуальність і відповідність цим стандартам.
Частина 2. Організаційна безпека
2.1. Цілі безпеки організації
Впроваджуючи організаційні заходи безпеки, ми прагнемо забезпечити, щоб наші інформаційні активи та методи й процедури обробки даних проводилися з найвищим рівнем безпеки та цілісності, а також дотримувалися відповідних правових норм і стандартів.
2.2. Ролі та обов'язки з інформаційної безпеки
Європейський інститут сертифікації ІТ визначає та повідомляє про ролі та відповідальність за інформаційну безпеку в усій організації. Це включає в себе визначення чіткого права власності на інформаційні активи в контексті інформаційної безпеки, створення структури управління та визначення конкретних обов’язків для різних ролей і відділів в організації.
2.3. Управління ризиками
Ми проводимо регулярні оцінки ризиків, щоб визначити та визначити пріоритетність ризиків інформаційної безпеки для організації, включаючи ризики, пов’язані з обробкою персональних даних. Ми встановлюємо відповідні засоби контролю, щоб зменшити ці ризики, а також регулярно переглядаємо та оновлюємо наш підхід до управління ризиками на основі змін у бізнес-середовищі та ландшафті загроз.
2.4. Політика та процедури інформаційної безпеки
Ми встановлюємо та підтримуємо набір політик і процедур інформаційної безпеки, які базуються на найкращих галузевих практиках і відповідають відповідним нормам і стандартам. Ці політики та процедури охоплюють усі аспекти інформаційної безпеки, включаючи обробку персональних даних, і регулярно переглядаються та оновлюються для забезпечення їх ефективності.
2.5. Інформація про безпеку та навчання
Ми надаємо регулярні програми підвищення обізнаності та навчання щодо безпеки для всіх співробітників, підрядників і сторонніх партнерів, які мають доступ до персональних даних або іншої конфіденційної інформації. Цей тренінг охоплює такі теми, як фішинг, соціальна інженерія, гігієна паролів та інші передові практики інформаційної безпеки.
2.6. Фізична та екологічна безпека
Ми впроваджуємо належні заходи фізичної та екологічної безпеки для захисту від несанкціонованого доступу, пошкодження або втручання в наші об’єкти та інформаційні системи. Це включає такі заходи, як контроль доступу, спостереження, моніторинг і резервне живлення та системи охолодження.
2.7. Управління інцидентами інформаційної безпеки
Ми створили процес управління інцидентами, який дає нам змогу швидко й ефективно реагувати на будь-які інциденти інформаційної безпеки, які можуть статися. Це включає процедури звітування, ескалації, розслідування та вирішення інцидентів, а також заходи для запобігання повторенню та покращення наших можливостей реагування на інциденти.
2.8. Безперервність роботи та аварійне відновлення
Ми розробили та перевірили плани безперервності роботи та аварійного відновлення, які дозволяють нам підтримувати наші критично важливі операційні функції та послуги у разі збою чи катастрофи. Ці плани включають процедури резервного копіювання та відновлення даних і систем, а також заходи щодо забезпечення доступності та цілісності персональних даних.
2.9. Управління третьою стороною
Ми встановлюємо та підтримуємо відповідні засоби контролю для управління ризиками, пов’язаними зі сторонніми партнерами, які мають доступ до персональних даних або іншої конфіденційної інформації. Це включає такі заходи, як належна обачність, договірні зобов’язання, моніторинг і аудит, а також заходи щодо припинення партнерства, якщо це необхідно.
Частина 3. Безпека персоналу
3.1. Перевірка працевлаштування
Європейський інститут сертифікації ІТ запровадив процес перевірки працевлаштування, щоб переконатися, що особи, які мають доступ до конфіденційної інформації, заслуговують на довіру та мають необхідні навички та кваліфікацію.
3.2. Управління доступом
Ми встановили політику та процедури контролю доступу, щоб гарантувати, що працівники мають доступ лише до інформації, необхідної для виконання їхніх службових обов’язків. Права доступу переглядаються та регулярно оновлюються, щоб гарантувати, що працівники мають доступ лише до тієї інформації, яка їм потрібна.
3.3. Інформаційна безпека та навчання
Ми регулярно проводимо навчання з питань інформаційної безпеки для всіх співробітників. Цей тренінг охоплює такі теми, як захист паролів, фішингові атаки, соціальна інженерія та інші аспекти кібербезпеки.
3.4. Прийнятне використання
Ми встановили політику прийнятного використання, яка окреслює прийнятне використання інформаційних систем і ресурсів, включаючи персональні пристрої, що використовуються для робочих цілей.
3.5. Безпека мобільних пристроїв
Ми встановили політику та процедури безпечного використання мобільних пристроїв, зокрема використання паролів, шифрування та можливостей віддаленого стирання.
3.6. Процедури розірвання
Європейський інститут сертифікації ІТ встановив процедури припинення трудових відносин або контракту, щоб гарантувати швидке та безпечне скасування доступу до конфіденційної інформації.
3.7. Персонал третіх сторін
Ми встановили процедури для управління персоналом третіх сторін, який має доступ до конфіденційної інформації. Ці політики включають перевірку, контроль доступу та навчання з питань безпеки інформації.
3.8. Повідомлення про інциденти
Ми встановили політику та процедури для повідомлення відповідного персоналу чи органів влади про інциденти або проблеми з інформаційною безпекою.
3.9. Угоди про конфіденційність
Європейський інститут сертифікації ІТ вимагає від співробітників і підрядників підписувати угоди про конфіденційність, щоб захистити конфіденційну інформацію від несанкціонованого розголошення.
3.10. Дисциплінарні стягнення
Європейський інститут сертифікації ІТ встановив політику та процедури дисциплінарних заходів у разі порушення політики інформаційної безпеки співробітниками або підрядниками.
Частина 4. Оцінка та управління ризиками
4.1. Оцінка ризику
Ми проводимо періодичну оцінку ризиків, щоб виявити потенційні загрози та вразливі місця для наших інформаційних активів. Ми використовуємо структурований підхід для виявлення, аналізу, оцінки та визначення пріоритетів ризиків на основі їхньої ймовірності та потенційного впливу. Ми оцінюємо ризики, пов’язані з нашими інформаційними активами, включаючи системи, мережі, програмне забезпечення, дані та документацію.
4.2. Лікування ризиків
Ми використовуємо процес обробки ризиків, щоб зменшити або зменшити ризики до прийнятного рівня. Процес обробки ризиків включає вибір відповідних засобів контролю, впровадження засобів контролю та моніторинг ефективності засобів контролю. Ми визначаємо пріоритети впровадження засобів контролю на основі рівня ризику, наявних ресурсів і бізнес-пріоритетів.
4.3. Моніторинг і аналіз ризиків
Ми регулярно відстежуємо та перевіряємо ефективність нашого процесу управління ризиками, щоб переконатися, що він залишається актуальним і ефективним. Ми використовуємо метрики та показники для вимірювання ефективності нашого процесу управління ризиками та визначення можливостей для вдосконалення. Ми також перевіряємо наш процес управління ризиками в рамках наших періодичних управлінських перевірок, щоб переконатися в його постійній придатності, адекватності та ефективності.
4.4. Планування реагування на ризики
У нас є план реагування на ризики, щоб забезпечити ефективне реагування на будь-які виявлені ризики. Цей план містить процедури для виявлення ризиків і звітування про них, а також процеси для оцінки потенційного впливу кожного ризику та визначення відповідних дій у відповідь. У нас також є плани на випадок надзвичайних ситуацій, щоб забезпечити безперервність роботи у випадку значної ризикової події.
4.5. Аналіз операційного впливу
Ми проводимо періодичний аналіз впливу на бізнес, щоб визначити потенційний вплив збоїв на наші бізнес-операції. Цей аналіз включає оцінку критичності наших бізнес-функцій, систем і даних, а також оцінку потенційного впливу збоїв на наших клієнтів, співробітників та інших зацікавлених сторін.
4.6. Управління ризиками третіх сторін
У нас є стороння програма управління ризиками, щоб гарантувати, що наші постачальники та інші сторонні постачальники послуг також належним чином керують ризиками. Ця програма включає перевірки належної обачності перед залученням третіх сторін, постійний моніторинг діяльності третіх сторін і періодичну оцінку практики управління ризиками третіх сторін.
4.7. Реагування на інциденти та управління ними
У нас є план реагування на інциденти та план управління, щоб ми могли ефективно реагувати на будь-які інциденти безпеки. Цей план містить процедури виявлення інцидентів і звітування про них, а також процеси оцінки впливу кожного інциденту та визначення відповідних заходів реагування. У нас також є план безперервності бізнесу, який гарантує, що критично важливі бізнес-функції можуть продовжуватися у разі значного інциденту.
Частина 5. Фізична та екологічна безпека
5.1. Периметр фізичної безпеки
Ми встановили заходи фізичної безпеки, щоб захистити фізичні приміщення та конфіденційну інформацію від несанкціонованого доступу.
5.2. Управління доступом
Ми встановили політику та процедури контролю доступу для фізичних приміщень, щоб забезпечити доступ до конфіденційної інформації лише уповноваженому персоналу.
5.3. Безпека обладнання
Ми гарантуємо, що все обладнання, яке містить конфіденційну інформацію, фізично захищено, а доступ до цього обладнання має лише авторизований персонал.
5.4. Безпечна утилізація
Ми встановили процедури безпечної утилізації конфіденційної інформації, зокрема паперових документів, електронних носіїв інформації та обладнання.
5.5. Фізичне середовище
Ми гарантуємо, що фізичне середовище приміщень, включаючи температуру, вологість та освітлення, відповідає вимогам захисту конфіденційної інформації.
5.6 Блок живлення
Ми гарантуємо, що електропостачання приміщень є надійним і захищеним від перебоїв або стрибків напруги.
5.7. Протипожежний захист
Ми встановили політику та процедури протипожежного захисту, включаючи встановлення та обслуговування систем виявлення та гасіння пожежі.
5.8. Захист від пошкоджень водою
Ми встановили політику та процедури захисту конфіденційної інформації від пошкодження водою, включаючи встановлення та обслуговування систем виявлення та запобігання повеням.
5.9. Технічне обслуговування обладнання
Ми встановили процедури технічного обслуговування обладнання, включаючи перевірку обладнання на ознаки втручання або несанкціонованого доступу.
5.10. Прийнятне використання
Ми створили політику прийнятного використання, яка визначає прийнятне використання фізичних ресурсів і об’єктів.
5.11. Віддалений доступ
Ми встановили політику та процедури віддаленого доступу до конфіденційної інформації, включаючи використання безпечних з’єднань і шифрування.
5.12. Моніторинг і спостереження
Ми встановили політику та процедури моніторингу та нагляду за фізичними приміщеннями та обладнанням для виявлення та запобігання несанкціонованому доступу чи втручанню.
частина 6. Безпека зв'язку та операцій
6.1. Управління мережевою безпекою
Ми створили політику та процедури для керування мережевою безпекою, включаючи використання брандмауерів, систем виявлення та запобігання вторгненням, а також регулярні перевірки безпеки.
6.2. Передача інформації
Ми встановили політику та процедури безпечної передачі конфіденційної інформації, включаючи використання протоколів шифрування та безпечної передачі файлів.
6.3. Повідомлення третіх сторін
Ми встановили політику та процедури для безпечного обміну конфіденційною інформацією зі сторонніми організаціями, включаючи використання безпечних з’єднань і шифрування.
6.4. Обробка медіа
Ми встановили процедури поводження з конфіденційною інформацією на різних носіях, включаючи паперові документи, електронні носії та портативні пристрої зберігання.
6.5. Розробка та підтримка інформаційних систем
Ми встановили політику та процедури для розробки та підтримки інформаційних систем, включаючи використання методів безпечного кодування, регулярні оновлення програмного забезпечення та керування виправленнями.
6.6. Захист від шкідливих програм і вірусів
Ми встановили політику та процедури для захисту інформаційних систем від зловмисного програмного забезпечення та вірусів, включаючи використання антивірусного програмного забезпечення та регулярні оновлення системи безпеки.
6.7. Резервне копіювання та відновлення
Ми встановили політику та процедури для резервного копіювання та відновлення конфіденційної інформації, щоб запобігти втраті або пошкодженню даних.
6.8. Управління подіями
Ми встановили політику та процедури для виявлення, розслідування та вирішення інцидентів і подій безпеки.
6.9. Управління вразливістю
Ми встановили політику та процедури керування вразливими місцями інформаційної системи, включаючи використання регулярних оцінок уразливостей та керування виправленнями.
6.10. Управління доступом
Ми встановили політику та процедури для керування доступом користувачів до інформаційних систем, включаючи використання контролю доступу, автентифікацію користувачів і регулярні перевірки доступу.
6.11. Моніторинг і журналювання
Ми встановили політику та процедури для моніторингу та реєстрації діяльності інформаційної системи, включаючи використання журналів аудиту та реєстрації інцидентів безпеки.
Частина 7. Придбання, розвиток та супровід інформаційних систем
7.1 Вимоги
Ми встановили політику та процедури для визначення вимог до інформаційної системи, включаючи бізнес-вимоги, правові та нормативні вимоги та вимоги безпеки.
7.2. Відносини з постачальниками
Ми встановили політику та процедури для управління відносинами зі сторонніми постачальниками інформаційних систем і послуг, включаючи оцінку практик безпеки постачальників.
7.3. Розробка системи
Ми встановили політику та процедури для безпечної розробки інформаційних систем, включаючи використання методів безпечного кодування, регулярне тестування та гарантію якості.
7.4. Тестування системи
Ми встановили політику та процедури для тестування інформаційних систем, включаючи тестування функціональності, тестування продуктивності та тестування безпеки.
7.5. Прийняття системи
Ми встановили політику та процедури для прийняття інформаційних систем, включаючи затвердження результатів тестування, оцінку безпеки та перевірку прийнятності користувача.
7.6. Обслуговування системи
Ми встановили політику та процедури для обслуговування інформаційних систем, включаючи регулярні оновлення, виправлення безпеки та резервне копіювання системи.
7.7. Вихід системи
Ми встановили політику та процедури для виведення з експлуатації інформаційних систем, включаючи безпечну утилізацію обладнання та даних.
7.8. Зберігання даних
Ми встановили політику та процедури для зберігання даних відповідно до законодавчих і нормативних вимог, включаючи безпечне зберігання та видалення конфіденційних даних.
7.9. Вимоги безпеки до інформаційних систем
Ми встановили політику та процедури для ідентифікації та впровадження вимог безпеки для інформаційних систем, включаючи контроль доступу, шифрування та захист даних.
7.10. Безпечні середовища розробки
Ми встановили політику та процедури для безпечних середовищ розробки для інформаційних систем, включаючи використання методів безпечної розробки, засобів контролю доступу та конфігурацій безпечної мережі.
7.11. Захист тестових середовищ
Ми створили політику та процедури для захисту середовищ тестування для інформаційних систем, включаючи використання безпечних конфігурацій, засобів контролю доступу та регулярне тестування безпеки.
7.12. Принципи безпечної системної інженерії
Ми встановили політику та процедури для впровадження принципів безпечної системної інженерії для інформаційних систем, включаючи використання архітектур безпеки, моделювання загроз і методи безпечного кодування.
7.13. Рекомендації щодо безпечного кодування
Ми встановили політику та процедури для впровадження вказівок із безпечного кодування для інформаційних систем, включаючи використання стандартів кодування, перегляд коду та автоматизоване тестування.
Частина 8. Придбання обладнання
8.1. Дотримання стандартів
Ми дотримуємося стандарту ISO 27001 для системи управління інформаційною безпекою (ISMS), щоб забезпечити придбання апаратних засобів відповідно до наших вимог безпеки.
8.2. Оцінка ризику
Ми проводимо оцінку ризиків перед закупівлею обладнання, щоб визначити потенційні ризики безпеки та переконатися, що вибране обладнання відповідає вимогам безпеки.
8.3. Вибір постачальників
Ми закуповуємо апаратні засоби лише від перевірених постачальників, які мають досвід доставки безпечних продуктів. Ми перевіряємо політику безпеки постачальників і вимагаємо від них гарантувати, що їхні продукти відповідають нашим вимогам безпеки.
8.4. Безпечний транспорт
Ми гарантуємо безпечне транспортування обладнання до наших приміщень, щоб запобігти підробці, пошкодженню чи крадіжці під час транспортування.
8.5. Перевірка автентичності
Ми перевіряємо автентичність апаратних засобів після доставки, щоб переконатися, що вони не підроблені та не підроблені.
8.6. Фізичний контроль та контроль навколишнього середовища
Ми впроваджуємо належний фізичний і екологічний контроль, щоб захистити обладнання від несанкціонованого доступу, крадіжки або пошкодження.
8.7. Встановлення обладнання
Ми гарантуємо, що всі апаратні засоби налаштовані та встановлені відповідно до встановлених стандартів безпеки та інструкцій.
8.8. Огляд обладнання
Ми проводимо періодичні перевірки апаратних засобів, щоб переконатися, що вони продовжують відповідати нашим вимогам безпеки та мають найновіші виправлення та оновлення безпеки.
8.9. Утилізація обладнання
Ми безпечно розпоряджаємося обладнанням, щоб запобігти несанкціонованому доступу до конфіденційної інформації.
Частина 9. Захист від шкідливих програм та вірусів
9.1. Політика оновлення програмного забезпечення
Ми підтримуємо актуальне програмне забезпечення для захисту від вірусів і зловмисного програмного забезпечення на всіх інформаційних системах, які використовуються Європейським інститутом сертифікації ІТ, включаючи сервери, робочі станції, ноутбуки та мобільні пристрої. Ми гарантуємо, що програмне забезпечення для захисту від вірусів і зловмисного програмного забезпечення налаштовано на регулярне автоматичне оновлення файлів визначення вірусів і версій програмного забезпечення, а також що цей процес регулярно тестується.
9.2. Антивірус і сканування шкідливих програм
Ми проводимо регулярне сканування всіх інформаційних систем, включаючи сервери, робочі станції, ноутбуки та мобільні пристрої, щоб виявити та видалити будь-які віруси або зловмисне програмне забезпечення.
9.3. Політика заборони вимкнення та зміни
Ми дотримуємося правил, які забороняють користувачам відключати або змінювати програмне забезпечення для захисту від вірусів і шкідливих програм у будь-якій інформаційній системі.
9.4 Моніторинг
Ми відстежуємо сповіщення та журнали нашого програмного забезпечення для захисту від вірусів і зловмисного програмного забезпечення, щоб виявити будь-які випадки зараження вірусами або зловмисним програмним забезпеченням і своєчасно реагувати на такі інциденти.
9.5. Ведення записів
Ми зберігаємо записи про конфігурацію програмного забезпечення для захисту від вірусів і зловмисного програмного забезпечення, оновлення та сканування, а також про будь-які випадки зараження вірусами чи зловмисним програмним забезпеченням для цілей аудиту.
9.6. Відгуки про програмне забезпечення
Ми проводимо періодичні перевірки нашого програмного забезпечення для захисту від вірусів і зловмисного програмного забезпечення, щоб переконатися, що воно відповідає чинним галузевим стандартам і відповідає нашим потребам.
9.7. Навчання та обізнаність
Ми проводимо програми навчання та підвищення обізнаності, щоб навчити всіх співробітників важливості захисту від вірусів і зловмисного програмного забезпечення, а також тому, як розпізнавати будь-які підозрілі дії чи інциденти та повідомляти про них.
Частина 10. Управління інформаційними активами
10.1. Інвентаризація інформаційних активів
Європейський інститут сертифікації ІТ веде перелік інформаційних активів, який включає всі цифрові та фізичні інформаційні активи, такі як системи, мережі, програмне забезпечення, дані та документація. Ми класифікуємо інформаційні активи на основі їх критичності та чутливості, щоб забезпечити вжиття належних заходів захисту.
10.2. Обробка інформаційних активів
Ми вживаємо належних заходів для захисту інформаційних активів на основі їх класифікації, включаючи конфіденційність, цілісність і доступність. Ми гарантуємо, що всі інформаційні активи обробляються відповідно до чинних законів, нормативних актів і договірних вимог. Ми також гарантуємо, що всі інформаційні активи належним чином зберігаються, захищаються та утилізуються, коли вони більше не потрібні.
10.3. Право власності на інформаційний актив
Ми призначаємо право власності на інформаційні активи особам або відділам, відповідальним за управління та захист інформаційних активів. Ми також гарантуємо, що власники інформаційних активів розуміють свою відповідальність і відповідальність за захист інформаційних активів.
10.4. Захист інформаційних активів
Ми використовуємо різноманітні заходи захисту, щоб захистити інформаційні активи, зокрема засоби фізичного контролю, контролю доступу, шифрування, а також процеси резервного копіювання та відновлення. Ми також гарантуємо, що всі інформаційні активи захищені від несанкціонованого доступу, зміни або знищення.
Частина 11. Контроль доступу
11.1. Політика контролю доступу
Європейський інститут сертифікації ІТ має Політику контролю доступу, яка визначає вимоги щодо надання, зміни та скасування доступу до інформаційних активів. Контроль доступу є критично важливим компонентом нашої системи управління інформаційною безпекою, і ми впроваджуємо його, щоб гарантувати, що лише авторизовані особи мають доступ до наших інформаційних активів.
11.2. Реалізація контролю доступу
Ми впроваджуємо заходи контролю доступу на основі принципу найменших привілеїв, що означає, що особи мають доступ лише до інформаційних активів, необхідних для виконання своїх службових функцій. Ми використовуємо різноманітні засоби контролю доступу, включаючи автентифікацію, авторизацію та облік (AAA). Ми також використовуємо списки контролю доступу (ACL) і дозволи для контролю доступу до інформаційних активів.
11.3. Політика паролів
Європейський інститут сертифікації інформаційних технологій має Політику паролів, яка визначає вимоги до створення та керування паролями. Нам потрібні надійні паролі довжиною принаймні 8 символів із комбінацією великих і малих літер, цифр і спеціальних символів. Ми також вимагаємо періодичної зміни паролів і забороняємо повторне використання попередніх паролів.
11.4. Управління користувачами
У нас є процес керування користувачами, який включає створення, зміну та видалення облікових записів користувачів. Облікові записи користувачів створюються на основі принципу найменших привілеїв, і доступ надається лише до інформаційних активів, необхідних для виконання службових функцій особи. Ми також регулярно перевіряємо облікові записи користувачів і видаляємо облікові записи, які більше не потрібні.
Частина 12. Управління інцидентами інформаційної безпеки
12.1. Політика управління інцидентами
Європейський інститут сертифікації ІТ має Політику управління інцидентами, яка визначає вимоги до виявлення, звітування, оцінювання та реагування на інциденти безпеки. Ми визначаємо інцидент безпеки як будь-яку подію, яка порушує конфіденційність, цілісність або доступність інформаційних активів або систем.
12.2. Виявлення інцидентів і звітування
Ми вживаємо заходів для оперативного виявлення інцидентів безпеки та повідомлення про них. Ми використовуємо різноманітні методи для виявлення інцидентів безпеки, включаючи системи виявлення вторгнень (IDS), антивірусне програмне забезпечення та повідомлення користувачів. Ми також гарантуємо, що всі співробітники обізнані про процедури повідомлення про інциденти безпеки та заохочуємо повідомляти про всі підозрювані інциденти.
12.3. Оцінка інциденту та реагування
У нас є процес оцінки інцидентів безпеки та реагування на них на основі їх серйозності та впливу. Ми визначаємо пріоритетність інцидентів на основі їх потенційного впливу на інформаційні активи чи системи та виділяємо відповідні ресурси для реагування на них. У нас також є план реагування, який включає процедури виявлення, стримування, аналізу, викорінення та відновлення після інцидентів безпеки, а також сповіщення відповідних сторін і проведення аналізів після інцидентів. Наші процедури реагування на інциденти розроблені для забезпечення швидкого та ефективного реагування до інцидентів безпеки. Процедури регулярно переглядаються та оновлюються для забезпечення їх ефективності та відповідності.
12.4. Група реагування на інциденти
У нас є група реагування на інциденти (IRT), яка відповідає за реагування на інциденти безпеки. IRT складається з представників різних підрозділів і очолюється спеціалістом з інформаційної безпеки (ISO). IRT відповідає за оцінку серйозності інцидентів, локалізацію інциденту та ініціювання відповідних процедур реагування.
12.5. Повідомлення про інциденти та розгляд
Ми встановили процедури звітування про інциденти безпеки відповідним сторонам, зокрема клієнтам, регуляторним органам і правоохоронним органам, як того вимагають чинні закони та нормативні акти. Ми також підтримуємо зв’язок із постраждалими сторонами протягом усього процесу реагування на інцидент, надаючи своєчасну інформацію про статус інциденту та будь-які дії, які вживаються для пом’якшення його впливу. Ми також проводимо перевірку всіх інцидентів безпеки, щоб визначити першопричину та запобігти виникненню подібних інцидентів у майбутньому.
Частина 13. Управління безперервністю бізнесу та аварійне відновлення
13.1. Планування безперервності бізнесу
Незважаючи на те, що Європейський інститут сертифікації ІТ є некомерційною організацією, він має план забезпечення безперервності діяльності (BCP), у якому описано процедури забезпечення безперервності його операцій у разі аварійного інциденту. BCP охоплює всі критичні операційні процеси та визначає ресурси, необхідні для підтримки роботи під час і після руйнівного інциденту. У ньому також описано процедури підтримки бізнес-операцій під час збою або катастрофи, оцінки впливу збоїв, визначення найбільш критичних операційних процесів у контексті конкретного руйнівного інциденту та розробки процедур реагування та відновлення.
13.2. Планування аварійного відновлення
Європейський інститут сертифікації інформаційних технологій має план аварійного відновлення (DRP), у якому описано процедури відновлення наших інформаційних систем у разі збою чи катастрофи. DRP включає процедури резервного копіювання даних, відновлення даних і відновлення системи. DRP регулярно перевіряється та оновлюється для забезпечення його ефективності.
13.3. Аналіз впливу на бізнес
Ми проводимо аналіз впливу на бізнес (BIA), щоб визначити критичні робочі процеси та ресурси, необхідні для їх підтримки. BIA допомагає нам визначити пріоритети наших заходів із відновлення та відповідно розподілити ресурси.
13.4. Стратегія безперервності бізнесу
На основі результатів BIA ми розробляємо стратегію забезпечення безперервності бізнесу, яка описує процедури реагування на руйнівний інцидент. Стратегія включає процедури для активації BCP, відновлення критичних операційних процесів і спілкування з відповідними зацікавленими сторонами.
13.5. Тестування та технічне обслуговування
Ми регулярно перевіряємо та підтримуємо наші BCP та DRP, щоб переконатися в їх ефективності та відповідності. Ми проводимо регулярні тести для підтвердження BCP/DRP і визначення областей для покращення. Ми також оновлюємо BCP і DRP за потреби, щоб відобразити зміни в наших операціях або ландшафті загроз. Тестування включає настільні вправи, моделювання та тестування процедур у реальному часі. Ми також переглядаємо та оновлюємо наші плани на основі результатів тестування та отриманих уроків.
13.6. Альтернативні місця обробки
Ми підтримуємо альтернативні сайти онлайн-обробки, які можна використовувати для продовження бізнес-операцій у разі збою чи катастрофи. Альтернативні центри обробки оснащені необхідною інфраструктурою та системами та можуть використовуватися для підтримки критичних бізнес-процесів.
Частина 14. Комплаєнс і аудит
14.1. Дотримання законів і правил
Європейський інститут сертифікації ІТ прагне дотримуватись усіх застосовних законів і нормативних актів, пов’язаних із інформаційною безпекою та конфіденційністю, зокрема законів про захист даних, галузевих стандартів і договірних зобов’язань. Ми регулярно переглядаємо та оновлюємо наші політики, процедури та засоби контролю, щоб забезпечити відповідність усім відповідним вимогам і стандартам. Основні стандарти та рамки, яких ми дотримуємося в контексті інформаційної безпеки, включають:
- Стандарт ISO/IEC 27001 містить вказівки щодо впровадження та управління системою управління інформаційною безпекою (ISMS), яка включає керування вразливістю як ключовий компонент. Він забезпечує еталонну структуру для впровадження та підтримки нашої системи управління інформаційною безпекою (ISMS), включаючи керування вразливими місцями. Відповідно до цих стандартних положень ми визначаємо, оцінюємо та керуємо ризиками інформаційної безпеки, включаючи вразливості.
- Концепція кібербезпеки Національного інституту стандартів і технологій США (NIST) надає вказівки щодо виявлення, оцінки та керування ризиками кібербезпеки, зокрема керування вразливістю.
- Концепція кібербезпеки Національного інституту стандартів і технологій (NIST) для вдосконалення управління ризиками кібербезпеки з основним набором функцій, включаючи управління вразливістю, якого ми дотримуємося, щоб керувати нашими ризиками кібербезпеки.
- SANS Critical Security Controls містить набір із 20 елементів керування безпекою для покращення кібербезпеки, які охоплюють низку сфер, зокрема керування вразливістю, надання конкретних вказівок щодо сканування вразливостей, керування виправленнями та інші аспекти керування вразливістю.
- Стандарт безпеки даних індустрії платіжних карток (PCI DSS), який вимагає обробки інформації кредитної картки щодо керування вразливістю в цьому контексті.
- Центр контролю безпеки в Інтернеті (CIS), включаючи управління вразливістю як один із ключових засобів контролю для забезпечення безпечних конфігурацій наших інформаційних систем.
- Open Web Application Security Project (OWASP) зі своїм списком 10 найбільш критичних ризиків для безпеки веб-додатків, включаючи оцінку вразливостей, таких як ін’єкційні атаки, порушення автентифікації та керування сеансами, міжсайтовий сценарій (XSS) тощо. Ми використовуємо Топ-10 OWASP, щоб визначити пріоритетність наших зусиль із керування вразливістю та зосередитися на найбільш критичних ризиках щодо наших веб-систем.
14.2. Внутрішня ревізія
Ми проводимо регулярні внутрішні аудити, щоб оцінити ефективність нашої Системи управління інформаційною безпекою (ISMS) і забезпечити дотримання наших політик, процедур і засобів контролю. Процес внутрішнього аудиту включає виявлення невідповідностей, розробку коригувальних дій і відстеження зусиль з виправлення.
14.3. Зовнішній аудит
Ми періодично співпрацюємо із зовнішніми аудиторами для підтвердження нашої відповідності чинним законам, нормам і галузевим стандартам. Ми надаємо аудиторам доступ до наших засобів, систем і документації, якщо це необхідно для підтвердження нашої відповідності. Ми також співпрацюємо із зовнішніми аудиторами для вирішення будь-яких висновків або рекомендацій, виявлених під час процесу аудиту.
14.4. Моніторинг відповідності
Ми постійно контролюємо дотримання чинних законів, нормативних актів і галузевих стандартів. Ми використовуємо різноманітні методи моніторингу відповідності, включаючи періодичні оцінки, аудити та огляди сторонніх постачальників. Ми також регулярно переглядаємо та оновлюємо наші політики, процедури та засоби контролю, щоб забезпечити постійне дотримання всіх відповідних вимог.
Частина 15. Керування сторонніми особами
15.1. Політика управління третіми сторонами
Європейський інститут сертифікації інформаційних технологій має Політику управління третіми сторонами, яка визначає вимоги до вибору, оцінки та моніторингу сторонніх постачальників, які мають доступ до наших інформаційних ресурсів або систем. Політика поширюється на всіх сторонніх постачальників, включаючи постачальників хмарних послуг, постачальників і підрядників.
15.2. Відбір і оцінка третьою стороною
Ми проводимо належну перевірку перед тим, як співпрацювати зі сторонніми постачальниками, щоб переконатися, що вони мають адекватні засоби контролю безпеки для захисту наших інформаційних активів або систем. Ми також оцінюємо відповідність сторонніх постачальників чинним законам і нормам, пов’язаним із інформаційною безпекою та конфіденційністю.
15.3. Сторонній моніторинг
Ми постійно контролюємо сторонніх постачальників, щоб переконатися, що вони продовжують відповідати нашим вимогам щодо інформаційної безпеки та конфіденційності. Ми використовуємо різноманітні методи моніторингу сторонніх постачальників, включаючи періодичні оцінки, аудити та перегляд звітів про інциденти безпеки.
15.4. Договірні вимоги
Ми включаємо договірні вимоги щодо інформаційної безпеки та конфіденційності в усі контракти зі сторонніми постачальниками. Ці вимоги включають положення щодо захисту даних, контролю безпеки, управління інцидентами та моніторингу відповідності. Ми також включаємо положення про розірвання контрактів у разі інциденту з безпекою або невідповідності.
Частина 16. Інформаційна безпека в процесах сертифікації
16.1 Безпека процесів сертифікації
Ми вживаємо відповідних системних заходів для забезпечення безпеки всієї інформації, пов’язаної з нашими процесами сертифікації, включно з особистими даними осіб, які бажають пройти сертифікацію. Це включає засоби контролю доступу, зберігання та передачі всієї інформації, пов’язаної із сертифікацією. Впроваджуючи ці заходи, ми прагнемо забезпечити проведення процесів сертифікації з найвищим рівнем безпеки та цілісності, а також захист особистих даних осіб, які бажають пройти сертифікацію, відповідно до відповідних норм і стандартів.
16.2. Автентифікація та авторизація
Ми використовуємо елементи керування автентифікацією та авторизацією, щоб гарантувати, що лише уповноважений персонал має доступ до сертифікаційної інформації. Контроль доступу регулярно переглядається та оновлюється відповідно до змін у ролях і обов’язках персоналу.
16.3. Захист даних
Ми захищаємо персональні дані протягом усього процесу сертифікації, застосовуючи відповідні технічні та організаційні заходи для забезпечення конфіденційності, цілісності та доступності даних. Це включає такі заходи, як шифрування, контроль доступу та регулярне резервне копіювання.
16.4. Безпека екзаменаційних процесів
Ми забезпечуємо безпеку екзаменаційних процесів, впроваджуючи відповідні заходи для запобігання шахрайству, моніторингу та контролю середовища іспиту. Ми також підтримуємо цілісність і конфіденційність екзаменаційних матеріалів за допомогою безпечних процедур зберігання.
16.5. Безпека змісту іспиту
Ми забезпечуємо безпеку вмісту іспиту, застосовуючи відповідні заходи для захисту від несанкціонованого доступу, зміни або розголошення вмісту. Це включає використання безпечного зберігання, шифрування та керування доступом до контенту іспиту, а також засоби контролю для запобігання несанкціонованому розповсюдженню або розповсюдженню контенту іспиту.
16.6. Безпека доставки обстеження
Ми забезпечуємо безпеку проведення іспитів, впроваджуючи відповідні заходи для запобігання несанкціонованому доступу до середовища обстеження або маніпулювання ним. Це включає такі заходи, як моніторинг, аудит і контроль середовища проведення іспитів і конкретних підходів до іспиту, щоб запобігти обману або іншим порушенням безпеки.
16.7. Безпека результатів експертизи
Ми забезпечуємо безпеку результатів обстеження, застосовуючи відповідні заходи для захисту від несанкціонованого доступу, зміни або розголошення результатів. Це включає використання безпечного зберігання, шифрування та контролю доступу до результатів обстеження, а також засобів контролю для запобігання несанкціонованому розповсюдженню або розповсюдженню результатів обстеження.
16.8. Безпека видачі сертифікатів
Ми забезпечуємо безпеку видачі сертифікатів, реалізуючи відповідні заходи для запобігання шахрайству та несанкціонованій видачі сертифікатів. Це включає засоби контролю для перевірки особи осіб, які отримують сертифікати, а також процедури безпечного зберігання та видачі.
16.9. Скарги та апеляції
Ми встановили процедури для розгляду скарг і апеляцій, пов’язаних із процесом сертифікації. Ці процедури включають заходи щодо забезпечення конфіденційності та неупередженості процесу, а також безпеки інформації, пов’язаної зі скаргами та апеляціями.
16.10. Управління якістю процесів сертифікації
Ми створили систему управління якістю (СУЯ) для процесів сертифікації, яка включає заходи для забезпечення ефективності, ефективності та безпеки процесів. СУЯ включає регулярні аудити та перегляди процесів і засобів контролю їх безпеки.
16.11. Постійне вдосконалення безпеки процесів сертифікації
Ми прагнемо до постійного вдосконалення наших процесів сертифікації та контролю безпеки. Це включає регулярні перегляди та оновлення пов’язаних із сертифікацією політик і процедур безпеки на основі змін у бізнес-середовищі, нормативних вимог і найкращих практик управління інформаційною безпекою відповідно до стандарту ISO 27001 для управління інформаційною безпекою, а також ISO 17024 діючий стандарт органів сертифікації.
Частина 17. Заключні положення
17.1. Перегляд і оновлення політики
Ця Політика інформаційної безпеки є діючим документом, який постійно переглядається та оновлюється на основі змін у наших операційних вимогах, нормативних вимогах або найкращих практиках управління інформаційною безпекою.
17.2. Моніторинг відповідності
Ми встановили процедури для контролю за дотриманням цієї Політики інформаційної безпеки та відповідних заходів безпеки. Моніторинг відповідності включає регулярні аудити, оцінки та перегляди засобів контролю безпеки та їх ефективності для досягнення цілей цієї політики.
17.3. Повідомлення про інциденти безпеки
Ми встановили процедури для повідомлення про інциденти безпеки, пов’язані з нашими інформаційними системами, включно з особистими даними окремих осіб. Співробітникам, підрядникам та іншим зацікавленим сторонам рекомендується якомога швидше повідомляти про будь-які інциденти безпеки або підозрювані інциденти призначеній групі безпеки.
17.4. Навчання та обізнаність
Ми надаємо регулярні навчальні та інформаційні програми для працівників, підрядників та інших зацікавлених сторін, щоб переконатися, що вони усвідомлюють свою відповідальність і зобов’язання, пов’язані з інформаційною безпекою. Це включає навчання політикам і процедурам безпеки, а також заходи щодо захисту персональних даних осіб.
17.5. Відповідальність та підзвітність
Ми вважаємо всіх співробітників, підрядників та інших зацікавлених сторін відповідальними за дотримання цієї Політики інформаційної безпеки та відповідних заходів безпеки. Ми також вважаємо керівництво відповідальним за забезпечення виділення відповідних ресурсів для впровадження та підтримки ефективних засобів контролю інформаційної безпеки.
Ця Політика інформаційної безпеки є критично важливим компонентом системи управління інформаційною безпекою Європейського інституту сертифікації ІТ і демонструє нашу відданість захисту інформаційних активів і оброблених даних, забезпеченню конфіденційності, конфіденційності, цілісності та доступності інформації, а також дотриманню нормативних і договірних вимог.