Политика за сигурност на информацията
Правила за информационна сигурност на EITCA Academy
Този документ определя политиката за информационна сигурност (ISP) на Европейския институт за ИТ сертифициране, която редовно се преразглежда и актуализира, за да се гарантира нейната ефективност и уместност. Последната актуализация на Политиката за информационна сигурност на EITCI е направена на 7 януари 2023 г.
Част 1. Въведение и Декларация за политиката за информационна сигурност
1.1. Въведение
Европейският институт за ИТ сертифициране признава значението на информационната сигурност за поддържане на поверителността, целостта и достъпността на информацията и доверието на нашите заинтересовани страни. Ние се ангажираме да защитаваме чувствителна информация, включително лични данни, от неоторизиран достъп, разкриване, промяна и унищожаване. Ние поддържаме ефективна Политика за информационна сигурност, за да подкрепим мисията си да предоставяме надеждни и безпристрастни сертификационни услуги на нашите клиенти. Политиката за информационна сигурност очертава нашия ангажимент за защита на информационните активи и изпълнение на нашите законови, регулаторни и договорни задължения. Нашата политика се основава на принципите на ISO 27001 и ISO 17024, водещите международни стандарти за управление на информационната сигурност и стандарти за дейността на сертифициращите органи.
1.2. Декларация за политика
Европейският институт за ИТ сертифициране се ангажира да:
- Защита на поверителността, целостта и наличността на информационни активи,
- Спазвайки законови, регулаторни и договорни задължения, свързани с информационната сигурност и обработката на данни, прилагайки своите процеси и операции по сертифициране,
- Непрекъснато подобрява своята политика за информационна сигурност и свързаната система за управление,
- Осигуряване на адекватно обучение и информираност на служители, изпълнители и участници,
- Включване на всички служители и контрагенти в прилагането и поддържането на политиката за информационна сигурност и свързаната с нея система за управление на информационната сигурност.
1.3. Обхват
Тази политика се прилага за всички информационни активи, притежавани, контролирани или обработвани от Европейския институт за ИТ сертифициране. Това включва всички цифрови и физически информационни активи, като системи, мрежи, софтуер, данни и документация. Тази политика се прилага и за всички служители, изпълнители и доставчици на услуги трети страни, които имат достъп до нашите информационни активи.
1.4. съгласие
Европейският институт за ИТ сертифициране се ангажира да спазва съответните стандарти за информационна сигурност, включително ISO 27001 и ISO 17024. Ние редовно преглеждаме и актуализираме тази политика, за да гарантираме нейната постоянна уместност и съответствие с тези стандарти.
Част 2. Организационна сигурност
2.1. Цели за сигурност на организацията
Чрез внедряването на организационни мерки за сигурност ние се стремим да гарантираме, че нашите информационни активи и практики и процедури за обработка на данни се провеждат с най-високо ниво на сигурност и цялост и че спазваме съответните правни разпоредби и стандарти.
2.2. Роли и отговорности за информационна сигурност
Европейският институт за ИТ сертифициране определя и съобщава ролите и отговорностите за информационната сигурност в цялата организация. Това включва определяне на ясна собственост върху информационни активи в контекста на информационната сигурност, установяване на управленска структура и определяне на конкретни отговорности за различни роли и отдели в цялата организация.
2.3. Управление на риска
Ние извършваме редовни оценки на риска, за да идентифицираме и приоритизираме рисковете за информационната сигурност на организацията, включително рискове, свързани с обработката на лични данни. Ние установяваме подходящ контрол за смекчаване на тези рискове и редовно преглеждаме и актуализираме нашия подход за управление на риска въз основа на промените в бизнес средата и ландшафта на заплахите.
2.4. Политики и процедури за информационна сигурност
Ние установяваме и поддържаме набор от политики и процедури за информационна сигурност, които се основават на най-добрите практики в индустрията и отговарят на съответните разпоредби и стандарти. Тези политики и процедури обхващат всички аспекти на информационната сигурност, включително обработката на лични данни, и редовно се преразглеждат и актуализират, за да се гарантира тяхната ефективност.
2.5. Осведоменост и обучение за сигурност
Ние предоставяме редовни програми за информираност и обучение за сигурността на всички служители, изпълнители и партньори трети страни, които имат достъп до лични данни или друга чувствителна информация. Това обучение обхваща теми като фишинг, социално инженерство, хигиена на паролите и други най-добри практики за информационна сигурност.
2.6. Физическа и екологична сигурност
Ние прилагаме подходящ контрол за физическа сигурност и сигурност на околната среда, за да защитим срещу неоторизиран достъп, повреда или намеса в нашите съоръжения и информационни системи. Това включва мерки като контрол на достъпа, наблюдение, мониторинг и резервно захранване и системи за охлаждане.
2.7. Управление на инциденти в информационната сигурност
Създадохме процес за управление на инциденти, който ни позволява да реагираме бързо и ефективно на всякакви инциденти, свързани със сигурността на информацията, които могат да възникнат. Това включва процедури за докладване, ескалация, разследване и разрешаване на инциденти, както и мерки за предотвратяване на повторение и подобряване на нашите способности за реакция при инциденти.
2.8. Оперативна непрекъснатост и възстановяване след бедствие
Създадохме и тествахме планове за непрекъснатост на работата и възстановяване след бедствие, които ни позволяват да поддържаме нашите критични оперативни функции и услуги в случай на прекъсване или бедствие. Тези планове включват процедури за архивиране и възстановяване на данни и системи, както и мерки за гарантиране на наличността и целостта на личните данни.
2.9. Управление от трета страна
Ние установяваме и поддържаме подходящ контрол за управление на рисковете, свързани с партньори трети страни, които имат достъп до лични данни или друга чувствителна информация. Това включва мерки като надлежна проверка, договорни задължения, мониторинг и одити, както и мерки за прекратяване на партньорства, когато е необходимо.
Част 3. Сигурност на човешките ресурси
3.1. Проверка за заетост
Европейският институт за ИТ сертифициране е установил процес за проверка на заетостта, за да гарантира, че лицата с достъп до чувствителна информация са надеждни и притежават необходимите умения и квалификации.
3.2. Контрол на достъпа
Създадохме политики и процедури за контрол на достъпа, за да гарантираме, че служителите имат достъп само до информацията, необходима за техните служебни задължения. Правата за достъп се преглеждат и актуализират редовно, за да се гарантира, че служителите имат достъп само до информацията, от която се нуждаят.
3.3. Информационна сигурност и обучение
Осигуряваме редовно обучение за информационна сигурност на всички служители. Това обучение обхваща теми като сигурност на паролите, фишинг атаки, социално инженерство и други аспекти на киберсигурността.
3.4. Допустима употреба
Създадохме политика за приемливо използване, която очертава приемливото използване на информационни системи и ресурси, включително лични устройства, използвани за работни цели.
3.5. Сигурност на мобилните устройства
Създадохме политики и процедури за сигурно използване на мобилни устройства, включително използването на пароли, криптиране и възможности за дистанционно изтриване.
3.6. Процедури за прекратяване
Европейският институт за ИТ сертифициране е установил процедури за прекратяване на работа или договор, за да гарантира, че достъпът до чувствителна информация се отменя бързо и сигурно.
3.7. Персонал на трета страна
Ние сме установили процедури за управление на персонал на трети страни, който има достъп до чувствителна информация. Тези политики включват проверка, контрол на достъпа и обучение за осведоменост относно информационната сигурност.
3.8. Докладване на инциденти
Ние сме установили политики и процедури за докладване на инциденти или проблеми със сигурността на информацията на съответния персонал или органи.
3.9. Споразумения за поверителност
Европейският институт за ИТ сертифициране изисква служителите и изпълнителите да подписват споразумения за поверителност, за да защитят чувствителната информация от неразрешено разкриване.
3.10. Дисциплинарни действия
Европейският институт за ИТ сертифициране е установил политики и процедури за дисциплинарни действия в случай на нарушения на политиката за информационна сигурност от служители или изпълнители.
Част 4. Оценка и управление на риска
4.1. Оценка на риска
Ние извършваме периодични оценки на риска, за да идентифицираме потенциални заплахи и уязвимости за нашите информационни активи. Използваме структуриран подход за идентифициране, анализиране, оценка и приоритизиране на рисковете въз основа на тяхната вероятност и потенциално въздействие. Ние оценяваме рисковете, свързани с нашите информационни активи, включително системи, мрежи, софтуер, данни и документация.
4.2. Лечение на риска
Ние използваме процес на обработка на риска, за да смекчим или намалим рисковете до приемливо ниво. Процесът на третиране на риска включва избор на подходящи контроли, прилагане на контроли и наблюдение на ефективността на контролите. Ние приоритизираме прилагането на контроли въз основа на нивото на риска, наличните ресурси и бизнес приоритетите.
4.3. Мониторинг и преглед на риска
Ние редовно наблюдаваме и преглеждаме ефективността на нашия процес за управление на риска, за да гарантираме, че той остава уместен и ефективен. Ние използваме показатели и показатели, за да измерим ефективността на нашия процес на управление на риска и да идентифицираме възможности за подобрение. Ние също така преглеждаме нашия процес на управление на риска като част от нашите периодични управленски прегледи, за да гарантираме неговата постоянна пригодност, адекватност и ефективност.
4.4. Планиране на реакцията на риска
Разполагаме с план за реагиране при риск, за да гарантираме, че можем да реагираме ефективно на всеки идентифициран риск. Този план включва процедури за идентифициране и докладване на рискове, както и процеси за оценка на потенциалното въздействие на всеки риск и определяне на подходящи действия за отговор. Разполагаме и с планове за действие при извънредни ситуации, за да гарантираме непрекъснатост на бизнеса в случай на значително рисково събитие.
4.5. Оперативен анализ на въздействието
Ние извършваме периодични анализи на въздействието върху бизнеса, за да идентифицираме потенциалното въздействие на прекъсванията върху нашите бизнес операции. Този анализ включва оценка на критичността на нашите бизнес функции, системи и данни, както и оценка на потенциалното въздействие на прекъсванията върху нашите клиенти, служители и други заинтересовани страни.
4.6. Управление на риска от трета страна
Разполагаме с програма за управление на риска на трети страни, за да гарантираме, че нашите доставчици и други доставчици на услуги трети страни също управляват рисковете по подходящ начин. Тази програма включва надлежни проверки преди ангажиране с трети страни, текущ мониторинг на дейностите на трети страни и периодични оценки на практиките за управление на риска на трети страни.
4.7. Реагиране и управление на инциденти
Разполагаме с план за реакция и управление на инциденти, за да гарантираме, че можем да реагираме ефективно на всякакви инциденти, свързани със сигурността. Този план включва процедури за идентифициране и докладване на инциденти, както и процеси за оценка на въздействието на всеки инцидент и определяне на подходящи действия за реагиране. Разполагаме и с план за непрекъснатост на бизнеса, за да гарантираме, че критичните бизнес функции могат да продължат в случай на значителен инцидент.
Част 5. Физическа и екологична сигурност
5.1. Периметър за физическа сигурност
Създадохме мерки за физическа сигурност, за да защитим физическите помещения и чувствителната информация от неоторизиран достъп.
5.2. Контрол на достъпа
Създадохме политики и процедури за контрол на достъпа за физическите помещения, за да гарантираме, че само оторизиран персонал има достъп до чувствителна информация.
5.3. Сигурност на оборудването
Ние гарантираме, че цялото оборудване, съдържащо чувствителна информация, е физически защитено и достъпът до това оборудване е ограничен само до оторизиран персонал.
5.4. Сигурно изхвърляне
Ние сме установили процедури за сигурно изхвърляне на чувствителна информация, включително хартиени документи, електронни медии и хардуер.
5.5. Физическа среда
Ние гарантираме, че физическата среда на помещенията, включително температура, влажност и осветление, е подходяща за защита на чувствителна информация.
5.6. Захранване
Гарантираме, че електрозахранването на помещенията е надеждно и защитено срещу прекъсване на тока или пренапрежение.
5.7. Противопожарна защита
Ние сме установили политики и процедури за противопожарна защита, включително инсталиране и поддръжка на системи за откриване и потушаване на пожар.
5.8. Защита от щети от вода
Ние сме установили политики и процедури за защита на чувствителна информация от щети от вода, включително инсталиране и поддръжка на системи за откриване и предотвратяване на наводнения.
5.9. Поддръжка на оборудването
Ние сме установили процедури за поддръжка на оборудването, включително проверка на оборудването за признаци на фалшифициране или неоторизиран достъп.
5.10. Допустима употреба
Създадохме политика за приемливо използване, която очертава приемливото използване на физически ресурси и съоръжения.
5.11. Дистанционен достъп
Ние сме установили политики и процедури за отдалечен достъп до чувствителна информация, включително използването на сигурни връзки и криптиране.
5.12. Мониторинг и наблюдение
Ние сме установили политики и процедури за мониторинг и наблюдение на физическите помещения и оборудване за откриване и предотвратяване на неоторизиран достъп или подправяне.
Част. 6. Сигурност на комуникациите и операциите
6.1. Управление на мрежовата сигурност
Ние сме установили политики и процедури за управление на мрежовата сигурност, включително използването на защитни стени, системи за откриване и предотвратяване на проникване и редовни одити на сигурността.
6.2. Трансфер на информация
Създадохме политики и процедури за сигурно прехвърляне на чувствителна информация, включително използването на криптиране и защитени протоколи за прехвърляне на файлове.
6.3. Комуникации на трети страни
Създадохме политики и процедури за защитен обмен на чувствителна информация с организации на трети страни, включително използването на сигурни връзки и криптиране.
6.4. Работа с медиите
Ние сме установили процедури за работа с чувствителна информация в различни форми на носители, включително хартиени документи, електронни носители и преносими устройства за съхранение.
6.5. Разработка и поддръжка на информационни системи
Ние сме установили политики и процедури за разработване и поддръжка на информационни системи, включително използването на сигурни практики за кодиране, редовни софтуерни актуализации и управление на корекции.
6.6. Защита от зловреден софтуер и вируси
Ние сме установили политики и процедури за защита на информационните системи срещу зловреден софтуер и вируси, включително използването на антивирусен софтуер и редовни актуализации на сигурността.
6.7. Архивиране и възстановяване
Създадохме политики и процедури за архивиране и възстановяване на чувствителна информация, за да предотвратим загуба или повреда на данни.
6.8. Управление на събития
Ние сме установили политики и процедури за идентифициране, разследване и разрешаване на инциденти и събития, свързани със сигурността.
6.9. Управление на уязвимостта
Ние сме установили политики и процедури за управление на уязвимостите на информационната система, включително използването на редовни оценки на уязвимостите и управление на корекции.
6.10. Контрол на достъпа
Ние сме установили политики и процедури за управление на достъпа на потребителите до информационни системи, включително използването на контроли за достъп, удостоверяване на потребителя и редовни прегледи на достъпа.
6.11. Мониторинг и регистриране
Ние сме установили политики и процедури за наблюдение и регистриране на дейностите на информационната система, включително използването на одитни пътеки и регистриране на инциденти по сигурността.
Част 7. Придобиване, развитие и поддръжка на информационни системи
7.1. Изисквания
Ние сме установили политики и процедури за идентифициране на изискванията на информационната система, включително бизнес изисквания, законови и регулаторни изисквания и изисквания за сигурност.
7.2. Връзки с доставчици
Ние сме установили политики и процедури за управление на взаимоотношенията с трети страни доставчици на информационни системи и услуги, включително оценка на практиките за сигурност на доставчиците.
7.3. Разработка на системата
Ние сме установили политики и процедури за сигурно развитие на информационни системи, включително използването на защитени практики за кодиране, редовно тестване и осигуряване на качеството.
7.4. Тестване на системата
Ние сме установили политики и процедури за тестване на информационни системи, включително тестване на функционалността, тестване на производителността и тестване на сигурността.
7.5. Приемане на системата
Ние сме установили политики и процедури за приемане на информационни системи, включително одобрение на резултатите от тестовете, оценки на сигурността и тестове за приемане от потребителите.
7.6. Поддръжка на системата
Ние сме установили политики и процедури за поддръжка на информационни системи, включително редовни актуализации, корекции за сигурност и архивиране на системата.
7.7. Пенсиониране на системата
Ние сме установили политики и процедури за извеждане от употреба на информационни системи, включително безопасно изхвърляне на хардуер и данни.
7.8. Задържане на данни
Ние сме установили политики и процедури за запазване на данни в съответствие със законовите и регулаторни изисквания, включително сигурно съхранение и унищожаване на чувствителни данни.
7.9. Изисквания за сигурност на информационните системи
Ние сме установили политики и процедури за идентифициране и прилагане на изискванията за сигурност на информационните системи, включително контрол на достъпа, криптиране и защита на данните.
7.10. Сигурни среди за разработка
Ние сме установили политики и процедури за сигурни среди за разработка на информационни системи, включително използването на сигурни практики за разработка, контрол на достъпа и сигурни мрежови конфигурации.
7.11. Защита на среди за тестване
Ние сме установили политики и процедури за защита на среди за тестване на информационни системи, включително използването на защитени конфигурации, контрол на достъпа и редовно тестване на сигурността.
7.12. Принципи на инженеринг на сигурна система
Ние сме установили политики и процедури за внедряване на принципи за инженеринг на защитена система за информационни системи, включително използването на архитектури за сигурност, моделиране на заплахи и практики за защитено кодиране.
7.13. Указания за безопасно кодиране
Създадохме политики и процедури за внедряване на указания за защитено кодиране за информационни системи, включително използването на стандарти за кодиране, прегледи на кодове и автоматизирано тестване.
Част 8. Придобиване на хардуер
8.1. Спазване на стандартите
Ние се придържаме към стандарта ISO 27001 за система за управление на информационната сигурност (ISMS), за да гарантираме, че хардуерните активи се доставят в съответствие с нашите изисквания за сигурност.
8.2. Оценка на риска
Ние извършваме оценка на риска, преди да закупим хардуерни активи, за да идентифицираме потенциални рискове за сигурността и да гарантираме, че избраният хардуер отговаря на изискванията за сигурност.
8.3. Избор на доставчици
Ние доставяме хардуерни активи само от доверени доставчици, които имат доказан опит в доставянето на сигурни продукти. Ние преглеждаме политиките и практиките за сигурност на доставчика и изискваме от тях да гарантират, че техните продукти отговарят на нашите изисквания за сигурност.
8.4. Сигурен транспорт
Ние гарантираме, че хардуерните активи са безопасно транспортирани до нашите помещения, за да предотвратим подправяне, повреда или кражба по време на транспортиране.
8.5. Проверка на автентичността
Ние проверяваме автентичността на хардуерните активи при доставка, за да сме сигурни, че не са фалшифицирани или подправени.
8.6. Физически контрол и контрол на околната среда
Ние прилагаме подходящи физически и екологични контроли, за да защитим хардуерните активи от неоторизиран достъп, кражба или повреда.
8.7. Инсталиране на хардуер
Ние гарантираме, че всички хардуерни активи са конфигурирани и инсталирани в съответствие с установените стандарти и указания за сигурност.
8.8. Хардуерни прегледи
Извършваме периодични прегледи на хардуерните активи, за да гарантираме, че те продължават да отговарят на нашите изисквания за сигурност и са актуални с най-новите корекции и актуализации за сигурност.
8.9. Изхвърляне на хардуер
Ние разполагаме с хардуерни активи по сигурен начин, за да предотвратим неоторизиран достъп до чувствителна информация.
Част 9. Защита от зловреден софтуер и вируси
9.1. Политика за актуализиране на софтуера
Ние поддържаме актуален софтуер за защита от вируси и зловреден софтуер на всички информационни системи, използвани от Европейския институт за ИТ сертифициране, включително сървъри, работни станции, лаптопи и мобилни устройства. Ние гарантираме, че софтуерът за защита от вируси и злонамерен софтуер е конфигуриран да актуализира автоматично своите файлове с дефиниции на вируси и софтуерни версии на регулярна основа и че този процес се тества редовно.
9.2. Антивирусно сканиране и сканиране за зловреден софтуер
Извършваме редовно сканиране на всички информационни системи, включително сървъри, работни станции, лаптопи и мобилни устройства, за да открием и премахнем всички вируси или зловреден софтуер.
9.3. Политика без дезактивиране и без промяна
Ние прилагаме политики, които забраняват на потребителите да деактивират или променят софтуера за защита от вируси и зловреден софтуер на всяка информационна система.
9.4. мониторинг
Ние наблюдаваме предупрежденията и регистрационните файлове на нашия софтуер за защита от вируси и злонамерен софтуер, за да идентифицираме всякакви инциденти с вируси или инфекции със зловреден софтуер и да реагираме на такива инциденти своевременно.
9.5. Поддържане на записи
Ние поддържаме записи на конфигурацията, актуализациите и сканиранията на софтуера за защита срещу вируси и злонамерен софтуер, както и всички инциденти с вирусни или злонамерени инфекции за целите на одита.
9.6. Софтуерни ревюта
Извършваме периодични прегледи на нашия софтуер за защита от вируси и злонамерен софтуер, за да гарантираме, че отговаря на настоящите индустриални стандарти и е подходящ за нашите нужди.
9.7. Обучение и осведоменост
Ние предлагаме програми за обучение и осведоменост, за да образоваме всички служители относно важността на защитата от вируси и зловреден софтуер и как да разпознават и докладват всички подозрителни дейности или инциденти.
Част 10. Управление на информационни активи
10.1. Инвентаризация на информационните активи
Европейският институт за ИТ сертифициране поддържа списък с информационни активи, който включва всички цифрови и физически информационни активи, като системи, мрежи, софтуер, данни и документация. Ние класифицираме информационните активи въз основа на тяхната критичност и чувствителност, за да гарантираме прилагането на подходящи мерки за защита.
10.2. Обработка на информационни активи
Ние прилагаме подходящи мерки за защита на информационните активи въз основа на тяхната класификация, включително поверителност, цялост и достъпност. Ние гарантираме, че всички информационни активи се обработват в съответствие с приложимите закони, разпоредби и договорни изисквания. Ние също така гарантираме, че всички информационни активи са правилно съхранявани, защитени и изхвърлени, когато вече не са необходими.
10.3. Собственост на информационния актив
Ние възлагаме собственост върху информационни активи на лица или отдели, отговорни за управлението и защитата на информационните активи. Ние също така гарантираме, че собствениците на информационни активи разбират своите отговорности и отговорности за защита на информационните активи.
10.4. Защита на информационните активи
Използваме различни мерки за защита, за да защитим информационните активи, включително физически контроли, контроли на достъпа, криптиране и процеси на архивиране и възстановяване. Ние също така гарантираме, че всички информационни активи са защитени срещу неоторизиран достъп, модификация или унищожаване.
Част 11. Контрол на достъпа
11.1. Политика за контрол на достъпа
Европейският институт за ИТ сертифициране има Политика за контрол на достъпа, която очертава изискванията за предоставяне, модифициране и отнемане на достъп до информационни активи. Контролът на достъпа е критичен компонент на нашата система за управление на информационната сигурност и ние го прилагаме, за да гарантираме, че само оторизирани лица имат достъп до нашите информационни активи.
11.2. Внедряване на контрол на достъпа
Ние прилагаме мерки за контрол на достъпа, базирани на принципа на най-малката привилегия, което означава, че лицата имат достъп само до информационните активи, необходими за изпълнение на служебните им функции. Ние използваме различни мерки за контрол на достъпа, включително удостоверяване, оторизация и отчитане (AAA). Ние също така използваме списъци за контрол на достъпа (ACL) и разрешения за контрол на достъпа до информационни активи.
11.3. Политика за пароли
Европейският институт за ИТ сертифициране има Политика за пароли, която очертава изискванията за създаване и управление на пароли. Ние изискваме силни пароли, които са дълги поне 8 знака, с комбинация от главни и малки букви, цифри и специални знаци. Също така изискваме периодични промени на паролите и забраняваме повторното използване на предишни пароли.
11.4. Управление на потребителите
Имаме процес на управление на потребители, който включва създаване, модифициране и изтриване на потребителски акаунти. Потребителските акаунти се създават въз основа на принципа на най-малките привилегии и се предоставя достъп само до информационните активи, необходими за изпълнение на работните функции на лицето. Също така редовно преглеждаме потребителските акаунти и премахваме акаунти, които вече не са необходими.
Част 12. Управление на инциденти в информационната сигурност
12.1. Политика за управление на инциденти
Европейският институт за ИТ сертифициране има Политика за управление на инциденти, която очертава изискванията за откриване, докладване, оценка и реагиране на инциденти със сигурността. Ние определяме инциденти със сигурността като всяко събитие, което компрометира поверителността, целостта или наличността на информационни активи или системи.
12.2. Откриване и докладване на инциденти
Ние прилагаме мерки за незабавно откриване и докладване на инциденти със сигурността. Използваме различни методи за откриване на инциденти със сигурността, включително системи за откриване на проникване (IDS), антивирусен софтуер и докладване на потребители. Ние също така гарантираме, че всички служители са запознати с процедурите за докладване на инциденти със сигурността и насърчаваме докладването на всички предполагаеми инциденти.
12.3. Оценка на инциденти и реакция
Имаме процес за оценка и реагиране на инциденти със сигурността въз основа на тяхната тежест и въздействие. Ние приоритизираме инцидентите въз основа на потенциалното им въздействие върху информационни активи или системи и разпределяме подходящи ресурси за отговор на тях. Ние също имаме план за реагиране, който включва процедури за идентифициране, ограничаване, анализиране, изкореняване и възстановяване от инциденти със сигурността, както и уведомяване на съответните страни и извършване на прегледи след инцидент Нашите процедури за реагиране при инциденти са предназначени да осигурят бърза и ефективна реакция до инциденти със сигурността. Процедурите се преразглеждат редовно и се актуализират, за да се гарантира тяхната ефективност и уместност.
12.4. Екип за реагиране при инциденти
Имаме екип за реагиране при инциденти (IRT), който отговаря за реагирането на инциденти, свързани със сигурността. IRT се състои от представители на различни звена и се ръководи от служителя по информационна сигурност (ISO). IRT отговаря за оценката на сериозността на инцидентите, ограничаването на инцидента и инициирането на подходящи процедури за реагиране.
12.5. Докладване и преглед на инциденти
Ние сме установили процедури за докладване на инциденти със сигурността на съответните страни, включително клиенти, регулаторни органи и правоприлагащи органи, както се изисква от приложимите закони и разпоредби. Ние също така поддържаме комуникация със засегнатите страни по време на процеса на реакция при инцидент, като предоставяме навременни актуализации за състоянието на инцидента и всички действия, предприети за смекчаване на въздействието му. Ние също така извършваме преглед на всички инциденти със сигурността, за да идентифицираме първопричината и да предотвратим възникването на подобни инциденти в бъдеще.
Част 13. Управление на непрекъснатостта на бизнеса и възстановяване след аварии
13.1. Планиране на непрекъснатостта на бизнеса
Въпреки че Европейският институт за ИТ сертифициране е организация с нестопанска цел, той има план за непрекъснатост на бизнеса (BCP), който очертава процедурите за осигуряване на непрекъснатост на неговите операции в случай на разрушителен инцидент. BCP обхваща всички критични оперативни процеси и идентифицира ресурсите, необходими за поддържане на операции по време и след разрушителен инцидент. Той също така очертава процедурите за поддържане на бизнес операции по време на прекъсване или бедствие, оценка на въздействието на прекъсванията, идентифициране на най-критичните оперативни процеси в контекста на конкретен разрушителен инцидент и разработване на процедури за реакция и възстановяване.
13.2. Планиране на възстановяване след бедствие
Европейският институт за ИТ сертифициране има план за възстановяване след бедствие (DRP), който очертава процедурите за възстановяване на нашите информационни системи в случай на прекъсване или бедствие. DRP включва процедури за архивиране на данни, възстановяване на данни и възстановяване на системата. DRP се тества редовно и актуализира, за да се гарантира неговата ефективност.
13.3. Анализ на въздействието върху бизнеса
Ние провеждаме анализ на въздействието върху бизнеса (BIA), за да идентифицираме критичните оперативни процеси и ресурсите, необходими за поддържането им. BIA ни помага да приоритизираме нашите усилия за възстановяване и да разпределим съответно ресурсите.
13.4. Стратегия за непрекъснатост на бизнеса
Въз основа на резултатите от BIA разработваме стратегия за непрекъснатост на бизнеса, която очертава процедурите за реагиране при разрушителен инцидент. Стратегията включва процедури за активиране на BCP, възстановяване на критични работни процеси и комуникация със съответните заинтересовани страни.
13.5. Тестване и поддръжка
Ние редовно тестваме и поддържаме нашите BCP и DRP, за да гарантираме тяхната ефективност и уместност. Провеждаме редовни тестове за валидиране на BCP/DRP и идентифициране на области за подобрение. Ние също така актуализираме BCP и DRP, ако е необходимо, за да отразим промените в нашите операции или ландшафта на заплахите. Тестването включва упражнения на маса, симулации и тестване на процедури на живо. Ние също така преглеждаме и актуализираме нашите планове въз основа на резултатите от тестовете и извлечените поуки.
13.6. Алтернативни места за обработка
Ние поддържаме алтернативни сайтове за онлайн обработка, които могат да се използват за продължаване на бизнес операциите в случай на прекъсване или бедствие. Алтернативните места за обработка са оборудвани с необходимата инфраструктура и системи и могат да се използват за поддръжка на критични бизнес процеси.
Част 14. Съответствие и одит
14.1. Спазване на законите и разпоредбите
Европейският институт за ИТ сертифициране се ангажира да спазва всички приложими закони и разпоредби, свързани с информационната сигурност и поверителността, включително закони за защита на данните, индустриални стандарти и договорни задължения. Ние редовно преглеждаме и актуализираме нашите политики, процедури и контроли, за да гарантираме съответствие с всички съответни изисквания и стандарти. Основните стандарти и рамки, които следваме в контекста на информационната сигурност, включват:
- Стандартът ISO/IEC 27001 предоставя насоки за внедряване и управление на система за управление на информационната сигурност (ISMS), която включва управление на уязвимости като ключов компонент. Той предоставя референтна рамка за внедряване и поддържане на нашата система за управление на информационната сигурност (ISMS), включително управление на уязвимостите. В съответствие с тези стандартни разпоредби ние идентифицираме, оценяваме и управляваме рисковете за информационната сигурност, включително уязвимостите.
- Рамката за киберсигурност на Националния институт за стандарти и технологии на САЩ (NIST), предоставяща насоки за идентифициране, оценка и управление на рисковете за киберсигурността, включително управление на уязвимости.
- Рамката за киберсигурност на Националния институт за стандарти и технологии (NIST) за подобряване на управлението на риска за киберсигурността, с основен набор от функции, включително управление на уязвимостите, към които се придържаме, за да управляваме нашите рискове за киберсигурността.
- Критичните контроли за сигурност на SANS, съдържащи набор от 20 контрола за сигурност за подобряване на киберсигурността, обхващащи набор от области, включително управление на уязвимости, предоставяне на конкретни насоки за сканиране на уязвимости, управление на корекции и други аспекти на управление на уязвимости.
- Стандартът за сигурност на данните в индустрията за разплащателни карти (PCI DSS), изискващ обработка на информация за кредитни карти по отношение на управлението на уязвимости в този контекст.
- Центърът за контрол на интернет сигурността (CIS), включително управление на уязвимостите като един от ключовите контроли за осигуряване на сигурни конфигурации на нашите информационни системи.
- Open Web Application Security Project (OWASP), със своя Топ 10 списък на най-критичните рискове за сигурността на уеб приложенията, включително оценка на уязвимости като атаки чрез инжектиране, нарушено удостоверяване и управление на сесии, междусайтови скриптове (XSS) и др. Топ 10 на OWASP, за да дадем приоритет на нашите усилия за управление на уязвимостите и да се съсредоточим върху най-критичните рискове по отношение на нашите уеб системи.
14.2. Вътрешен одит
Провеждаме редовни вътрешни одити, за да оценим ефективността на нашата Система за управление на информационната сигурност (ISMS) и да гарантираме, че нашите политики, процедури и контрол се спазват. Процесът на вътрешен одит включва идентифициране на несъответствия, разработване на коригиращи действия и проследяване на усилията за коригиране.
14.3. Външен одит
Периодично се ангажираме с външни одитори, за да потвърдим съответствието ни с приложимите закони, разпоредби и индустриални стандарти. Предоставяме на одиторите достъп до нашите съоръжения, системи и документация, както се изисква, за да потвърдят нашето съответствие. Ние също така работим с външни одитори, за да разгледаме всякакви констатации или препоръки, идентифицирани по време на процеса на одит.
14.4. Мониторинг на съответствието
Ние непрекъснато следим нашето съответствие с приложимите закони, разпоредби и индустриални стандарти. Използваме различни методи за наблюдение на съответствието, включително периодични оценки, одити и прегледи на доставчици трети страни. Ние също така редовно преглеждаме и актуализираме нашите политики, процедури и контроли, за да гарантираме постоянно съответствие с всички съответни изисквания.
Част 15. Управление от трета страна
15.1. Политика за управление на трети страни
Европейският институт за ИТ сертифициране има Политика за управление на трети страни, която очертава изискванията за избор, оценка и наблюдение на доставчици трети страни, които имат достъп до нашите информационни активи или системи. Политиката се прилага за всички доставчици трети страни, включително доставчици на облачни услуги, доставчици и изпълнители.
15.2. Избор и оценка от трета страна
Извършваме надлежна проверка, преди да се ангажираме с доставчици трети страни, за да гарантираме, че те разполагат с адекватни мерки за сигурност, за да защитят нашите информационни активи или системи. Ние също така оценяваме съответствието на доставчиците трети страни с приложимите закони и разпоредби, свързани със сигурността на информацията и поверителността.
15.3. Наблюдение от трета страна
Ние наблюдаваме непрекъснато доставчици трети страни, за да гарантираме, че продължават да отговарят на нашите изисквания за сигурност на информацията и поверителност. Използваме различни методи за наблюдение на доставчици трети страни, включително периодични оценки, одити и прегледи на доклади за инциденти, свързани със сигурността.
15.4. Договорни изисквания
Ние включваме договорни изисквания, свързани със сигурността на информацията и поверителността във всички договори с доставчици трети страни. Тези изисквания включват разпоредби за защита на данните, контрол на сигурността, управление на инциденти и мониторинг на съответствието. Ние също така включваме разпоредби за прекратяване на договори в случай на инцидент със сигурността или неспазване.
Част 16. Информационна сигурност в процесите на сертифициране
16.1 Сигурност на процесите на сертифициране
Ние предприемаме адекватни и системни мерки, за да гарантираме сигурността на цялата информация, свързана с нашите процеси на сертифициране, включително лични данни на лица, търсещи сертификат. Това включва контроли за достъп, съхранение и предаване на цялата информация, свързана със сертифицирането. Чрез прилагането на тези мерки ние се стремим да гарантираме, че процесите на сертифициране се провеждат с най-високо ниво на сигурност и цялост и че личните данни на лицата, които искат сертифициране, са защитени в съответствие със съответните разпоредби и стандарти.
16.2. Удостоверяване и оторизация
Ние използваме контроли за удостоверяване и оторизация, за да гарантираме, че само упълномощен персонал има достъп до информацията за сертифициране. Контролите за достъп се преглеждат редовно и се актуализират въз основа на промените в ролите и отговорностите на персонала.
16.3. Защита на данните
Ние защитаваме личните данни през целия процес на сертифициране, като прилагаме подходящи технически и организационни мерки, за да гарантираме поверителността, целостта и наличността на данните. Това включва мерки като криптиране, контрол на достъпа и редовно архивиране.
16.4. Сигурност на изпитните процеси
Ние гарантираме сигурността на изпитните процеси, като прилагаме подходящи мерки за предотвратяване на измама, наблюдение и контрол на изпитната среда. Ние също така поддържаме целостта и поверителността на изпитните материали чрез процедури за сигурно съхранение.
16.5. Сигурност на изпитното съдържание
Ние гарантираме сигурността на съдържанието на изпита, като прилагаме подходящи мерки за защита срещу неоторизиран достъп, промяна или разкриване на съдържанието. Това включва използването на сигурно съхранение, криптиране и контрол на достъпа до съдържанието на изпита, както и контроли за предотвратяване на неоторизирано разпространение или разпространение на съдържание на изпит.
16.6. Сигурност на доставката на изпита
Ние гарантираме сигурността на доставката на изпита, като прилагаме подходящи мерки за предотвратяване на неоторизиран достъп до или манипулиране на средата на изпита. Това включва мерки като наблюдение, одит и контрол на изпитната среда и конкретни подходи за изпит, за да се предотврати измама или други пробиви в сигурността.
16.7. Сигурност на резултатите от прегледа
Ние гарантираме сигурността на резултатите от прегледите, като прилагаме подходящи мерки за защита срещу неоторизиран достъп, промяна или разкриване на резултатите. Това включва използването на сигурно съхранение, криптиране и контрол на достъпа за резултатите от прегледите, както и контроли за предотвратяване на неоторизирано разпространение или разпространение на резултатите от прегледите.
16.8. Сигурност на издаването на сертификати
Ние гарантираме сигурността на издаването на сертификати, като прилагаме подходящи мерки за предотвратяване на измами и неоторизирано издаване на сертификати. Това включва контроли за проверка на самоличността на лицата, получаващи сертификати и процедури за сигурно съхранение и издаване.
16.9. Жалби и жалби
Ние сме установили процедури за управление на жалби и жалби, свързани с процеса на сертифициране. Тези процедури включват мерки за гарантиране на поверителността и безпристрастността на процеса и сигурността на информацията, свързана с жалбите и жалбите.
16.10. Управление на качеството на сертификационните процеси
Създадохме Система за управление на качеството (СУК) за сертификационните процеси, която включва мерки за осигуряване на ефективност, ефикасност и сигурност на процесите. СУК включва редовни одити и прегледи на процесите и техните контроли за сигурност.
16.11. Непрекъснато подобряване на сигурността на сертификационните процеси
Ние се ангажираме с непрекъснато подобряване на нашите процеси за сертифициране и техния контрол за сигурност. Това включва редовни прегледи и актуализации на свързаните със сертифицирането политики и сигурност на процедурите въз основа на промени в бизнес средата, регулаторни изисквания и най-добри практики в управлението на информационната сигурност, в съответствие със стандарта ISO 27001 за управление на информационната сигурност, както и с ISO 17024 стандарт за работа на сертифициращи органи.
Част 17. Заключителни разпоредби
17.1. Преглед и актуализация на политиката
Тази Политика за информационна сигурност е жив документ, който претърпява непрекъснати прегледи и актуализации въз основа на промени в нашите оперативни изисквания, регулаторни изисквания или най-добри практики в управлението на информационната сигурност.
17.2. Мониторинг на съответствието
Ние сме установили процедури за наблюдение на спазването на тази Политика за сигурност на информацията и свързаните контроли за сигурност. Мониторингът на съответствието включва редовни одити, оценки и прегледи на контролите за сигурност и тяхната ефективност за постигане на целите на тази политика.
17.3. Докладване на инциденти със сигурността
Ние сме установили процедури за докладване на инциденти със сигурността, свързани с нашите информационни системи, включително такива, свързани с лични данни на физически лица. Служителите, изпълнителите и другите заинтересовани страни се насърчават да докладват възможно най-скоро за всякакви инциденти със сигурността или предполагаеми инциденти на определения екип за сигурност.
17.4. Обучение и осведоменост
Ние предоставяме редовно обучение и програми за информиране на служители, изпълнители и други заинтересовани страни, за да гарантираме, че те са наясно с техните отговорности и задължения, свързани с информационната сигурност. Това включва обучение по политики и процедури за сигурност и мерки за защита на личните данни на физическите лица.
17.5. Отговорност и отчетност
Ние държим всички служители, изпълнители и други заинтересовани страни отговорни и отговорни за спазването на тази Политика за сигурност на информацията и свързаните контроли за сигурност. Ние също държим ръководството отговорно за гарантирането, че са разпределени подходящи ресурси за внедряване и поддържане на ефективни контроли за сигурност на информацията.
Тази Политика за информационна сигурност е критичен компонент от рамката за управление на информационната сигурност на Euroepan IT Certification Institute и демонстрира нашия ангажимент за защита на информационните активи и обработените данни, гарантиране на поверителността, поверителността, целостта и наличността на информацията и спазване на регулаторните и договорни изисквания.