Политика информационной безопасности
Политика информационной безопасности Академии EITCA
Этот документ определяет Политику информационной безопасности (ISP) Европейского института сертификации ИТ, которая регулярно пересматривается и обновляется для обеспечения ее эффективности и актуальности. Последнее обновление Политики информационной безопасности EITCI было сделано 7 января 2023 года.
Часть 1. Введение и Заявление о политике информационной безопасности
1.1. Введение
Европейский институт сертификации ИТ признает важность информационной безопасности для поддержания конфиденциальности, целостности и доступности информации, а также доверия заинтересованных сторон. Мы стремимся защищать конфиденциальную информацию, включая личные данные, от несанкционированного доступа, раскрытия, изменения и уничтожения. Мы поддерживаем эффективную Политику информационной безопасности, чтобы поддержать нашу миссию по предоставлению надежных и беспристрастных сертификационных услуг нашим клиентам. В Политике информационной безопасности изложены наши обязательства по защите информационных активов и выполнению наших юридических, нормативных и договорных обязательств. Наша политика основана на принципах ISO 27001 и ISO 17024, ведущих международных стандартов управления информационной безопасностью и стандартов деятельности органов по сертификации.
1.2. Заявление о политике
Европейский институт сертификации ИТ стремится:
- Защита конфиденциальности, целостности и доступности информационных активов,
- Соблюдение юридических, нормативных и договорных обязательств, связанных с информационной безопасностью и обработкой данных, реализующих процессы и операции сертификации,
- Постоянно совершенствуя свою политику информационной безопасности и соответствующую систему управления,
- Обеспечение надлежащего обучения и осведомленности сотрудников, подрядчиков и участников,
- Привлечение всех сотрудников и подрядчиков к внедрению и сопровождению политики информационной безопасности и связанной с ней системы управления информационной безопасностью.
1.3. Объем
Эта политика применяется ко всем информационным активам, которые принадлежат, контролируются или обрабатываются Европейским институтом сертификации ИТ. Сюда входят все цифровые и физические информационные активы, такие как системы, сети, программное обеспечение, данные и документация. Эта политика также распространяется на всех сотрудников, подрядчиков и сторонних поставщиков услуг, имеющих доступ к нашим информационным активам.
1.4. податливость
Европейский институт сертификации ИТ стремится соблюдать соответствующие стандарты информационной безопасности, включая ISO 27001 и ISO 17024. Мы регулярно пересматриваем и обновляем эту политику, чтобы обеспечить ее постоянную актуальность и соответствие этим стандартам.
Часть 2. Организационная безопасность
2.1. Цели безопасности организации
Внедряя организационные меры безопасности, мы стремимся обеспечить, чтобы наши информационные активы и методы и процедуры обработки данных проводились с высочайшим уровнем безопасности и целостности, а также чтобы мы соблюдали соответствующие правовые нормы и стандарты.
2.2. Роли и обязанности в области информационной безопасности
Европейский институт сертификации ИТ определяет и сообщает роли и обязанности по информационной безопасности в рамках всей организации. Это включает в себя четкое определение прав собственности на информационные активы в контексте информационной безопасности, создание структуры управления и определение конкретных обязанностей для различных ролей и отделов в организации.
2.3. Управление рисками
Мы проводим регулярные оценки рисков для выявления и приоритизации рисков информационной безопасности организации, включая риски, связанные с обработкой персональных данных. Мы устанавливаем соответствующие средства контроля для снижения этих рисков и регулярно пересматриваем и обновляем наш подход к управлению рисками на основе изменений в бизнес-среде и ландшафте угроз.
2.4. Политики и процедуры информационной безопасности
Мы устанавливаем и поддерживаем набор политик и процедур информационной безопасности, основанных на лучших отраслевых практиках и соответствующих нормам и стандартам. Эти политики и процедуры охватывают все аспекты информационной безопасности, включая обработку персональных данных, и регулярно пересматриваются и обновляются для обеспечения их эффективности.
2.5. Осведомленность о безопасности и обучение
Мы проводим регулярные программы повышения осведомленности и обучения по вопросам безопасности для всех сотрудников, подрядчиков и сторонних партнеров, имеющих доступ к личным данным или другой конфиденциальной информации. Это обучение охватывает такие темы, как фишинг, социальная инженерия, гигиена паролей и другие передовые методы информационной безопасности.
2.6. Физическая и экологическая безопасность
Мы внедряем соответствующие меры физической и экологической безопасности для защиты от несанкционированного доступа, повреждения или вмешательства в наши объекты и информационные системы. Сюда входят такие меры, как контроль доступа, наблюдение, мониторинг и системы резервного питания и охлаждения.
2.7. Управление инцидентами информационной безопасности
Мы внедрили процесс управления инцидентами, который позволяет нам быстро и эффективно реагировать на любые инциденты информационной безопасности, которые могут произойти. Это включает в себя процедуры отчетности, эскалации, расследования и разрешения инцидентов, а также меры по предотвращению повторения и улучшению наших возможностей реагирования на инциденты.
2.8. Оперативная непрерывность и аварийное восстановление
Мы разработали и протестировали планы непрерывности работы и аварийного восстановления, которые позволяют нам поддерживать наши критически важные операционные функции и услуги в случае сбоя или аварии. Эти планы включают процедуры резервного копирования и восстановления данных и систем, а также меры по обеспечению доступности и целостности персональных данных.
2.9. Стороннее управление
Мы устанавливаем и поддерживаем надлежащие средства контроля для управления рисками, связанными со сторонними партнерами, имеющими доступ к персональным данным или другой конфиденциальной информации. Сюда входят такие меры, как комплексная проверка, договорные обязательства, мониторинг и аудит, а также меры по прекращению партнерских отношений в случае необходимости.
Часть 3. Безопасность человеческих ресурсов
3.1. Проверка занятости
Европейский институт сертификации ИТ внедрил процесс проверки при приеме на работу, чтобы гарантировать, что лица, имеющие доступ к конфиденциальной информации, заслуживают доверия и обладают необходимыми навыками и квалификацией.
3.2. Контроль доступа
Мы установили политики и процедуры контроля доступа, чтобы гарантировать, что сотрудники имеют доступ только к той информации, которая необходима для выполнения их должностных обязанностей. Права доступа регулярно пересматриваются и обновляются, чтобы гарантировать, что сотрудники имеют доступ только к той информации, которая им нужна.
3.3. Осведомленность и обучение информационной безопасности
Мы регулярно проводим обучение по информационной безопасности для всех сотрудников. Этот тренинг охватывает такие темы, как безопасность паролей, фишинговые атаки, социальная инженерия и другие аспекты кибербезопасности.
3.4. Допустимое использование
Мы установили политику допустимого использования, в которой описывается допустимое использование информационных систем и ресурсов, включая персональные устройства, используемые в рабочих целях.
3.5. Безопасность мобильных устройств
Мы установили политики и процедуры для безопасного использования мобильных устройств, включая использование кодов доступа, шифрования и возможности удаленного стирания данных.
3.6. Процедуры прекращения
Европейский институт сертификации ИТ установил процедуры прекращения трудовых отношений или контрактов, чтобы обеспечить быстрый и безопасный отзыв доступа к конфиденциальной информации.
3.7. Сторонний персонал
Мы установили процедуры для управления сторонним персоналом, имеющим доступ к конфиденциальной информации. Эти политики включают проверку, контроль доступа и обучение по вопросам информационной безопасности.
3.8. Сообщение об инцидентах
Мы установили политики и процедуры для сообщения об инцидентах или проблемах информационной безопасности соответствующему персоналу или властям.
3.9. Соглашения о конфиденциальности
Европейский институт сертификации ИТ требует от сотрудников и подрядчиков подписания соглашений о конфиденциальности для защиты конфиденциальной информации от несанкционированного раскрытия.
3.10. Дисциплинарные взыскания
Европейский институт сертификации ИТ установил политику и процедуры дисциплинарных мер в случае нарушения политики информационной безопасности сотрудниками или подрядчиками.
Часть 4. Оценка и управление рисками
4.1. Оценка риска
Мы проводим периодические оценки рисков для выявления потенциальных угроз и уязвимостей для наших информационных активов. Мы используем структурированный подход для выявления, анализа, оценки и приоритизации рисков на основе их вероятности и потенциального воздействия. Мы оцениваем риски, связанные с нашими информационными активами, включая системы, сети, программное обеспечение, данные и документацию.
4.2. Обработка рисков
Мы используем процесс обработки рисков, чтобы смягчить или снизить риски до приемлемого уровня. Процесс обработки риска включает в себя выбор соответствующих средств контроля, внедрение средств контроля и мониторинг эффективности средств контроля. Мы определяем приоритетность внедрения средств контроля на основе уровня риска, доступных ресурсов и бизнес-приоритетов.
4.3. Мониторинг и анализ рисков
Мы регулярно отслеживаем и анализируем эффективность нашего процесса управления рисками, чтобы обеспечить его актуальность и эффективность. Мы используем метрики и индикаторы для измерения эффективности нашего процесса управления рисками и выявления возможностей для улучшения. Мы также проверяем наш процесс управления рисками в рамках наших периодических управленческих проверок, чтобы обеспечить его постоянную пригодность, адекватность и эффективность.
4.4. Планирование реагирования на риски
У нас есть план реагирования на риски, чтобы мы могли эффективно реагировать на любые выявленные риски. Этот план включает в себя процедуры выявления рисков и сообщения о них, а также процессы оценки потенциального воздействия каждого риска и определения соответствующих ответных действий. У нас также есть планы на случай непредвиденных обстоятельств, чтобы обеспечить непрерывность бизнеса в случае события со значительным риском.
4.5. Оперативный анализ воздействия
Мы проводим периодический анализ влияния на бизнес, чтобы определить потенциальное влияние сбоев на наши бизнес-операции. Этот анализ включает в себя оценку критичности наших бизнес-функций, систем и данных, а также оценку потенциального воздействия сбоев на наших клиентов, сотрудников и других заинтересованных лиц.
4.6. Стороннее управление рисками
У нас есть сторонняя программа управления рисками, чтобы гарантировать, что наши поставщики и другие сторонние поставщики услуг также надлежащим образом управляют рисками. Эта программа включает в себя комплексную проверку перед взаимодействием с третьими лицами, постоянный мониторинг деятельности третьих лиц и периодические оценки методов управления рисками третьих лиц.
4.7. Реагирование на инциденты и управление ими
У нас есть план реагирования на инциденты и управления, чтобы гарантировать, что мы можем эффективно реагировать на любые инциденты безопасности. Этот план включает процедуры выявления инцидентов и сообщения о них, а также процессы оценки воздействия каждого инцидента и определения соответствующих ответных действий. У нас также есть план обеспечения непрерывности бизнеса, чтобы гарантировать, что критические бизнес-функции могут быть продолжены в случае серьезного инцидента.
Часть 5. Физическая и экологическая безопасность
5.1. Периметр физической безопасности
Мы установили меры физической безопасности для защиты физических помещений и конфиденциальной информации от несанкционированного доступа.
5.2. Контроль доступа
Мы установили политики и процедуры контроля доступа для физических помещений, чтобы гарантировать, что только авторизованный персонал имеет доступ к конфиденциальной информации.
5.3. Безопасность оборудования
Мы гарантируем, что все оборудование, содержащее конфиденциальную информацию, физически защищено, а доступ к этому оборудованию разрешен только уполномоченному персоналу.
5.4. Безопасная утилизация
Мы установили процедуры безопасного удаления конфиденциальной информации, включая бумажные документы, электронные носители и оборудование.
5.5. Физическая среда
Мы гарантируем, что физическая среда помещений, включая температуру, влажность и освещение, подходит для защиты конфиденциальной информации.
Блок питания 5.6.
Мы гарантируем, что электроснабжение помещений надежно и защищено от перебоев в подаче электроэнергии или скачков напряжения.
5.7. Противопожарная защита
Мы установили политику и процедуры противопожарной защиты, включая установку и техническое обслуживание систем обнаружения и пожаротушения.
5.8. Защита от повреждения водой
Мы разработали политики и процедуры для защиты конфиденциальной информации от повреждения водой, включая установку и техническое обслуживание систем обнаружения и предотвращения наводнений.
5.9. Обслуживание оборудования
У нас установлены процедуры технического обслуживания оборудования, включая проверку оборудования на наличие признаков взлома или несанкционированного доступа.
5.10. Допустимое использование
Мы установили политику приемлемого использования, в которой описывается допустимое использование физических ресурсов и объектов.
5.11. Удаленный доступ
Мы установили политики и процедуры для удаленного доступа к конфиденциальной информации, включая использование безопасных соединений и шифрования.
5.12. Мониторинг и наблюдение
Мы установили политики и процедуры для мониторинга и наблюдения за физическими помещениями и оборудованием для обнаружения и предотвращения несанкционированного доступа или вмешательства.
Часть. 6. Связь и безопасность операций
6.1. Управление сетевой безопасностью
Мы установили политики и процедуры для управления сетевой безопасностью, включая использование брандмауэров, систем обнаружения и предотвращения вторжений, а также регулярные проверки безопасности.
6.2. Передача информации
Мы установили политики и процедуры для безопасной передачи конфиденциальной информации, включая использование шифрования и безопасных протоколов передачи файлов.
6.3. Сторонние коммуникации
Мы установили политики и процедуры для безопасного обмена конфиденциальной информацией со сторонними организациями, включая использование безопасных соединений и шифрования.
6.4. Работа со СМИ
Мы установили процедуры обработки конфиденциальной информации на различных носителях, включая бумажные документы, электронные носители и портативные устройства хранения данных.
6.5. Разработка и обслуживание информационных систем
Мы установили политики и процедуры для разработки и обслуживания информационных систем, включая использование методов безопасного кодирования, регулярные обновления программного обеспечения и управление исправлениями.
6.6. Защита от вредоносных программ и вирусов
Мы установили политики и процедуры для защиты информационных систем от вредоносных программ и вирусов, включая использование антивирусного программного обеспечения и регулярных обновлений безопасности.
6.7. Резервное копирование и восстановление
Мы установили политики и процедуры для резервного копирования и восстановления конфиденциальной информации, чтобы предотвратить потерю или повреждение данных.
6.8. Управление событиями
Мы установили политики и процедуры для выявления, расследования и разрешения инцидентов и событий, связанных с безопасностью.
6.9. Управление уязвимостями
Мы установили политики и процедуры для управления уязвимостями информационных систем, включая использование регулярных оценок уязвимостей и управление исправлениями.
6.10. Контроль доступа
Мы установили политики и процедуры для управления доступом пользователей к информационным системам, включая использование контроля доступа, аутентификацию пользователей и регулярные проверки доступа.
6.11. Мониторинг и регистрация
Мы установили политики и процедуры для мониторинга и регистрации действий информационных систем, включая использование журналов аудита и протоколирование инцидентов безопасности.
Часть 7. Приобретение, разработка и обслуживание информационных систем
7.1. Требования
Мы установили политики и процедуры для определения требований к информационной системе, включая бизнес-требования, законодательные и нормативные требования, а также требования безопасности.
7.2. Отношения с поставщиками
Мы установили политики и процедуры для управления отношениями со сторонними поставщиками информационных систем и услуг, включая оценку методов обеспечения безопасности поставщиков.
7.3. Развитие системы
Мы установили политики и процедуры для безопасной разработки информационных систем, включая использование методов безопасного кодирования, регулярное тестирование и обеспечение качества.
7.4. Тестирование системы
Мы установили политики и процедуры тестирования информационных систем, включая тестирование функциональности, тестирование производительности и тестирование безопасности.
7.5. Принятие системы
Мы установили политики и процедуры приемки информационных систем, включая утверждение результатов тестирования, оценки безопасности и приемочное тестирование пользователей.
7.6. Обслуживание системы
Мы установили политики и процедуры обслуживания информационных систем, включая регулярные обновления, исправления безопасности и резервное копирование системы.
7.7. Вывод системы из эксплуатации
Мы установили политику и процедуры вывода из эксплуатации информационных систем, включая безопасную утилизацию оборудования и данных.
7.8. Хранение данных
Мы установили политики и процедуры для хранения данных в соответствии с законодательными и нормативными требованиями, включая безопасное хранение и удаление конфиденциальных данных.
7.9. Требования безопасности к информационным системам
Мы установили политики и процедуры для определения и реализации требований безопасности для информационных систем, включая контроль доступа, шифрование и защиту данных.
7.10. Безопасная среда разработки
Мы установили политики и процедуры для безопасных сред разработки информационных систем, включая использование безопасных методов разработки, контроля доступа и безопасных сетевых конфигураций.
7.11. Защита среды тестирования
Мы установили политики и процедуры для защиты сред тестирования информационных систем, включая использование безопасных конфигураций, контроль доступа и регулярное тестирование безопасности.
7.12. Принципы проектирования безопасных систем
Мы установили политики и процедуры для реализации принципов проектирования безопасных систем для информационных систем, включая использование архитектур безопасности, моделирование угроз и методы безопасного кодирования.
7.13. Рекомендации по безопасному кодированию
Мы установили политики и процедуры для реализации рекомендаций по безопасному кодированию для информационных систем, включая использование стандартов кодирования, проверку кода и автоматизированное тестирование.
Часть 8. Приобретение оборудования
8.1. Соблюдение стандартов
Мы придерживаемся стандарта ISO 27001 для системы управления информационной безопасностью (ISMS), чтобы гарантировать, что оборудование закупается в соответствии с нашими требованиями безопасности.
8.2. Оценка риска
Перед закупкой оборудования мы проводим оценку рисков, чтобы выявить потенциальные риски безопасности и убедиться, что выбранное оборудование соответствует требованиям безопасности.
8.3. Выбор поставщиков
Мы закупаем аппаратные активы только у надежных поставщиков, которые имеют проверенный опыт предоставления безопасных продуктов. Мы проверяем политику и практику безопасности поставщиков и требуем от них гарантии того, что их продукты соответствуют нашим требованиям безопасности.
8.4. Безопасный транспорт
Мы гарантируем, что аппаратные активы надежно доставлены в наши помещения, чтобы предотвратить подделку, повреждение или кражу во время транспортировки.
8.5. Проверка подлинности
Мы проверяем подлинность аппаратных активов при доставке, чтобы убедиться, что они не подделаны и не подделаны.
8.6. Физический и экологический контроль
Мы внедряем соответствующие средства физического и экологического контроля для защиты аппаратных активов от несанкционированного доступа, кражи или повреждения.
8.7. Установка оборудования
Мы гарантируем, что все оборудование настроено и установлено в соответствии с установленными стандартами и рекомендациями по безопасности.
8.8. Обзоры оборудования
Мы проводим периодические проверки аппаратных активов, чтобы убедиться, что они продолжают соответствовать нашим требованиям безопасности и оснащены последними исправлениями и обновлениями безопасности.
8.9. Утилизация оборудования
Мы безопасно утилизируем аппаратные активы, чтобы предотвратить несанкционированный доступ к конфиденциальной информации.
Часть 9. Защита от вредоносных программ и вирусов
9.1. Политика обновления программного обеспечения
Мы поддерживаем актуальное программное обеспечение для защиты от вирусов и вредоносных программ на всех информационных системах, используемых Европейским институтом сертификации ИТ, включая серверы, рабочие станции, ноутбуки и мобильные устройства. Мы гарантируем, что программное обеспечение для защиты от вирусов и вредоносных программ настроено на автоматическое обновление файлов определений вирусов и версий программного обеспечения на регулярной основе, и что этот процесс регулярно тестируется.
9.2. Антивирусное сканирование и сканирование вредоносных программ
Мы регулярно сканируем все информационные системы, включая серверы, рабочие станции, ноутбуки и мобильные устройства, для обнаружения и удаления любых вирусов или вредоносных программ.
9.3. Политика запрета отключения и изменения
Мы применяем политики, запрещающие пользователям отключать или изменять программное обеспечение для защиты от вирусов и вредоносных программ в любой информационной системе.
9.4. мониторинг
Мы отслеживаем оповещения и журналы нашего программного обеспечения для защиты от вирусов и вредоносных программ, чтобы выявлять любые случаи заражения вирусами или вредоносными программами и своевременно реагировать на такие инциденты.
9.5. Ведение записей
Мы храним записи о конфигурации, обновлениях и проверках программного обеспечения для защиты от вирусов и вредоносных программ, а также о любых случаях заражения вирусами или вредоносными программами для целей аудита.
9.6. Обзоры программного обеспечения
Мы проводим периодические проверки нашего программного обеспечения для защиты от вирусов и вредоносных программ, чтобы убедиться, что оно соответствует текущим отраслевым стандартам и соответствует нашим потребностям.
9.7. Обучение и осведомленность
Мы предлагаем программы обучения и повышения осведомленности, чтобы информировать всех сотрудников о важности защиты от вирусов и вредоносных программ, а также о том, как распознавать любые подозрительные действия или инциденты и сообщать о них.
Часть 10. Управление информационными активами
10.1. Инвентаризация информационных активов
Европейский институт сертификации ИТ ведет реестр информационных активов, который включает все цифровые и физические информационные активы, такие как системы, сети, программное обеспечение, данные и документация. Мы классифицируем информационные активы на основе их критичности и чувствительности, чтобы обеспечить реализацию соответствующих мер защиты.
10.2. Обращение с информационными активами
Мы применяем соответствующие меры для защиты информационных активов на основе их классификации, включая конфиденциальность, целостность и доступность. Мы гарантируем, что все информационные активы обрабатываются в соответствии с применимыми законами, правилами и договорными требованиями. Мы также гарантируем, что все информационные активы должным образом хранятся, защищаются и утилизируются, когда они больше не нужны.
10.3. Владение информационными активами
Мы передаем права собственности на информационные активы лицам или отделам, ответственным за управление и защиту информационных активов. Мы также гарантируем, что владельцы информационных активов понимают свои обязанности и ответственность за защиту информационных активов.
10.4. Защита информационных активов
Мы используем различные меры защиты для защиты информационных активов, включая физический контроль, контроль доступа, шифрование, а также процессы резервного копирования и восстановления. Мы также гарантируем, что все информационные активы защищены от несанкционированного доступа, изменения или уничтожения.
Часть 11. Контроль доступа
11.1. Политика контроля доступа
Европейский институт сертификации ИТ разработал Политику контроля доступа, в которой излагаются требования для предоставления, изменения и отзыва доступа к информационным активам. Контроль доступа является важнейшим компонентом нашей системы управления информационной безопасностью, и мы внедряем его, чтобы гарантировать, что только авторизованные лица имеют доступ к нашим информационным активам.
11.2. Реализация контроля доступа
Мы реализуем меры контроля доступа, основанные на принципе наименьших привилегий, что означает, что люди имеют доступ только к тем информационным активам, которые необходимы для выполнения их служебных функций. Мы используем различные меры контроля доступа, включая аутентификацию, авторизацию и учет (AAA). Мы также используем списки управления доступом (ACL) и разрешения для управления доступом к информационным ресурсам.
11.3. Политика паролей
Европейский институт сертификации ИТ разработал Политику паролей, в которой излагаются требования к созданию паролей и управлению ими. Нам требуются надежные пароли длиной не менее 8 символов, содержащие комбинацию прописных и строчных букв, цифр и специальных символов. Мы также требуем периодической смены пароля и запрещаем повторное использование предыдущих паролей.
11.4. Управление пользователями
У нас есть процесс управления пользователями, который включает создание, изменение и удаление учетных записей пользователей. Учетные записи пользователей создаются на основе принципа наименьших привилегий, и доступ предоставляется только к информационным активам, необходимым для выполнения должностных функций человека. Мы также регулярно проверяем учетные записи пользователей и удаляем учетные записи, которые больше не нужны.
Часть 12. Управление инцидентами информационной безопасности
12.1. Политика управления инцидентами
Европейский институт сертификации ИТ разработал Политику управления инцидентами, в которой излагаются требования к обнаружению, составлению отчетов, оценке и реагированию на инциденты безопасности. Мы определяем инциденты безопасности как любое событие, которое ставит под угрозу конфиденциальность, целостность или доступность информационных активов или систем.
12.2. Обнаружение инцидентов и отчетность
Мы принимаем меры для оперативного обнаружения и сообщения об инцидентах безопасности. Мы используем различные методы для обнаружения инцидентов безопасности, включая системы обнаружения вторжений (IDS), антивирусное программное обеспечение и отчеты пользователей. Мы также следим за тем, чтобы все сотрудники были осведомлены о процедурах сообщения об инцидентах, связанных с безопасностью, и призываем сообщать обо всех предполагаемых инцидентах.
12.3. Оценка инцидента и реагирование
У нас есть процесс оценки и реагирования на инциденты безопасности в зависимости от их серьезности и воздействия. Мы приоритизируем инциденты на основе их потенциального воздействия на информационные активы или системы и выделяем соответствующие ресурсы для реагирования на них. У нас также есть план реагирования, который включает процедуры выявления, сдерживания, анализа, устранения и восстановления после инцидентов безопасности, а также уведомления соответствующих сторон и проведения проверок после инцидента. Наши процедуры реагирования на инциденты разработаны для обеспечения быстрого и эффективного реагирования к инцидентам безопасности. Процедуры регулярно пересматриваются и обновляются для обеспечения их эффективности и актуальности.
12.4. Группа реагирования на инциденты
У нас есть группа реагирования на инциденты (IRT), которая отвечает за реагирование на инциденты безопасности. IRT состоит из представителей различных подразделений и возглавляется сотрудником по информационной безопасности (ISO). Группа IRT отвечает за оценку серьезности инцидентов, локализацию инцидента и инициирование соответствующих процедур реагирования.
12.5. Отчетность об инцидентах и обзор
Мы установили процедуры сообщения об инцидентах безопасности соответствующим сторонам, включая клиентов, регулирующие органы и правоохранительные органы, в соответствии с требованиями применимых законов и правил. Мы также поддерживаем связь с затронутыми сторонами на протяжении всего процесса реагирования на инциденты, предоставляя своевременные обновления о статусе инцидента и любых действиях, предпринимаемых для смягчения его последствий. Мы также проводим проверку всех инцидентов безопасности, чтобы определить основную причину и предотвратить повторение подобных инцидентов в будущем.
Часть 13. Управление непрерывностью бизнеса и аварийное восстановление
13.1. Планирование непрерывности бизнеса
Хотя Европейский институт сертификации ИТ является некоммерческой организацией, у него есть План обеспечения непрерывности бизнеса (BCP), в котором излагаются процедуры обеспечения непрерывности его операций в случае нарушения работы. BCP охватывает все критические операционные процессы и определяет ресурсы, необходимые для поддержания операций во время и после разрушительного инцидента. В нем также описываются процедуры поддержания бизнес-операций во время сбоя или аварии, оценки воздействия сбоев, определения наиболее важных операционных процессов в контексте конкретного инцидента, нарушающего работу, и разработки процедур реагирования и восстановления.
13.2. Планирование аварийного восстановления
Европейский институт сертификации ИТ разработал план аварийного восстановления (DRP), в котором изложены процедуры восстановления наших информационных систем в случае сбоя или аварии. DRP включает процедуры резервного копирования данных, восстановления данных и восстановления системы. DRP регулярно тестируется и обновляется для обеспечения его эффективности.
13.3. Анализ влияния на бизнес
Мы проводим анализ влияния на бизнес (BIA), чтобы определить критически важные операционные процессы и ресурсы, необходимые для их обслуживания. BIA помогает нам расставлять приоритеты в наших усилиях по восстановлению и соответствующим образом распределять ресурсы.
13.4. Стратегия непрерывности бизнеса
На основе результатов BIA мы разрабатываем Стратегию обеспечения непрерывности бизнеса, в которой изложены процедуры реагирования на нарушения. Стратегия включает процедуры для активации BCP, восстановления критических рабочих процессов и связи с соответствующими заинтересованными сторонами.
13.5. Тестирование и обслуживание
Мы регулярно тестируем и поддерживаем наши BCP и DRP, чтобы гарантировать их эффективность и актуальность. Мы проводим регулярные тесты для проверки BCP/DRP и выявления областей для улучшения. Мы также обновляем BCP и DRP по мере необходимости, чтобы отразить изменения в наших операциях или ландшафте угроз. Тестирование включает в себя настольные упражнения, моделирование и живое тестирование процедур. Мы также пересматриваем и обновляем наши планы на основе результатов тестирования и извлеченных уроков.
13.6. Альтернативные сайты обработки
Мы поддерживаем альтернативные сайты онлайн-обработки, которые можно использовать для продолжения бизнес-операций в случае сбоя или аварии. Альтернативные площадки обработки оснащены необходимой инфраструктурой и системами и могут использоваться для поддержки критических бизнес-процессов.
Часть 14. Комплаенс и аудит
14.1. Соблюдение законов и правил
Европейский институт сертификации ИТ обязуется соблюдать все применимые законы и правила, касающиеся информационной безопасности и конфиденциальности, включая законы о защите данных, отраслевые стандарты и договорные обязательства. Мы регулярно пересматриваем и обновляем наши политики, процедуры и средства контроля, чтобы обеспечить соответствие всем соответствующим требованиям и стандартам. Основные стандарты и рамки, которым мы следуем в контексте информационной безопасности, включают:
- Стандарт ISO/IEC 27001, содержащий рекомендации по внедрению и управлению системой управления информационной безопасностью (ISMS), ключевым компонентом которой является управление уязвимостями. Он обеспечивает базовую основу для внедрения и обслуживания нашей системы управления информационной безопасностью (СУИБ), включая управление уязвимостями. В соответствии с положениями настоящего стандарта мы выявляем, оцениваем и управляем рисками информационной безопасности, включая уязвимости.
- Структура кибербезопасности Национального института стандартов и технологий США (NIST) содержит рекомендации по выявлению, оценке и управлению рисками кибербезопасности, включая управление уязвимостями.
- Концепция кибербезопасности Национального института стандартов и технологий (NIST) для улучшения управления рисками кибербезопасности с основным набором функций, включая управление уязвимостями, которых мы придерживаемся для управления нашими рисками кибербезопасности.
- SANS Critical Security Controls, содержащий набор из 20 мер безопасности для повышения кибербезопасности, охватывающий ряд областей, включая управление уязвимостями, предоставляющий конкретные рекомендации по сканированию уязвимостей, управлению исправлениями и другим аспектам управления уязвимостями.
- Стандарт безопасности данных индустрии платежных карт (PCI DSS), требующий обработки информации о кредитной карте в отношении управления уязвимостями в этом контексте.
- Центр управления интернет-безопасностью (CIS), включая управление уязвимостями в качестве одного из ключевых элементов управления для обеспечения безопасных конфигураций наших информационных систем.
- Открытый проект безопасности веб-приложений (OWASP) со списком 10 наиболее важных рисков безопасности веб-приложений, включая оценку уязвимостей, таких как атаки путем внедрения, нарушенная проверка подлинности и управление сеансами, межсайтовый скриптинг (XSS) и т. д. Мы используем OWASP Top 10, чтобы расставить приоритеты в наших усилиях по управлению уязвимостями и сосредоточиться на наиболее серьезных рисках в отношении наших веб-систем.
14.2. Внутренняя проверка
Мы проводим регулярные внутренние аудиты для оценки эффективности нашей системы управления информационной безопасностью (СУИБ) и обеспечения соблюдения наших политик, процедур и средств контроля. Процесс внутреннего аудита включает выявление несоответствий, разработку корректирующих действий и отслеживание усилий по исправлению.
14.3. Внешний аудит
Мы периодически обращаемся к внешним аудиторам для проверки соблюдения нами применимых законов, нормативных актов и отраслевых стандартов. Мы предоставляем аудиторам доступ к нашим объектам, системам и документации в соответствии с требованиями для подтверждения нашего соответствия требованиям. Мы также работаем с внешними аудиторами для рассмотрения любых выводов или рекомендаций, выявленных в процессе аудита.
14.4. Мониторинг соответствия
Мы постоянно следим за соблюдением применимых законов, правил и отраслевых стандартов. Мы используем различные методы для контроля за соблюдением требований, включая периодические оценки, аудиты и обзоры сторонних поставщиков. Мы также регулярно пересматриваем и обновляем наши политики, процедуры и средства контроля, чтобы обеспечить постоянное соблюдение всех соответствующих требований.
Часть 15. Стороннее управление
15.1. Политика стороннего управления
Европейский институт сертификации ИТ имеет Политику управления третьими сторонами, в которой излагаются требования к выбору, оценке и мониторингу сторонних поставщиков, имеющих доступ к нашим информационным активам или системам. Политика применяется ко всем сторонним поставщикам, включая поставщиков облачных услуг, поставщиков и подрядчиков.
15.2. Отбор и оценка третьей стороны
Прежде чем взаимодействовать со сторонними поставщиками, мы проводим комплексную проверку, чтобы убедиться, что у них есть надлежащие меры безопасности для защиты наших информационных активов или систем. Мы также оцениваем соблюдение сторонними поставщиками применимых законов и правил, касающихся информационной безопасности и конфиденциальности.
15.3. Сторонний мониторинг
Мы постоянно отслеживаем сторонних поставщиков, чтобы убедиться, что они продолжают соответствовать нашим требованиям к информационной безопасности и конфиденциальности. Мы используем различные методы для мониторинга сторонних поставщиков, включая периодические оценки, аудиты и обзоры отчетов об инцидентах безопасности.
15.4. Договорные требования
Мы включаем договорные требования, касающиеся информационной безопасности и конфиденциальности, во все договоры со сторонними поставщиками. Эти требования включают положения о защите данных, средствах контроля безопасности, управлении инцидентами и мониторинге соответствия. Мы также включаем положения о расторжении контрактов в случае нарушения безопасности или несоблюдения требований.
Часть 16. Информационная безопасность в процессах сертификации
16.1 Безопасность процессов сертификации
Мы принимаем адекватные и систематические меры для обеспечения безопасности всей информации, связанной с нашими процессами сертификации, включая личные данные лиц, желающих пройти сертификацию. Сюда входят элементы управления доступом, хранением и передачей всей информации, связанной с сертификацией. Применяя эти меры, мы стремимся обеспечить, чтобы процессы сертификации проводились с высочайшим уровнем безопасности и целостности, а также чтобы личные данные лиц, желающих пройти сертификацию, были защищены в соответствии с применимыми нормами и стандартами.
16.2. Аутентификация и авторизация
Мы используем элементы управления аутентификацией и авторизацией, чтобы гарантировать, что только авторизованный персонал имеет доступ к информации о сертификации. Средства контроля доступа регулярно пересматриваются и обновляются в зависимости от изменений ролей и обязанностей персонала.
16.3. Защита данных
Мы защищаем персональные данные на протяжении всего процесса сертификации, применяя соответствующие технические и организационные меры для обеспечения конфиденциальности, целостности и доступности данных. Сюда входят такие меры, как шифрование, контроль доступа и регулярное резервное копирование.
16.4. Безопасность экзаменационных процессов
Мы обеспечиваем безопасность экзаменационных процессов, применяя соответствующие меры для предотвращения мошенничества, мониторинга и контроля экзаменационной среды. Мы также поддерживаем целостность и конфиденциальность экзаменационных материалов посредством безопасных процедур хранения.
16.5. Безопасность содержания экзамена
Мы обеспечиваем безопасность содержимого экзамена, применяя соответствующие меры для защиты от несанкционированного доступа, изменения или раскрытия содержимого. Это включает в себя использование безопасного хранения, шифрования и контроля доступа к экзаменационному контенту, а также средства контроля для предотвращения несанкционированного распространения или распространения экзаменационного контента.
16.6. Безопасность сдачи экзамена
Мы обеспечиваем безопасность сдачи экзаменов, применяя соответствующие меры для предотвращения несанкционированного доступа или манипулирования средой экзамена. Это включает в себя такие меры, как мониторинг, аудит и контроль экзаменационной среды и конкретных подходов к экзаменам для предотвращения мошенничества или других нарушений безопасности.
16.7. Безопасность результатов исследования
Мы обеспечиваем безопасность результатов экзаменов, применяя соответствующие меры для защиты от несанкционированного доступа, изменения или раскрытия результатов. Это включает в себя использование безопасного хранения, шифрования и контроля доступа к результатам экзаменов, а также средства контроля для предотвращения несанкционированного распространения или распространения результатов экзаменов.
16.8. Безопасность выдачи сертификатов
Мы обеспечиваем безопасность выдачи сертификатов, внедряя соответствующие меры для предотвращения мошенничества и несанкционированной выдачи сертификатов. Это включает средства контроля для проверки личности лиц, получающих сертификаты, а также процедуры безопасного хранения и выдачи.
16.9. Жалобы и апелляции
Мы установили процедуры для рассмотрения жалоб и апелляций, связанных с процессом сертификации. Эти процедуры включают меры по обеспечению конфиденциальности и беспристрастности процесса, а также безопасности информации, связанной с жалобами и апелляциями.
16.10. Управление качеством процессов сертификации
Мы создали Систему управления качеством (СМК) для процессов сертификации, которая включает меры по обеспечению эффективности, результативности и безопасности процессов. СМК включает в себя регулярные аудиты и обзоры процессов и их мер безопасности.
16.11. Постоянное улучшение безопасности процессов сертификации
Мы стремимся к постоянному совершенствованию наших процессов сертификации и средств контроля безопасности. Это включает в себя регулярные проверки и обновления политик и процедур безопасности, связанных с сертификацией, на основе изменений в бизнес-среде, нормативных требований и передового опыта в области управления информационной безопасностью в соответствии со стандартом ISO 27001 для управления информационной безопасностью, а также с требованиями ISO. Действующий стандарт органов по сертификации 17024.
Часть 17. Заключительные положения
17.1. Обзор и обновление политики
Настоящая Политика информационной безопасности — это постоянно действующий документ, который постоянно пересматривается и обновляется в зависимости от изменений наших операционных требований, нормативных требований или передового опыта в области управления информационной безопасностью.
17.2. Мониторинг соответствия
Мы установили процедуры контроля за соблюдением настоящей Политики информационной безопасности и соответствующих мер безопасности. Мониторинг соответствия включает в себя регулярные аудиты, оценки и проверки мер безопасности, а также их эффективности в достижении целей этой политики.
17.3. Сообщение об инцидентах безопасности
Мы установили процедуры сообщения об инцидентах безопасности, связанных с нашими информационными системами, в том числе с персональными данными физических лиц. Сотрудникам, подрядчикам и другим заинтересованным сторонам рекомендуется как можно скорее сообщать обо всех инцидентах безопасности или предполагаемых инцидентах назначенной группе безопасности.
17.4. Обучение и осведомленность
Мы проводим регулярные программы обучения и повышения осведомленности сотрудников, подрядчиков и других заинтересованных сторон, чтобы убедиться, что они осведомлены о своих обязанностях и обязательствах, связанных с информационной безопасностью. Сюда входит обучение политикам и процедурам безопасности, а также мерам по защите персональных данных физических лиц.
17.5. Ответственность и подотчетность
Мы считаем всех сотрудников, подрядчиков и других заинтересованных лиц ответственными и подотчетными за соблюдение настоящей Политики информационной безопасности и соответствующих мер безопасности. Мы также возлагаем на руководство ответственность за обеспечение выделения соответствующих ресурсов для внедрения и поддержания эффективных средств контроля информационной безопасности.
Настоящая Политика информационной безопасности является важнейшим компонентом системы управления информационной безопасностью Европейского института сертификации ИТ и демонстрирует нашу приверженность защите информационных активов и обрабатываемых данных, обеспечению конфиденциальности, конфиденциальности, целостности и доступности информации, а также соблюдению нормативных и договорных требований.