DS5 Zabezpečení systémové bezpečnosti
DS5.1 Management IT bezpečnosti
Spravuj IT zabezpečení na nejvyšší odpovídající organizační úrovni, tak aby řízení bezpečnostních opatření bylo v souladu s obchodními požadavky.
DS5.2 IT Plán bezpečnosti
Využij požadavky business informací, IT konfiguraci, akční plány rizikových informací a kulturu bezpečnosti informací pro celkový IT bezpečnostní plán. Plán bude implementován z bezpečnostních politik a postupů spolu s příslušnými investicemi do služeb, personálu, software a hardware. Bezpečnostní politiky a postupy musí být sděleny zúčastněným stranám a uživatelům.
DS5.3 Správa totožností
Všichni uživatelé (interní, externí a dočasné) a jejich činnosti v IT systémech (obchodní aplikace, provoz systému, vývoj a údržba) by měly být jednoznačně identifikovatelné. Přístupová práva uživatelů do systémů a dat by měly být v souladu s definovanými a dokumentovanými obchodními potřebami a pracovními požadavky. Přístupová práva uživatelů musí být nastavována na žádost správy uživatelů, po schválení vlastníkem systému a musí být nastavena odpovědnou bezpečnostní osobou. Uživatelské identity a přístupová práva musí být vedeny v centrální evidenci. Musí být nasazeny nákladově efektivní technická a procesní opatření. Tyto opatření musí být udržována aktuální z důvodu identifikaci uživatele, implementace ověřování a dodržování přístupových práv.
DS5.4 Správa uživatelských účtů
Ujisti se, že vytvoření, nastavení, opravy, pozastavení, změna a ukončení uživatelských účtů a souvisejících uživatelských oprávnění jsou řešeny správou uživatelských účtů. Je zohledněna linie schvalovacího řízení datových nebo systémových vlastníků poskytujících přístupová práva. Tyto postupy by měly platit pro všechny uživatele, včetně správců (privilegovaných uživatelů), interní a externí uživatele, pro normální a nouzové případy. Ujisti se, že práva a povinnosti související s přístupem k informacím a podnikovým systémům jsou smluvně uspořádána pro všechny typy uživatelů. Provádějte pravidelné přezkoumání všech účtů a souvisejících privilegií.
DS5.5 Testování bezpečnosti, dohled a monitoring
Ujisti se, že je aktivně sledována a testována implementace bezpečnosti IT. IT bezpečnost by měla být pravidelně re-akreditována, tak aby byla zajištěná správná schválená úroveň zabezpečení. Logování a sledování funkcí umožňuje včasné odhalení neobvyklých nebo abnormálních činností, které může být potřebné řešit. Přístup k logování informací musí být v souladu s business požadavky z hlediska přístupových práv a požadavků na uchovávání.
DS5.6 Definice bezpečnostních totožností
Ujisti se, že vlastnosti potenciálních bezpečnostních incidentů jsou jasně vymezeny a sděleny tak, že bezpečnostní incidenty mohou být řádně vyřešeny podle události nebo procesem správy problémů. Charakteristika musí obsahovat popis toho, co je považováno za bezpečnostní incident a jeho stupeň dopadu. Omezený počet úrovní dopadů musí být definován pro každý nutný konkrétní krok a lidé, kteří musí být informování, musí být správně identifikováni.
DS5.7 Ochrana bezpečnostní technologie
Ujisti se, že důležité bezpečnostní technologie jsou odolné proti neoprávněnému zásahu a bezpečnostní dokumentace není zbytečně zveřejněna, tj. udržuje nízký profil. Nicméně nevytvářej závislost zabezpečení systémů na tajemstvích v bezpečnostních specifikacích.
DS5.8 Správa šifrovacích klíčů
Zajisti, aby byly k dispozici zásady a postupy pro generování, změny, zrušení, zničení, distribuci, certifikace, skladování, uvedení, používání a archivaci kryptografických klíčů. Tak aby byla zajištěna ochrana klíče před neoprávněným zveřejněním a modifikacemi.
DS5.9 Prevence, detekce a korekce škodlivého software
Zajisti, aby byly k dispozici preventivní, detektivní a nápravná opatření (zejména aktuální bezpečnostní záplaty a antivirus) v rámci organizace pro ochranu informačních systémů a technologií před malwarem (viry, červy, spyware, spam, interně vyvinuté podvodné software atd.).
DS5.10 Bezpečnost sítě
Ujisti se, že jsou používány bezpečnostní techniky a související postupy pro řízení (např. firewally , bezpečnostní zařízení, segmentaci sítě a detekce narušení) a pro autorizaci přístupu a toky řídicích informací z/do sítě.
DS5.11 Výměna citlivých dat
Ujisti se, že citlivé transakční data jsou distribuována jen přes důvěryhodné cesty nebo média s kontrolami tak, abyste poskytli pravost obsahu, doklad o vydání, doklad o převzetí a nepopiratelnost původu.
Článek ze série COBIT