Održavati informacijsku politiku sigurnosti

Izvor: SIS Wiki
Skoči na: orijentacija, traži

PCI-DSS Norma, sukladnost sa PCI-DSS normom

Posljednje područje obuhvaća samo jedan opširniji zahtjev.


12. zahtjev: Održavati politiku informacijske sigurnosti za cijelo osoblje

Stroga sigurnosna politika postavlja sigurnosne mjere svim entitetima te informira osoblje što se očekuje od njih. Osoblje bi trebalo biti upoznato sa razinom tajnosti podataka i njihovom odgovornošću da ih zaštite.

Tablica 12. Detaljni opis 12. zahtjeva (prema PCI Security Standards Council LLC, 2010a, str. 64 - 69)

PCI DSS zahtjevi

Procedure testiranja

12.1 Uspostaviti, objaviti, održavati i širiti sigurnosnu politiku koja omogućava sljedeće:

12.1 Provjeriti informacije o sigurnosnoj politici te utvrditit da je politika objavljena i da je sve relevantno osoblje uključujući i trgovce i ostale poslovne partnere upoznato s njom.

12.1.1 Zadovoljiti sve PCI DSS zahtjeve

12.1.1 Provjeriti da politika zadovoljava sve PCI DSS zahtjeve.

12.1.2 Uključuje godišnje  procese koji identificiraju prijetnje i ranjivosti te daje rezultat o procjeni rizika.

12.1.2.a Provjeriti da je u godišnjoj procjeni rizika dokumentirana identifikacija prijetnji, ranjivosti i rezultat o procjeni rizika.

12.1.2.b Pregledati dokumentaciju o procjeni rizika kako bi utvrdili da se procjena rizika provodi barem jednom godišnje.

12.1.3 Uključuje pregled barem jednom godišnje i ažuriranje kada se okolina promjeni.

12.1.3 Provjeriti da su informacije o sigurnosnoj politici pregledane barem jednom godišnje i ažurirane ukoliko je potrebno.

12.2 Uspostaviti dnevnu operativnu sigurnosnu proceduru koja je konzistentna sa zahtjevima u ovoj specifikaciji.

12.2 Ispitati dnevne sigurnosne operativno procedure. Utvrditi da su konzistentne sa ovim specifikacija i sadrže administrativne i tehničke procedure za svaki zahtjev.

12.3 Uspostaviti korištenje politike za kritične tehnologije, poput tehnoogija upravljanja na daljinu, bežičnih tehnologija, tableta, prijenosnih računala, Interneta, te definirati propisno korištenje takvih tehnologija. Osigurati da primjenjivanje ove politike zahtjeva sljedeće:

12.3 Ispitati korištenje politike o korištenju kritičnih tehnologija te djelovati na sljedeći način:

12.3.1 Izričita dozvola autorizirane strane

12.3.1 Provjeriti da politika zahtjeva izričitu dozvolu od autorizirane strane kako bi se koristila neka tehnologija

12.3.2 Za korištenje tehnologije potrebna autentikacija

12.3.2 Provjeriti da politika korištenja tehnologija zahtjeva da korisnik bude autentificiran korisničkim identifikatorom (ID) i lozinkom ili drugom autentikacijskom oznkaom

12.3.3 Lista svih takvih uređaja i osoblje koje ima pristup

12.3.3 Provjeriti da politika zahtjeva popis svih uređaja i osoblja koje je ovlašteno koristiti takve uređaje

12.3.4 Označavanje uređaja radi određivanja vlasnika, informacije o kontaktu i namjena.

12.3.4 Provjeriti da politika zahtjeva označavanje uređaja tako da se mogu povezati sa vlasnikom,npr. informacije za kontaktiranje te namjena.

12.3.5 Prihvatljiva uporaba tehnologije

12.3.5 Provjeriti da politika zahtjeva prihvatljivu uporabu tehnologije

12.3.6 Prihvatljivu lokaciju na mreži za tehnologije

12.3.6 Provjeriti da politika zahtjeva prihvatljivu lokaciju na mreži za tehnologiju.

12.3.7 Popis proizvoda koje je tvrtka odobrila

12.3.7 Provjeriti da politika zahtjeva popis proizvoda koje je tvrtka odobrila

12.3.8 Automatsko prekidanje sesije tehnologijama koje djeluju na daljinu nakon određenog vremena neaktivnosti

12.3.8 Provjeriti da politika zahtjeva automatsko prekidanje sesija tehnologijama koje djeluju na daljinu nakon određenog vremena neaktivnosti.

12.3.9 Aktiviranje tehnologija koje djeluju na daljinu trgovcima i poslovnim partnerima samo kada im je to potrebno te deaktivacija odmah nakon uporabe.

12.3.9 Provjeriti da politika zahtjeva aktiviranje tehnologija koje djeluju na daljinu trgovcima i poslovnim partnerima samo kada im je to potrebno te deaktivacija odmah nakon uporabe.

12.3.10 Za osoblje sa pristupom kartičnim podacima preko tehnologija koje djeluju na daljinu onemogučiti kopiranje, premještanje i spremanje kartičnih podataka na lokalne tvrde diskove i prenosive elektroničke medije osim ukoliko nije eksplicitno autorizirano za potrebe posla.

12.3.10.a Provjeriti da politika onemogućava kopiranje, premještanje ili spremanje kartičnih podataka na lokalne tvrde diskove i prenosive elektroničke medije kada se pristupa podacima putem tehnologija koje djeluju na daljinu.

12.4 Osigurati da sigurnosna politika i procedure jasno definiraju odgovornosti  o informacijskoj sigurnosti cijelom osoblju.

12.4 Provjeriti da da sigurnosna politika jasno definira odgovornosti o informacijskoj sigurnosti cijelom osoblju.

12.5 Dodjeliti individualcu ili grupi sljedeće odgovornosti o informacijskoj sigurnosti:

12.5 Provjeriti da je informacijska sigurnost formalno dodjeljena voditelju sigurnosti ili nekom drugom članu koji posjeduje znanje o sigurnosti.

Provjeriti politiku informacijske sigurnosti i procedure kako bi utvrdili da su sljedeće odgovornosti formalno dodjeljene:

12.5.1 Uspostaviti, dokumentirati i distribuirati sigurnosne politike i procedure

12.5.1 Provjeriti da je odgovornost kreiranja i distribuiranja sigurnosnih politika formalno dodjenjena.

12.5.2 Praćenje i analiziranje sigurnosnih obavijesti i informacija te njihovo distribuiranje odgovarajućim osobama.

12.5.2 Provjeriti da je odgovornost praćenja i analiziranja sigurnosnih obavijesti i informacija te njihovo distribuiranje odgovarajućem osoblju formalno dodjeljena.

12.5.3 Uspostaviti, dokumentirati i distribuirati sigurnosnu reakciju u slučaju incidenta te eskalacijske proceduje kako bi osigurali pravovremeno i učinkovito vladanje situacijom.

12.5.3 Provjeriti da je odgovornost kreiranja i distribuiranja sigurnosnih reakcija u slučaju incidenta i eskalacijskih procedura formalno dodjeljena.

12.5.4 Rukovoditi korisničim računima uključujući dodavanja, brisanje i modifikaciju.

12.5.4 Provjeriti da je odgovornost rukovođenja korisničkim računima i autentikacijom formalno dodjeljena.

12.5.5 Nadzirati i kontrolirati sve pristupe podacima

12.5.5 Provjeriti da je odgovornost nadzora i kontrole svih pristupa podacima formalno dodjeljena.

12.6 Implementirati formalni sigurnosni program informiranosti osoblja kako bi shvatili važnost sigurnosti kartičnih podataka.

12.6.a Provjeriti postojanost programa za sigurnosno informiranje osoblja.

12.6.b Provjeriti procedure i dokumentaciju programa za sigurnosno informiranje te postupiti na sljedeći način:

12.6.1 Educirati osoblje prilikom zaposlenja te barem jednom godišnje.

12.6.1.a Provjeriti da program sigurnosne informiranosti pokriva nekoliko metoda za komuniciranje i edukaciju osoblja (posteri, promocije, sastanci).

12.6.1.b Provjeriti da osoblje prisustvuje treningu informiranosti prilikom zaposlenja te bar jednom godišnje.

12.6.2 Zahtjevati od osoblja potvrdu da su  barem jednom godišnje pročitali i razumiju politiku sigurnosti i procedure.

12.6.2 Provjeriti da sigurnosna informiranost zahtjeva od osoblja da potvrde da su barem jednom godišnje pročitali i razumiju politiku sigurnosti.

12.7 Provjeriti potencijalnu osobu prije zaposlenja kako bi smanjili unutarnji rizik. (provjera povijesti poslova, kriminalni dosje, preporuke i sl)

12.7 Zahtjevati od odjela za ljudske potencijale provjeru potencijalnog zaposlenika koji će imati pristup kartičnom okruženju i podacima.

12.8 Ukoliko se kartični podaci dijele sa pružateljom usluga tada treba održavati i implementirati politiku i procedure za upravljanje pružateljima usluga koje sadrže sljedeće:

12.8 Ukoliko entitet dijeli kartične podatke sa pružateljom usluga, onda kroz promatranje i pregled politka i procedura te pregled dokumentacije treba učiniti sljedeće:

12.8.1 Održavati popis pružatelja usluga

12.8.1 Provjeriti dali se održava lista pružatelja usluga.

12.8.2 Podržati pisanu suglasnost koja uključuje potvrdu da su pružatelji usluga odgovorni za sigurnost kartičnih podataka koje posjeduju.

12.8.2 Provjeriti da pisana suglasnost sadrži potvrdu pružatelja usluga o njihovoj odgovornosti za sigurnost kartičnih podataka.

12.8.3 Osigurati proces za uspostavljanje pružatelja usluga uključujući prethodno razumijevanje poslovanja.

12.8.3 Provjeriti da dokumentirane politike i procedure budu poštivane uključujući uključujući određivanje vrijednosti prije ostvarivanja pružatelja usluga.

12.8.4 Nadzirati sukladnost pružatelja usluga sa PCI DSS-om barem jednom godišnje.

12.8.4 Provjeriti da entitet provodi nadzor o sukladnosti pružatelja usluga sa PCI DSS-om

12.9 Implementirati plan reakcije u slučaju incidenta. Biti spreman reagirati u trenutku prekida normalnog rada sustava.

12.9 Ispitati da plan reakcije u slučaju incidenta i odgovarajuće procedure budu provedene na sljedeći način:

12.9.1 Kreirati plan reakcije u slučaju incidenta koji će biti implementiran u slučaju prekida normalnog rada sustava.

Osigurati da plan sadrži minimalno sljedeće stavke:

  • uloge, odgovornosti, te načini komunikacije i kontaktiranja
  • specijalizirane procedure reakcije u slučaju incidenta
  • procesi obnavljanja kontinuiteta i posla
  • procesi kreiranja sigurnosne kopije podataka
  • analiza pravnih zahtjeva za prijavljivanje problema
  • pokrivenost i reakcije za sve kritične komponente sustava
  • reference o procedurama za reakciju u slučaju incidenta prema plativnim brenovima

12.9.1.a Provjeriti da plan reakcije u slučaju incidenta uključuje:

  • uloge, odgovornosti te načine komunikacije i kontaktiranja
  • specijalitirane procedure reakcije u slučaju incidenta
  • procesi obnavljanja kontinuiteta i posla
  • procesi kreiranja sigurnosne kopije podataka
  • analiza pravnih zahtjeva za prijavljivanje problema
  • pokrivenost i reakcije za sve kritične komponente sustava
  • reference o procedurama za reakciju u slučaju incidenta prema plativnim brenovima

12.9.1.b Pregledati dokumentaciju od zadnjeg prijavljenog incidenta te utvrditi dali se pridržavalo koraka navedenih u planu reakcije u slučaju incidenta.

12.9.2 Testirati plan barem jednom godišnje

12.9.2 Provjeriti da se testiranje plana provodi barem jednom godišnje

12.9.3 Imenovati posobno osoblje koje će biti dostupno od 0-24 svaki dan kako bi regiralo na upozorenja.

Provjeriti kroz pregled i ispitivanje politku da se utvrdi dali postoji imenovano osoblje koje je dostupno 0-24 kako bi reagiralo na upozorenja te uočilo bilo kakvu neautoriziranu aktivnost, detekciju, neautorizirani bežičnu pristupnu točku, kritična IDS upozorenja ili neautoriziranu promjenu sadržaja ili sustavskih podataka.

12.9.4 Provoditi odgovarajuće treninge osoblja koje je zaduženo za reagiranje na sigurnosne incidente.

12.9.4 Provjeriti politike sigurnosti da bi utvrdili dali se provode treninzi osoblja koje je zaduženo za reagiranje na incidente.

12.9.5 Uključiti upozorenja detekcije, neovlaštenog upada ili narušavnja integriteta u sustavima za nadzor.

12.9.5 Provjeriti dali su procesi i reakcije sustava za nadzor koji uključuju i detekciju neautorizirane bežične pristupne točke sadržane u planu reakcije u slučaju incidenta.

12.9.6 Provoditi proces modificiranja i razvijanja plana reakcije u slučaju incidenta temeljen na novim saznanjima i u skladu sa tehnološkim razvojem.

12.9.6 Provjeriti sigurnosne politike da se utvrdi da postoji proces modifikacije i razvoja plana reakcije u slučaju incidenta temeljen na novim saznanjima i u skaldu sa tehnološkim ravojem.

PCI-DSS Norma, sukladnost sa PCI-DSS normom

obradio Marbaresi 12:34, 5. siječnja 2012. (CET)

Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima