Skip to main content

5.14 Transfer informacji

Cel

Zapewnienie, że transfer informacji odbywa się w sposób bezpieczny, chroniąc jej poufność, integralność i dostępność, zgodnie z wymaganiami organizacji, obowiązującymi regulacjami i polityką zarządzania ryzykiem.

Wymagania

Organizacja powinna:

  • Opracować i wdrożyć politykę transferu informacji, obejmującą przesyłanie danych w formie elektronicznej, fizycznej oraz ustnej.
  • Zapewnić, że wszystkie formy transferu informacji są odpowiednio zabezpieczone zgodnie z ich klasyfikacją i poziomem wrażliwości.
  • Stosować mechanizmy ochrony, takie jak:
    • szyfrowanie transmisji danych,
    • uwierzytelnianie nadawców i odbiorców,
    • kontrola dostępu do przesyłanych informacji,
    • monitorowanie i rejestrowanie operacji transferu informacji,
    • zapewnienie nienaruszalności przesyłanych danych.
  • Określić zasady wymiany informacji z podmiotami zewnętrznymi oraz zabezpieczyć odpowiednie umowy regulujące transfer danych.
  • Ustanowić zasady oznaczania informacji przesyłanych między organizacjami, aby zapewnić właściwą interpretację poziomu ochrony (zgodnie z 5.13).
  • Zdefiniować odpowiedzialność i zobowiązania stron w przypadku incydentu związanego z naruszeniem bezpieczeństwa transferu informacji.

Wdrożenie

  • Organizacja powinna wdrożyć środki zapewniające bezpieczny transfer informacji, dostosowane do różnych kanałów komunikacji, takich jak:
    • poczta elektroniczna i komunikacja online,
    • systemy wymiany plików,
    • nośniki fizyczne (np. pendrive, dyski twarde),
    • usługi chmurowe,
    • komunikacja głosowa i wideokonferencje.
  • Należy określić wytyczne dotyczące stosowania technologii ochrony, takich jak:
    • VPN, TLS, PGP, IPSec oraz inne metody szyfrowania,
    • ograniczenie automatycznego przekierowywania e-maili na zewnętrzne adresy,
    • zatwierdzanie użycia zewnętrznych systemów komunikacji (np. komunikatorów, platform współdzielenia plików).
  • Transfer fizycznych nośników danych powinien uwzględniać:
    • identyfikację odpowiedzialnych stron za transport i odbiór,
    • zastosowanie odpowiednich zabezpieczeń, np. opakowań ochronnych i plomb zabezpieczających,
    • korzystanie z zatwierdzonych kurierów zgodnie z procedurami organizacji.
  • W przypadku transferu ustnego należy:
    • unikać rozmów o poufnych informacjach w miejscach publicznych,
    • nie zostawiać poufnych wiadomości na automatycznych sekretarkach lub komunikatorach,
    • stosować zabezpieczenia pomieszczeń (np. wygłuszenie, dostęp ograniczony do uprawnionych osób).
  • Organizacja powinna wdrożyć mechanizmy wykrywania i ochrony przed zagrożeniami związanymi z przesyłem informacji, w tym przed malware, phishingiem i nieautoryzowanym przechwyceniem danych.

Przegląd i aktualizacja

  • Regularnie przeglądać skuteczność mechanizmów ochrony transferu informacji i dostosowywać je do zmieniających się zagrożeń i regulacji prawnych.
  • Monitorować zgodność transferu danych z polityką organizacji oraz umowami regulującymi wymianę informacji z podmiotami zewnętrznymi.
  • Analizować ryzyko związane z możliwością przechwycenia lub niewłaściwego wykorzystania przesyłanych danych.
  • Zapewnić szkolenia dla pracowników w zakresie bezpiecznego transferu informacji, w tym ochrony przed phishingiem, socjotechniką oraz stosowania metod ochrony przy transferze danych.

Bezpieczny transfer informacji minimalizuje ryzyko nieuprawnionego dostępu, utraty lub modyfikacji danych oraz zapewnia zgodność z regulacjami dotyczącymi ochrony informacji, jednocześnie umożliwiając sprawne i bezpieczne operacje organizacji.