Cilj: Osigurati sigurnost informacija i programske opreme koja se razmjenjuje između organizacije i vanjskog entiteta. Takva razmjena treba počivati na službenoj politici razmjene i treba biti usklađena sa svim važećim zakonima. Potrebno je utemeljiti procedure i standarde za zaštitu informacija i fizičkih medija koje sadrže informacije u prijelazu.
Kontrola Potrebno je uspostaviti službenu politiku razmjene, procedure i kontrole kako bi se zaštitila razmjena informacija kroz sve tipove komunikacijskih sredstava. Implementacijske smjernice Pri izradi procedura i kontrola za uporabu elektroničkih komunikacijskih sredstava za razmjenu informacija, potrebno je uzeti u obzir sljedeće: a) procedure za zaštitu razmjenjenih informacija od presretanja, kopiranja, modifikacije, pogrešnog usmjeravanja i uništenja; b) procedure za detekciju i zaštitu od zloćudnog koda koji se prenosi kroz uporabu elektroničkih komunikacija; c) procedure za zaštitu osjetljivih elektroničkih informacija koje su u obliku privitka; d) politika i smjernice za prihvatljivu uporabu elektroničkih komunikacijskih sredstava; e) procedure za uporabu bežičnih komunikacija; f) odgovornost zaposlenika, ugovornika i drugih korisnika je da ne kompromitiraju organizaciju kroz razmjenu informacija; g) uporaba kriptografskih tehnika; h) smjenice za čuvanje i odlaganje u skladu s bitnim zakonima i propisima; i) ne ostavljati osjetljive informacije na sredstvima za ispisivanje, npr.printerima, strojevima za kopiranje i faks mašinama; j) kontrole i zabrane povezane s prosljeđivanjem kod komunikacijskih sredstava; k) podsjećati osoblje na važnost opreznog postupanja s osjetljivim informacijama, npr. izbjegavanje presretanja kod uporabe telefona; l) ne ostavljati poruke koje sadrže osjtljive informacije na telefonskim tajnicama; m) upozoriti osoblje na sigurnosne probleme kod korištenja faksa; n) upozoriti osoblje da ne registriraju svoje osobne podatke jer se na taj način spriječava skupljanje informacija za neautoriziranu uporabu.
Kontrola Potrebno je donijeti sporazume o razmjeni informacija i programa između organizacije i vanjskih entiteta. Implementacijske smjernice Sporazumi o razmjenama trebaju uključiti: a) odgovornost uprave za kontroliranje i izvještavanje o prijenosu i primitku; b) procedure za obavještavanje pošiljatelja o prijenosu i primitku; c) procedure za omogućavanje praćenja i neporicanje; d) minimalne tehničke zahtjeve prijenosa; e) dogovore o čuvanju sredstava kod treće strane dok obje strane ne ispune uvjete; f) identifikaciju standarda dostavljača; g) dužnosti i obveze u slučaju sigurnosnih incidenata, poput gubitka podataka; h) uporabu sustava označavanja za osjetljive ili kritične informacije; i) vlasništvo i odgovornost zaštite infomacija, autorskih prava, licenci i sl.; j) tehničke standarde za snimanje i čitanje informacija i programa; k) dodatne kontrole za zaštitu osjetljivih informcija, npr. kriptografskih ključeva.
Kontrola Tijekom transporta izvan granica organizacije, potrebno je zaštititi medije koji sadrže osjetljive informacije od neovlaštene uporabe, zlouporabe i kvarenja. Implementacijske smjernice Potrebno je razmotriti sljedeće smjernice: a) upotrebljavati samo pouzdane dostavljače; b) napraviti popis pouzdanih dostavljača; c) razviti procedure za identifikaciju dostavljača; d) pakovanje treba zaštititi medije od bilo kakve fizičke štete; e) uvesti kontrole za zaštitu osjetljivih informacija od razotkrivanja ili modifikacije: 1) uporaba spremnika na zaključavanje; 2) osobna dostava; 3) pakiranje koje otkriva pokušaj ostvarivanja pristupa mediju; 4) specijalno, podjela na više dostava i dostavljanje različitim rutama. Dodatne informacije Informacije su ranjive na neautorizirani pristup i zlouporabu tijekom fizičkog prijenosa, npr. poštom ili korištenjem dostavljačke službe.
Kontrola Nužno je prikladno zaštititi informacije koje se razmjenjuju elektroničkom poštom. Implementacijske smjernice Sigurnosna razmatranja vezana uz elektroničku poštu: a) zaštita poruka od neovlaštenog pristupa, modifikacije ili odbijanja usluge; b) osigurati točnu adresu i siguran prijenos poruke; c) generalna pouzdanost i raspoloživost usluge; d) legalne obveze, poput zahtjevanja elektroničkog potpisa; e) prije korištenja vanjskih javnih usluga poput djeljenja podataka ili instant poruka, potrebno je odobrenje; f) veća razina autentifikacijskih kontrola kod pristupa s javno dostupnih mreža. Dodatne informacije Elektronička komunikacija igra važnu ulogu u poslovnim komunikacijama, a rizici takve komunikacije su potpuno drukčiji od komunikacije zasnovane na papiru.
Kontrola Potrebno je razviti politike i procedure za zaštitu informacija vezanih za međupovezivost poslovnih informacijskih sustava. Implementacijske smjernice Ovo razmatranje treba uključivati: a) poznate ranjivosti u administrativnim i računovodstvenim sustavima gdje se informacije dijele između različitih dijelova organizacije; b) ranjivosti informacija u poslovnim komunikacijskim sustavima; c) politiku i pripadne kontrole za upravljanje djeljenjem informacija; d) isključiti osjetljive informacije i dokumente iz sustava, ako sustav ne pruža prikladnu razinu zaštite; e) ograničenje pristupa informacijama koje sadrže podatke o osoblju ili osjetljivim projektima; f) kategorije zaposlenika, ugovornika ili poslovnih partnera koji imaju dozvolu uporabe sustava i lokacije s kojih mogu pristupiti sustavu; g) ograničavanje sredstava na određene kategorije korisnika; h) identificiranje statusa korisnika, npr. zaposlenik organizacije, ugovornik itd; i) čuvanje i sigurnosne kopije informacija koje se nalaze u sustavu. Dodatne informacije Uredski informacijski sustavi su korisni za brže širenje poslovnih informacija.