ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер
8.1 Организационные и физические защитные меры
Источники дополнительной информации о категориях защитных мер приведены в таблицах 8.1.1-8.1.7.
Таблица 8.1.1 - Политика и управление безопасностью ИТ
Категории защитных мер | Источники дополнительной информации о категориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы и пункты [9] | |
1 Политика обеспечения безопасности ИТ организации | 3.1 | - | 1.1, 1.2 | 5.1 | 6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1 | 3 | - | 5.1, 5.2 |
2 Политика обеспечения безопасности системы ИТ | - | - | 1.1, 1.2 | 5.2, 5.3 | 6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1 | 3 | - | 5.2, 5.3 |
3 Управление безопасностью ИТ | 4.1.1, 4.1.2 | - | 1.1, 1.2 | 6 | 6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1 | 4 | 2.1 | 6 |
4 Распределение ответственности и полномочий | 4.1.3 | - | 1.3 | 2.4, 2.5, 3 | 6.3.1.1, 7.3.1.1, 8.3.1.1, 9.3.1.1, 10.3.1.1, 11.3.1.1 | 4 | 2.1 | 2.4, 2.5, 3 |
5 Организация безопасности ИТ | 4.1 | - | 1.2 | 3.5 | - | 4 | 2.2 | 3.5 |
6 Идентификация и определение стоимости активов | 5 | - | 2.2 | 7.1 | - | 5.6, 7.1 | 5.1 | 7.1 |
7 Одобрение систем ИТ | 4.1.4 | - | - | 8 | 5 | - | 6.7 | 8, 9 |
Таблица 8.1.2 - Проверка соответствия безопасности установленным требованиям
Категории защитных мер | Источники дополнительной информации о категориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы и пункты [9] | |
1 Соответствие политики обеспечения безопасности ИТ защитным мерам | 12.2 | - | 1.2 | 10.2.3 | - | 10.2 | 7.1, 7.2 | 9.4, 10.2.3 |
2 Соответствие законодательным и обязательным требованиям | 12.1 | - | 3.1, 3.2 | 6.3, 10.2.3 | 6.3.1 | 8.18, 10.2 | 8.1 | 1.5, 2.9, 6.3, 10.2.3 |
Таблица 8.1.3 - Обработка инцидента
Категории защитных мер | Источники дополнительной информации о категориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы и пункты [9] | |
1 Отчет об инциденте безопасности | 6.3.1 | - | М2 | 12 | - | 10.4 | - | 12 |
2 Сообщение о слабых местах при обеспечении безопасности | 6.3.2 | - | М2 | 12 | - | 10.4 | - | 12 |
3 Сообщение о нарушениях в работе программного обеспечения | 6.3.3 | - | М2 | 12 | - | 10.4 | - | 12 |
4 Управление в случае возникновения инцидента | 8.1.3 | - | М2 | 12 | - | 10.4 | - | 18.1.3 |
Таблица 8.1.4 - Персонал
Категории защитных мер | Источники дополнительной информации о категориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы и пункты [9] | |
1 Защитные меры для штатного или временного персонала | 6.1 | - | 3.2, М3 | 10.1 | 6.3,9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9 | 9.2 | 4.1, 2.2 | 10.1 |
2 Защитные меры для персонала, нанятого по контракту | 6.1 | - | - | 10.3 | 6.3.9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9 | 9.2 | 4.1, 2.2 | 10.3 |
3 Обучение и осведомленность о мерах безопасности | 6.2 | - | 1.2, М3 | 13, 10.1.4 | 6.3.9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9 | 9.1 | 4.2, 2.2 | 13, 10.1.4 |
4 Процесс обеспечения исполнительской дисциплины | 6.3.4 | - | 3.2, М3 | - | 6.3.9, 7.3.9, 8.3.9, 9.3.9, 10.3.9, 11.3.9 | 9.2.6 | 2.2.1 | 13.1 |
Таблица 8.1.5 - Эксплуатационные вопросы
Категории защитных мер | Источники дополнительной информации о категориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы и пункты [9] | |
1 Управление конфигурацией и изменениями | 8.1, 10.5 | - | - | 14.3, 8.4.1 | - | 7.4 | 9 | 14.3, 8.4.1, 8.4.4 |
2 Управление резервами | 8.2.1 | - | - | - | - | - | - | - |
3 Документация | 8.1.1, 8.6.3 | - | М2 | 14.6 | - | 8.4.6, 8.5.7, 8.7 | - | 14.6 |
4 Техническое обслуживание | 7.2.4 | - | М2 | 14.7 | 6.3.6, 7.3 6, 8.3.6, 9.3.6, 10.3.6, 11.3.6 | 8.1.4, 8.10.5, 10.1 | 6.5 | 14.7 |
5 Мониторинг изменений, связанных с безопасностью | - | - | 1.2 | 7.3.3 | - | 7.4, 8.1.3, 8.2.5, 8.3.7 | 6.7 | 7.3.3, 8.4.4 |
6 Записи аудита и регистрация | 8.4 | - | М2 | 18 | - | 7.3, 8.1.8, 8.2.10, 8.9.5 | 6.7 | (18) |
7 Тестирование безопасности | - | - | М2 | 8.4.3 | - | 8.3.5 | 6.7, 3 | 8.4.3 |
8 Управление носителями информации | 8.6 | - | 8, М2 | 14.5 | 6.3.5, 7.3.5, 8.3.5, 9.3.5, 10.3.5, | 8.4-8.14 | 5 | 14.5 |
9 Обеспечение стирания памяти | - | - | М4 | - | - | 8.1.9 | 6.3, 5 | 14.5.7 |
10 Распределение ответственности и полномочий | 8.1.4 | - | М2 | - | - | - | - | 10.1.1 |
11 Корректное использование программного обеспечения | 12.1.2 | - | М2 | - | 6.3.8, 7.3.8, 8.3.8, 9.3.8, 10.3.8, 11.3.8 | 8.3 | 6.3 | 14.2 |
12 Управление изменениями программного обеспечения | 10.5.1, | - | М2 | - | 6.3.8, 7.3.8, 8.3.8, 9.3.8, 10.3.8, 11.3.8 | 8.3.7 | 6.3 | 8.4.4, 14.2 |
Таблица 8.1.6 - Планирование непрерывности бизнеса
Категории защитных мер | Источники дополнительной информации о категориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы и пункты [9] | |
1 Стратегия непрерывности бизнеса | 11.1.1, 11.1.2 | - | 3.3, М6 | 10.2, 11.3, 11.4 | 6.3.3, 7.3.3, 8.3.3, 9.3.3, 10.3.3, 11.3.3 | 8.1.7, 8.4.5, 8.5.5, 8.6.5, 8.7.5, 8.8.3, | 7.3, 7.4, 7.5 | 11.2, 11.3, 11.4 |
2 План непрерывности бизнеса | 11.1.3, 11.1.4 | - | 3.3, М6 | 11.5 | 6.3.3, 7.3.3, 8.3.3, 9.3.3, 10.3.3, 11.3.3 | - | 11.5 | |
3 Проверка и актуализация плана непрерывности бизнеса | 11.1.5 | - | 3.3, М6 | 11.6 | 6.3.3, 7.3.3, 8.3.3, 9.3.3, 10.3.3, 11.3.3 | - | 11.6 | |
4 Дублирование | 8.4.1 | - | 3.4 | 14.4 | 6.3.2.4, 7.3.2.4, 8.3.2.4, 9.3.2.4, 10.3.2.4, 11.3.2.4 | - | 7.1, 7.2 | 14.4 |
Таблица 8.1.7 - Физическая безопасность
Категории защитных мер | Источники дополнительной информации о кaтегориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы и пункты [9] | |
1 Материальная защита | 7.1 | - | 4.1, 4.3, М1 | 15.1 | 6.3.1.2, 7.3.1.2, 8.3.1.2, 9.3.1.2, 10.3.1.2, 11.3.1.2 | 8.1.1, 8.6.2, 8.9.1 | 3.1, 3.4, 4 | 15.1 |
2 Противопожарная защита | 7.2.1 | - | - | 15.2 | 6.3.1.4, 7.3.1.4, 8.3.1.4, 9.3.1.4, 10.3.1.4, 11.3.1.4 | 8.1.1, 8.6.2, 8.9.1 | 3.1, 3.2, 7.5 | 15.2 |
3 Защита от воды/других жидкостей | 7.2.1 | - | М2 | 15.5 | 6.3.1.4, 7.3.1.4, 8.3.1.4, 9.3.1.4, 10.3.1.4, 11.3.1.4 | 8.1.1, 8.6.2, 8.9.1 | 7.5 | 15.5 |
4 Защита от стихийных бедствий | 7.2.1 | - | М2 | 15.4 | 6.3.1.4, 7.3.1.4, 8.3.1.4, 9.3.1.4, 10.3.1.4, 11.3.1.4 | 8.1.1, 8.6.2, 8.9.1 | 7.5 | 15.4 |
5 Защита от хищения | 7.1 | - | 1.2 | 15.1 | 6.3.1.3, 7.3.1.3, 8.3.1.3, 9.3.1.3, 10.3.1.3, 11.3.1.3 | 8.1.1, 8.6.2, 8.9.1 | 3.3, 3.4, 4 | 15.1 |
6 Энергоснабжение и вентиляция | 7.2.2 | - | М2 | 15.6 | 6.3.4, 7.3.4, 8.3.4, 9.3.4, 10.3.4, 11.3.4 | 8.1.1, 8.6.2, 8.9.1 | 3.2, 7.3 | 15.6 |
7 Прокладка кабелей | 7.2.3 | - | 4.2, М1 | - | - | 8.1.1, 8.6.2, 8.9.1 | 8.2 | 15, 15.1, 15.7 |