ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
Приложение А
(рекомендуемое)
Цели и меры управления
Цели и меры управления, перечисленные в таблице А.1, непосредственно взяты из перечня целей и мер управления, приведенного в ИСО/МЭК 17799:2005, разделы 5-15, и полностью с ним согласованы. Перечень мер управления, содержащийся в данной таблице, не является исчерпывающим, и организация может рассмотреть необходимость дополнительных целей и мер управления. Выбор целей и мер управления и контроля, приведенных в таблице, должен быть осуществлен в соответствии с разделом 4.
В разделах 5-15 ИСО/МЭК 17799:2005 приведены рекомендации по реализации и указания с точки зрения передовой практики в отношении поддержки мер управления, изложенных в А.5-А.15.
Таблица А.1 - Цели и меры управления
А.5 Политика безопасности | |||||
А.5.1 Политика информационной безопасности Цель: Обеспечить участие высшего руководства организации в решении вопросов, связанных с обеспечением информационной безопасности в соответствии с целями деятельности организации (бизнеса), законами и нормативными актами | |||||
A.5.1.1 | Документирование политики информационной безопасности | Политика информационной безопасности должна быть руководством утверждена, издана и доведена до сведения всех сотрудников организации, а также сторонних организаций | |||
A.5.1.2 | Анализ политики информационной безопасности | Политика информационной безопасности организации должна быть подвергнута анализу и пересмотру через заданные промежутки времени или при появлении существенных изменений характеристик целей безопасности | |||
А.6 Организация информационной безопасности | |||||
А.6.1 Внутренняя организация | |||||
A.6.1.1 | Обязанности руководства по обеспечению информационной безопасности | Руководство организации должно постоянно поддерживать заданный уровень информационной безопасности путем внедрения системы менеджмента, а также путем распределения обязанностей и ответственности персонала за ее обеспечение | |||
A.6.1.2 | Координация вопросов обеспечения информационной безопасности | Действия по обеспечению информационной безопасности должны координироваться представителями различных подразделений организации, имеющими соответствующие функции и должностные обязанности | |||
A.6.1.3 | Распределение обязанностей по обеспечению информационной безопасности | Обязанности персонала по обеспечению информационной безопасности должны быть четко определены | |||
A.6.1.4 | Процедура получения разрешения на использование средств обработки информации | Руководство должно определить и внедрить процедуры получения разрешения на использование новых средств обработки информации | |||
A.6.1.5 | Соглашения о соблюдении конфиденциальности | Руководство организации должно определять условия конфиденциальности или вырабатывать соглашения о неразглашении информации в соответствии с целями защиты информации и регулярно их пересматривать | |||
A.6.1.6 | Взаимодействие с компетентными органами | Руководство организации должно поддерживать взаимодействие с соответствующими компетентными органами | |||
A.6.1.7 | Взаимодействие с ассоциациями и профессиональными группами | Руководство организации должно поддерживать соответствующее взаимодействие с профессиональными группами, ассоциациями и участвовать (организовывать) в конференциях (форумах) специалистов в области информационной безопасности | |||
A.6.1.8 | Независимая проверка (аудит) информационной безопасности | Порядок организации и управления информационной безопасностью и ее реализация (например, изменение целей и мер управления, политики, процессов и процедур обеспечения информационной безопасности) должны быть подвергнуты независимой проверке (аудиту) через определенные промежутки времени или при появлении существенных изменений в способах реализации мер безопасности | |||
А.6.2 Обеспечение безопасности при наличии доступа сторонних организаций к информационным системам | |||||
Цель: Поддерживать безопасность информации и средств обработки информации организации при наличии доступа к ним сторонних организаций в процессах обработки и передачи этой информации | |||||
A.6.2.1 | Определение рисков, связанных со сторонними организациями | Перед предоставлением доступа сторонним организациям к информации и средствам ее обработки в процессе деятельности организации необходимо определять возможные риски для информации и средств ее обработки и реализовывать соответствующие им меры безопасности | |||
A.6.2.2 | Рассмотрение вопросов безопасности при работе с клиентами | Перед предоставлением клиентам права доступа к информации или активам организации необходимо определить и внедрить меры безопасности | |||
A.6.2.3 | Рассмотрение требований безопасности в соглашениях со сторонними организациями | Соглашения со сторонними организациями должны содержать все требования безопасности, включающие в себя правила доступа к процессам обработки, передачи информации или к управлению информацией или средствами обработки информации организации, а также и в случае приобретения дополнительных программных продуктов или организации сервисного обслуживания средств обработки информации | |||
А.7 Управление активами | |||||
А.7.1 Ответственность за защиту активов организации | |||||
Цель: Обеспечивать соответствующую защиту активов организации | |||||
A.7.1.1 | Инвентаризация активов | Опись всех важных активов организации должна быть составлена и актуализирована | |||
A.7.1.2 | Владение активами | Вся информация и активы, связанные со средствами обработки информации, должны иметь назначенного во владение представителя организации | |||
_______________
| |||||
A.7.1.3 | Приемлемое использование активов | Правила безопасного использования информации и активов, связанных со средствами обработки информации, должны быть определены, документированы и реализованы | |||
А.7.2 Классификация информации | |||||
Цель: Обеспечить уверенность в том, что информация защищена на надлежащем уровне | |||||
A.7.2.1 | Основные принципы классификации | Информация должна быть классифицирована исходя из правовых требований, ее конфиденциальности, а также ценности и критичности для организации | |||
A.7.2.2 | Маркировка и обработка информации | В соответствии с принятой в организации системой классификации должна быть разработана и реализована совокупность процедур маркировки и обработки информации | |||
А.8 Правила безопасности, связанные с персоналом | |||||
А.8.1 Перед трудоустройством ________________
| |||||
A.8.1.1 | Функции и обязанности персонала по обеспечению безопасности | Функции и обязанности персонала по обеспечению безопасности сотрудников, подрядчиков и пользователей сторонней организации должны быть определены и документированы в соответствии с требованиями информационной безопасности | |||
A.8.1.2 | Проверка при приеме на работу | Проверка всех кандидатов на постоянную работу, подрядчиков и пользователей сторонней организации должна быть проведена в соответствии с законами, инструкциями и правилами этики, с учетом требований бизнеса, характера информации, к которой будет осуществлен их доступ, и предполагаемых рисков | |||
A.8.1.3 | Условия трудового договора | Сотрудники, подрядчики и пользователи сторонней организации должны согласовать и подписать условия своего трудового договора, в котором установлены их ответственность и ответственность организации относительно информационной безопасности | |||
А.8.2 Работа по трудовому договору | |||||
A.8.2.1 | Обязанности руководства | Руководство организации должно требовать, чтобы сотрудники, подрядчики и пользователи сторонней организации были ознакомлены с правилами и процедурами обеспечения мер безопасности в соответствии с установленными требованиями | |||
A.8.2.2 | Осведомленность, обучение и переподготовка в области информационной безопасности | Все сотрудники организации и, при необходимости, подрядчики и пользователи сторонних организаций должны проходить соответствующее обучение и переподготовку в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций | |||
A.8.2.3 | Дисциплинарная практика | К сотрудникам, совершившим нарушение требований безопасности, должна быть применена дисциплинарная практика, установленная в организации | |||
А.8.3 Увольнение или изменение трудового договора | |||||
A.8.3.1 | Ответственность по окончании действия трудового договора | Ответственность по окончании действия трудового договора должна быть четко определена и установлена | |||
A.8.3.2 | Возврат активов | Сотрудники, подрядчики и пользователи сторонней организации обязаны вернуть все активы организации, находящиеся в их пользовании (владении), по истечении срока действия трудового договора или соглашения (увольнение) | |||
A.8.3.3 | Аннулирование прав доступа | Права доступа к информации и средствам обработки информации сотрудников, подрядчиков и пользователей сторонней организации должны быть аннулированы или уточнены по окончании действия трудового договора (увольнение) | |||
А.9 Физическая защита и защита от воздействия окружающей среды | |||||
А.9.1 Охраняемые зоны | |||||
A.9.1.1 | Периметр охраняемой зоны | Для защиты зон, где имеются информация и средства обработки информации, должны быть использованы периметры охраняемых зон (барьеры, такие как стены, проходные, оборудованные средствами контроля входа по идентификационным карточкам, или, где предусмотрен, контроль сотрудника регистрационной стойки) | |||
A.9.1.2 | Контроль доступа в охраняемую зону | Охраняемая зона должна быть защищена соответствующими средствами контроля входа, предполагающими обеспечить уверенность в том, что только авторизованный персонал может получить доступ в зону | |||
A.9.1.3 | Обеспечение безопасности зданий, производственных помещений и оборудования | Требования к обеспечению физической безопасности зданий, производственных помещений и оборудования должны быть разработаны и реализованы | |||
A.9.1.4 | Защита от внешних угроз и угроз со стороны окружающей среды | Требования к обеспечению физической защиты зданий, производственных помещений и оборудования от нанесения ущерба в результате пожара, наводнения, землетрясения, взрыва, общественных беспорядков и других природных и антропогенных факторов должны быть разработаны и реализованы | |||
A.9.1.5 | Выполнение работ в охраняемых зонах | Требования по физической защите и рекомендации по выполнению работ в охраняемых зонах должны быть разработаны и реализованы в инструкциях | |||
A.9.1.6 | Зоны общественного доступа, приема и отгрузки материальных ценностей | Места доступа, такие как зоны приема, отгрузки материальных ценностей и другие места, где неавторизованные лица могут проникнуть в помещения, должны быть под контролем и, по возможности, должны быть изолированы от средств обработки информации во избежание несанкционированного доступа | |||
А.9.2 Безопасность оборудования | |||||
A.9.2.1 | Размещение и защита оборудования | Оборудование должно быть размещено и защищено так, чтобы уменьшить риски от воздействия окружающей среды и возможности несанкционированного доступа | |||
A.9.2.2 | Вспомогательные услуги | Оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с отказами в обеспечении вспомогательных услуг | |||
A.9.2.3 | Безопасность кабельной сети | Силовые и телекоммуникационные кабельные сети, по которым передаются данные или поддерживаются информационные услуги, необходимо защищать от перехвата информации или повреждения | |||
A.9.2.4 | Техническое обслуживание оборудования | Должно проводиться надлежащее регулярное техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и сохранности | |||
A.9.2.5 | Обеспечение безопасности оборудования, используемого вне помещений организации | При обеспечении безопасности оборудования, используемого вне места его постоянной эксплуатации, должны быть учтены различные риски, связанные с работой вне помещений организации | |||
A.9.2.6 | Безопасная утилизация или повторное использование оборудования | Все компоненты оборудования, содержащие носители данных, должны быть проверены с целью удостовериться в том, что любые конфиденциальные данные и лицензионное программное обеспечение были удалены или скопированы безопасным образом до их утилизации (списания) | |||
A.9.2.7 | Вынос имущества с территории организации | Оборудование, информацию или программное обеспечение допускается выносить из помещения организации только на основании соответствующего разрешения | |||
А.10 Управление средствами коммуникаций и их функционированием | |||||
А.10.1 Эксплуатация средств и ответственность | |||||
A.10.1.1 | Документирование операционных процедур эксплуатации | Операционные процедуры должны документироваться, поддерживаться и быть доступными для всех авторизованных пользователей | |||
A.10.1.2 | Управление изменениями | Изменения в конфигурациях средств обработки информации и системах должны быть контролируемыми | |||
A.10.1.3 | Разграничение обязанностей | Обязанности и области ответственности должны быть разграничены в целях снижения возможностей несанкционированной или непреднамеренной модификации, или нецелевого использования активов организации | |||
A.10.1.4 | Разграничение средств разработки, тестирования и эксплуатации | Средства разработки, тестирования и эксплуатации должны быть разграничены в целях снижения риска несанкционированного доступа или изменения операционной системы | |||
А.10.2 Управление поставкой услуг лицами и/или сторонними организациями | |||||
A.10.2.1 | Оказание услуг | Должна быть обеспечена уверенность в том, что меры управления информационной безопасностью, включенные в договор об оказании услуг сторонней организации, реализованы, функционируют и поддерживаются сторонней организацией | |||
A.10.2.2 | Мониторинг и анализ услуг, оказываемых сторонними лицами и/или организациями | Необходимо регулярно проводить мониторинг, аудит и анализ услуг, отчетов и актов, обеспечиваемых сторонней организацией | |||
A.10.2.3 | Изменения при оказании сторонними организациями услуг по обеспечению безопасности | Изменения при оказании услуг по обеспечению безопасности, включая внедрение и совершенствование существующих требований, процедур и мер обеспечения информационной безопасности, должны быть управляемыми с учетом оценки критичности систем и процессов бизнеса, а также результатов переоценки рисков | |||
А.10.3 Планирование производительности и загрузки систем | |||||
A.10.3.1 | Управление производительностью | Необходимо осуществлять прогнозирование, мониторинг и корректировку потребности мощности системы для обеспечения требуемой ее производительности | |||
A.10.3.2 | Приемка систем | Должны быть определены критерии принятия новых и модернизированных информационных систем, новых версий программного обеспечения, а также проведено тестирование систем в процессе их разработки и приемки | |||
А.10.4 Защита от вредоносного кода и мобильного кода | |||||
A.10.4.1 | Меры защиты от вредоносного кода | Должны быть реализованы меры по обнаружению, предотвращению проникновения и восстановлению после проникновения вредоносного кода, а также должны быть установлены процедуры обеспечения соответствующего оповещения пользователей | |||
A.10.4.2 | Меры защиты от мобильного кода | Там, где разрешено использование мобильного кода, конфигурация системы должна обеспечивать уверенность в том, что авторизованный мобильный код функционирует в соответствии с четко определенной политикой безопасности, а исполнение операции с использованием неавторизованного мобильного кода будет предотвращено | |||
А.10.5 Резервирование | |||||
A.10.5.1 | Резервирование информации | Резервные копии информации и программного обеспечения должны создаваться, проверяться и тестироваться на регулярной основе в соответствии с принятыми требованиями резервирования | |||
А.10.6 Управление безопасностью сети | |||||
A.10.6.1 | Средства контроля сети | Сети должны быть адекватно управляемыми и контролируемыми в целях защиты от угроз и поддержания безопасности систем и приложений, использующих сеть, включая информацию, передаваемую по сетям | |||
A.10.6.2 | Безопасность сетевых сервисов | Меры обеспечения безопасности, уровни обслуживания для всех сетевых услуг и требования управления должны быть определены и включены в любой договор о сетевых услугах независимо от того, предоставляются ли эти услуги своими силами или сторонней организацией | |||
А.10.7 Обращение с носителями информации | |||||
A.10.7.1 | Управление съемными носителями информации | Для управления съемными носителями информации должны существовать соответствующие процедуры | |||
A.10.7.2 | Утилизация носителей информации | Носители информации, когда в них больше нет необходимости, должны быть надежно и безопасно утилизированы с помощью формализованных процедур | |||
A.10.7.3 | Процедуры обработки информации | Для обеспечения защиты информации от несанкционированного раскрытия или неправильного использования необходимо установить процедуры обработки и хранения информации | |||
A.10.7.4 | Безопасность системной документации | Системная документация должна быть защищена от несанкционированного доступа | |||
А.10.8 Обмен информацией | |||||
A.10.8.1 | Политики и процедуры обмена информацией | Должны существовать формализованные процедуры, требования и меры контроля, обеспечивающие защиту обмена информацией при использовании связи всех типов | |||
A.10.8.2 | Соглашения по обмену информацией | Между организацией и сторонними организациями должны быть заключены соглашения по обмену информацией и программным обеспечением | |||
A.10.8.3 | Защита физических носителей информации при транспортировке | Носители информации должны быть защищены от несанкционированного доступа, неправильного использования или повреждения во время их транспортировки за пределами территории организации | |||
A.10.8.4 | Электронный обмен сообщениями | Информация, используемая в электронном обмене сообщениями, должна быть защищена надлежащим образом | |||
A.10.8.5 | Системы бизнес-информации | Требования и процедуры должны быть разработаны и внедрены для защиты информации, связанной с взаимодействием систем бизнес-информации | |||
А.10.9 Услуги электронной торговли | |||||
A.10.9.1 | Электронная торговля | Информация, используемая в электронной торговле, проходящая по общедоступным сетям, должна быть защищена от мошенничества, оспаривания контрактов, а также от несанкционированного разглашения и модификации | |||
A.10.9.2 | Трансакции в режиме реального времени (on-line) | Информация, используемая в трансакциях в режиме реального времени (on-line), должна быть защищена для предотвращения неполной передачи, неправильной маршрутизации, несанкционированного изменения сообщений, несанкционированного разглашения, несанкционированного копирования или повторного воспроизведения сообщений | |||
A.10.9.3 | Общедоступная информация | Информация, предоставляемая через общедоступную систему, должна быть защищена от несанкционированной модификации | |||
А.10.10 Мониторинг | |||||
A.10.10.1 | Ведение журналов аудита | Должны быть обеспечены ведение и хранение в течение определенного периода времени журналов аудита, регистрирующих действия пользователей, нештатные ситуации и события информационной безопасности, в целях помощи в будущих расследованиях и проведении мониторинга контроля доступа | |||
A.10.10.2 | Мониторинг использования средств обработки информации | Должны быть установлены процедуры, позволяющие вести мониторинг и регулярный анализ результатов мониторинга использования средств обработки информации | |||
A.10.10.3 | Защита информации журналов регистрации | Средства регистрации и информация журналов регистрации должны быть защищены от вмешательства и несанкционированного доступа | |||
A.10.10.4 | Журналы регистрации действий администратора и оператора | Действия системного администратора и системного оператора должны быть регистрируемыми | |||
A.10.10.5 | Регистрация неисправностей | Неисправности должны быть зарегистрированы, проанализированы и устранены | |||
A.10.10.6 | Синхронизация часов | Часы всех соответствующих систем обработки информации в пределах организации или охраняемой зоны должны быть синхронизированы с помощью единого источника точного времени | |||
А.11 Контроль доступа | |||||
А.11.1 Бизнес-требования к контролю доступа | |||||
A.11.1.1 | Политика контроля доступа | Политика контроля доступа должна быть установлена и документирована с учетом потребностей бизнеса и безопасности информации | |||
А.11.2 Управление доступом пользователей | |||||
A.11.2.1 | Регистрация пользователей | Должна быть установлена формализованная процедура регистрации и снятия с регистрации пользователей для предоставления и отмены доступа ко всем информационным системам и услугам | |||
A.11.2.2 | Управление привилегиями | Предоставление и использование привилегий должно быть ограниченным и контролируемым | |||
A.11.2.3 | Управление паролями пользователей | Предоставление паролей должно быть контролируемым посредством формализованного процесса управления | |||
A.11.2.4 | Пересмотр прав доступа пользователей | Руководство должно периодически осуществлять пересмотр прав доступа пользователей, используя формализованный процесс | |||
А.11.3 Ответственность пользователей | |||||
A.11.3.1 | Использование паролей | Пользователи должны соблюдать правила безопасности при выборе и использовании паролей | |||
A.11.3.2 | Оборудование, оставленное пользователем без присмотра | Пользователи должны обеспечивать соответствующую защиту оборудования, оставленного без присмотра | |||
A.11.3.3 | Правила "чистого стола" и "чистого экрана" | Должны быть приняты правила "чистого стола" для документов на бумажных носителях и сменных носителей данных, а также правила "чистого экрана" для средств обработки информации | |||
А.11.4 Контроль сетевого доступа | |||||
A.11.4.1 | Политика в отношении использования сетевых услуг | Пользователям следует предоставлять доступ только к тем услугам, по отношению к которым они специально были авторизованы | |||
A.11.4.2 | Аутентификация пользователей для внешних соединений | Для контроля доступа удаленных пользователей должны быть применены соответствующие методы аутентификации | |||
A.11.4.3 | Идентификация оборудования в сетях | Автоматическая идентификация оборудования должна рассматриваться как средство аутентификации соединений, осуществляемых с определенных мест и с определенным оборудованием | |||
A.11.4.4 | Защита диагностических и конфигурационных портов при удаленном доступе | Физический и логический доступ к портам конфигурации и диагностики должен быть контролируемым | |||
A.11.4.5 | Принцип разделения в сетях | В сетях должны быть применены принципы разделения групп информационных услуг, пользователей и информационных систем | |||
A.11.4.6 | Контроль сетевых соединений | Подключение пользователей к совместно используемым сетям, особенно к тем, которые выходят за территорию организации, необходимо ограничивать в соответствии с политикой контроля доступа и требованиями бизнес-приложений (см. А.11.1) | |||
A.11.4.7 | Контроль маршрутизации в сети | Должны быть внедрены средства управления и контроля маршрутизации в сети с целью исключить нарушения правил контроля доступа для бизнес-приложений, вызываемые соединениями и потоками информации | |||
А.11.5 Контроль доступа к операционной системе | |||||
A.11.5.1 | Безопасные процедуры регистрации | Контроль доступа к операционным системам должен быть обеспечен безопасной процедурой регистрации | |||
A.11.5.2 | Идентификация и аутентификация пользователя | Все пользователи должны иметь уникальные идентификаторы (ID) только для персонального использования, а для подтверждения заявленной личности пользователя должны быть выбраны подходящие методы аутентификации | |||
A.11.5.3 | Система управления паролями | Системы управления паролями должны быть интерактивными и обеспечивать высокое качество паролей | |||
A.11.5.4 | Использование системных утилит | Использование системных утилит, которые могут преодолеть средства контроля операционных систем и приложений, необходимо ограничивать и строго контролировать | |||
A.11.5.5 | Периоды бездействия в сеансах связи | Необходимо обеспечить завершение сеансов связи после определенного периода бездействия | |||
A.11.5.6 | Ограничение времени соединения | Ограничение времени соединения должно быть использовано для обеспечения дополнительной безопасности | |||
А.11.6 Контроль доступа к прикладным системам и информации | |||||
A.11.6.1 | Ограничения доступа к информации | Доступ к информации и функциям прикладных систем пользователей и обслуживающего персонала должен быть предоставлен только в соответствии с определенными политиками контроля доступа | |||
A.11.6.2 | Изоляция систем, обрабатывающих важную информацию | Системы, обрабатывающие важную информацию, должны иметь выделенную (изолированную) вычислительную среду | |||
А.11.7 Работа с переносными устройствами и работа в дистанционном режиме | |||||
A.11.7.1 | Работа с переносными устройствами | Необходимо иметь в наличии формализованную политику для защиты от рисков при использовании переносных устройств | |||
A.11.7.2 | Работа в дистанционном режиме | Для работы в дистанционном режиме необходимо разработать и реализовать политику, оперативные планы и процедуры | |||
А.12 Разработка, внедрение и обслуживание информационных систем | |||||
А.12.1 Требования к безопасности информационных систем | |||||
A.12.1.1 | Анализ и детализация требований безопасности | В формулировках требований бизнеса для новых информационных систем или совершенствования существующих должны быть детализированы требования безопасности | |||
А.12.2 Правильная обработка данных в приложениях | |||||
A.12.2.1 | Проверка достоверности входных данных | Входные данные для приложений должны быть подвергнуты процедуре подтверждения с целью установления их достоверности | |||
A.12.2.2 | Контроль обработки данных в приложениях | Для обнаружения искажений (ошибок или преднамеренных действий) при обработке информации в требования к функциям приложений должны быть включены требования по выполнению контрольных проверок | |||
A.12.2.3 | Целостность сообщений | Должны быть определены требования для обеспечения аутентичности и защиты целостности сообщений в приложениях, а также реализованы соответствующие средства контроля | |||
A.12.2.4 | Подтверждение достоверности выходных данных | Данные, выводимые из приложения, необходимо подвергать проверке на корректность, чтобы обеспечить уверенность в том, что обработка информации выполнена правильно | |||
А.12.3 Криптографические средства защиты | |||||
A.12.3.1 | Политика использования криптографических средств защиты | Должны быть разработаны и внедрены правила использования криптографических средств защиты информации | |||
A.12.3.2 | Управление ключами | Для реализации организацией криптографических методов защиты должна быть использована система управления ключами | |||
А.12.4 Безопасность системных файлов | |||||
A.12.4.1 | Контроль программного обеспечения, находящегося в промышленной эксплуатации | Необходимо обеспечить контроль за процессом внедрения программного обеспечения в промышленную эксплуатацию | |||
A.12.4.2 | Защита данных тестирования системы | Данные тестирования следует тщательно отбирать, защищать и контролировать | |||
A.12.4.3 | Контроль доступа к исходным кодам | Доступ к исходным кодам должен быть ограничен | |||
А.12.5 Безопасность в процессах разработки и поддержки | |||||
A.12.5.1 | Процедуры контроля изменений | Внесение изменений должно быть проверено с использованием соответствующих формализованных процедур контроля изменений | |||
A.12.5.2 | Технический анализ прикладных систем после внесения изменений в операционные системы | При внесении изменений в операционные системы необходимо провести анализ и тестирование критичных бизнес-приложений с целью удостовериться в отсутствии негативного влияния на работу и безопасность организации | |||
A.12.5.3 | Ограничения на внесение изменений в пакеты программ | Необходимо избегать модификаций пакетов программ, а все требуемые изменения должны подлежать строгому контролю | |||
A.12.5.4 | Утечка информации | Возможности для утечки информации должны быть предотвращены | |||
A.12.5.5 | Разработка программного обеспечения с привлечением сторонних организаций | Разработка программного обеспечения с привлечением сторонних организаций должна проводиться под контролем и при мониторинге организации | |||
А.12.6 Менеджмент технических уязвимостей | |||||
A.12.6.1 | Управление техническими уязвимостями | Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценивать опасность таких уязвимостей и принимать соответствующие меры по устранению связанного с ними риска | |||
А.13 Управление инцидентами информационной безопасности | |||||
А.13.1 Оповещение о нарушениях и недостатках информационной безопасности | |||||
A.13.1.1 | Оповещение о случаях нарушения информационной безопасности | О случаях нарушения информационной безопасности следует сообщать по соответствующим каналам управления незамедлительно, насколько это возможно | |||
A.13.1.2 | Оповещение о недостатках безопасности | Все сотрудники, подрядчики и пользователи сторонних организаций, пользующиеся информационными системами и услугами, должны незамедлительно сообщать о любых замеченных или предполагаемых нарушениях безопасности в системах или услугах | |||
А.13.2 Управление инцидентами информационной безопасности и его усовершенствование | |||||
A.13.2.1 | Ответственность и процедуры | Должны быть установлены ответственность руководства и процедуры, позволяющие обеспечить быстрое, эффективное и последовательное реагирование на инциденты информационной безопасности | |||
A.13.2.2 | Извлечение уроков из инцидентов информационной безопасности | Должны быть определены механизмы, позволяющие вести мониторинг и регистрацию инцидентов информационной безопасности по типам, объемам и стоимостям | |||
A.13.2.3 | Сбор доказательств | На случай, если инцидент информационной безопасности может привести к судебному разбирательству (гражданскому или уголовному) против лица или организации, информация должна быть собрана, сохранена и представлена согласно правилам оформления доказательств, изложенным в соответствующих документах | |||
А.14 Управление непрерывностью бизнеса | |||||
А.14.1 Вопросы информационной безопасности управления непрерывностью бизнеса | |||||
A.14.1.1 | Включение информационной безопасности в процесс управления непрерывностью бизнеса | Должен быть разработан и поддержан управляемый процесс обеспечения непрерывности бизнеса во всей организации с учетом требований информационной безопасности, необходимых для обеспечения непрерывности бизнеса организации | |||
A.14.1.2 | Непрерывность бизнеса и оценка риска | События, которые могут стать причиной прерывания бизнес-процессов, должны быть связаны с оценками вероятности и степени воздействия таких прерываний, а также с их последствиями для информационной безопасности | |||
A.14.1.3 | Разработка и внедрение планов непрерывности бизнеса, включающих в себя информационную безопасность | Должны быть разработаны и внедрены планы для поддержки или восстановления работы и обеспечения доступности информации на требуемом уровне и в требуемые сроки после прерывания или отказа критических бизнес-процессов | |||
A.14.1.4 | Структура плана обеспечения непрерывности бизнеса | Должна быть создана единая структура планов непрерывности бизнеса, позволяющая обеспечить непротиворечивость всех планов для последовательного выполнения всех требований к информационной безопасности и для расстановки приоритетов при тестировании и обслуживании | |||
A.14.1.5 | Тестирование, поддержка и пересмотр планов по обеспечению непрерывности бизнеса | Планы по обеспечению непрерывности бизнеса должны подлежать регулярному пересмотру и обновлению с целью обеспечить их актуальность и эффективность | |||
А.15 Соответствие требованиям | |||||
А.15.1 Соответствие правовым требованиям | |||||
A.15.1.1 | Определение применимых норм | Все применимые нормы, установленные законодательством и исполнительными органами власти, требования договорных обязательств и порядок их выполнения следует четко определить, документировать и поддерживать на актуальном уровне для каждой информационной системы и организации | |||
A.15.1.2 | Права на интеллектуальную собственность | Должны быть внедрены соответствующие процедуры для применения законодательных, регулирующих и контрактных требований к используемым материалам с учетом прав на интеллектуальную собственность, а также прав на использование программных продуктов, являющихся предметом частной собственности | |||
A.15.1.3 | Защита учетных записей организации | Важные учетные записи организации должны быть защищены от утраты, разрушения и фальсификации в соответствии с требованиями, установленными законами, документами органов исполнительной власти, контрактами и требованиями бизнеса | |||
A.15.1.4 | Защита данных и конфиденциальность персональной информации | Защита данных и конфиденциальность персональной информации должны быть обеспечены в соответствии с требованиями законов, нормативных актов и, где это применимо, в соответствии с положениями контрактов | |||
A.15.1.5 | Предотвращение нецелевого использования средств обработки информации | Должны быть применены меры контроля для предотвращения нецелевого использования средств обработки информации | |||
A.15.1.6 | Регулирование использования средств криптографической защиты | Средства криптографической защиты должны быть использованы в соответствии с законами, нормативными актами и соответствующими соглашениями | |||
А.15.2 Соответствие политикам и стандартам безопасности и техническое соответствие требованиям безопасности | |||||
A.15.2.1 | Соответствие политикам и стандартам безопасности | Руководители должны обеспечить, чтобы все процедуры безопасности в их сфере ответственности были выполнены правильно и соответствовали политикам и стандартам безопасности | |||
A.15.2.2 | Проверка технического соответствия требованиям безопасности | Информационные системы следует регулярно проверять на соответствие требованиям стандартов безопасности | |||
А.15.3 Вопросы аудита информационных систем | |||||
A.15.3.1 | Меры управления аудитом информационных систем | Требования и процедуры аудита, включающие в себя проверки операционных систем, необходимо тщательно планировать и согласовывать, чтобы свести к минимуму риск прерывания бизнес-процессов | |||
A.15.3.2 | Защита инструментальных средств аудита информационных систем | Доступ к инструментальным средствам аудита информационных систем необходимо защищать для предотвращения любой возможности их неправильного использования или компрометации | |||