Цели и средства управления, перечисленные в таблице А.1, непосредственно выводятся и подгоняются под цели и средства, перечисленные в разделах с 5 по 15 стандарта МОС/МЭК 17799:2005. Список из таблицы А.1 не является исчерпывающим, потому организация может предусмотреть дополнительные цели и средства управления. А перечисленные в данных таблицах необходимо выбрать как составляющий компонент СМИБ, определённой в 4.2.1.
Разделы МОС/МЭК 17799:2005 с 5 по 15 предусматривают руководство по внедрению и наилучшему использованию средств управления, определённых с пункта А.5 по пункт А.15.
Таблица A.1 – Цели и средства управления
A.5 Политика безопасности
A.5.1 Политика информационной безопасности
Цель: Обеспечить управление и поддержку руководством информационной безопасности в соответствии с бизнес-требованиями и важными законами и положениями.
A.5.1.1
Документ политики информационной безопасности
Средство управления
Политика информационной безопасности должна быть одобрена руководством, издана и передана все сотрудникам и важным сторонним организациям.
A.5.1.2
Пересмотр политики информационной безопасности
Средство управления
Необходимо проводить пересмотр политики безопасности в запланированные периоды либо в случае серьёзных изменений, чтобы убедиться в её пригодности, адекватности и эффективности.
A.6 Организация информационной безопасности
A.6.1 Внутренняя организация
Цель: управление информационной безопасностью в пределах организации.
A.6.1.1
Обязанности руководства по обеспечению информационной безопасности
Средство управления
Руководство должно активно поддерживать безопасность в пределах организации посредством чёткого управления, выполнения обязательств, явного распределения и уведомления об обязанностях по обеспечению безопасности.
A.6.1.2
Согласованность мероприятий по защите информации
Средство управления
Мероприятия по защите информации должны быть согласованы представителями различных отделов организации, занимающих наиболее ответственные должности.
A.6.1.3
Распределение обязанностей по защите информации
Средство управления
Все обязанности по обеспечению защиты информации должны быть чётко распределены.
A.6.1.4
Процесс утверждения средств обработки информации
Средства управления
Необходимо определить и задействовать процесс управления одобрением и утверждением новых средств обработки информации.
A. 6.1.5
Соглашения по конфиденциальности
Средства управления
Необходимо определить и постоянно пересматривать требования конфиденциальности или сокрытия соглашений, отражающих нужды организации в защите информации.
A. 6.1.6
Связь с ведомствами
Средства управления
Необходимо поддерживать соответствующие контакты с важными ведомствами.
A. 6.1.7
Связь с особо заинтересованными группами
Средства управления
Необходимо поддерживать соответствующие контакты с особо заинтересованными сторонами или другими форумами безопасности и профессиональными объединениями.
A. 6.1.8
Независимая проверка информационной безопасности
Средства управления
В запланированные периоды или в результате серьёзных изменений в безопасности, необходимо проводить независимую проверку методики управления информационной безопасностью в организации и её внедрения (напр., задачи управления, средства управления, политики, методологии и приёмы защиты информации).
A.6.2 Сторонние организации
Цель: Поддержать безопасность информации и средств обработки информации, которые доступны, обрабатываются, передаются или управляются сторонними организациями.
A.6.2.1
Определение рисков, связанных с привлечением сторонних организаций
Средства управления
Необходимо выявить риски безопасности информации и средств обработки информации, разработанных с привлечением сторонних организаций, а также определить соответствующие средства управления и внедрить их раньше, чем будет предоставлен доступ.
A. 6.2.2
Обеспечение безопасности во время работы с заказчиками
Средства управления
Необходимо обеспечить выполнение всех установленных требований безопасности раньше, чем заказчикам будет предоставлен доступ к информации или активам организации.
A. 6.2.3
Обеспечение безопасности при подписании соглашений со сторонними организациями
Средства управления
Соглашения с третьими лицами, затрагивающие доступ, обработку, передачу или управление информацией либо средствами обработки информации или же приложение других продуктов либо служб к средствам обработки информации должны накрывать все наиболее важные требования безопасности.
A.7 Asset management
A.7.1 Ответственность за активы
Цель: Достичь и поддерживать соответствующий уровень защиты активов организации.
A.7.1.1
Опись активов
Средство управления
Необходимо чётко идентифицировать все активы, провести инвентаризацию.
A.7.1.2
Владение активами
Средство управления
Вся информация и активы, связанные со средствами обработки информации должны 'числиться' 3) за a назначенным отделом организации.
A.7.1.3
Допустимое использование активов
Средство управления
Необходимо разработать, документально оформить и ввести правила использования информации и активов, связанных со средствами обработки информации.
A.7.2 Классификация информации
Цель: Обеспечить соответствующий уровень защищённости информации.
A.7.2.1
Руководства по классификации
Средство управления
Необходимо классифицировать информацию в зависимости от её ценности, юридических требований, критичности и необходимости для организации.
A.7.2.2
Маркирование и обработка информации
Средство управления
Необходимо классифицировать информацию в зависимости от её ценности, юридических требований, критичности и необходимости для организации.
A.8 Защита трудовых ресурсов
A.8.1 До наёма на работу4)Цель: Обеспечить понимание сотрудниками, подрядными и сторонними организациями своих обязательств, определить их пригодность к выполнению предполагаемой работы, сократить риск кражи, подделки, или неправильного обращения с аппаратурой.
A.8.1.1
Роли и обязанности
Средство управления
В соответствии с политикой информационной безопасности организации должны быть определены и документально оформлены роли и обязательства сотрудников, а также подрядных и сторонних организаций.
3) Объяснение: Термин «владелец» отождествляется с индивидом или субъектом, которая утверждена нести ответственность за контроль производства, развития, технического обслуживания, применения и безопасности активов. Термин «владелец» не означает, что персона действительно имеет какие-либо права собственности на актив.
4) Объяснение: Термин 'наём' употреблён в смысле: приём на работу сотрудников (на временной или постоянной основе), назначение на должность, перевод на другую должность, приём на работу по договору подряда, а также истечение срока действия этих договорённостей.
A.8.1.2
Фильтрация
Средство управления
Проверка личных данных всех кандидатов на работу в штате, по договору подряда либо в качестве сторонней организации должна проводиться в соответствии с соответствующими законами, положениями и нормами этики, пропорционально бизнес-требованиям, уровню доступа и осознаваемым рискам.
A.8.1.3
Сроки и условия приёма на работу
Средство управления
Неотъемлемая часть договорного обязательства – принятие условий приёма на работу, и подписание трудового контракта, устанавливающего обязанности сотрудников, работающих в штате, по договору подряда либо в сторонних организациях, а также самой организации по обеспечению информационной безопасности.
A.8.2 Непосредственная работа в организации
Цель: Обеспечитьосведомлённость всех штатных сотрудников, подрядных и сторонних организаций об угрозах и уязвимостях безопасности информации, их обязанностях и обязательствах; достаточность знаний для поддержки безопасности и сокращения риска ошибки человека.
A.8.2.1
Обязанности руководства
Средство управления
Руководство должно требовать от штатных сотрудников, подрядных и сторонних организаций осуществления функций защиты в соответствии с политиками и положениями, определёнными в организации.
A.8.2.2
Знание, образованность и обучение
Средство управления
Все штатные сотрудники организации, а в некоторых случаях и подрядные и сторонние организации должны постоянно повышать свою квалификацию, укреплять знания, иметь возможность своевременно ознакомиться с изменениями в политиках, методах, имеющих непосредственное отношение к их работе.
A.8.2.3
Дисциплинарные процедуры
Средство управления
Необходимо предусмотреть строгую дисциплинарную процедуру за нарушение сотрудником безопасности.
A.8.3 Истечение срока либо переход на другую должность
Цель: Обеспечить соблюдение определённого порядка при увольнении и переводе на другую должность штатных сотрудников, подрядных и сторонних организаций.
A.8.3.1
Обязанности при окончании срока работы по найму
Средство управления
Должны быть чётко прописаны обязанности сотрудников при окончании срока работы либо при переводе на другую должность.
A.8.3.2
Возврат активов
Средство управления
После окончания срока действия трудового контракта либо соглашения все штатные сотрудники организации, подрядные и сторонние организации обязаны вернуть все активы организации, находившиеся в их распоряжении.
A.8.3.3
Лишение прав доступа
Средство управления
После окончания срока действия трудового контракта или соглашения права доступа всех штатных сотрудников, подрядных и сторонних организаций к информации и средствам обработки информации должны быть ликвидированы либо настроены в соответствии с новой должностью.
A.9 Защита от несанкционированного физического доступа и природных катастроф
A.9.1 Зоны безопасности
Цель: Предотвратить несанкционированный физический доступ, повреждение и проникновение в помещение организации, вмешательство в работу с информацией.
A.9.1.1
Периметр физической безопасности
Средство управления
Для защиты участков хранения информации и средств её обработки необходимо использовать периметры безопасности (барьеры, такие как стены, таблетки, вахта).
A.9.1.2
Контроль проникновения в помещение
Средство управления
Для защиты зон безопасности необходимо контролировать доступ в помещение, обеспечив свободный вход лишь уполномоченным сотрудникам.
A.9.1.3
Организация защиты офисов, кабинетов и оборудования
Средство управления
Необходимо разработать и применить план физической защиты офисов, кабинетов, оборудования.
A.9.1.4
Защита от внешних угроз и угроз окружающей среды
Средство управления
Необходимо разработать и применить план физической защиты от пожара, потопа, землетрясения, взрыва, беспорядков среди граждан и других форм природных и искусственных катастроф.
A.9.1.5
Работа в безопасной зоне
Средство управления
Необходимо разработать и применить план и принципы физической защиты при работе в зонах безопасности.
A.9.1.6
Зоны общего доступа, доставки и погрузки
Средство управления
В точках доступа, таких как зона доставки и погрузки и других, куда могут проникнуть посторонние лица, необходимо контролировать помещение, а по возможности и очистить его от средств обработки информации, чтобы предотвратить несанкционированный доступ.
A.9.2 Безопасность оборудования
Цель: Предотвратить потерю, повреждение, воровство или рассекречивание активов и задержки в работе организации.
A.9.2.1
Размещение оборудования и его защита
Средство управления
Необходимо так размещать оборудование и организовывать его защиту, чтобы сократить последствия стихийных бедствий, а также предотвратить возможность несанкционированного доступа.
A.9.2.2
Вспомогательные службы
Средство управления
Оборудование необходимо защищать от сильных повреждений и поломок, обусловленных сбоями в работе коммунальных служб.
A.9.2.3
Безопасность кабельных сетей
Средство управления
Важные данные, передаваемые по линиям связи или информационные службы поддержки, должны быть защищены от перехвата или повреждения.
A.9.2.4
Тех. обслуживание оборудования
Средство управления
Для обеспечения пригодности и целостности оборудования необходимо правильно его эксплуатировать.
A.9.2.5
Безопасность выносного оборудования
Средство управления
Необходимо обеспечить защиту выносного оборудования с учётом различных рисков его эксплуатации вне помещения организации.
A.9.2.6
Передача оборудования или использование б/у оборудования
Средство управления
Необходимо проверять все комплектующие оборудования, содержащие средства хранения информации, чтобы убедиться в том, что засекреченные данные и лицензионное программное обеспечение были удалены либо безопасным образом переписаны до ликвидации/передачи оборудования.
A.9.2.7
Ликвидация оборудования
Средство управления
Оборудование, информация или ПО не должно уничтожаться без разрешения руководства.
A.10 Менеджмент обмена и оперирования информацией
A.10.1 Положения об эксплуатации и обязанности
Цель: Обеспечить корректное и безопасное использование средств обработки информации.
A.10.1.1
Документальное оформление техники эксплуатации
Средство управления
Техника эксплуатация должна быть документально оформлена, храниться и быть доступна всем нуждающимся в ней пользователям.
A.10.1.2
Менеджмент изменений
Средство управления
Необходимо контролировать модификации в средствах обработки информации и системах.
A.10.1.3
Разделение обязанностей
Средство управления
Должны быть разделены обязанности и сферы ответственности, чтобы сократить вероятность несанкционированной или непреднамеренной модификации или некорректного использования активов организации.
A.10.1.4
Разделение разрабатываемых, тестируемых и рабочих средств
Средство управления
Необходимо разделять разрабатываемые, тестируемые и рабочие средства, чтобы сократить риски несанкционированного доступа или модификации в рабочей системе.
A 10.2 Менеджмент поставки услуг третьими лицами
Цель: Установить и поддерживать соответствующий уровень информационной безопасности и поставки услуг при заключении договоров об оказании услуг поставки с третьими лицами.
A.10.2.1
Поставка услуг
Средство управления
Необходимо обеспечить достижение, осуществление и поддержку третьими лицами включённых в договор об оказании услуг уровней безопасности средств управления, описания задания и поставки.
A.10.2.2
Мониторинг и проверка работы третьих лиц
Средство управления
Работы, отчёты и записи, выполняемые третьими лицами должны постоянно контролироваться и проверяться, необходимо регулярно проводить аудиты.
A.10.2.3
Управление изменениями в работе третьих лиц
Средство управления
Изменениями в условиях работы, включая поддержку и совершенствование существующих политик информационной безопасности, методах и средствах управления, необходимо управлять с учётом критичности вовлечённых в работу бизнес- систем и процессов, а также оценок рисков.
A.10.3 Планирование и приёмка системы
Цель: Минимизировать риск отказа систем.
A.10.3.1
Менеджмент способностей
Средство управления
Необходимо контролировать и регулировать использование ресурсов, оценивать требования будущих способностей, чтобы обеспечить требуемые характеристики системы.
A.10.3.2
Приёмка системы
Средство управления
Должны быть установлены критерии приёмки новых информационных систем, обновлённых и новых версий, произведены необходимые испытания системы во время её разработки и до прёмки.
A.10.4 Защита от умышленных ошибок и лёгкости изменения в коде
Цель: Защитить целостность ПО и информации.
A.10.4.1
Меры против совершения умышленных ошибок в коде программы
Средство управления
Необходимо внедрить средства обнаружения, предотвращения и восстановления, чтобы обезопасить код от умышленных ошибок и знания пользователем соответствующих процедур.
A.10.4.2
Меры против лёгкости изменения кода программы
Средство управления
В случае разрешения использования простого кода необходимо убедиться в том, что разрешённый простой код выполняется в соответствии с чётко определённой политикой безопасности, в противном случае необходимо предотвратить выполнение простого кода.
A.10.5 Дублирование
Цель: Поддерживать целостность и доступность информации и средств обработки информации.
A.10.5.1
Дублирование информации
Средство управления
В соответствии с политикой резервного копирования необходимо регулярно делать и тестировать резервные копии информации и ПО.
А.10.6 Менеджмент безопасности сети
Цель: Обеспечить защиту информации в сетях и защиту поддерживающей инфраструктуры.
A.10.6.1
Средства управления работы сети
Средство управления
Необходимо соответствующим образом контролировать и управлять работой сети, чтобы обеспечить защиту от угроз, и поддержать безопасность систем и приложений, использующих сеть, а также безопасность передающейся информации.
A.10.6.2
Безопасность сетевых служб
Средство управления
Необходимо определить особенности защиты, уровни безопасности и требования менеджмента для всех сетевых служб, а также включать их в любые договоры оказания услуг связи, независимо от того, обеспечена работа этих служб силами организации либо внешними источниками.
A.10.7 Обращение с носителями информации
Цель: Предотвратить несанкционированное раскрытие, изменение, удаление или разрушение активов, предотвратить задержки в работе организации.
A.10.7.1
Менеджмент съёмных носителей информации
Средство управления
Необходимо предусмотреть процедуры работы с данными на съёмных носителях.
A.10.7.2
Уничтожение носителей информации
Средство управления
Необходимо предусмотреть строгие процедуры проведения безопасного уничтожения данных, когда отпадает в них необходимость.
A.10.7.3
Процедуры обработки информации
Средство управления
Чтобы защитить информацию от несанкционированного раскрытия или некорректного использования необходимо предусмотреть процедуры работы с данными и их хранения.
A.10.7.4
Безопасность системной документации
Средство управления
Необходимо обезопасить системную документацию от несанкционированного доступа.
A. 10.8 Обмен информацией
Цель: Обеспечить безопасность информации и ПО при обмене ими в пределах организации или со сторонними организациями.
A.10.8.1
Политики и процедуры обмена информацией
Средство управления
Необходимо предусмотреть политики, строгие процедуры и средства управления обменом информации, чтобы защитить данные при использовании различных средств связи.
A.10.8.2
Соглашения по обмену Exchange agreements
Средство управления
Необходимо заключить договоры по обмену информацией и ПО между организацией и внешними организациями.
A.10.8.3
Передаваемые физические носители информации Physical media in transit
Средство управления
Необходимо защищать носители информации от несанкционированного доступа, некорректного использования или порчи во время перевозки вне стен организации.
A.10.8.4
Электронный обмен сообщениями
Средство управления
Необходимо соответствующим образом защищать передаваемую в электронных сообщениях информацию.
A. 10.8.5
Информационные бизнес-системы
Средство управления
Необходимо разработать и привести в действие политики и процедуры для обеспечения защиты информации, использующейся при взаимодействии информационных бизнес-систем.
A.10.9 Электронные коммерческие услуги
Цель: Обеспечить безопасность электронных коммерческих служб и их безопасного использования.
A.10.9.1
Электронная коммерция
Средство управления
Необходимо защищать связанную с электронной коммерцией информацию, проходящую через сеть общего пользования, от мошенничества, споров по контракту и несанкционированного раскрытия и модификации.
A.10.9.2
Оперативные транзакции
Средство управления
Необходимо защищать передающуюся в режиме онлайн информацию, чтобы предотвратить незавершённую передачу, неправильное направление, несанкционированное изменение сообщений, раскрытие, копирование или воспроизведение информации.
A.10.9.3
Общественно-доступная информация
Средство управления
Необходимо защищать от несанкционированной модификации информацию, доступную для общего использования.
A.10.10 Мониторинг
Цель: Обнаружить несанкционированные попытки обработки информации.
A.10.10.1
Ведение контрольных журналов
Средство управления
Необходимо вести и хранить до установленного срока контрольные журналы, регистрирующие действия пользователей, исключительные события и инциденты в информационной безопасности, помогающие в будущем при расследованиях и мониторинге доступа.
A.10.10.2
Мониторинг использования системы
Средство управления
Необходимо разработать процедуры мониторинга использования средств обработки информации, регулярно просматривать результаты мониторинга действий.
A.10.10.3
Защита журналов регистрации
Средство управления
Средства регистрации и журналы регистрации должны быть защищены от несанкционированного доступа и использования.
A.10.10.4
Регистрация действий администраторов и операторов
Средство управления
Необходимо регистрировать все действия системного администратора и системных операторов.
A.10.10.5
Регистрация ошибок
Средство управления
Необходимо регистрировать и анализировать ошибки, предпринимать соответствующие меры.
A.10.10.6
Синхронизация времени
Средство управления
По установленному источнику точного времени необходимо синхронизировать время всех систем обработки информации в пределах организации либо области безопасности.
A.11 Управление доступом
A.11.1 Бизнес-требования управления доступом
Цель: Осуществлять управление доступом к информации.
A.11.1.1
Политика управления доступом
Средство управления
Политика управления доступом должна быть разработана, документирована, и должна пересматриваться исходя из бизнес-требований и требований безопасности для доступа.
A.11.2 Управление доступом пользователей
Цель: Обеспечить доступ авторизованных пользователей и предотвратить неавторизованный доступ к информационным системам.
A.11.2.1
Регистрация пользователей
Средство управления
Должна иметь место формальная процедура регистрации и отмены регистрации пользователей для предоставления и отмены доступа ко всем информационным системам и сервисам.
A.11.2.2
Управление привилегиями
Средство управления
Необходимо ограничивать и контролировать распределение и использование привилегий.
A.11.2.3
Управление паролями пользователей
Средство управления
Необходимо предусмотреть строгую процедуру управления назначением паролей.
A.11.2.4
Пересмотр прав доступа пользователей
Средство управления
Руководство должно регулярно пересматривать права доступа пользователей, следуя формальной процедуре.
A.11.3 Обязанности пользователей
Цель: Предотвратить доступ неавторизированных пользователей, а также компрометацию или хищение информации и средств обработки информации.
A.11.3.1
Использование паролей
Средство управления
При выборе и использовании паролей пользователи обязаны следовать инструкциям по безопасности.
A.11.3.2
Пользовательское оборудование, оставленное без присмотра
Средство управления
Пользователи должны обеспечить соответствующую защиту оборудованию, оставленному без присмотра.
A.11.3.3
Политика чистого экрана и рабочего места
Средство управления
Должна быть принята политика чистого рабочего места для бумаг и съемных носителей и политика чистого экрана для средств обработки информации.
A.11.4 Управление доступом по сети
Цель: Предотвратить неавторизованный доступ к сетевым сервисам.
A.11.4.1
Политика использования сетевых сервисов
Средство управления
Пользователям должен предоставляться доступ только к тем сервисам, которые им разрешено использовать.
A.11.4.2
Идентификация пользователей для внешних соединений
Средство управления
Для управления доступом удаленных пользователей должны использоваться соответствующие методы аутентификации.
A.11.4.3
Идентификация оборудования в сетях
Средство управления
Автоматическая идентификация оборудования должна рассматриваться как средство аутентификации соединений из определенных мест и оборудования.
A.11.4.4
Защита удаленных диагностических и конфигурационных портов
Средство управления
Необходимо управлять физическим и логическим доступом к диагностическим и конфигурационным портам.
A.11.4.5
Сегрегация в сетях
Средство управления
Группы информационных сервисов, пользователей и информационные системы должны быть сегрегированны в сетях.
A.11.4.6
Управление сетевыми соединениями
Средство управления
Для общих сетей, особенно тех, которые выходят за границы организации, должны быть ограничены возможности подсоединения пользователей к сети, наряду с политикой контроля доступа и требованиями бизнес-приложений (см. 11.1).
A.11.4.7
Управление сетевой маршрутизацией
Средство управления
Необходимо внедрять средства управления маршрутизацией в сетях, чтобы обеспечить, что компьютерные соединения и информационные потоки не противоречат политике управления доступом бизнес-приложений.
A.11.5 Управление доступом к операционным системам
Цель: Предотвратить неавторизованный доступ к операционным системам.
A.11.5.1
Процедуры защищенного входа в систему
Средство управления
Управление доступом к операционным системам должно осуществляться с помощью процедуры защищенного входа в систему.
A.11.5.2
Идентификация и аутентификация пользователей
Средство управления
Все пользователи должны иметь уникальный идентификатор (ID пользователя) только для их личного пользования, а также должна быть выбрана подходящая техника аутентификации для подтверждения заявленной личности пользователя.
A.11.5.3
Система управления паролями
Средство управления
Системы управления паролями должны быть интерактивны и должны обеспечивать качество паролей.
А.11.5.4
Использование системных утилит
Средство управления
Использование утилит, которые могут быть допущены к важнейшим средствам управления системой и приложениями, должно быть ограничено и полностью контролироваться.
А.11.5.5
Блокировка сессий по времени
Средство управления
Неактивные сессии должны завершаться по прошествии определенного времени бездействия.
А.11.5.6
Ограничение времени соединения
Средство управления
Необходимо использовать ограничения на время соединения для обеспечения дополнительной защиты для приложений с высоким уровнем риска.
А.11.6 Управление доступом к приложениям и информации
Цель: Предотвратить неавторизованный доступ к информации, содержащейся в системах приложений.
A.11.6.1
Ограничение доступа к информации
Средство управления
Доступ пользователей и обслуживающего персонала к информации и функциям системы приложений должен быть ограничен shall be restricted в соответствии с определенной политикой управления доступом.
A.11.6.2
Изоляция чувствительных участков системы
Средство управления
Чувствительные участки систем должны иметь выделенную (изолированную) вычислительную среду.
A.11.7 Мобильная вычислительная техника и телефония
Цель: Обеспечить защиту информации во время использования средств мобильной вычислительной техники и телефонии.
A.11.7.1
Мобильная вычислительная техника и коммуникации
Средство управления
Необходимо предусмотреть строгую политику безопасности, а также принять соответствующие мероприятия по безопасности для защиты от рисков, связанных с использованием средств мобильной вычислительной техники и коммуникации.
A.11.7.2
Работа по телефону
Средство управления
Должны быть разработаны и внедрены политика, операционные планы и процедуры для работы по телефону.
A.12 Приобретение, расширение и эксплуатация информационных систем
A.12.1 Требования безопасности информационных систем
Цель: обеспечить, чтобы безопасность являлась важной составляющей частью информационных систем.
A.12.1.1
Спецификация и анализ требований безопасности
Средство управления
Положения бизнес-требований для новых информационных систем или усовершенствований существующих информационных систем должны устанавливать требования для средств управления безопасностью.
A.12.2 Правильная обработка данных в приложении
Цель: Предотвратить ошибки, потери, неавторизованное изменение или неправильное использование информации в приложениях.
A.12.2.1
Проверка правильности входных данных
Средство управления
Необходимо производить проверку достоверности входных данных приложений, чтобы гарантировать правильность и соответствие данных.
A.12.2.2
Контроль внутренней обработки данных
Средство управления
Проверки правильности должны быть встроены в приложения для обнаружения какого-либо искажения информации из-за ошибок обработки или предумышленных действий.
A.12.2.3
Целостность сообщений
Средство управления
Необходимо идентифицировать требования для обеспечения достоверности и защиты целостности сообщений в приложениях, а также идентифицировать и внедрить соответствующие средства управления.
A.12.2.4
Проверка правильности выходных данных
Средство управления
Необходимо производить проверку достоверности входных данных приложений, чтобы гарантировать, что обработка хранимой информации является правильной и соответствующей обстоятельствам.
A.12.3 Средства криптографии
Цель: Защитить конфиденциальность, подлинность или целостность информации с помощью криптографических средств.
A.12.3.1
Политика использования средств криптографии
Средство управления
Для защиты информации необходимо разработать и внедрить политику использования средств криптографии.
A.12.3.2
Управление ключами
Средство управления
Необходимо наличие управления ключами для поддержки используемых в организации криптографических технологий.
A.12.4 Защита системных файлов
Цель: Обеспечить защиту системных файлов.
A.12.4.1
Управление программным обеспечением
Средство управления
Должны иметься процедуры для управления установкой программного обеспечения в операционных системах.
A.12.4.2
Защита тестовых данных системы
Средство управления
Тестовые данные должны быть выбраны тщательным образом, а также защищены и проверены.
A.12.4.3
Управление доступом к исходным кодам программ
Средство управления
Необходимо ограничить доступ к исходным кодам программ.
A.12.5 Безопасность процессов разработки и поддержки
Цель: Поддерживать безопасность программного обеспечения прикладных систем и информации.
A.12.5.1
Процедуры контроля изменений
Средство управления
Необходимо контролировать внесение изменений, используя формальные процедуры контроля изменений.
A.12.5.2
Специальный осмотр программных приложений после изменений в операционной системе
Средство управления
После внесения изменений в операционные системы необходимо пересмотреть и протестировать критичные для бизнеса приложения, чтобы убедиться, что не было оказано неблагоприятного воздействия на деятельность или безопасность организации.
A.12.5.3
Ограничения на изменения пакетов программного обеспечения
Средство управления
Изменения пакетов программного обеспечения нужно избегать, ограничиться самыми необходимыми изменениями, а также все изменения должны строго контролироваться.
A.12.5.4
Утечка информации
Средство управления
Необходимо предотвратить возможности для утечки информации.
A.12.5.5
Аутсорцинговая разработка программного обеспечения
Средство управления
Организация должна заведовать и следить за аутсорцинговой разработкой программного обеспечения.
A.12.6 Управление техническими уязвимостями
Цель: Снизить риски, возникающие в результате использования опубликованных технических уязвимостей.
A.12.6.1
Контроль технических уязвимостей
Средство управления
Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценить подверженность организации воздействию данных угроз, а также принять соответствующие меры по сокращению связанных с ними рисков.
A.13 Менеджмент инцидентов информационной безопасности
A. 13.1 Оповещение о событиях и уязвимостях информационной безопасности
Цель: Обеспечить своевременное оповещение о событиях и уязвимостях информационной безопасности для принятия соответствующих корректирующих мер.
A.13.1.1
Оповещение о событиях информационной безопасности
Средство управления
Необходимо максимально быстро по соответствующим каналам передавать руководству информацию о событиях в информационной безопасности.
A.13.1.2
Оповещение об уязвимостях защиты
Средство управления
Необходимо требовать от всех штатных сотрудников, подрядных и сторонних организаций, работающих с информационными системами и службами, отслеживания и уведомления о наблюдаемой или подозрительной неустойчивости безопасности в информационных системах, службах.
A.13.2 Менеджмент инцидентов информационной безопасности и совершенствований
Цель: Обеспечить использование непротиворечивой и эффективной методики менеджмента инцидентов информационной безопасности.
A.13.2.1
Обязанности и механизмы работы
Средство управления
Должны быть определены обязанности и механизмы работы руководства, чтобы обеспечить быструю, эффективную и спокойную реакцию на инциденты информационной безопасности.
A.13.2.2
Изучение инцидентов информационной безопасности
Средство управления
Должны быть предусмотрены механизмы оценки и мониторинга типов, масштабов и ущерба от инцидентов информационной безопасности.
A.13.2.3
Сбор улик
Средство управления
В случаях, когда наказание индивида либо организации за случившийся инцидент безопасности требует правового вмешательства (либо привлечения к административной или уголовной ответственности), необходимо произвести сбор улик, сохранение их и представление их в соответствии с правилами сбора доказательств, установленными в соответствующих органах правосудия.
A.14 Управление непрерывностью бизнеса (бесперебойной работой организации)
A.14.1 Аспекты информационной безопасности при обеспечении непрерывности бизнеса
Цель: Нейтрализовать заминки при осуществлении бизнес-операций, защитить критичные бизнес-процессы от последствий крупных повреждений или аварий в информационных системах, обеспечить их своевременное восстановление.
A.14.1.1
Включение информационной безопасности в процесс управления непрерывностью бизнеса
Средство управления
Необходимо начать и поддерживать управляемый процесс обеспечения непрерывности бизнеса во всей организации, удовлетворяющий требованиям информационной безопасности, необходимым для обеспечения бесперебойной работы организации.
A.14.1.2
Непрерывность бизнеса и оценка рисков
Средство управления
Необходимо выявлять события, способные вызвать заминки в деловой деятельности организации, вероятность и ущерб таких промедлений, и их влияние на информационную безопасность.
A.14.1.3
Разработка и осуществление планов непрерывности бизнеса, включающих и обеспечение безопасности
Средство управления
Необходимо разрабатывать и обеспечивать выполнение планов поддержки и восстановления операций, обеспечивать требуемый уровень доступности информации после перебоев в работе или повреждений, критичных для осуществления деловых операций.
A.14.1.4
Схема планирования непрерывности бизнеса
Средство управления
Должна поддерживаться единая схема планирования непрерывности бизнеса, способная обеспечить непротиворечивость планов, последовательную обработку требований информационной безопасности, правильного определения первостепенных задач тестирования и поддержки.
A.14.1.5
Тестирование, поддержка и пересмотр планов непрерывности
Средство управления
Необходимо регулярно тестировать и обновлять планы непрерывности бизнеса, чтобы быть уверенными в их актуальности и эффективности.
A.15 Соответствие
A.15.1 Соответствие правовым требованиям
Objective: Избежать нарушения каких-либо законов, предписаний, регулятивных или договорных обязательств, а также каких-либо требований безопасности.
A.15.1.1
Идентификация соответствующего законодательства
Средство управления
Все соответствующие предписания, регулятивные и договорные требования и подход организации к удовлетворению этих требований должны быть подробно определены, документированы и поддерживаться актуальными для каждой информационной системы и организации.
A.15.1.2
Права интеллектуальной собственности (ПИС)
Средство управления
Необходимо выполнять соответствующие процедуры, гарантирующие соответствие законодательству, регулятивным и договорным требованиям при использовании материалов, на которые могут иметься права интеллектуальной собственности, а также при использовании запатентованного программного обеспечения.
A.15.1.3
Защита документов организации
Средство управления
Важные документы должны быть защищены от утери, уничтожения и фальсификации, в соответствии с предписаниями, регулятивными, договорными, и бизнес-требованиями.
A.15.1.4
Защита данных и конфиденциальность личной информации
Средство управления
Защита данных и конфиденциальность должны обеспечиваться в соответствии с требованиями соответствующего законодательства, инструкций, а также договорных статей.
A.15.1.5
Предотвращение злоупотребления средствами обработки информации processing facilities
Средство управления
Пользователи должны быть отстранены от использования средств обработки информации не по назначению.
A.15.1.6
Инструкции по применению средств криптографии
Средство управления
Средства криптографии должны использоваться в соответствии со всеми соответствующими соглашениями, законами и инструкциями.
A.15.2 Соответствие политике безопасности и стандартам, техническое соответствие
Цель: Обеспечить соответствие систем политике безопасности организации и стандартам.
A.15.2.1
Соответствие политике безопасности и стандартам
Средство управления
Для достижения соответствия политике безопасности и стандартам руководство должно гарантировать, что все процедуры безопасности на участке, за который оно ответственно, выполняются правильно.
A.15.2.2
Проверка технического соответствия
Средство управления
Необходимо регулярно проверять информационные системы на соответствие стандартам по внедрению безопасности.
A.15.3 Предположения аудита информационных систем
Цель: Максимизировать эффективность и минимизировать взаимное влияние между процессом аудита и информационными системами.
A.15.3.1
Средства управления аудитом информационных систем
Средство управления
Требования и аудиторская деятельность, включающая проверку операционных систем, должны быть тщательно спланированы и согласованы, чтобы минимизировать риск нарушения бизнес-процессов.
A.15.3.2
Защита инструментов проведения аудита информационных систем
Средство управления
Доступ к инструментам аудита информационных систем должен быть защищен во избежание любого злоупотребления или компрометации.
Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет
studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав!Последнее добавление