Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27001-2021 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2021 г. N 1653-ст)
- Приложение А (обязательное). Меры обеспечения информационной безопасности и цели их применения
Приложение А (обязательное). Меры обеспечения информационной безопасности и цели их применения
Приложение А
(обязательное)
Меры обеспечения информационной безопасности и цели их применения
Перечисленные в таблице А.1 цели, а также меры обеспечения информационной безопасности непосредственно заимствованы и полностью соответствуют целям, мерам и средствам информационной безопасности, приведенным в ИСО/МЭК 27002:2013 [1] (разделы 5-18), и должны быть использованы, как определено в 6.1.3.
Таблица А.1 - Меры обеспечения информационной безопасности и цели их применения
|
А.5 Политики информационной безопасности | ||
|
А.5.1 Руководящие указания в части информационной безопасности Цель: обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с требованиями бизнеса, соответствующих законов и нормативных актов | ||
|
А.5.1.1 |
Политики информационной безопасности |
Мера обеспечения информационной безопасности Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон |
|
А.5.1.2 |
Пересмотр политик информационной безопасности |
Мера обеспечения информационной безопасности Политики информационной безопасности должны пересматриваться через запланированные интервалы времени или в случае происходящих существенных изменений для обеспечения уверенности в сохранении их приемлемости, адекватности и результативности |
|
А.6 Организация деятельности по информационной безопасности | ||
|
А.6.1 Внутренняя организация деятельности по обеспечению информационной безопасности Цель: создать структуру органов управления для инициирования и контроля внедрения и функционирования информационной безопасности в организации | ||
|
А.6.1.1 |
Роли и обязанности по обеспечению информационной безопасности |
Мера обеспечения информационной безопасности Все обязанности по обеспечению информационной безопасности должны быть определены и распределены |
|
А.6.1.2 |
Разделение обязанностей |
Мера обеспечения информационной безопасности Пересекающиеся обязанности и зоны ответственности должны быть разделены для уменьшения возможности несанкционированного или непреднамеренного изменения или нецелевого использования активов организации |
|
А.6.1.3 |
Контакт с органами власти |
Мера обеспечения информационной безопасности Следует поддерживать соответствующие контакты с уполномоченными органами |
|
А.6.1.4 |
Взаимодействие с заинтересованными профессиональными группами |
Мера обеспечения информационной безопасности Следует поддерживать соответствующее взаимодействие с заинтересованными профессиональными группами и ассоциациями или форумами, проводимыми специалистами по безопасности |
|
А.6.1.5 |
Информационная безопасность при управлении проектом |
Мера обеспечения информационной безопасности Информационную безопасность следует рассматривать при управлении проектом независимо от типа проекта |
|
А.6.2 Мобильные устройства и дистанционная работа Цель: обеспечить безопасность при дистанционной работе и использовании мобильных устройств | ||
|
А.6.2.1 |
Политика использования мобильных устройств |
Мера обеспечения информационной безопасности Следует определить политику и реализовать поддерживающие меры безопасности для управления рисками информационной безопасности, связанными с использованием мобильных устройств |
|
А.6.2.2 |
Дистанционная работа |
Мера обеспечения информационной безопасности Следует определить политику и реализовать поддерживающие меры безопасности для защиты информации, доступ к которой, обработка или хранение осуществляются в местах дистанционной работы |
|
А.7 Безопасность, связанная с персоналом | ||
|
А.7.1 При приеме на работу Цель: обеспечить уверенность в том, что работники и подрядчики понимают свои обязанности и подходят для роли, на которую они рассматриваются | ||
|
А.7.1.1 |
Проверка |
Мера обеспечения информационной безопасности Проверку всех кандидатов при приеме на работу следует осуществлять согласно соответствующим законам, правилам и этическим нормам. Проверка должна быть соразмерна требованиям бизнеса, категории информации, которая будет доступна, и предполагаемым рискам информационной безопасности |
|
А.7.1.2 |
Правила и условия работы |
Мера обеспечения информационной безопасности В договорных соглашениях с работниками и подрядчиками должны быть установлены их обязанности и обязанности организации по обеспечению информационной безопасности |
|
А.7.2 Во время работы Цель: обеспечить уверенность в том, что работники и подрядчики осведомлены о своих обязанностях в отношении информационной безопасности и выполняют их | ||
|
А.7.2.1 |
Обязанности руководства организации |
Мера обеспечения информационной безопасности Руководство организации должно требовать от всех работников и подрядчиков соблюдения информационной безопасности в соответствии с установленными в организации политиками и процедурами |
|
А.7.2.2 |
Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности |
Мера обеспечения информационной безопасности Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей |
|
А.7.2.3 |
Дисциплинарный процесс |
Мера обеспечения информационной безопасности Должен существовать формализованный и доведенный до персонала дисциплинарный процесс по принятию мер в отношении работников, совершивших нарушение информационной безопасности |
|
А.7.3 Увольнение и смена места работы Цель: защита интересов организации при смене места работы или увольнении работника | ||
|
А.7.3.1 |
Прекращение или изменение трудовых обязанностей |
Мера обеспечения информационной безопасности Ответственность и обязанности, относящиеся к информационной безопасности, которые сохраняются после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и оформлены юридически |
|
А.8 Менеджмент активов | ||
|
А.8.1 Ответственность за активы Цель: идентификация активов организации и определение соответствующих обязанностей по их защите | ||
|
А.8.1.1 |
Инвентаризация активов |
Мера обеспечения информационной безопасности Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов 1) |
------------------------------
1)Пункт А.8.1.1 приведен с учетом технической правки 1 к ISO/IEC 27001:2013.
------------------------------
|
А.8.1.2 |
Владение активами |
Мера обеспечения информационной безопасности Для каждого актива, включенного в перечень инвентаризации, должен быть определен его владелец |
|
А.8.1.3 |
Допустимое использование активов |
Мера обеспечения информационной безопасности Должны быть идентифицированы, документально оформлены и реализованы правила допустимого использования активов, включая информацию и средства ее обработки |
|
А.8.1.4 |
Возврат активов |
Мера обеспечения информационной безопасности Все работники и внешние пользователи должны возвратить все активы организации, находящиеся в их пользовании, после увольнения, истечения срока действия договора или соглашения |
|
А.8.2 Категорирование информации Цель: обеспечить уверенность в том, что в отношении информации обеспечивается надлежащий уровень защиты в соответствии с ее значимостью для организации | ||
|
А.8.2.1 |
Категорирование информации |
Мера обеспечения информационной безопасности Информация должна быть категорирована с точки зрения нормативных правовых требований, ценности, критичности и чувствительности к неавторизованному раскрытию или модификации |
|
А.8.2.2 |
Маркировка информации |
Мера обеспечения информационной безопасности Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации |
|
А.8.2.3 |
Обращение с активами |
Мера обеспечения информационной безопасности Должны быть разработаны и реализованы процедуры обращения с активами в соответствии с принятой в организации системой категорирования информации |
|
А.8.3 Обращение с носителями информации Цель: предотвратить несанкционированное раскрытие, модификацию, удаление или уничтожение информации, хранящейся на носителях информации | ||
|
А.8.3.1 |
Управление сменными носителями информации |
Мера обеспечения информационной безопасности Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации |
|
А.8.3.2 |
Утилизация носителей информации |
Мера обеспечения информационной безопасности При выводе из эксплуатации носителей информации требуется их надежно и безопасно утилизировать, используя формализованные процедуры |
|
А.8.3.3 |
Перемещение физических носителей |
Мера обеспечения информационной безопасности Во время транспортирования носители информации, содержащие информацию, должны быть защищены от несанкционированного доступа, ненадлежащего использования или повреждения |
|
А.9 Управление доступом | ||
|
А.9.1 Требования бизнеса по управлению доступом Цель: ограничить доступ к информации и средствам ее обработки | ||
|
А.9.1.1 |
Политика управления доступом |
Мера обеспечения информационной безопасности Политика управления доступом должна быть разработана, документирована и должна пересматриваться с учетом требований бизнеса и информационной безопасности |
|
А.9.1.2 |
Доступ к сетям и сетевым сервисам |
Мера обеспечения информационной безопасности Пользователям следует предоставлять доступ только к тем сетям и сетевым сервисам, на использование которых они получили конкретное разрешение |
|
А.9.2 Процесс управления доступом пользователей Цель: обеспечить предоставление доступа уполномоченным пользователям и предотвратить несанкционированный доступ к системам и сервисам | ||
|
А.9.2.1 |
Регистрация и отмена регистрации пользователей |
Мера обеспечения информационной безопасности Для назначения прав доступа должна быть реализована формализованная процедура регистрации и отмены регистрации пользователей |
|
А.9.2.2 |
Предоставление пользователю права доступа |
Мера обеспечения информационной безопасности Должен быть реализован формализованный процесс назначения или отмены прав доступа пользователей к системам и сервисам |
|
А.9.2.3 |
Управление привилегированными правами доступа |
Мера обеспечения информационной безопасности Распределение и использование привилегированных прав доступа следует ограничивать и контролировать |
|
А.9.2.4 |
Процесс управления секретной аутентификационной информацией пользователей |
Мера обеспечения информационной безопасности Предоставление секретной аутентификационной информации должно контролироваться посредством формального процесса управления. |
|
А.9.2.5 |
Пересмотр прав доступа пользователей |
Мера обеспечения информационной безопасности Владельцы активов должны регулярно пересматривать права доступа пользователей |
|
А.9.2.6 |
Аннулирование или корректировка прав доступа |
Мера обеспечения информационной безопасности Права доступа всех работников и внешних пользователей к информации и средствам ее обработки должны быть аннулированы (после их увольнения, истечения срока действия договора или соглашения) либо скорректированы в случае необходимости |
|
А.9.3 Ответственность пользователей Цель: установить ответственность пользователей за защиту их аутентификационной информации | ||
|
А.9.3.1 |
Использование секретной аутентификационной информации |
Мера обеспечения информационной безопасности При использовании секретной аутентификационной информации пользователи должны выполнять установленные в организации правила |
|
А.9.4 Управление доступом к системам и приложениям Цель: предотвратить несанкционированный доступ к системам и приложениям. | ||
|
А.9.4.1 |
Ограничение доступа к информации |
Мера обеспечения информационной безопасности Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой управления доступом |
|
А.9.4.2 |
Безопасные процедуры входа в систему |
Мера обеспечения информационной безопасности Когда этого требует политика управления доступом, доступ к системам и приложениям должен управляться посредством безопасной процедуры входа в систему |
|
А.9.4.3 |
Система управления паролями |
Мера обеспечения информационной безопасности Системы управления паролями должны быть интерактивными и должны обеспечивать уверенность в качестве паролей |
|
А.9.4.4 |
Использование привилегированных служебных программ |
Мера обеспечения информационной безопасности Использование служебных программ, которые могли бы обойти меры обеспечения информационной безопасности систем и приложений, следует ограничивать и строго контролировать |
|
А.9.4.5 |
Управление доступом к исходному тексту программы |
Мера обеспечения информационной безопасности Доступ к исходному тексту программы должен быть ограничен |
|
А.10 Криптография | ||
|
А.10.1 Криптографическая защита информации Цель: обеспечить уверенность в надлежащем и эффективном использовании криптографии для защиты конфиденциальности, подлинности (аутентичности) и/или целостности информации | ||
|
А.10.1.1 |
Политика использования криптографических мер и средств защиты информации |
Мера обеспечения информационной безопасности Должна быть разработана и внедрена политика использования криптографических мер и средств для обеспечения защиты информации |
|
А.10.1.2 |
Управление ключами |
Мера обеспечения информационной безопасности Политика, определяющая использование, защиту и срок службы криптографических ключей, должна быть разработана и применяться на протяжении всего их жизненного цикла |
|
А.11 Физическая безопасность и защита от воздействия окружающей среды | ||
|
А.11.1 Зоны безопасности Цель: предотвратить несанкционированный физический доступ, повреждение и воздействие на информацию организации и средства ее обработки | ||
|
А.11.1.1 |
Физический периметр безопасности |
Мера обеспечения информационной безопасности Должны быть определены и использованы периметры безопасности для защиты зон, содержащих чувствительную или критическую информацию и средства ее обработки |
|
А.11.1.2 |
Меры и средства контроля и управления физическим доступом |
Мера обеспечения информационной безопасности Зоны безопасности должны быть защищены соответствующими мерами и средствами контроля доступа, чтобы обеспечить уверенность в том, что доступ разрешен только уполномоченному персоналу |
|
А.11.1.3 |
Безопасность зданий, помещений и оборудования |
Мера обеспечения информационной безопасности Должна быть разработана и реализована физическая защита зданий, помещений и оборудования |
|
А.11.1.4 |
Защита от внешних угроз и угроз со стороны окружающей среды |
Мера обеспечения информационной безопасности Должны быть разработаны и реализованы меры физической защиты от стихийных бедствий, злоумышленных атак или аварий |
|
А.11.1.5 |
Работа в зонах безопасности |
Мера обеспечения информационной безопасности Должны быть разработаны и применены процедуры для работы в зонах безопасности |
|
А.11.1.6 |
Зоны погрузки и разгрузки |
Мера обеспечения информационной безопасности Места доступа, например зоны погрузки и разгрузки, и другие места, где неуполномоченные лица могут проникать в помещения, должны находиться под контролем и, по возможности, должны быть изолированы от средств обработки информации во избежание несанкционированного доступа к ним |
|
А.11.2 Оборудование Цель: предотвратить потерю, повреждение, хищение или компрометацию активов и прерывание деятельности организации | ||
|
А.11.2.1 |
Размещение и защита оборудования |
Мера обеспечения информационной безопасности Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски информационной безопасности от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа |
|
А.11.2.2 |
Вспомогательные услуги |
Мера обеспечения информационной безопасности Оборудование должно быть защищено от сбоев электропитания и других сбоев, вызванных отказами в предоставлении вспомогательных услуг |
|
А.11.2.3 |
Безопасность кабельной сети |
Мера обеспечения информационной безопасности Кабели питания и телекоммуникационные кабели, используемые для передачи данных или для поддержки информационных сервисов, должны быть защищены от перехвата информации, помех или повреждения |
|
А.11.2.4 |
Техническое обслуживание оборудования |
Мера обеспечения информационной безопасности Должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной доступности и целостности |
|
А.11.2.5 |
Перемещение активов |
Мера обеспечения информационной безопасности Вынос оборудования, информации или программного обеспечения за пределы площадки эксплуатации без предварительного разрешения необходимо исключить |
|
А.11.2.6 |
Безопасность оборудования и активов вне помещений организации |
Мера обеспечения информационной безопасности Следует обеспечивать безопасность активов вне помещений организации, учитывая различные риски информационной безопасности, связанные с работой вне помещений организации |
|
А.11.2.7 |
Безопасная утилизация или повторное использование оборудования |
Мера обеспечения информационной безопасности Все компоненты оборудования, содержащие носители данных, необходимо проверять с целью обеспечения уверенности, что вся защищаемая информация и лицензионное программное обеспечение были удалены или перезаписаны безопасным образом до утилизации или повторного использования этих компонентов оборудования |
|
А.11.2.8 |
Оборудование, оставленное пользователем без присмотра |
Мера обеспечения информационной безопасности Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра |
|
А.11.2.9 |
Политика "чистого стола" и "чистого экрана" |
Мера обеспечения информационной безопасности Должна быть принята политика "чистого стола" в отношении бумажных документов и сменных носителей информации, а также политика "чистого экрана" для средств обработки информации |
|
А.12 Безопасность при эксплуатации | ||
|
А.12.1 Эксплуатационные процедуры и обязанности Цель: обеспечить надлежащую и безопасную эксплуатацию средств обработки информации | ||
|
А.12.1.1 |
Документально оформленные эксплуатационные процедуры |
Мера обеспечения информационной безопасности Эксплуатационные процедуры должны быть документированы и доступны всем нуждающимся в них пользователям |
|
А.12.1.2 |
Процесс управления изменениями |
Мера обеспечения информационной безопасности Необходимо обеспечить управление изменениями в организации, бизнес-процессах, средствах обработки информации и системах, влияющих на информационную безопасность |
|
А.12.1.3 |
Управление производительностью |
Мера обеспечения информационной безопасности Необходимо осуществлять мониторинг, корректировку и прогнозирование использования ресурсов, исходя из будущих требований к производительности, для обеспечения требуемой производительности системы |
|
А.12.1.4 |
Разделение сред разработки, тестирования и эксплуатации |
Мера обеспечения информационной безопасности Для снижения рисков несанкционированного доступа или изменений среды эксплуатации необходимо обеспечивать разделение сред разработки, тестирования и эксплуатации |
|
А.12.2 Защита от вредоносных программ Цель: обеспечивать уверенность в защите информации и средств обработки информации от вредоносных программ | ||
|
А.12.2.1 |
Меры обеспечения информационной безопасности в отношении вредоносных программ |
Мера обеспечения информационной безопасности Для защиты от вредоносных программ должны быть реализованы меры обеспечения информационной безопасности, связанные с обнаружением, предотвращением и восстановлением, в сочетании с соответствующим информированием пользователей |
|
А.12.3 Резервное копирование Цель: обеспечить защиту от потери данных | ||
|
А.12.3.1 |
Резервное копирование информации |
Мера обеспечения информационной безопасности В соответствии с политикой резервирования следует регулярно создавать и проверять резервные копии информации, программного обеспечения и образов системы |
|
А.12.4 Регистрация и мониторинг Цель: регистрация событий информационной безопасности и формирование свидетельств | ||
|
А.12.4.1 |
Регистрация событий |
Мера обеспечения информационной безопасности Требуется обеспечивать формирование, ведение и регулярный анализ регистрационных журналов, фиксирующих действия пользователей, нештатные ситуации, ошибки и события информационной безопасности |
|
А.12.4.2 |
Защита информации регистрационных журналов |
Мера обеспечения информационной безопасности Средства регистрации и информация регистрационных журналов должны быть защищены от фальсификации и несанкционированного доступа |
|
А.12.4.3 |
Регистрационные журналы действий администратора и оператора |
Мера обеспечения информационной безопасности Действия системного администратора и оператора системы следует регистрировать, а регистрационные журналы защищать и регулярно анализировать |
|
А.12.4.4 |
Синхронизация часов |
Мера обеспечения информационной безопасности Часы всех систем обработки информации в рамках организации или домена безопасности должны быть синхронизированы с единым эталонным источником времени |
|
А.12.5 Контроль программного обеспечения, находящегося в эксплуатации Цель: обеспечить уверенность в целостности систем, находящихся в эксплуатации | ||
|
А.12.5.1 |
Установка программного обеспечения в эксплуатируемых системах |
Мера обеспечения информационной безопасности Должны быть реализованы процедуры контроля установки программного обеспечения в системах, находящихся в эксплуатации |
|
А.12.6 Менеджмент технических уязвимостей Цель: предотвратить использование технических уязвимостей | ||
|
А.12.6.1 |
Процесс управления техническими уязвимостями |
Мера обеспечения информационной безопасности Должна быть своевременно получена информация о технических уязвимостях используемых информационных систем, оценена подверженность организации таким уязвимостям, и должны быть приняты соответствующие меры в отношении связанного с этим риска информационной безопасности |
|
А.12.6.2 |
Ограничения на установку программного обеспечения |
Мера обеспечения информационной безопасности Должны быть установлены и реализованы правила, регулирующие установку программного обеспечения пользователями |
|
А.12.7 Особенности аудита информационных систем Цель: минимизировать влияние аудиторской деятельности на функционирование систем, находящихся в эксплуатации | ||
|
А.12.7.1 |
Меры обеспечения информационной безопасности в отношении аудита информационных систем |
Мера обеспечения информационной безопасности Требования к процессу регистрации событий (аудиту) и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах |
|
А.13 Безопасность системы связи | ||
|
А.13.1 Менеджмент безопасности сетей Цель: обеспечить защиту информации в сетях и в образующих их средствах обработки информации | ||
|
А.13.1.1 |
Меры обеспечения информационной безопасности для сетей |
Мера обеспечения информационной безопасности Сети должны управляться и контролироваться для обеспечения защиты информации систем и приложений |
|
А.13.1.2 |
Безопасность сетевых сервисов |
Мера обеспечения информационной безопасности Механизмы обеспечения безопасности, уровни обслуживания и требования к управлению для всех сетевых сервисов должны быть идентифицированы и включены в соглашения по сетевым сервисам независимо от того, будут ли они обеспечиваться силами организации или осуществляться с использованием аутсорсинга |
|
А.13.1.3 |
Разделение в сетях |
Мера обеспечения информационной безопасности Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены |
|
А.13.2 Передача информации Цель: поддерживать безопасность информации, передаваемой как внутри организации, так и при обмене с любым внешним объектом и субъектом | ||
|
А.13.2.1 |
Политики и процедуры передачи информации |
Мера обеспечения информационной безопасности Должны существовать формализованные политики и процедуры передачи информации, а также соответствующие меры обеспечения информационной безопасности, обеспечивающие защиту информации, передаваемой с использованием всех видов средств связи |
|
А.13.2.2 |
Соглашения о передаче информации |
Мера обеспечения информационной безопасности Безопасная передача деловой информации между организацией и внешними сторонами должна быть определена соглашениями |
|
А.13.2.3 |
Электронный обмен сообщениями |
Мера обеспечения информационной безопасности Следует обеспечивать соответствующую защиту информации при электронном обмене сообщениями |
|
А.13.2.4 |
Соглашения о конфиденциальности или неразглашении |
Мера обеспечения информационной безопасности Требования в отношении соглашений о конфиденциальности или неразглашении, отражающие потребности организации в обеспечении защиты информации, должны быть идентифицированы, документально оформлены и регулярно пересматриваться |
|
А.14 Приобретение, разработка и поддержка систем | ||
|
А.14.1 Требования к безопасности информационных систем Цель: обеспечить уверенность в том, что информационная безопасность является неотъемлемой частью информационных систем на протяжении всего их жизненного цикла. Это также включает требования к информационным системам, предоставляющим услуги с использованием сетей общего пользования | ||
|
А.14.1.1 |
Анализ и спецификация требований информационной безопасности |
Мера обеспечения информационной безопасности Требования, относящиеся к информационной безопасности, должны быть включены в перечень требований для новых информационных систем или для усовершенствования существующих информационных систем |
|
А.14.1.2 |
Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования |
Мера обеспечения информационной безопасности Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации |
|
А.14.1.3 |
Защита транзакций прикладных сервисов |
Мера обеспечения информационной безопасности Информацию, используемую в транзакциях прикладных сервисов, следует защищать для предотвращения неполной передачи, ложной маршрутизации, несанкционированного изменения, раскрытия, дублирования или воспроизведения сообщений |
|
А.14.2 Безопасность в процессах разработки и поддержки Цель: обеспечить уверенность в том, что меры обеспечения информационной безопасности спроектированы и внедрены на всех стадиях жизненного цикла разработки информационных систем | ||
|
А.14.2.1 |
Политика безопасной разработки |
Мера обеспечения информационной безопасности Правила разработки программного обеспечения и систем должны быть установлены и применены к разработкам в рамках организации |
|
А.14.2.2 |
Процедуры управления изменениями системы |
Мера обеспечения информационной безопасности Необходимо управлять изменениями в системах в течение жизненного цикла разработки посредством применения формализованных процедур управления изменениями |
|
А.14.2.3 |
Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы |
Мера обеспечения информационной безопасности При внесении изменений в операционные платформы критически важные для бизнеса приложения должны быть проверены и протестированы, чтобы обеспечить уверенность в отсутствии неблагоприятного воздействия на деятельность или безопасность организации |
|
А.14.2.4 |
Ограничения на изменения пакетов программ |
Мера обеспечения информационной безопасности Следует избегать модификаций пакетов программ, ограничиваясь необходимыми изменениями, и строго контролировать все изменения |
|
А.14.2.5 |
Принципы безопасного проектирования систем |
Мера обеспечения информационной безопасности Принципы безопасного проектирования систем должны быть установлены, документированы, поддерживаться и применяться к любым работам по реализации информационной системы |
|
А.14.2.6 |
Безопасная среда разработки |
Мера обеспечения информационной безопасности Организация должна установить и надлежащим образом защищать безопасные среды разработки, используемые для разработки и интеграции систем на всех стадиях жизненного цикла разработки системы |
|
А.14.2.7 |
Разработка с использованием аутсорсинга |
Мера обеспечения информационной безопасности Организация должна осуществлять надзор и мониторинг разработки систем, выполняемой подрядчиками |
|
А.14.2.8 |
Тестирование безопасности систем |
Мера обеспечения информационной безопасности Тестирование функциональных возможностей безопасности должно осуществляться в процессе разработки |
|
А.14.2.9 |
Приемо-сдаточные испытания системы |
Мера обеспечения информационной безопасности Для новых информационных систем, обновлений и новых версий должны быть разработаны программы приемо-сдаточных испытаний и установлены связанные с ними критерии |
|
А.14.3 Тестовые данные Цель: обеспечить защиту данных, используемых для тестирования | ||
|
А.14.3.1 |
Защита тестовых данных |
Мера обеспечения информационной безопасности Тестовые данные следует тщательно выбирать, защищать и контролировать |
|
А.15 Взаимоотношения с поставщиками | ||
|
А.15.1 Информационная безопасность во взаимоотношениях с поставщиками Цель: обеспечить защиту активов организации, доступных поставщикам | ||
|
А.15.1.1 |
Политика информационной безопасности во взаимоотношениях с поставщиками |
Мера обеспечения информационной безопасности Требования информационной безопасности, направленные на снижение рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиком и документированы |
|
А.15.1.2 |
Рассмотрение вопросов безопасности в соглашениях с поставщиками |
Мера обеспечения информационной безопасности Все соответствующие требования информационной безопасности должны быть установлены и согласованы с каждым поставщиком, который может получить доступ к информации организации, обрабатывать, хранить, передавать информацию или предоставлять соответствующие компоненты ИТ-инфраструктуры |
|
А.15.1.3 |
Цепочка поставок информационно-коммуникационной технологии |
Мера обеспечения информационной безопасности Соглашения с поставщиками должны содержать требования по рассмотрению рисков информационной безопасности, связанных с цепочкой поставок продуктов и услуг информационно-коммуникационных технологий |
|
А.15.2 Управление услугами, предоставляемыми поставщиком Цель: поддерживать согласованный уровень информационной безопасности и предоставления услуг в соответствующих соглашениях с поставщиками | ||
|
А.15.2.1 |
Мониторинг и анализ услуг поставщика |
Мера обеспечения информационной безопасности Организация должна регулярно проводить мониторинг, проверку и аудит деятельности поставщика по предоставлению услуг |
|
А.15.2.2 |
Управление изменениями услуг поставщика |
Мера обеспечения информационной безопасности Требуется управлять изменениями в предоставляемых поставщиками услугах, включая поддержку и улучшение существующих политик, процедур, а также мер и средств информационной безопасности, с учетом категории информации бизнеса, задействованных систем и процессов, а также результатов переоценки рисков информационной безопасности |
|
А.16 Менеджмент инцидентов информационной безопасности | ||
|
А.16.1 Менеджмент инцидентов информационной безопасности и улучшений Цель: обеспечить последовательный и эффективный подход к менеджменту инцидентов информационной безопасности, включая обмен информацией о событиях безопасности и недостатках | ||
|
А.16.1.1 |
Обязанности и процедуры |
Мера обеспечения информационной безопасности Должны быть установлены обязанности и процедуры менеджмента для обеспечения уверенности в быстром, эффективном и надлежащем реагировании на инциденты информационной безопасности |
|
А.16.1.2 |
Сообщения о событиях информационной безопасности |
Мера обеспечения информационной безопасности Требуется как можно скорее сообщать о событиях информационной безопасности по соответствующим каналам управления |
|
А.16.1.3 |
Сообщения о недостатках информационной безопасности |
Мера обеспечения информационной безопасности Работники и подрядчики, использующие информационные системы и услуги организации, должны обращать внимание на любые замеченные или предполагаемые недостатки информационной безопасности в системах или сервисах и сообщать о них |
|
А.16.1.4 |
Оценка и принятие решений в отношении событий информационной безопасности |
Мера обеспечения информационной безопасности Должна быть проведена оценка событий информационной безопасности, и должно быть принято решение, следует ли их классифицировать как инциденты информационной безопасности |
|
А.16.1.5 |
Реагирование на инциденты информационной безопасности |
Мера обеспечения информационной безопасности Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документально оформленными процедурами |
|
А.16.1.6 |
Анализ инцидентов информационной безопасности |
Мера обеспечения информационной безопасности Знания, приобретенные в результате анализа и урегулирования инцидентов информационной безопасности, должны использоваться для уменьшения вероятности или влияния будущих инцидентов |
|
А.16.1.7 |
Сбор свидетельств |
Мера обеспечения информационной безопасности В организациях должны быть определены и применяться процедуры для идентификации, сбора, получения и сохранения информации, которая может использоваться в качестве свидетельств |
|
А.17 Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации | ||
|
А.17.1 Непрерывность информационной безопасности Цель: непрерывность обеспечения информационной безопасности должна быть неотъемлемой частью систем менеджмента непрерывности деятельности организации | ||
|
А.17.1.1 |
Планирование непрерывности информационной безопасности |
Мера обеспечения информационной безопасности Организация должна определить свои требования к информационной безопасности и менеджменту непрерывности информационной безопасности при неблагоприятных ситуациях, например во время кризиса или бедствия |
|
А.17.1.2 |
Реализация непрерывности информационной безопасности |
Мера обеспечения информационной безопасности Организация должна устанавливать, документировать, реализовывать и поддерживать процессы, процедуры, а также меры обеспечения требуемого уровня непрерывности информационной безопасности при неблагоприятных ситуациях |
|
А.17.1.3 |
Проверка, анализ и оценивание непрерывности информационной безопасности |
Мера обеспечения информационной безопасности Организация должна регулярно проверять установленные и реализованные меры обеспечения непрерывности информационной безопасности, чтобы обеспечить уверенность в их актуальности и эффективности при возникновении неблагоприятных ситуаций |
|
А.17.2 Резервирование оборудования Цель: обеспечить уверенность в доступности средств обработки информации | ||
|
А.17.2.1 |
Доступность средств обработки информации |
Мера обеспечения информационной безопасности Средства обработки информации должны быть внедрены с учетом резервирования, достаточного для выполнения требований доступности |
|
А.18 Соответствие | ||
|
А.18.1 Соответствие правовым и договорным требованиям Цель: избежать нарушений правовых и регулятивных требований или договорных обязательств, связанных с информационной безопасностью, и других требований безопасности | ||
|
А.18.1.1 |
Идентификация применимых законодательных и договорных требований |
Мера обеспечения информационной безопасности Все значимые для организации и каждой информационной системы правовые, регулятивные и договорные требования, а также подходы организации к выполнению этих требований должны быть четко определены, документированы и поддерживаться в актуальном состоянии как в отношении каждой информационной системы, так и в отношении организации в целом |
|
А.18.1.2 |
Права на интеллектуальную собственность |
Мера обеспечения информационной безопасности Должны быть реализованы соответствующие процедуры для обеспечения уверенности в соблюдении правовых, регулятивных и договорных требований, связанных с правами на интеллектуальную собственность и правами использования проприетарных программных продуктов |
|
А.18.1.3 |
Защита записей |
Мера обеспечения информационной безопасности Записи должны быть защищены от потери, уничтожения, фальсификации, несанкционированного доступа и разглашения, в соответствии с правовыми, регулятивными, договорными и бизнес-требованиями |
|
А.18.1.4 |
Конфиденциальность и защита персональных данных |
Мера обеспечения информационной безопасности Конфиденциальность и защита персональных данных должна обеспечиваться в соответствии с требованиями соответствующего законодательства и правилами там, где это применимо |
|
А.18.1.5 |
Регулирование криптографических мер и средств защиты информации |
Мера обеспечения информационной безопасности Криптографические меры обеспечения информационной безопасности должны использоваться с соблюдением требований всех соответствующих соглашений, правовых и регулятивных актов |
|
А.18.2 Проверки информационной безопасности Цель: обеспечить уверенность в том, что информационная безопасность реализована и эксплуатируется в соответствии с политикой и процедурами организации | ||
|
А.18.2.1 |
Независимая проверка информационной безопасности |
Мера обеспечения информационной безопасности Подход организации к менеджменту информационной безопасностью и ее реализация (т.е. цели, меры и средства, политики, процессы и процедуры информационной безопасности) следует проверять независимо друг от друга через запланированные интервалы времени или в случае значительных изменений |
|
А.18.2.2 |
Соответствие политикам и стандартам безопасности |
Мера обеспечения информационной безопасности Руководители, в пределах своей зоны ответственности, должны регулярно проверять соответствие процессов и процедур обработки информации соответствующим политикам безопасности, стандартам и другим требованиям безопасности |
|
А.18.2.3 |
Анализ технического соответствия |
Мера обеспечения информационной безопасности Информационные системы должны регулярно проверяться на предмет соответствия стандартам и политикам информационной безопасности организации |