Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 375-ст) (документ утратил силу)
- Приложение А. Цели и меры управления
Приложение А. Цели и меры управления
Приложение А
(рекомендуемое)
Цели и меры управления
Цели и меры управления, перечисленные в таблице А.1, непосредственно взяты из перечня целей и мер управления, приведенного в ИСО/МЭК 17799:2005, разделы 5-15, и полностью с ним согласованы. Перечень мер управления, содержащийся в данной таблице, не является исчерпывающим, и организация может рассмотреть необходимость дополнительных целей и мер управления. Выбор целей и мер управления и контроля, приведенных в таблице, должен быть осуществлен в соответствии с разделом 4.
В разделах 5-15 ИСО/МЭК 17799:2005 приведены рекомендации по реализации и указания с точки зрения передовой практики в отношении поддержки мер управления, изложенных в А.5-А.15.
|
Таблица А.1 - Цели и меры управления | ||||
|
А.5 Политика безопасности | ||||
|
А.5.1 Политика информационной безопасности | ||||
|
Цель: Обеспечить участие высшего руководства организации в решении вопросов, связанных с обеспечением информационной безопасности в соответствии с целями деятельности организации (бизнеса), законами и нормативными актами | ||||
|
А.5.1.1 |
Документирование политики информационной безопасности |
Политика информационной безопасности должна быть руководством утверждена, издана и доведена до сведения всех сотрудников организации, а также сторонних организаций |
||
|
А.5.1.2 |
Анализ политики информационной безопасности |
Политика информационной безопасности организации должна быть подвергнута анализу и пересмотру через заданные промежутки времени или при появлении существенных изменений характеристик целей безопасности |
||
|
А.6 Организация информационной безопасности | ||||
|
А.6.1 Внутренняя организация | ||||
|
Цель: Обеспечение управления информационной безопасностью в организации | ||||
|
А.6.1.1 |
Обязанности руководства по обеспечению информационной безопасности |
Руководство организации должно постоянно поддерживать заданный уровень информационной безопасности путем внедрения системы менеджмента, а также путем распределения обязанностей и ответственности персонала за ее обеспечение |
||
|
А.6.1.2 |
Координация вопросов обеспечения информационной безопасности |
Действия по обеспечению информационной безопасности должны координироваться представителями различных подразделений организации, имеющими соответствующие функции и должностные обязанности |
||
|
А.6.1.3 |
Распределение обязанностей по обеспечению информационной безопасности |
Обязанности персонала по обеспечению информационной безопасности должны быть четко определены |
||
|
А.6.1.4 |
Процедура получения разрешения на использование средств обработки информации |
Руководство должно определить и внедрить процедуры получения разрешения на использование новых средств обработки информации |
||
|
А.6.1.5 |
Соглашения о соблюдении конфиденциальности |
Руководство организации должно определять условия конфиденциальности или вырабатывать соглашения о неразглашении информации в соответствии с целями защиты информации и регулярно их пересматривать |
||
|
А.6.1.6 |
Взаимодействие с компетентными органами |
Руководство организации должно поддерживать взаимодействие с соответствующими компетентными органами |
||
|
А.6.1.7 |
Взаимодействие с ассоциациями и профессиональными группами |
Руководство организации должно поддерживать соответствующее взаимодействие с профессиональными группами, ассоциациями и участвовать (организовывать) в конференциях (форумах) специалистов в области информационной безопасности |
||
|
А.6.1.8 |
Независимая проверка (аудит) информационной безопасности |
Порядок организации и управления информационной безопасностью и ее реализация (например, изменение целей и мер управления, политики, процессов и процедур обеспечения информационной безопасности) должны быть подвергнуты независимой проверке (аудиту) через определенные промежутки времени или при появлении существенных изменений в способах реализации мер безопасности |
||
|
А.6.2 Обеспечение безопасности при наличии доступа сторонних организаций к информационным системам | ||||
|
Цель: Поддерживать безопасность информации и средств обработки информации организации при наличии доступа к ним сторонних организаций в процессах обработки и передачи этой информации | ||||
|
А.6.2.1 |
Определение рисков, связанных со сторонними организациями |
Перед предоставлением доступа сторонним организациям к информации и средствам ее обработки в процессе деятельности организации необходимо определять возможные риски для информации и средств ее обработки и реализовывать соответствующие им меры безопасности |
||
|
А.6.2.2 |
Рассмотрение вопросов безопасности при работе с клиентами |
Перед предоставлением клиентам права доступа к информации или активам организации необходимо определить и внедрить меры безопасности |
||
|
А.6.2.3 |
Рассмотрение требований безопасности в соглашениях со сторонними организациями |
Соглашения со сторонними организациями должны содержать все требования безопасности, включающие в себя правила доступа к процессам обработки, передачи информации или к управлению информацией или средствами обработки информации организации, а также и в случае приобретения дополнительных программных продуктов или организации сервисного обслуживания средств обработки информации |
||
|
А.7 Управление активами | ||||
|
А.7.1 Ответственность за защиту активов организации | ||||
|
Цель: Обеспечивать соответствующую защиту активов организации | ||||
|
А.7.1.1 |
Инвентаризация активов |
Опись всех важных активов организации должна быть составлена и актуализирована |
||
|
А.7.1.2 |
Владение активами |
Вся информация и активы, связанные со средствами обработки информации, должны иметь назначенного во владение* представителя организации |
||
|
А.7.1.3 |
Приемлемое использование активов |
Правила безопасного использования информации и активов, связанных со средствами обработки информации, должны быть определены, документированы и реализованы |
||
|
А.7.2 Классификация информации | ||||
|
Цель: Обеспечить уверенность в том, что информация защищена на надлежащем уровне | ||||
|
А.7.2.1 |
Основные принципы классификации |
Информация должна быть классифицирована исходя из правовых требований, ее конфиденциальности, а также ценности и критичности для организации |
||
|
А.7.2.2 |
Маркировка и обработка информации |
В соответствии с принятой в организации системой классификации должна быть разработана и реализована совокупность процедур маркировки и обработки информации |
||
|
А.8 Правила безопасности, связанные с персоналом | ||||
|
А.8.1 Перед трудоустройством** | ||||
|
Цель: Обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осознают свою ответственность и способны выполнять предусмотренные для них функции и снижать риск от воровства, мошенничества и нецелевого использования оборудования, а также от угроз безопасности информации | ||||
|
А.8.1.1 |
Функции и обязанности персонала по обеспечению безопасности |
Функции и обязанности персонала по обеспечению безопасности сотрудников, подрядчиков и пользователей сторонней организации должны быть определены и документированы в соответствии с требованиями информационной безопасности |
||
|
А.8.1.2 |
Проверка при приеме на работу |
Проверка всех кандидатов на постоянную работу, подрядчиков и пользователей сторонней организации должна быть проведена в соответствии с законами, инструкциями и правилами этики, с учетом требований бизнеса, характера информации, к которой будет осуществлен их доступ, и предполагаемых рисков |
||
|
А.8.1.3 |
Условие трудового договора |
Сотрудники, подрядчики и пользователи сторонней организации должны согласовать и подписать условия своего трудового договора, в котором установлены их ответственность и ответственность организации относительно информационной безопасности |
||
|
А.8.2 Работа по трудовому договору | ||||
|
Цель: Обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осведомлены об угрозах и проблемах информационной безопасности, об их ответственности и обязательствах, ознакомлены с правилами и обучены процедурам для поддержания мер безопасности организации при выполнении ими своих служебных обязанностей и для снижения риска человеческого фактора для информационной безопасности | ||||
|
А.8.2.1 |
Обязанности руководства |
Руководство организации должно требовать, чтобы сотрудники, подрядчики и пользователи сторонней организации были ознакомлены с правилами и процедурами обеспечения мер безопасности в соответствии с установленными требованиями |
||
|
А.8.2.2 |
Осведомленность, обучение и переподготовка в области информационной безопасности |
Все сотрудники организации и, при необходимости, подрядчики и пользователи сторонних организаций должны проходить соответствующее обучение и переподготовку в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций |
||
|
А.8.2.3 |
Дисциплинарная практика |
К сотрудникам, совершившим нарушение требований безопасности, должна быть применена дисциплинарная практика, установленная в организации |
||
|
А.8.3 Увольнение или изменение трудового договора | ||||
|
Цель: Обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации уведомлены об увольнении или изменении условий трудового договора в соответствии с установленным порядком | ||||
|
А.8.3.1 |
Ответственность по окончании действия трудового договора |
Ответственность по окончании действия трудового договора должна быть четко определена и установлена |
||
|
А.8.3.2 |
Возврат активов |
Сотрудники, подрядчики и пользователи сторонней организации обязаны вернуть все активы организации, находящиеся в их пользовании (владении), по истечении срока действия трудового договора или соглашения (увольнение) |
||
|
А.8.3.3 |
Аннулирование прав доступа |
Права доступа к информации и средствам обработки информации сотрудников, подрядчиков и пользователей сторонней организации должны быть аннулированы или уточнены по окончании действия трудового договора (увольнение) |
||
|
А.9 Физическая защита и защита от воздействия окружающей среды | ||||
|
А.9.1 Охраняемые зоны | ||||
|
Цель: Предотвращать несанкционированные физический доступ, повреждение и воздействия на помещения и информацию организации | ||||
|
А.9.1.1 |
Периметр охраняемой зоны |
Для защиты зон, где имеются информация и средства обработки информации, должны быть использованы периметры охраняемых зон (барьеры, такие как стены, проходные, оборудованные средствами контроля входа по идентификационным карточкам, или, где предусмотрен, контроль сотрудника регистрационной стойки) |
||
|
А.9.1.2 |
Контроль доступа в охраняемую зону |
Охраняемая зона должна быть защищена соответствующими средствами контроля входа, предполагающими обеспечить уверенность в том, что только авторизованный персонал может получить доступ в зону |
||
|
А.9.1.3 |
Обеспечение безопасности зданий, производственных помещений и оборудования |
Требования к обеспечению физической безопасности зданий, производственных помещений и оборудования должны быть разработаны и реализованы |
||
|
А.9.1.4 |
Защита от внешних угроз и угроз со стороны окружающей среды |
Требования к обеспечению физической защиты зданий, производственных помещений и оборудования от нанесения ущерба в результате пожара, наводнения, землетрясения, взрыва, общественных беспорядков и других природных и антропогенных факторов должны быть разработаны и реализованы |
||
|
А.9.1.5 |
Выполнение работ в охраняемых зонах |
Требования по физической защите и рекомендации по выполнению работ в охраняемых зонах должны быть разработаны и реализованы в инструкциях |
||
|
А.9.1.6 |
Зоны общественного доступа, приема и отгрузки материальных ценностей |
Места доступа, такие как зоны приема, отгрузки материальных ценностей и другие места, где неавторизованные лица могут проникнуть в помещения, должны быть под контролем и, по возможности, должны быть изолированы от средств обработки информации во избежание несанкционированного доступа |
||
|
А.9.2 Безопасность оборудования | ||||
|
Цель: Предотвращать потерю, повреждение, хищение или компрометацию активов и прекращение деятельности организации | ||||
|
А.9.2.1 |
Размещение и защита оборудования |
Оборудование должно быть размещено и защищено так, чтобы уменьшить риски от воздействия окружающей среды и возможности несанкционированного доступа |
||
|
А.9.2.2 |
Вспомогательные услуги |
Оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с отказами в обеспечении вспомогательных услуг |
||
|
А.9.2.3 |
Безопасность кабельной сети |
Силовые и телекоммуникационные кабельные сети, по которым передаются данные или поддерживаются информационные услуги, необходимо защищать от перехвата информации или повреждения |
||
|
А.9.2.4 |
Техническое обслуживание оборудования |
Должно проводиться надлежащее регулярное техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и сохранности |
||
|
А.9.2.5 |
Обеспечение безопасности оборудования, используемого вне помещений организации |
При обеспечении безопасности оборудования, используемого вне места его постоянной эксплуатации, должны быть учтены различные риски, связанные с работой вне помещений организации |
||
|
А.9.2.6 |
Безопасная утилизация или повторное использование оборудования |
Все компоненты оборудования, содержащие носители данных, должны быть проверены с целью удостовериться в том, что любые конфиденциальные данные и лицензионное программное обеспечение были удалены или скопированы безопасным образом до их утилизации (списания) |
||
|
А.9.2.7 |
Вынос имущества с территории организации |
Оборудование, информацию или программное обеспечение допускается выносить из помещения организации только на основании соответствующего разрешения |
||
|
А.10 Управление средствами коммуникаций и их функционированием | ||||
|
А.10.1 Эксплуатация средств и ответственность | ||||
|
Цель: Обеспечить надлежащее и безопасное функционирование средств обработки информации | ||||
|
А.10.1.1 |
Документирование операционных процедур эксплуатации |
Операционные процедуры должны документироваться, поддерживаться и быть доступными для всех авторизованных пользователей |
||
|
А.10.1.2 |
Управление изменениями |
Изменения в конфигурациях средств обработки информации и системах должны быть контролируемыми |
||
|
А.10.1.3 |
Разграничение обязанностей |
Обязанности и области ответственности должны быть разграничены в целях снижения возможностей несанкционированной или непреднамеренной модификации, или нецелевого использования активов организации |
||
|
А.10.1.4 |
Разграничение средств разработки, тестирования и эксплуатации |
Средства разработки, тестирования и эксплуатации должны быть разграничены в целях снижения риска несанкционированного доступа или изменения операционной системы |
||
|
А.10.2 Управление поставкой услуг лицами и/или сторонними организациями | ||||
|
Цель: Реализовать и поддерживать требуемый уровень информационной безопасности и оказания услуг в соответствии с договорами об оказании услуг сторонними организациями (внешними лицами и/или организациями) | ||||
|
А.10.2.1 |
Оказание услуг |
Должна быть обеспечена уверенность в том, что меры управления информационной безопасностью, включенные в договор об оказании услуг сторонней организации, реализованы, функционируют и поддерживаются сторонней организацией |
||
|
А.10.2.2 |
Мониторинг и анализ услуг, оказываемых сторонними лицами и/или организациями |
Необходимо регулярно проводить мониторинг, аудит и анализ услуг, отчетов и актов, обеспечиваемых сторонней организацией |
||
|
А.10.2.3 |
Изменения при оказании сторонними организациями услуг по обеспечению безопасности |
Изменения при оказании услуг по обеспечению безопасности, включая внедрение и совершенствование существующих требований, процедур и мер обеспечения информационной безопасности, должны быть управляемыми с учетом оценки критичности систем и процессов бизнеса, а также результатов переоценки рисков |
||
|
А.10.3 Планирование производительности и загрузки систем | ||||
|
Цель: Свести к минимуму риск сбоев в работе систем | ||||
|
А.10.3.1 |
Управление производительностью |
Необходимо осуществлять прогнозирование, мониторинг и корректировку потребности мощности системы для обеспечения требуемой ее производительности |
||
|
А.10.3.2 |
Приемка систем |
Должны быть определены критерии принятия новых и модернизированных информационных систем, новых версий программного обеспечения, а также проведено тестирование систем в процессе их разработки и приемки |
||
|
А.10.4 Защита от вредоносного кода и мобильного кода | ||||
|
Цель: Защищать целостность программного обеспечения и массивов информации | ||||
|
А.10.4.1 |
Меры защиты от вредоносного кода |
Должны быть реализованы меры по обнаружению, предотвращению проникновения и восстановлению после проникновения вредоносного кода, а также должны быть установлены процедуры обеспечения соответствующего оповещения пользователей |
||
|
А.10.4.2 |
Меры защиты от мобильного кода |
Там, где разрешено использование мобильного кода, конфигурация системы должна обеспечивать уверенность в том, что авторизованный мобильный код функционирует в соответствии с четко определенной политикой безопасности, а исполнение операции с использованием неавторизованного мобильного кода будет предотвращено |
||
|
А.10.5 Резервирование | ||||
|
Цель: Поддерживать целостность и доступность информации и средств обработки информации | ||||
|
А.10.5.1 |
Резервирование информации |
Резервные копии информации и программного обеспечения должны создаваться, проверяться и тестироваться на регулярной основе в соответствии с принятыми требованиями резервирования |
||
|
А. 10.6 Управление безопасностью сети | ||||
|
Цель: Обеспечить защиту информации в сетях и защиту поддерживающей инфраструктуры | ||||
|
А.10.6.1 |
Средства контроля сети |
Сети должны быть адекватно управляемыми и контролируемыми в целях защиты от угроз и поддержания безопасности систем и приложений, использующих сеть, включая информацию, передаваемую по сетям |
||
|
А.10.6.2 |
Безопасность сетевых сервисов |
Меры обеспечения безопасности, уровни обслуживания для всех сетевых услуг и требования управления должны быть определены и включены в любой договор о сетевых услугах независимо от того, предоставляются ли эти услуги своими силами или сторонней организацией |
||
|
А.10.7 Обращение с носителями информации | ||||
|
Цель: Предотвратить несанкционированное разглашение, модификацию, удаление или уничтожение активов и прерывание бизнес-процессов | ||||
|
А.10.7.1 |
Управление съемными носителями информации |
Для управления съемными носителями информации должны существовать соответствующие процедуры |
||
|
А.10.7.2 |
Утилизация носителей информации |
Носители информации, когда в них больше нет необходимости, должны быть надежно и безопасно утилизированы с помощью формализованных процедур |
||
|
А.10.7.3 |
Процедуры обработки информации |
Для обеспечения защиты информации от несанкционированного раскрытия или неправильного использования необходимо установить процедуры обработки и хранения информации |
||
|
А.10.7.4 |
Безопасность системной документации |
Системная документация должна быть защищена от несанкционированного доступа |
||
|
А. 10.8 Обмен информацией | ||||
|
Цель: Поддерживать безопасность информации и программного обеспечения при обмене внутри организации и со сторонними организациями | ||||
|
А.10.8.1 |
Политики и процедуры обмена информацией |
Должны существовать формализованные процедуры, требования и меры контроля, обеспечивающие защиту обмена информацией при использовании связи всех типов |
||
|
А.10.8.2 |
Соглашения по обмену информацией |
Между организацией и сторонними организациями должны быть заключены соглашения по обмену информацией и программным обеспечением |
||
|
А.10.8.3 |
Защита физических носителей информации при транспортировке |
Носители информации должны быть защищены от несанкционированного доступа, неправильного использования или повреждения во время их транспортировки за пределами территории организации |
||
|
А.10.8.4 |
Электронный обмен сообщениями |
Информация, используемая в электронном обмене сообщениями, должна быть защищена надлежащим образом |
||
|
А.10.8.5 |
Системы бизнес-информации |
Требования и процедуры должны быть разработаны и внедрены для защиты информации, связанной с взаимодействием систем бизнес-информации |
||
|
А.10.9 Услуги электронной торговли | ||||
|
Цель: Обеспечить безопасность услуг электронной торговли и их безопасное использование | ||||
|
А.10.9.1 |
Электронная торговля |
Информация, используемая в электронной торговле, проходящая по общедоступным сетям, должна быть защищена от мошенничества, оспаривания контрактов, а также от несанкционированного разглашения и модификации |
||
|
А.10.9.2 |
Трансакции в режиме реального времени (on-line) |
Информация, используемая в трансакциях в режиме реального времени (on-line), должна быть защищена для предотвращения неполной передачи, неправильной маршрутизации, несанкционированного изменения сообщений, несанкционированного разглашения, несанкционированного копирования или повторного воспроизведения сообщений |
||
|
А.10.9.3 |
Общедоступная информация |
Информация, предоставляемая через общедоступную систему, должна быть защищена от несанкционированной модификации |
||
|
А.10.10 Мониторинг | ||||
|
Цель: Обнаруживать несанкционированные действия, связанные с обработкой информации | ||||
|
А.10.10.1 |
Ведение журналов аудита |
Должны быть обеспечены ведение и хранение в течение определенного периода времени журналов аудита, регистрирующих действия пользователей, нештатные ситуации и события информационной безопасности, в целях помощи в будущих расследованиях и проведении мониторинга контроля доступа |
||
|
А.10.10.2 |
Мониторинг использования средств обработки информации |
Должны быть установлены процедуры, позволяющие вести мониторинг и регулярный анализ результатов мониторинга использования средств обработки информации |
||
|
А.10.10.3 |
Защита информации журналов регистрации |
Средства регистрации и информация журналов регистрации должны быть защищены от вмешательства и несанкционированного доступа |
||
|
А.10.10.4 |
Журналы регистрации действий администратора и оператора |
Действия системного администратора и системного оператора должны быть регистрируемыми |
||
|
А.10.10.5 |
Регистрация неисправностей |
Неисправности должны быть зарегистрированы, проанализированы и устранены |
||
|
А.10.10.6 |
Синхронизация часов |
Часы всех соответствующих систем обработки информации в пределах организации или охраняемой зоны должны быть синхронизированы с помощью единого источника точного времени |
||
|
А.11 Контроль доступа | ||||
|
А.11.1 Бизнес-требования к контролю доступа | ||||
|
Цель: Контролировать доступ к информации | ||||
|
А.11.1.1 |
Политика контроля доступа |
Политика контроля доступа должна быть установлена и документирована с учетом потребностей бизнеса и безопасности информации |
||
|
А. 11.2 Управление доступом пользователей | ||||
|
Цель: Предотвратить несанкционированный доступ пользователей к информационным системам и обеспечить авторизованный доступ пользователей к этим системам | ||||
|
А.11.2.1 |
Регистрация пользователей |
Должна быть установлена формализованная процедура регистрации и снятия с регистрации пользователей для предоставления и отмены доступа ко всем информационным системам и услугам |
||
|
А.11.2.2 |
Управление привилегиями |
Предоставление и использование привилегий должно быть ограниченным и контролируемым |
||
|
А.11.2.3 |
Управление паролями пользователей |
Предоставление паролей должно быть контролируемым посредством формализованного процесса управления |
||
|
А.11.2.4 |
Пересмотр прав доступа пользователей |
Руководство должно периодически осуществлять пересмотр прав доступа пользователей, используя формализованный процесс |
||
|
А.11.3 Ответственность пользователей | ||||
|
Цель: Предотвращать несанкционированный доступ пользователей, а также компрометацию или кражу информации и средств обработки информации | ||||
|
А.11.3.1 |
Использование паролей |
Пользователи должны соблюдать правила безопасности при выборе и использовании паролей |
||
|
А.11.3.2 |
Оборудование, оставленное пользователем без присмотра |
Пользователи должны обеспечивать соответствующую защиту оборудования, оставленного без присмотра |
||
|
А.11.3.3 |
Правила "чистого стола" и "чистого экрана" |
Должны быть приняты правила "чистого стола" для документов на бумажных носителях и сменных носителей данных, а также правила "чистого экрана" для средств обработки информации |
||
|
А.11.4 Контроль сетевого доступа | ||||
|
Цель: Предотвратить несанкционированный доступ к сетевым сервисам | ||||
|
А.11.4.1 |
Политика в отношении использования сетевых услуг |
Пользователям следует предоставлять доступ только к тем услугам, по отношению к которым они специально были авторизованы |
||
|
А.11.4.2 |
Аутентификация пользователей для внешних соединений |
Для контроля доступа удаленных пользователей должны быть применены соответствующие методы аутентификации |
||
|
А.11.4.3 |
Идентификация оборудования в сетях |
Автоматическая идентификация оборудования должна рассматриваться как средство аутентификации соединений, осуществляемых с определенных мест и с определенным оборудованием |
||
|
А.11.4.4 |
Защита диагностических и конфигурационных портов при удаленном доступе |
Физический и логический доступ к портам конфигурации и диагностики должен быть контролируемым |
||
|
А.11.4.5 |
Принцип разделения в сетях |
В сетях должны быть применены принципы разделения групп информационных услуг, пользователей и информационных систем |
||
|
А.11.4.6 |
Контроль сетевых соединений |
Подключение пользователей к совместно используемым сетям, особенно к тем, которые выходят за территорию организации, необходимо ограничивать в соответствии с политикой контроля доступа и требованиями бизнес-приложений (см. А.11.1) |
||
|
А.11.4.7 |
Контроль маршрутизации в сети |
Должны быть внедрены средства управления и контроля маршрутизации в сети с целью исключить нарушения правил контроля доступа для бизнес-приложений, вызываемые соединениями и потоками информации |
||
|
А.11.5 Контроль доступа к операционной системе | ||||
|
Цель: Предотвратить несанкционированный доступ к операционным системам | ||||
|
А.11.5.1 |
Безопасные процедуры регистрации |
Контроль доступа к операционным системам должен быть обеспечен безопасной процедурой регистрации |
||
|
А.11.5.2 |
Идентификация и аутентификация пользователя |
Все пользователи должны иметь уникальные идентификаторы (ID) только для персонального использования, а для подтверждения заявленной личности пользователя должны быть выбраны подходящие методы аутентификации |
||
|
А.11.5.3 |
Система управления паролями |
Системы управления паролями должны быть интерактивными и обеспечивать высокое качество паролей |
||
|
А.11.5.4 |
Использование системных утилит |
Использование системных утилит, которые могут преодолеть средства контроля операционных систем и приложений, необходимо ограничивать и строго контролировать |
||
|
А.11.5.5 |
Периоды бездействия в сеансах связи |
Необходимо обеспечить завершение сеансов связи после определенного периода бездействия |
||
|
А.11.5.6 |
Ограничение времени соединения |
Ограничение времени соединения должно быть использовано для обеспечения дополнительной безопасности |
||
|
А.11.6 Контроль доступа к прикладным системам и информации | ||||
|
Цель: Предотвратить несанкционированный доступ к прикладным системам и информации | ||||
|
А.11.6.1 |
Ограничения доступа к информации |
Доступ к информации и функциям прикладных систем пользователей и обслуживающего персонала должен быть предоставлен только в соответствии с определенными политиками контроля доступа |
||
|
А.11.6.2 |
Изоляция систем, обрабатывающих важную информацию |
Системы, обрабатывающие важную информацию, должны иметь выделенную (изолированную) вычислительную среду |
||
|
А.11.7 Работа с переносными устройствами и работа в дистанционном режиме | ||||
|
Цель: Обеспечить информационную безопасность при использовании переносных устройств и средств, необходимых для работы в дистанционном режиме | ||||
|
А.11.7.1 |
Работа с переносными устройствами |
Необходимо иметь в наличии формализованную политику для защиты от рисков при использовании переносных устройств |
||
|
А.11.7.2 |
Работа в дистанционном режиме |
Для работы в дистанционном режиме необходимо разработать и реализовать политику, оперативные планы и процедуры |
||
|
А.12 Разработка, внедрение и обслуживание информационных систем | ||||
|
А.12.1 Требования к безопасности информационных систем | ||||
|
Цель: Обеспечить уверенность в том, что безопасность является неотъемлемым свойством внедряемых информационных систем, и обеспечить выполнение требований безопасности при разработке и эксплуатации систем | ||||
|
А12.1.1 |
Анализ и детализация требований безопасности |
В формулировках требований бизнеса для новых информационных систем или совершенствования существующих должны быть детализированы требования безопасности |
||
|
А.12.2 Правильная обработка данных в приложениях | ||||
|
Цель: Предотвратить ошибки, потерю, несанкционированную модификацию или неправильное использование информации в приложениях | ||||
|
А.12.2.1 |
Проверка достоверности входных данных |
Входные данные для приложений должны быть подвергнуты процедуре подтверждения с целью установления их достоверности |
||
|
А.12.2.2 |
Контроль обработки данных в приложениях |
Для обнаружения искажений (ошибок или преднамеренных действий) при обработке информации в требования к функциям приложений должны быть включены требования по выполнению контрольных проверок |
||
|
А.12.2.3 |
Целостность сообщений |
Должны быть определены требования для обеспечения аутентичности и защиты целостности сообщений в приложениях, а также реализованы соответствующие средства контроля |
||
|
А.12.2.4 |
Подтверждение достоверности выходных данных |
Данные, выводимые из приложения, необходимо подвергать проверке на корректность, чтобы обеспечить уверенность в том, что обработка информации выполнена правильно |
||
|
А.12.3 Криптографические средства защиты | ||||
|
Цель: Защищать конфиденциальность, аутентичность или целостность информации криптографическими средствами | ||||
|
А.12.3.1 |
Политика использования криптографических средств защиты |
Должны быть разработаны и внедрены правила использования криптографических средств защиты информации |
||
|
А.12.3.2 |
Управление ключами |
Для реализации организацией криптографических методов защиты должна быть использована система управления ключами |
||
|
А.12.4 Безопасность системных файлов | ||||
|
Цель: Обеспечить безопасность системных файлов | ||||
|
А.12.4.1 |
Контроль программного обеспечения, находящегося в промышленной эксплуатации |
Необходимо обеспечить контроль за процессом внедрения программного обеспечения в промышленную эксплуатацию |
||
|
A.12.4.2 |
Защита данных тестирования системы |
Данные тестирования следует тщательно отбирать, защищать и контролировать |
||
|
А.12.4.3 |
Контроль доступа к исходным кодам |
Доступ к исходным кодам должен быть ограничен |
||
|
А.12.5 Безопасность в процессах разработки и поддержки | ||||
|
Цель: Поддерживать безопасность программного обеспечения прикладных систем и содержащейся в них информации | ||||
|
А.12.5.1 |
Процедуры контроля изменений |
Внесение изменений должно быть проверено с использованием соответствующих формализованных процедур контроля изменений |
||
|
А.12.5.2 |
Технический анализ прикладных систем после внесения изменений в операционные системы |
При внесении изменений в операционные системы необходимо провести анализ и тестирование критичных бизнес-приложений с целью удостовериться в отсутствии негативного влияния на работу и безопасность организации |
||
|
А.12.5.3 |
Ограничения на внесение изменений в пакеты программ |
Необходимо избегать модификаций пакетов программ, а все требуемые изменения должны подлежать строгому контролю |
||
|
А.12.5.4 |
Утечка информации |
Возможности для утечки информации должны быть предотвращены |
||
|
А.12.5.5 |
Разработка программного обеспечения с привлечением сторонних организаций |
Разработка программного обеспечения с привлечением сторонних организаций должна проводиться под контролем и при мониторинге организации |
||
|
А.12.6 Менеджмент технических уязвимостей | ||||
|
Цель: Снизить риски, являющиеся результатом использования опубликованных технических уязвимостей | ||||
|
А.12.6.1 |
Управление техническими уязвимостями |
Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценивать опасность таких уязвимостей и принимать соответствующие меры по устранению связанного с ними риска |
||
|
А.13 Управление инцидентами информационной безопасности | ||||
|
А.13.1 Оповещение о нарушениях и недостатках информационной безопасности | ||||
|
Цель: Обеспечить оперативность оповещения о событиях информационной безопасности и нарушениях, связанных с информационными системами, а также своевременность корректирующих действий | ||||
|
А.13.1.1 |
Оповещение о случаях нарушения информационной безопасности |
О случаях нарушения информационной безопасности следует сообщать по соответствующим каналам управления незамедлительно, насколько это возможно |
||
|
А.13.1.2 |
Оповещение о недостатках безопасности |
Все сотрудники, подрядчики и пользователи сторонних организаций, пользующиеся информационными системами и услугами, должны незамедлительно сообщать о любых замеченных или предполагаемых нарушениях безопасности в системах или услугах |
||
|
А.13.2 Управление инцидентами информационной безопасности и его усовершенствование | ||||
|
Цель: Обеспечить последовательный и эффективный подход к управлению инцидентами информационной безопасности | ||||
|
А.13.2.1 |
Ответственность и процедуры |
Должны быть установлены ответственность руководства и процедуры, позволяющие обеспечить быстрое, эффективное и последовательное реагирование на инциденты информационной безопасности |
||
|
А.13.2.2 |
Извлечение уроков из инцидентов информационной безопасности |
Должны быть определены механизмы, позволяющие вести мониторинг и регистрацию инцидентов информационной безопасности по типам, объемам и стоимостям |
||
|
А.13.2.3 |
Сбор доказательств |
На случай, если инцидент информационной безопасности может привести к судебному разбирательству (гражданскому или уголовному) против лица или организации, информация должна быть собрана, сохранена и представлена согласно правилам оформления доказательств, изложенным в соответствующих документах |
||
|
А.14 Управление непрерывностью бизнеса | ||||
|
А.14.1 Вопросы информационной безопасности управления непрерывностью бизнеса | ||||
|
Цель: На случай, если инцидент информационной безопасности может привести к судебному разбирательству (гражданскому или уголовному) против лица или организации, информация должна быть собрана, сохранена и представлена согласно правилам оформления доказательств, изложенным в соответствующих документах | ||||
|
А.14.1.1 |
Включение информационной безопасности в процесс управления непрерывностью бизнеса |
Должен быть разработан и поддержан управляемый процесс обеспечения непрерывности бизнеса во всей организации с учетом требований информационной безопасности, необходимых для обеспечения непрерывности бизнеса организации |
||
|
А.14.1.2 |
Непрерывность бизнеса и оценка риска |
События, которые могут стать причиной прерывания бизнес-процессов, должны быть связаны с оценками вероятности и степени воздействия таких прерываний, а также с их последствиями для информационной безопасности |
||
|
А.14.1.3 |
Разработка и внедрение планов непрерывности бизнеса, включающих в себя информационную безопасность |
Должны быть разработаны и внедрены планы для поддержки или восстановления работы и обеспечения доступности информации на требуемом уровне и в требуемые сроки после прерывания или отказа критических бизнес-процессов |
||
|
А.14.1.4 |
Структура плана обеспечения непрерывности бизнеса |
Должна быть создана единая структура планов непрерывности бизнеса, позволяющая обеспечить непротиворечивость всех планов для последовательного выполнения всех требований к информационной безопасности и для расстановки приоритетов при тестировании и обслуживании |
||
|
А.14.1.5 |
Тестирование, поддержка и пересмотр планов по обеспечению непрерывности бизнеса |
Планы по обеспечению непрерывности бизнеса должны подлежать регулярному пересмотру и обновлению с целью обеспечить их актуальность и эффективность |
||
|
А.15 Соответствие требованиям | ||||
|
А.15.1 Соответствие правовым требованиям | ||||
|
Цель: Предотвращать любые нарушения норм уголовного и гражданского права, требований, установленных нормативно-правовыми актами, регулирующими органами или договорными обязательствами, а также требований безопасности | ||||
|
А.15.1.1 |
Определение применимых норм |
Все применимые нормы, установленные законодательством и исполнительными органами власти, требования договорных обязательств и порядок их выполнения следует четко определить, документировать и поддерживать на актуальном уровне для каждой информационной системы и организации |
||
|
А.15.1.2 |
Права на интеллектуальную собственность |
Должны быть внедрены соответствующие процедуры для применения законодательных, регулирующих и контрактных требований к используемым материалам с учетом прав на интеллектуальную собственность, а также прав на использование программных продуктов, являющихся предметом частной собственности |
||
|
А.15.1.3 |
Защита учетных записей организации |
Важные учетные записи организации должны быть защищены от утраты, разрушения и фальсификации в соответствии с требованиями, установленными законами, документами органов исполнительной власти, контрактами и требованиями бизнеса |
||
|
А.15.1.4 |
Защита данных и конфиденциальность персональной информации |
Защита данных и конфиденциальность персональной информации должны быть обеспечены в соответствии с требованиями законов, нормативных актов и, где это применимо, в соответствии с положениями контрактов |
||
|
А.15.1.5 |
Предотвращение нецелевого использования средств обработки информации |
Должны быть применены меры контроля для предотвращения нецелевого использования средств обработки информации |
||
|
А.15.1.6 |
Регулирование использования средств криптографической защиты |
Средства криптографической защиты должны быть использованы в соответствии с законами, нормативными актами и соответствующими соглашениями |
||
|
А.15.2 Соответствие политикам и стандартам безопасности и техническое соответствие требованиям безопасности | ||||
|
Цель: Обеспечить соответствие систем организационным политикам и стандартам безопасности | ||||
|
А.15.2.1 |
Соответствие политикам и стандартам безопасности |
Руководители должны обеспечить, чтобы все процедуры безопасности в их сфере ответственности были выполнены правильно и соответствовали политикам и стандартам безопасности |
||
|
А.15.2.2 |
Проверка технического соответствия требованиям безопасности |
Информационные системы следует регулярно проверять на соответствие требованиям стандартов безопасности |
||
|
А.15.3 Вопросы аудита информационных систем | ||||
|
Цель: Повышение эффективности процесса аудита информационных систем и снижение негативного влияния, связанного с данным процессом | ||||
|
А.15.3.1 |
Меры управления аудитом информационных систем |
Требования и процедуры аудита, включающие в себя проверки операционных систем, необходимо тщательно планировать и согласовывать, чтобы свести к минимуму риск прерывания бизнес-процессов |
||
|
А.15.3.2 |
Защита инструментальных средств аудита информационных систем |
Доступ к инструментальным средствам аудита информационных систем необходимо защищать для предотвращения любой возможности их неправильного использования или компрометации |
||
_______________________
* Термин "владелец" (owner) определен как лицо или организация, на которую возложена установленная ответственность управления по контролю производства, разработке, поддержке, использованию и безопасности активов. Термин "владелец" не означает, что данное лицо фактически имеет права собственности на этот актив.
** Под словом "трудоустройство" (employment) здесь поняты следующие ситуации: прием на работу (временную или постоянную), назначение на должность или перевод на другую должность, переоформление контрактов или аннулирование каких-либо из этих ситуаций.