Приложение С (справочное). Примерный образец документа, касающегося SecOPs. Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27033-1-2011 "Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 01.12.2011 N 683-ст)

Приложение С
(справочное)

Примерный образец документа, касающегося SecOPs

1 Введение

1.1 Предпосылки

1.2 Структура документа

2 Область применения

2.1 Объекты

2.2 Техническая инфраструктура

2.2.1 ИТ-среда

2.2.2 Сетевая архитектура

2.2.3 Объект 1

2.2.4 Объект 2

2.2.5 Объект 3

2.2.6 Внешние соединения

3 Политика безопасности

4 Организация обеспечения информационной безопасности

4.1 Введение

4.2 Менеджмент безопасности - структура и обязанности

4.2.1 Должностное лицо службы безопасности организации

4.2.2 Заместитель должностного лица службы безопасности организации

4.2.3 Должностное лицо службы информационной безопасности организации

4.2.4* Группа поддержки ИТ (при необходимости)

4.2.5 Руководители основной деятельности

4.2.6 Персонал

4.2.7 Совет директоров организации

4.3 Отчетность об инцидентах и недостатках информационной безопасности

4.4 Распределение операционных процедур безопасности

4.5 Оценка рисков, связанных со сторонними организациями

4.6 Соглашения о доступе сторонней организации

4.7 Аутсорсинг

5 Управление активами

5.1 Инвентаризация активов

5.2 Допустимое использование информации и других активов

5.3 Классификация информации

6 Кадровая безопасность

6.1 Минимальная кадровая безопасность, включая допуск и требования

6.2 Условия

6.3 Информирование и обучение обеспечению информационной безопасности

6.4 Дисциплинарный процесс

6.5 Контроль над персоналом

6.6 Окончание работы по найму

6.7 Карточки доступа/прохода в здания

6.8 Физический доступ к системам и сетям ИТ

7 Физическая безопасность и защита от влияния окружающей среды

7.1 Реализация физических мер и средств контроля и управления и мер и средств контроля и управления влиянием окружающей среды

7.2 Физический периметр защиты

7.3 Физические меры и средства контроля и управления входом

7.4 Работа в основных помещениях/зонах

7.5 Размещение оборудования

7.6 Ключи и комбинации

7.7 Сигналы тревоги при обнаружении нарушителей

7.8 Защита оборудования от хищения

7.9 Снятие оборудования с эксплуатации

7.10 Средства управления доступом к аппаратным средствам

7.11 Обнаружение искажений

7.12 Техническое обслуживание и ремонт

7.13 Защита энергопитания

7.14 Пожаробезопасность

7.15 Защита от протечек

7.16 Предупреждение об опасности

7.17 Безопасность ПК

8 Менеджмент связи и операций

8.1 Операционные процедуры и обязанности

8.1.1 Процедуры контроля внесения изменений

8.1.2 Разделение обязанностей и сферы ответственности

8.2 Планирование и приемка системы

8.2.1 Планирование мощностей

8.2.2 Приемка системы

8.3 Защита от вредоносной и мобильной программы

8.3.1 Предупреждение

8.3.2 Обнаружение

8.3.3 Восстановление

8.3.4 Мобильная программа

8.4 Резервное копирование и восстановление

8.5 Запуск и остановка ИТ-компонентов (в том числе сетевых компонентов)

8.6 Обеспечение безопасности носителей данных (в том числе документов)

8.6.1 Менеджмент сменных носителей данных

8.6.2 Печатные документы

8.6.3 Безопасное повторное использование или уничтожение носителей данных

8.7 Обмен информацией

8.8 Мониторинг

8.8.1 Учет и аудит

8.8.2 Журналы учета, заполняемые вручную

8.8.3 Временная синхронизация

8.9 Протоколы данных оператора

8.10 Протоколирование данных об ошибках

8.11 Планы развития ИТ и средств связи

9 Управление доступом

9.1 Менеджмент учетных записей пользователей

9.1.1 Запросы по учетным записям пользователей

9.1.2 Создание учетных записей пользователей

9.1.3 Проверка, блокирование и удаление учетных записей пользователей

9.2 Конфигурация управления доступом

9.3 Менеджмент паролей

9.3.1 Реализация и контроль

9.3.2 Генерация паролей

9.3.3 Хранение и передача паролей

9.3.4 Смена паролей

9.3.5 Проверка паролей

9.3.6 Пароли для технического обслуживания

9.3.7 Пароли привилегированного пользователя/пароли персонала, наблюдающего за управлением системой

9.4 Маркеры доступа

9.5 Управление сетевым доступом

9.5.1 Общая информация

9.5.2 Внешние соединения

9.6 Условия обеспечения безопасности соединений

9.7 Удаленный доступ

9.8 Управление доступом к операционной системе, приложениям и информации

9.9 Мобильные компьютерные среды и дистанционная работа

9.9.1 Общая информация

9.9.2 Безопасность дорожных компьютеров

9.9.3 Безопасность КПК

10 Приобретение, разработка и поддержка систем

10.1 Безопасность системных файлов

10.1.1 Контроль системного программного обеспечения

10.1.2 Защита данных тестирования системы

10.1.3 Защита исходных текстов программ

10.2 Обеспечение безопасности процессов разработки и поддержки

10.2.1 Целостность системного и прикладного программного обеспечения

10.2.2 Разработка программных средств по субдоговору/с привлечением внешних ресурсов

10.3 Сопровождение программного обеспечения

10.4 Журналы программных ошибок

10.5 Управление техническими уязвимостями

11 Менеджмент инцидентов информационной безопасности

11.1 Инциденты и слабые места информационной безопасности

11.2 Сбои ИТ (включая сети)

12 Менеджмент непрерывности деятельности

12.1 Планирование обеспечения непрерывности деятельности

12.2 Процедуры резервирования

12.3 Аварийные ситуации и сбои

12.3.1 Аппаратные сбои

12.3.2 Программные сбои

12.3.3 Эвакуация при возгорании/эвакуация из здания

13 Соответствие

13.1 Соответствие правовым требованиям

13.2 Соответствие политикам и стандартам информационной безопасности, техническое соответствие

13.3 Защита инструментальных средств аудита систем

14 Структура документа

14.1 Обратная связь

14.2 Изменения SecOPs

Приложение А - справочная информация

_____________________________

* В тексте оригинала ИСО/МЭК 27033-1:2009 отсутствует пункт 4.2.4 (т. е. после 4.2.3 следует 4.2.5).