в базе 1 113 607 документа
Последнее обновление: 26.11.2024

Законодательная база Российской Федерации

Расширенный поиск Популярные запросы

8 (800) 350-23-61

Бесплатная горячая линия юридической помощи

Навигация
Федеральное законодательство
Содержание
  • Главная
  • "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)
действует Редакция от 27.12.2006 Подробная информация
"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)

Приложение A. ЦЕЛИ И МЕРЫ УПРАВЛЕНИЯ

А.5. Политика безопасности
А.5.1. Политика информационной безопасности
Цель: обеспечить участие высшего руководства организации в решении вопросов, связанных с обеспечением информационной безопасности в соответствии с целями деятельности организации (бизнеса), законами и нормативными актами
А.5.1.1. Документирование политики информационной безопасности Политика информационной безопасности должна быть руководством утверждена, издана и доведена до сведения всех сотрудников организации, а также сторонних организаций
А.5.1.2. Анализ политики информационной безопасности Политика информационной безопасности организации должна быть подвергнута анализу и пересмотру через заданные промежутки времени или при появлении существенных изменений характеристик целей безопасности
А.6. Организация информационной безопасности
А.6.1. Внутренняя организация
Цель: обеспечение управления информационной безопасностью в организации
А.6.1.1. Обязанности руководства по обеспечению информационной безопасности Руководство организации должно постоянно поддерживать заданный уровень информационной безопасности путем внедрения системы менеджмента, а также путем распределения обязанностей и ответственности персонала за ее обеспечение
А.6.1.2. Координация вопросов обеспечения информационной безопасности Действия по обеспечению информационной безопасности должны координироваться представителями различных подразделений организации, имеющими соответствующие функции и должностные обязанности
А.6.1.3.Распределение обязанностей по обеспечению информационной безопасностиОбязанности персонала по обеспечению информационной безопасности должны быть четко определены
А.6.1.4. Процедура получения разрешения на использование средств обработки информацииРуководство должно определить и внедрить процедуры получения разрешения на использование новых средств обработки информации
А.6.1.5. Соглашения о соблюдении конфиденциальности Руководство организации должно определять условия конфиденциальности или вырабатывать соглашения о неразглашении информации в соответствии с целями защиты информации и регулярно их пересматривать
А.6.1.6. Взаимодействие с компетентными органами Руководство организации должно поддерживать взаимодействие с соответствующими компетентными органами
А.6.1.7. Взаимодействие с ассоциациями и профессиональными группами Руководство организации должно поддерживать соответствующее взаимодействие с профессиональными группами, ассоциациями и участвовать (организовывать) в конференциях (форумах) специалистов в области информационной безопасности
А.6.1.8. Независимая проверка (аудит) информационной безопасности Порядок организации и управления информационной безопасностью и ее реализация (например, изменение целей и мер управления, политики, процессов и процедур обеспечения информационной безопасности) должны быть подвергнуты независимой проверке (аудиту) через определенные промежутки времени или при появлении существенных изменений в способах реализации мер безопасности
А.6.2. Обеспечение безопасности при наличии доступа сторонних организаций к информационным системам
Цель: поддерживать безопасность информации и средств обработки информации организации при наличии доступа к ним сторонних организаций в процессах обработки и передачи этой информации
А.6.2.1. Определение рисков, связанных со сторонними организациями Перед предоставлением доступа сторонним организациям к информации и средствам ее обработки в процессе деятельности организации необходимо определять возможные риски для информации и средств ее обработки и реализовывать соответствующие им меры безопасности
А.6.2.2. Рассмотрение вопросов безопасности при работе с клиентами Перед предоставлением клиентам права доступа к информации или активам организации необходимо определить и внедрить меры безопасности
А.6.2.3. Рассмотрение требований безопасности в соглашениях со сторонними организациями Соглашения со сторонними организациями должны содержать все требования безопасности, включающие в себя правила доступа к процессам обработки, передачи информации или к управлению информацией или средствами обработки информации организации, а также и в случае приобретения дополнительных программных продуктов или организации сервисного обслуживания средств обработки информации
А.7. Управление активами
А.7.1. Ответственность за защиту активов организации
Цель: обеспечивать соответствующую защиту активов организации
А.7.1.1. Инвентаризация активов Опись всех важных активов организации должна быть составлена и актуализирована
А.7.1.2. Владение активами Вся информация и активы, связанные со средствами обработки информации, должны иметь назначенного во владение <1> представителя организации
А.7.1.3. Приемлемое использование активов Правила безопасного использования информации и активов, связанных со средствами обработки информации, должны быть определены, документированы и реализованы
А.7.2. Классификация информации
Цель: обеспечить уверенность в том, что информация защищена на надлежащем уровне
А.7.2.1. Основные принципы классификации Информация должна быть классифицирована исходя из правовых требований, ее конфиденциальности, а также ценности и критичности для организации
А.7.2.2. Маркировка и обработка информации В соответствии с принятой в организации системой классификации должна быть разработана и реализована совокупность процедур маркировки и обработки информации
А.8. Правила безопасности, связанные с персоналом
А.8.1. Перед трудоустройством <2>
Цель: обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осознают свою ответственность и способны выполнять предусмотренные для них функции и снижать риск от воровства, мошенничества и нецелевого использования оборудования, а также от угроз безопасности информации
А.8.1.1. Функции и обязанности персонала по обеспечению безопасности Функции и обязанности персонала по обеспечению безопасности сотрудников, подрядчиков и пользователей сторонней организации должны быть определены и документированы в соответствии с требованиями информационной безопасности
А.8.1.2. Проверка при приеме на работу Проверка всех кандидатов на постоянную работу, подрядчиков и пользователей сторонней организации должна быть проведена в соответствии с законами, инструкциями и правилами этики, с учетом требований бизнеса, характера информации, к которой будет осуществлен их доступ, и и предполагаемых рисков
А.8.1.3. Условия трудового договора Сотрудники, подрядчики и пользователи сторонней организации должны согласовать и подписать условия своего трудового договора, в котором установлены их ответственность и ответственность организации относительно информационной безопасности
А.8.2. Работа по трудовому договору
Цель: обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осведомлены об угрозах и проблемах информационной безопасности, об их ответственности и обязательствах, ознакомлены с правилами и обучены процедурам для поддержания мер безопасности организации при выполнении ими своих служебных обязанностей и для снижения риска человеческого фактора для информационной безопасности
А.8.2.1. Обязанности руководства Руководство организации должно требовать, чтобы сотрудники, подрядчики и пользователи сторонней организации были ознакомлены с правилами и процедурами обеспечения мер безопасности в соответствии с установленными требованиями
А.8.2.2. Осведомленность, обучение и переподготовка в области информационной безопасности Все сотрудники организации и, при необходимости, подрядчики, и пользователи сторонних организаций должны проходить соответствующее обучение и переподготовку в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций
А.8.2.3. Дисциплинарная практика К сотрудникам, совершившим нарушение требований безопасности, должна быть применена дисциплинарная практика, установленная в организации
А.8.3. Увольнение или изменение трудового договора
Цель: обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации уведомлены об увольнении или изменении условий трудового договора в соответствии с установленным порядком
А.8.3.1. Ответственность по окончании действия трудового договора Ответственность по окончании действия трудового договора должна быть четко определена и установлена
А.8.3.2. Возврат активов Сотрудники, подрядчики и пользователи сторонней организации обязаны вернуть все активы организации, находящиеся в их пользовании (владении), по истечении срока действия трудового договора или соглашения (увольнение)
А.8.3.3 Аннулирование прав доступа Права доступа к информации и средствам обработки информации сотрудников, подрядчиков и пользователей сторонней организации должны быть аннулированны или уточнены по окончании действия трудового договора (увольнение)
А.9. Физическая защита и защита от воздействия окружающей среды
А.9.1. Охраняемые зоны
Цель: предотвращать несанкционированные физический доступ, повреждение и воздействия на помещения и информацию организации
А.9.1.1. Периметр охраняемой зоны Для защиты зон, где имеются информация и средства обработки информации, должны быть использованы периметры охраняемых зон (барьеры, такие как стены, проходные, оборудованные средствами контроля входа по идентификационным карточкам, или, где предусмотрен, контроль сотрудника регистрационной стойки)
А.9.1.2. Контроль доступа в охраняемую зону Охраняемая зона должна быть защищена соответствующими средствами контроля входа, предполагающими обеспечить уверенность в том, что только авторизованный персонал может получить доступ в зону
А.9.1.3. Обеспечение безопасности зданий, производственных помещений и оборудования Требования к обеспечению физической безопасности зданий, производственных помещений и оборудования должны быть разработаны и реализованы
А.9.1.4. Защита от внешних угроз и угроз со стороны окружающей среды Требования к обеспечению физической защиты зданий, производственных помещений и оборудования от нанесения ущерба в результате пожара, наводнения, землетрясения, взрыва, общественных беспорядков и других природных и антропогенных факторов должны быть разработаны и реализованы
А.9.1.5. Выполнение работ в охраняемых зонах Требования по физической защите и рекомендации по выполнению работ в охраняемых зонах должны быть разработаны и реализованы в инструкциях
А.9.1.6. Зоны общественного доступа приема и отгрузки материальных ценностей Места доступа, такие как зоны приема, отгрузки материальных ценностей и другие места, где неавторизованные лица могут проникнуть в помещения, должны быть под контролем и, по возможности, должны быть изолированы от средств обработки информации во избежание несанкционированного доступа
А.9.2. Безопасность оборудования
Цель: предотвращать потерю, повреждение, хищение или компрометацию активов и прекращение деятельности организации
А.9.2.1. Размещение и защита оборудования Оборудование должно быть размещено и защищено так, чтобы уменьшить риски от воздействия окружающей среды и возможности несанкционированного доступа
А.9.2.2. Вспомогательные услуги Оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с отказами в обеспечении вспомогательных услуг
А.9.2.3. Безопасность кабельной сети Силовые и телекоммуникационные кабельные сети, по которым передаются данные или поддерживаются информационные услуги, необходимо защищать от перехвата информации или повреждения
А.9.2.4. Техническое обслуживание оборудования Должно проводиться надлежащее регулярное техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и сохранности
А.9.2.5. Обеспечение безопасности оборудования, используемого вне помещений организации При обеспечении безопасности оборудования, используемого вне места его постоянной эксплуатации, должны быть учтены различные риски, связанные с работой вне помещений организации
А.9.2.6. Безопасная утилизация или повторное использование оборудования Все компоненты оборудования, содержащие носители данных, должны быть проверены с целью удостовериться в том, что любые конфиденциальные данные и лицензионное программное обеспечение были удалены или скопированы безопасным образом до их утилизации (списания)
А.9.2.7. Вынос имущества с территории организации Оборудование, информацию или программное обеспечение допускается выносить из помещения организации только на основании соответствующего разрешения
А.10. Управление средствами коммуникаций и их функционированием
А.10.1. Эксплуатация средств и ответственность
Цель: обеспечить надлежащее и безопасное функционирование средств обработки информации
А.10.1.1. Документирование операционных процедур эксплуатации Операционные процедуры должны документироваться, поддерживаться и быть доступными для всех авторизованных пользователей
А.10.1.2. Управление изменениями Изменения в конфигурациях средств обработки информации и системах должны быть контролируемыми
А.10.1.3. Разграничение обязанностей Обязанности в области ответственности должны быть разграничены в целях снижения возможностей несанкционированной или непреднамеренной модификации, или нецелевого использования активов организации
А.10.1.4. Разграничение средств разработки, тестирования и эксплуатации Средства разработки, тестирования и эксплуатации должны быть разграничены в целях снижения риска несанкционированного доступа или изменения операционной системы
А.10.2. Управление поставкой услуг лицами и/или сторонними организациями
Цель: реализовать и поддерживать требуемый уровень информационной безопасности и оказания услуг в соответствии с договорами об оказании услуг сторонними организациями (внешними лицами и/или организациями)
А.10.2.1. Оказание услуг Должна быть обеспечена уверенность в том, что меры управления информационной безопасностью, включенные в договор об оказании услуг сторонней организации, реализованы, функционируют и поддерживаются сторонней организацией
А.10.2.2. Мониторинг и анализ услуг, оказываемых сторонними лицами и/или организациями Необходимо регулярно проводить мониторинг, аудит и анализ услуг, отчетов и актов, обеспечиваемых сторонней организацией
А.10.2.3. Изменения при оказании сторонними организациями услуг по обеспечению безопасности Изменения при оказании услуг по обеспечению безопасности, включая внедрение и совершенствование существующих требований, процедур и мер обеспечения информационной безопасности, должны быть управляемыми с учетом оценки критичности систем и процессов бизнеса, а также результатов переоценки рисков
А.10.3. Планирование производительности и загрузки систем
Цель: свести к минимуму риск сбоев в работе систем
А.10.3.1. Управление производительностью Необходимо осуществлять прогнозирование, мониторинг и корректировку потребности мощности системы для обеспечения требуемой ее производительности
А.10.3.2. Приемка систем Должны быть определены критерии принятия новых и модернизованных информационных систем, новых версий программного обеспечения, а также проведено тестирование систем в процессе их разработки и приемки
А.10.4. Защита от вредоносного кода и мобильного кода
Цель: защищать целостность программного обеспечения и массивов информации
А.10.4.1. Меры защиты от вредоносного кода Должны быть реализованы меры по обнаружению, предотвращению проникновения и восстановлению после проникновения вредоносного кода, а также должны быть установлены процедуры обеспечения соответствующего оповещения пользователей
А.10.4.2. Меры защиты от мобильного кода Там, где разрешено использование мобильного кода, конфигурация системы должна обеспечивать уверенность в том, что авторизованный мобильный код функционирует в соответствии с четко определенной политикой безопасности, а исполнение операции с использованием неавторизованного мобильного кода будет предотвращено
А.10.5. Резервирование
Цель: поддерживать целостность и доступность информации и средств обработки информации
А.10.5.1. Резервирование информации Резервные копии информации и программного обеспечения должны создаваться, проверяться и тестироваться на регулярной основе в соответствии с принятыми требованиями резервирования
А.10.6. Управление безопасностью сети
Цель: обеспечить защиту информации в сетях и защиту поддерживающей инфраструктуры
А.10.6.1. Средства контроля сети Сети должны быть адекватно управляемыми и контролируемыми в целях защиты от угроз и поддержания безопасности систем и приложений, использующих сеть, включая информацию, передаваемую по сетям
А.10.6.2. Безопасность сетевых сервисов Меры обеспечения безопасности, уровни обслуживания для всех сетевых услуг и требования управления должны быть определены и включены в любой договор о сетевых услугах независимо от того, предоставляются ли эти услуги своими силами или сторонней организацией
А.10.7. Обращение с носителями информации
Цель: предотвратить несанкционированное разглашение, модификацию, удаление или уничтожение активов и прерывание бизнес-процессов
А.10.7.1. Управление съемными носителями информации Для управления съемными носителями информации должны существовать соответствующие процедуры
А.10.7.2. Утилизация носителей информации Носители информации, когда в них больше нет необходимости, должны быть надежно и безопасно утилизированы с помощью формализованных процедур
А.10.7.3. Процедуры обработки информации Для обеспечения защиты информации от несанкционированного раскрытия или неправильного использования необходимо установить процедуры обработки и хранения информации
А.10.7.4. Безопасность системной документации Системная документация должна быть защищена от несанкционированного доступа
А.10.8. Обмен информацией
Цель: поддерживать безопасность информации и программного обеспечения при обмене внутри организации и со сторонними организациями
А.10.8.1. Политики и процедуры обмена информацией Должны существовать формализованные процедуры, требования и меры контроля, обеспечивающие защиту обмена информацией при использовании связи всех типов
А.10.8.2. Соглашения по обмену информацией Между организацией и сторонними организациями должны быть заключены соглашения по обмену информацией и программным обеспечением
А.10.8.3. Защита физических носителей информации при транспортировке Носители информации должны быть защищены от несанкционированного доступа, неправильного использования или повреждения во время их транспортировки за пределами территории организации
А.10.8.4. Электронный обмен сообщениями Информация, используемая в электронном обмене сообщениями, должна быть защищена надлежащим образом
А.10.8.5. Системы бизнес- информации Требования и процедуры должны быть разработаны и внедрены для защиты информации, связанной с взаимодействием систем бизнес-информации
А.10.9. Услуги электронной торговли
Цель: обеспечить безопасность услуг электронной торговли и их безопасное использование
А.10.9.1. Электронная торговля Информация, используемая в электронной торговле, проходящая по общедоступным сетям, должна быть защищена от мошенничества, оспаривания контрактов, а также от несанкционированного разглашения и модификации
А.10.9.2. Трансакции в режиме реального времени (on-line) Информация, используемая в трансакциях в режиме реального времени (on-line), должна быть защищена для предотвращения неполной передачи, неправильной маршрутизации, несанкционированного изменения сообщений, несанкционированного разглашения, несанкционированного копирования или повторного воспроизведения сообщений
А.10.9.3. Общедоступная информация Информация, предоставляемая через общедоступную систему, должна быть защищена от несанкционированной модификации
А.10.10. Мониторинг
Цель: обнаруживать несанкционированные действия, связанные с обработкой информации
А.10.10.1. Ведение журналов аудита Должны быть обеспечены ведение и хранение в течение определенного периода времени журналов аудита, регистрирующих действия пользователей, нештатные ситуации и события информационной безопасности, в целях помощи в будущих расследованиях и проведении мониторинга контроля доступа
А.10.10.2. Мониторинг использования средств обработки информации Должны быть установлены процедуры, позволяющие вести мониторинг и регулярный анализ результатов мониторинга использования средств обработки информации
А.10.10.3. Защита информации журналов регистрации Средства регистрации и информация журналов регистрации должны быть защищены от вмешательства и несанкционированного доступа
А.10.10.4. Журналы регистрации действий администратора и оператора Действия системного администратора и системного оператора должны быть регистрируемыми
А.10.10.5. Регистрация неисправностей Неисправности должны быть зарегистрированы, проанализированы и устранены
А.10.10.6. Синхронизация часов Часы всех соответствующих систем обработки информации в пределах организации или охраняемой зоны должны быть синхронизированы с помощью единого источника точного времени
А.11. Контроль доступа
А.11.1. Бизнес-требования к контролю доступа
Цель: контролировать доступ к информации
А.11.1.1. Политика контроля доступа Политика контроля доступа должна быть установлена и документирована с учетом потребностей бизнеса и безопасности информации
А.11.2. Управление доступом пользователей
Цель: предотвратить несанкционированный доступ пользователей к информационным системам и обеспечить авторизованный доступ пользователей к этим системам
А.11.2.1. Регистрация пользователей Должна быть установлена формализованная процедура регистрации и снятия с регистрации пользователей для предоставления и отмены доступа ко всем информационным системам и услугам
А.11.2.2. Управление привилегиями Предоставление и использование привилегий должно быть ограниченным и контролируемым
А.11.2.3. Управление паролями пользователей Предоставление паролей должно быть контролируемым посредством формализованного процесса управления
А.11.2.4. Пересмотр прав доступа пользователей Руководство должно периодически осуществлять пересмотр прав доступа пользователей, используя формализованный процесс
А.11.3 Ответственность пользователей
Цель: предотвращать несанкционированный доступ пользователей, а также компрометацию или кражу информации и средств обработки информации
А.11.3.1. Использование паролей Пользователи должны соблюдать правила безопасности при выборе и использовании паролей
А.11.3.2. Оборудование, оставленное пользователем без присмотра Пользователи должны обеспечивать соответствующую защиту оборудования, оставленного без присмотра
А.11.3.3. Правила "чистого стола" и "чистого экрана" Должны быть приняты правила "чистого стола" для документов на бумажных носителях и сменных носителей данных, а также правила "чистого экрана" для средств обработки информации
А.11.4. Контроль сетевого доступа
Цель: предотвратить несанкционированный доступ к сетевым сервисам
А.11.4.1. Политика в отношении использования сетевых услуг Пользователям следует предоставлять доступ к тем услугам, по отношению к которым они специально были авторизованы
А.11.4.2. Аутентификация пользователей для внешних соединений Для контроля доступа удаленных пользователей должны быть применены соответствующие методы аутентификации
А.11.4.3. Идентификация оборудования в сетях Автоматическая идентификация оборудования должна рассматриваться как средство аутентификации соединений, осуществляемых с определенных мест и с определенным оборудованием
А.11.4.4. Защита диагностических и конфигурационных портов при удаленном доступе Физический и логический доступ к портам конфигурации и диагностики должен быть контролируемым
А.11.4.5. Принцип разделения в сетях В сетях должны быть применены принципы разделения групп информационных услуг, пользователей и информационных систем
А.11.4.6. Контроль сетевых соединений Подключение пользователей к совместно используемым сетям, особенно к тем, которые выходят за территорию организации, необходимо ограничивать в соответствии с политикой контроля доступа и требованиями бизнес-приложений (см. А.11.1)
А.11.4.7. Контроль маршрутизации в сети Должны быть внедрены средства управления и контроля маршрутизации в сети с целью исключить нарушения правил контроля доступа для бизнес-приложений, вызываемые соединениями и потоками информации
А.11.5. Контроль доступа к операционной системе
Цель: предотвратить несанкционированный доступ к операционным системам
А.11.5.1. Безопасные процедуры регистрации Контроль доступа к операционным системам должен быть обеспечен безопасной процедурой регистрации
А.11.5.2. Идентификация и аутентификация пользователя Все пользователи должны иметь уникальные идентификаторы (ID) только для персонального использования, а для подтверждения заявленной личности пользователя должны быть выбраны подходящие методы аутентификации
А.11.5.3. Система управления паролями Системы управления паролями должны быть интерактивными и обеспечивать высокое качество паролей
А.11.5.4. Использование системных утилит Использование системных утилит, которые могут преодолеть средства контроля операционных систем и приложений, необходимо ограничивать и строго контролировать
А.11.5.5. Периоды бездействия в сеансах связи Необходимо обеспечить завершение сеансов связи после определенного периода бездействия
А.11.5.6. Ограничение времени соединения Ограничение времени соединения должно быть использовано для обеспечения дополнительной безопасности
А.11.6. Контроль доступа к прикладным системам и информации
Цель: предотвратить несанкционированный доступ к прикладным системам и информации
А.11.6.1. Ограничения доступа к информации Доступ к информации и функциям прикладных систем пользователей и обслуживающего персонала должен быть предоставлен только в соответствии с определенными политиками контроля доступа
А.11.6.2. Изоляция систем, обрабатывающих важную информацию Системы, обрабатывающие важную информацию, должны иметь выделенную (изолированную) вычислительную среду
А.11.7. Работа с переносными устройствами и работа в дистанционном режиме
Цель: обеспечить информационную безопасность при использовании переносных устройств и средств, необходимых для работы в дистанционном режиме
А.11.7.1. Работа с переносными устройствами Необходимо иметь в наличии формализованную политику для защиты от рисков при использовании переносных устройств
А.11.7.2. Работа в дистанционном режиме Для работы в дистанционном режиме необходимо разработать и реализовать политику, оперативные планы и процедуры
А.12. Разработка, внедрение и обслуживание информационных систем
А.12.1. Требования к безопасности информационных систем
Цель: обеспечить уверенность в том, что безопасность является неотъемлемым свойством внедряемых информационных систем, и обеспечить выполнение требований безопасности при разработке и эксплуатации систем
А.12.1.1. Анализ и детализация требований безопасности В формулировках требований бизнеса для новых информационных систем или совершенствования существующих должны быть детализированы требования безопасности
А.12.2. Правильная обработка данных в приложениях
Цель: предотвратить ошибки, потерю, несанкционированную модификацию или неправильное использование информации в приложениях
А.12.2.1. Проверка достоверности входных данных Входные данные для приложений должны быть подвергнуты процедуре подтверждения с целью установления их достоверности
А.12.2.2. Контроль обработки данных в приложениях Для обнаружения искажений (ошибок или преднамеренных действий) при обработке информации в требования к функциям приложений должны быть включены требования по выполнению контрольных проверок
А.12.2.3. Целостность сообщений Должны быть определены требования для обеспечения аутентичности и защиты целостности сообщений в приложениях, а также реализованы соответствующие средства контроля
А.12.2.4. Подтверждение достоверности выходных данных Данные, выводимые из приложения, необходимо подвергать проверке на корректность, чтобы обеспечить уверенность в том, что обработка информации выполнена правильно
А.12.3. Криптографические средства защиты
Цель: защищать конфиденциальность, аутентичность или целостность информации криптографическими средствами
А.12.3.1. Политика использования криптографических средств защиты Должны быть разработаны и внедрены правила использования криптографических средств защиты информации
А.12.3.2. Управление ключами Для реализации организацией криптографических методов защиты должна быть использована система управления ключами
А.12.4. Безопасность системных файлов
Цель: обеспечить безопасность системных файлов
А.12.4.1. Контроль программного обеспечения, находящегося в промышленной эксплуатации Необходимо обеспечить контроль за процессом внедрения программного обеспечения в промышленную эксплуатацию
А.12.4.2. Защита данных тестирования системы Данные тестирования следует тщательно отбирать, защищать и контролировать
А.12.4.3. Контроль доступа к исходным кодам Доступ к исходным кодам должен быть ограничен
А.12.5. Безопасность в процессах разработки и поддержки
Цель: поддерживать безопасность программного обеспечения прикладных систем и содержащейся в них информации
А.12.5.1. Процедуры контроля изменений Внесение изменений должно быть проверено с использованием соответствующих формализованных процедур контроля изменений
А.12.5.2. Технический анализ прикладных систем после внесения изменений в операционные системы При внесении изменений в операционные системы необходимо провести анализ и тестирование критичных бизнес-приложений с целью удостовериться в отсутствии негативного влияния на работу и безопасность организации
А.12.5.3. Ограничения на внесение изменений в пакеты программ Необходимо избегать модификаций пакетов программ, а все требуемые изменения должны подлежать строгому контролю
А.12.5.4. Утечка информации Возможности для утечки информации должны быть предотвращены
А.12.5.5. Разработка программного обеспечения с привлечением сторонних организаций Разработка программного обеспечения с привлечением сторонних организаций должна производиться под контролем и при мониторинге организации
А.12.6. Менеджмент технических уязвимостей
Цель: снизить риски, являющиеся результатом использования опубликованных технических уязвимостей
А.12.6.1. Управление техническими уязвимостями Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценивать опасность таких уязвимостей и принимать соответствующие меры по устранению связанного с ними риска
А.13. Управление инцидентами информационной безопасности
А.13.1. Оповещение о нарушениях и недостатках информационной безопасности
Цель: обеспечить оперативность оповещения о событиях информационной безопасности и нарушениях, связанных с информационными системами, а также своевременность корректирующих действий
А.13.1.1. Оповещение о случаях нарушения информационной безопасности О случаях нарушения информационной безопасности следует сообщать по соответствующим каналам управления незамедлительно, насколько это возможно
А.13.1.2. Оповещение о недостатках безопасности Все сотрудники, подрядчики и пользователи сторонних организаций, пользующиеся информационными системами и услугами, должны незамедлительно сообщать о любых замеченных или предполагаемых нарушениях безопасности в системах или услугах
А.13.2. Управление инцидентами информационной безопасности и его усовершенствование
Цель: обеспечить оперативность оповещения о событиях информационной безопасности и нарушениях, связанных с информационными системами, а также своевременность корректирующих действий
А.13.1.1. Оповещение о случаях нарушения информационной безопасности О случаях нарушения информационной безопасности следует сообщать о соответствующим каналам управления незамедлительно, насколько это возможно
А.13.2.2. Извлечение уроков из инцидентов информационной безопасности Должны быть определены механизмы, позволяющие вести мониторинг и регистрацию инцидентов информационной безопасности по типам, объемам и стоимостям
А.13.2.3. Сбор доказательств На случай, если инцидент информационной безопасности может привести к судебному разбирательству (гражданскому или уголовному) против лица или организации, информация должна быть собрана, сохранена и представлена согласно правилам оформления доказательств, изложенным в соответствующих документах
А.14. Управление непрерывностью бизнеса
А.14.1. Вопросы информационной безопасности управления непрерывностью бизнеса
Цель: на случай, если инцидент информационной безопасности может привести к судебному разбирательству (гражданскому или уголовному) против лица или организации, информация должна быть собрана, сохранена и представлена согласно правилам оформления доказательств, изложенным в соответствующих документах
А.14.1.1. Включение информационной безопасности в процесс управления непрерывностью бизнеса Должен быть разработан и поддержан управляемый процесс обеспечения непрерывности бизнеса во всей организации с учетом требований информационной безопасности, необходимых для обеспечения непрерывности бизнеса организации
А.14.1.2. Непрерывность бизнеса и оценка риска События, которые могут стать причиной прерывания бизнес-процессов, должны быть связаны с оценками вероятности и степени воздействия таких прерываний, а также с их последствиями для информационной безопасности
А.14.1.3. Разработка и внедрение планов непрерывности бизнеса, включающих в себя информационную безопасность Должны быть разработаны и внедрены планы для поддержки или восстановления работы и обеспечения доступности информации на требуемом уровне и в требуемые сроки после прерывания или отказа критических бизнес-процессов
А.14.1.4. Структура плана обеспечения непрерывности бизнеса Должна быть создана единая структура планов непрерывности бизнеса, позволяющая обеспечить непротиворечивость всех планов для последовательного выполнения всех требований к информационной безопасности и для расстановки приоритетов при тестировании и обслуживании
А.14.1.5. Тестирование, поддержка и пересмотр планов по обеспечению непрерывности бизнеса Планы по обеспечению непрерывности бизнеса должны подлежать регулярному пересмотру и обновлению с целью обеспечить их актуальность и эффективность
А.15. Соответствие требованиям
А.15.1. Соответствие правовым требованиям
Цель: предотвращать любые нарушения норм уголовного и гражданского права, требований, установленных нормативно-правовыми актами, регулирующими органами или договорными обязательствами, а также требований безопасности
А.15.1.1. Определение применимых норм Все применимые нормы, установленные законодательством и исполнительными органами власти, требования договорных обязательств и порядок их выполнения следует четко определить, документировать и поддерживать на актуальном уровне для каждой информационной системы и организации
А.15.1.2. Права на интеллектуальную собственность Должны быть внедрены соответствующие процедуры для применения законодательных, регулирующих и контрактных требований к используемым материалам с учетом прав на интеллектуальную собственность, а также прав на использование программных продуктов, являющихся предметом частной собственности
А.15.1.3. Защита учетных записей организации Важные учетные записи организации должны быть защищены от утраты, разрушения и фальсификации в соответствии с требованиями, установленными законами, документами органов исполнительной власти, контрактами и требованиями бизнеса
А.15.1.4. Защита данных и конфиденциальность персональной информации Защита данных и конфиденциальность персональной информации должны быть обеспечены в соответствии с требованиями законов, нормативных актов и, где это применимо, в соответствии с положениями контрактов
А.15.1.5. Предотвращение нецелевого использования средств обработки информации Должны быть применены меры контроля для предотвращения нецелевого использования средств обработки информации
А.15.1.6. Регулирование использования средств криптографической защиты Средства криптографической защиты должны быть использованы в соответствии с законами, нормативными актами и соответствующими соглашениями
А.15.2 Соответствие политикам и стандартам безопасности и техническое соответствие требованиям безопасности
Цель: обеспечить соответствие систем организационным политикам и стандартам безопасности
А.15.2.1. Соответствие политикам и стандартам безопасности Руководители должны обеспечить, чтобы все процедуры безопасности в их сфере ответственности были выполнены правильно и соответствовали политикам и стандартам безопасности
А.15.2.2. Проверка технического соответствия требованиям безопасности Информационные системы следует регулярно проверять на соответствие требованиям стандартов безопасности
А.15.3. Вопросы аудита информационных систем
Цель: повышение эффективности процесса аудита информационных систем и снижение негативного влияния, связанного с данным процессом
А.15.3.1. Меры управления аудитом информационных систем Требования и процедуры аудита, включающие в себя проверки операционных систем, необходимо тщательно планировать и согласовывать, чтобы свести к минимуму риск прерывания бизнес-процессов
А.15.3.2. Защита инструментальных средств аудита информационных систем Доступ к инструментальным средствам аудита информационных систем необходимо защищать для предотвращения любой возможности их неправильного использования или компрометации


<1> Термин "владелец" (owner) определен как лицо или организация, на которую возложена установленная ответственность управления по контролю производства, разработке, поддержке, использованию и безопасности активов. Термин "владелец" не означает, что данное лицо фактически имеет права собственности на этот актив.

<2> Под словом "трудоустройство" (employment) здесь поняты следующие ситуации: прием на работу (временную или постоянную), назначение на должность или перевод на другую должность, переоформление контрактов или аннулирование каких-либо из этих ситуаций.

В разделах 5 - 15 ИСО/МЭК 17799.2005 приведены рекомендации по реализации и указания с точки зрения передовой практики в отношении поддержки мер управления, изложенных в А.5 - А.15.

Приложение B
(справочное)

  • Главная
  • "ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ. ГОСТ Р ИСО/МЭК 27001-2006" (утв. Приказом Ростехрегулирования от 27.12.2006 N 375-ст)