Організація повинна визначити зміни в оцінках ризиків та встановити вимоги до запобіжних дій, при цьому звертаючи увагу на суттєво змінені кількісні показники ризиків.
Пріоритети запобіжних дій потрібно визначати на основі результатів оцінювання ризику.
Примітка. Дії, які запобігають невідповідності, часто більш рентабельні, ніж коригувальні дії.ДОДАТОКА
(обов’язковий)
ЦІЛІ ТА ЗАХОДИ УПРАВЛІННЯ
з
Цілі та : та заходів уп
Перелік розглядати і- лювання лот
У роздії з погляду ПЄ|
аходи управління, наведені в таблиці А.1, безпосередньо виходять з переліку цілей равління, визначених в розділах 5—15 ISO/IEC 17799:2005, і повністю з ним узгоджені, заходів управління, наведених у таблиці А.1, не є вичерпним, і організація може еобхідність додаткових цілей і заходів управління. Цілі та заходи управління й контро- іібно вибирати з цих таблиць як частину процесу СУІБ, означеному в розділі 4.іах 5—15 ISO/IEC 17799:2005 наведено рекомендації щодо реалізації та настанови >едової практики відносно підтримування заходів управління, викладених в А.5—А.15.
|
А.5 Політика |
безпеки |
|
|
А. 5.1 Політ и Ціль: Забезпє бізнесу та від |
на інформаційної безпеки чити регулювання та підтримку з боку керівництва щодо інформаційної безпеки згідно з вимогами ювідними законами і нормативами |
|
|
А.5.1.1 |
Документ, що визначає політику інформаційної безпеки |
Контролювання Документ, що визначає політику інформаційної безпеки, повинен бути затверджений керівництвом, виданий і доведений до відома всіх співробітників організації, а також сторонніх організацій |
|
А.5.1.2 |
Аналізування політики інформаційної безпеки |
Контролювання Політику інформаційної безпеки потрібно переглядати й аналізувати через задані проміжки часу або в разі появи істотних змін, забезпечити її постійні прийнятність, адекватність та ефективність |
|
А.6 Організаі |
іія інформаційної безпеки |
|
|
А. 6.1 В нутрі Ціль: Забезпе |
пня організація чення управління інформаційною безпекою організації |
|
|
А.6.1.1 |
Зобов'язання керівництва щодо інформаційної безпеки |
Контролювання Керівництво повинно активно підтримувати намічений рівень інформаційної безпеки в межах організації за допомогою чіткого регулювання, розподілення зобов’язань, чітких призначень і визнання відповідальності за інформаційну безпеку |
|
А.6.1.2 |
Координація питань забезпечення інформаційної безпеки |
Контролювання Дії щодо забезпечення інформаційної безпеки повинні координувати представники різних підрозділів організації, що мають відповідні ролі та посадові обов'язки |
|
А.6.1.3 |
Розподіл відповідальності щодо забезпечення інформаційної безпеки |
Контролювання Обов’язки персоналу щодо забезпечення інформаційної безпеки повинні бути чітко визначені |
|
А.6.1.4 |
Процедура отримання дозволу на використання засобів оброблення інформації |
Контролювання Керівництво організації повинно визначити та впровадити процедури отримання дозволу на використання нових засобів оброблення інформації |
|
А.6.1.5 |
Угоди про дотримання конфіденційності |
Контролювання Керівництво організації повинно визначати умови конфіденційності або виробляти угоди про нерозголошування інформації відповідно до цілей захисту інформації та регулярно їх переглядати |
|
А.6.1.6 |
Взаємодія з компетентними органами |
Контролювання Підтримувати взаємодію з відповідними компетентними органами |
А.1 — Цілі та заходи управління
Таблиця
|
А.6.1.7 |
Взаємодія з професійними групами |
Контролювання Керівництво організації повинно підтримувати відповідну взаємодію з професійними групами або асоціаціями та брати участь у форумах, конференціях фахівців у галузі інформаційної безпеки |
|
А.6.1.8 |
Незалежна перевірка (аудит) безпеки інформації |
Контролювання Порядок організації та управління інформаційною безпекою та її впровадження (наприклад, зміна цілей та заходів управління, політики, процесів і процедур забезпечення інформаційної безпеки) повинні підлягати незалежній перевірці (аудиту) через певні проміжки часу або в разі появи істотних змін у способах реалізації заходів безпеки |
|
А.6.2 Зовнішні сторони Ціль: Підтри лувати безпеку інформації організації й засобів оброблення інформації, що доступні стороннім організаціям |
||
|
А.6.2.1 |
Визначення ризиків, що пов’язані зі сторонніми організаціями |
Контролювання Перед наданням доступу стороннім організаціям до інформації та засобів її оброблення в процесі діяльності організації необхідно визначати можливі ризики для інформації та засобів її оброблення і впроваджувати відповідні ним заходи безпеки |
|
А.6.2.2 |
Розгляд питань безпеки щодо роботи з клієнтами |
Контролювання Перед наданням клієнтам права доступу до інформації та активів організації необхідно визначити і впровадити заходи безпеки |
|
А.6.2.3 |
Розгляд вимог щодо безпеки в угодах зі сторонніми організаціями |
Контролювання Угоди зі сторонніми організаціями повинні містити всі вимоги щодо безпеки, що охоплюють правила доступу до процесів оброблення, передавання інформації або до управління інформацією, або засобами оброблення інформації організації, а також у разі придбання додаткових програмних продуктів або організації сервісного обслуговування засобів оброблення інформації |
|
А.7 Управлі ння активами |
||
|
А.7.1 Відповідальність за захист активів організації Ціль: Забезпечити та підтримувати відповідний захист активів організації |
||
|
А.7.1.1 |
Інвентаризація активів |
Контролювання Опис усіх важливих активів організації має бути складений і актуалізований |
|
А.7.1.2 |
Володіння активами |
Контролювання Уся інформація й активи, пов’язані із засобами, що оброблюють інформацію, повинні перебувати у володінні1’ представника організації |
|
А.7.1.3 |
Прийнятне використання активів |
Контролювання Правила безпечного використання інформації та активів, пов’язаних із засобами оброблення інформації, мають бути визначені, задокументовані та впроваджені |
|
А.7.2 Класифікація інформації Ціль: Забезпечити впевненість у тому, що інформація захищена на належному рівні |
||
|
А.7.2.1 |
Основні принципи класифікації |
Контролювання Інформація має бути класифікована, виходячи з вимог законодавства, її конфіденційності, а також цінності й критичності для організації |
|
1> Термін «Еласник» (owner) — це особа чи організація, на яку покладена встановлена відповідальність управління з контролю виробництва, розробки, підтримки, використання й безпеки активів. Термін «власник» не означає, що ця особа фактично має права власності на а тиви. |
||
Продовженню таблиці А.1
|
А.7.2.2 |
Маркування та оброблення інформації |
Контролювання Відповідно до прийнятої в організації системи класифікації повинна бути розроблена і впроваджена сукупність процедур маркування та оброблення інформації |
|
А.8 Правит а безпеки, пов’язані з персоналом |
||
|
А.8.1 До пр ацевлаштування1 Ціль: Забезпечити впевненість у тому, що співробітники, підрядники й користувачі сторонньої організації усвідомлюють свою відповідальність, здатні виконувати передбачені для них функції і знижувати ризик від крадіжки, шахрайствг та нецільового використання устатковання, а також від загроз інформаційної безпеки |
||
|
А.8.1.1 |
Ролі та відповідальність персоналу щодо забезпечення безпеки |
Контролювання Ролі та відповідальність персоналу щодо забезпечення безпеки співробітників, підрядників і користувачів сторонньої організації повинні бути визначені й задокументовані відповідно до вимог інформаційної безпеки |
|
А.8.1.2 |
Перевіряння під час приймання на роботу |
Контролювання Перевіряння всіх кандидатів на постійну роботу, підрядників і користувачів сторонньої організації повинно бути проведено відповідно до законів, інструкцій і правил етики, з урахуванням вимог бізнесу, характеру інформації, до якої буде здійснено їхній доступ, і передбачуваних ризиків |
|
А.8.1.3 |
Умови трудового договору |
Контролювання Співробітники, підрядники й користувачі сторонньої організації повинні погодити й підписати умови свого трудового договору, у якому встановлено їхню відповідальність і відповідальність організації щодо інформаційної безпеки |
|
А.8.2 Під час виконання своїх службових обов’язків Ціль: Забезпечити впевненість у тому, що співробітники, підрядники й користувачі сторонньої організації обізнані щодо загро; і проблем інформаційної безпеки, щодо їх відповідальності й обов’язків, ознайомлені з правилами і навчені процедурам для підтримки заходів безпеки організації під час виконання ними своїх службових обов’язків і для зниження ризику людського чинника для інформаційної безпеки |
||
|
А.8.2.1 |
Зобов'язання керівництва |
Контролювання Керівництво організації повинне вимагати, щоб співробітники, підрядники й користувачі сторонньої організації були ознайомлені з правилами та процедурами забезпечення заходів безпеки відповідно до встановлених вимог |
|
А.8.2.2 |
Обізнаність, навчання, перепідготовка у сфері інформаційної безпеки |
Контролювання Усі співробітники організації і, за потреби, підрядники й користувачі сторонньої організації повинні проходити відповідне навчання та перепідготовку для регулярного отримання інформації про нові вимоги до правил і процедур організації безпеки, необхідних для виконання ними посадових функцій |
|
А.8.2.3 |
Дисциплінарна практика |
Контролювання До співробітників, що порушили вимоги щодо безпеки, повинна бути застосована дисциплінарна практика, встановлена в організації |
|
А.8.3 Звільнення або змінення службових обов’язків Ціль: Забезпэчити впевненість у тому, що співробітники, підрядники й користувачі сторонньої організації повідомлені щодо звільнення або змінення умов трудового договору відповідно до встановленого порядку |
||
|
А.8.3.1 |
Відповідальність після закінчення дії трудового договору |
Контролювання Відповідальність після закінчення дії трудового договору повинна бути чітко визначена та встановлена |
|
п Термін «г рацевлаштування» визначено для ситуацій приймання на роботу (тимчасову чи постійну), призначення на посаду або переведеї ня на іншу посаду, зміни в контрактах, а також анулювання будь-яких із цих ситуацій. |
||
|
А.8.3.2 |
Повернення активів |
Контролювання Співробітники, підрядники та користувачі сторонньої організації повинні повернути всі активи організації, що перебувають в їхньому користуванні (володінні), після закінчення терміну дії трудового договору чи угоди (звільнення) |
|
А.8.3.3 |
Анулювання прав доступу |
Контролювання Права доступу до інформації і засобів оброблення інформації співробітників, підрядників та користувачів сторонньої організації повинні бути анульовані або уточнені після закінчення дії трудового договору (звільнення) |
|
А.9 Фізична та екологічна безпека |
||
|
А.9.1 Безпеіні зони Ціль: Запобти несанкціонованому фізичному доступу, пошкодженню та впливу на приміщення та інформацію організації |
||
|
А.9.1.1 |
Периметр зон, які охороняють |
Контролювання Для захисту зон, у яких перебуває інформація та засоби обробки інформації, повинні бути використані периметри зон, що охороняють (бар’єри, такі як міцні стіни, прохідні, обладнані засобами контролювання входу за ідентифікаційними картками, або, де передбачено, контролювання співробітником за реєстраційною стійкою) |
|
А.9.1.2 |
Контролювання доступу в зону, яку охороняють |
Контролювання Зона, яку охороняють, має бути захищена відповідними засобами контролювання входу, що забезпечить упевненість у тому, що тільки авторизований персонал може отримати доступ до зони |
|
А.9.1.3 |
Забезпечення безпеки будівель, виробничих приміщень та устатковання |
Контролювання Вимоги до забезпечення фізичного захисту будівель, виробничих приміщень та устатковання повинні бути розроблені та реалізовані |
|
А.9.1.4 |
Захист від зовнішніх впливів та загроз з боку довкілля |
Контролювання Вимоги до забезпечення фізичного захисту будівель, виробничих приміщень та устатковання від нанесення збитку внаслідок пожежі, повені, землетрусу, вибуху, громадських заворушень та інших природних і антропогенних чинників мають бути розроблені та реалізовані |
|
А.9.1.5 |
Робота в зонах, які охороняють |
Контролювання Вимоги щодо забезпечення фізичного захисту і рекомендації щодо виконання робіт у зонах, які охороняють, мають бути розроблені та реалізовані в інструкціях |
|
А.9.1.6 |
Зони громадського доступу, прийому та відвантаження матеріальних цінностей |
Контролювання Місця доступу, такі як зони прийому, відвантаження матеріальних цінностей та інші місця, де неавторизовані особи можуть проникнути в приміщення, повинні бути під контролем і, по можливості, ізольовані від засобів оброблення інформації, щоб уникнути несанкціонованого доступу |
|
А.9.2 Забезпечення безпеки устатковання Ціль: Запобіг зти втраті, пошкодженню, викраденню чи компрометації активів та припиненню діяльності організації |
||
|
А.9.2.1 |
Розміщення та захист устатковання |
Контролювання Устатковання має бути розміщено та захищено так, щоб знизити екологічні ризики, а також запобігти можливості неправомірного доступу |
|
А.9.2.2 |
Допоміжні послуги |
Контролювання Устатковання має бути захищено від перебоїв у подачі електроенергії та інших збоях, пов’язаних з відмовами у забезпеченні допоміжних послуг |
