Продовження таблиці А.1

А.9.2.3

Безпека кабельної мережі

Контролювання

Силові й телекомунікаційні кабельні мережі, по яких передаються дані або підтримуються інформаційні послуги, необхідно захищати від перехоплення інформації або пошкодження

А.9.2.4

Технічне обслуговування устатковання

Контролювання

Потрібно провадити належне регулярне технічне обслуговування устатковання для забезпечення його безперервної працездат­ності та збереження

А.9.2.5

Забезпечення безпеки устатковання, яке використовують за межами приміщень організації

Контролювання

У разі забезпечення безпеки устатковання, використовуваного за межами його постійної експлуатації, потрібно бути враховано різні ризики, пов’язані з роботою поза приміщеннями організації

А.9.2.6

Безпечна утилізація або повторне використання устатковання

Контролювання

Усі компоненти устатковання, що містять носії даних, має бути перевірено, щоб упевнитися в тому, що будь-які конфіденційні дані та ліцензійне програмне забезпечення були видалені або скопійовані безпечним чином перед їх утилізацією (списанням)

А.9.2.7

Перенесення майна за межі організації

Контролювання

Устатковання, інформацію або програмне забезпечення дозво­лено виносити з приміщення організації тільки за наявності відпо­відного дозволу

А.10 Управління засобами комунікацій та їх функціюванням

А.10.1 Процедури щодо експлуатації. Відповідальність

Ціль: Забеспечити належне та безпечне функціювання засобів, що оброблюють інформацію

А.10.1.1

Документування експлуатаційних процедур

Контролювання

Експлуатаційні процедури мають бути задокументовані та підтри­муватися, бути доступними для всіх авторизованих користувачів

А.10.1.2

Управління змінами

Контролювання

Зміни в конфігураціях засобів, що оброблюють інформацію, та систе­мах потрібно контролювати

А.10.1.3

Розмежування обов'язків

Контролювання

Обов’язки та сфери відповідальності має бути розмежовано в цілях зниження можливості несанкціонованої або ненавмисної моди­фікації, або нецільового використання активів організації

А.10.1.4

Розмежування засобів розроблення, тестування та експлуатації

Контролювання

Засоби розроблення, тестування та експлуатації має бути розме­жовано для зниження ризиків несанкціонованого доступу або змін операційної системи

А.10.2 Упргвління наданням послуг сторонніми організаціями

Ціль: Реалі: овувати та підтримувати необхідний рівень інформаційної безпеки та надання послуг відповідно до угоди про надання послуг сторонніми організаціями (зовнішніми особами та/чи організаціями)

А.10.2.1

Надання послуг

Контролювання

Має бути забезпечено впевненість у тому, що заходи управління інформаційною безпекою, включені в договір про надання послуг сторонньої організації, реалізовані, функціюють і їх підтримує сто­роння організація

А.10.2.2

Моніторинг та аналізування послуг, наданих сторонніми особами та/чи організаціями

Контролювання

Необхідно регулярно провадити моніторинг, аудит та аналізу­вання послуг, звітів і актів, які забезпечує стороння організація



А.10.2.3

Зміни у разі надання сто­ронніми організаціями послуг щодо забезпечення безпеки

Контролювання

Зміни у разі надання послуг щодо забезпечення безпеки, охоплю­ючи впровадження та вдосконалення наявних вимог, процедур і за­ходів забезпечення інформаційної безпеки, повинні бути керовани­ми з урахуванням оцінки критичності систем і процесів бізнесу, а та­кож результатів переоцінки ризиків

А.10.3 Планування та прийняття систем

Ціль: Мініміз 'вати ризик збоїв у роботі системи

А.10.3.1

Управління продуктивністю

Контролювання

Необхідно здійснювати прогнозування, моніторинг і коригування потреби потужності системи для забезпечення необхідної її про­дуктивності

А.10.3.2

Приймання систем

Контролювання

Має бути визначено критерії нових і модернізованих інформацій­них систем, нових версій програмного забезпечення, а також про­ведено тестування систем у процесі їх розроблення та приймання

А. 10.4 Захист від шкідливого та мобільного коду

Ціль: Захист цілісності програмного забезпечення та масивів інформації

А.10.4.1

Заходи захисту від шкідливого коду

Контролювання

Має бути впроваджено заходи щодо виявлення, запобігання проникненню та відновлення після проникнення шкідливого коду, а також встановлено процедури забезпечення відповідного спо­віщення користувачів

А.10.4.2

Заходи захисту від мобільного коду

Контролювання

Там, де дозволено використання мобільного коду, конфігурація системи має забезпечувати впевненість у тому, що автори­зований мобільний код функціює відповідно до чітко визначеної політики безпеки, а виконання операцій з використанням неавто- ризованого мобільного коду буде попереджено

А. 10.5 Резервування

Ціль: Підтри лувати цілісність і доступність інформації та засобів оброблення інформації

А.10.5.1

Резервування інформації

Контролювання

Резервні копії інформації та програмного забезпечення потрібно створювати, перевіряти і постійно тестувати відповідно до прийнятих вимог резервування

А.10.6 Упра зління безпекою мереж

Ціль: Забезг ечити захист інформації в мережах і захист інфраструктури, що їх підтримує

А.10.6.1

Засоби контролювання мереж

Контролювання

Мережі мають бути адекватно керовані та контрольовані для захисту від загроз і підтримування безпеки систем і застосувань, що використовують мережу, охоплюючи інформацію, яку передають по мережах

А.10.6.2

Безпека мережевих сервісів

Контролювання

Заходи забезпечення безпеки, рівні обслуговування для всіх мережевих сервісів і вимог щодо управління мають бути визначені й наведені в будь-якому договорі щодо мережевих послуг незалежно від того, чи надають ці послуги самостійно чи стороння організація

А.10.7 Поводження з носіями інформації

Ціль: Запобігти несанкціонованому розголошенню, модифікації, видаленню або знищенню активів, а також пере­риванню біз іес-процесів



Продовження таблиці А.1

А.10.7.1

Управління знімними носіями інформації

Контролювання

Для управління знімними носіями інформації мають існувати відпо­відні процедури

А.10.7.2

Утилізація носіїв інформації

Контролювання

Носії інформації, коли в них більше немає потреби, мають бути надійно і безпечно утилізовані за допомогою формалізованих процедур

А.10.7.3

Процедура оброблення інформації

Контролювання

Для забезпечення захисту інформації від несанкціонованого розкриття або неправильного використання необхідно встановити процедури оброблення та зберігання інформації

А.10.7.4

Безпека системної документації

Контролювання

Системну документацію має бути захищено від несанкціонованого доступу

А.10.8 Обмін інформацією

Ціль: Підтримка безпеки інформації і програмного забезпечення в разі обміну всередині організації та зі сторонніми організація ии

А.10.8.1

Політика та процедури обміну інформацією

Контролювання

Має бути формалізовано процедури, вимоги до контролю, що забезпечать захист обміну інформацією в разі використання всіх типів зв’язку

А.10.8.2

Угода щодо обміну інформацією

Контролювання

Між організацією та зовнішніми сторонами має бути укладено угоди для обміну інформацією та програмним забезпеченням

А.10.8.3

Захист фізичних носіїв інформації під час транспортування

Контролювання

Носії інформації мають бути захищені від несанкціонованого доступу, неправильного використання або пошкодження під час транспортування за межами території організації

А.10.8.4

Електронний обмін повідомленнями

Контролювання

Інформація, яку використовують в електронній системі обміну пові­домленнями, має бути відповідно захищена

А.10.8.5

Інформаційні системи, які використовують у бізнесі

Контролювання

Вимоги та процедури мають бути розроблені та впроваджені для захисту інформації, пов’язаної із взаємодією систем бізнес- інформації

А.10.9 Послуги електронної комерції

Ціль: Забезпечити безпеку послуг електронної комерції та їх безпечне використання

А.10.9.1

Електронна комерція

Контролювання

Інформація щодо електронної комерції, яка проходить через загальнодоступну мережу, має бути захищена від шахрайства, оскарження контактів, а також несанкціонованого розголошення й модифікації

А.10.9.2

Трансакції в режимі реального часу (On-line)

Контролювання

Інформація, яку використовують у трансакціях у режимі реального часу, має бути захищена для запобігання неповній передачі, не­правильній маршрутизації, несанкціонованій зміні повідомлень, несанкціонованому розголошуванню, несанкціонованому копію­ванню чи дублюванню повідомлень

А.10.9.3

Загальнодоступна інформація

Контролювання

Інформація, яку надають через загальнодоступну систему, має бути захищена від несанкціонованої модифікації



А. 10.10 Моніторинг

Ціль: Вияви 'и несанкціоновані дії щодо оброблення інформації

А.10.10.1

Ведення журналів аудиту

Контролювання

Має бути забезпечено ведення та зберігання протягом певного періоду часу журналів аудиту, у яких реєструють дії користувачів, позаштатні ситуації та події інформаційної безпеки, для допомоги в майбутніх розслідуваннях та моніторингу контролю доступу

А.10.10.2

Моніторинг використання за­собів оброблення інформації

Контролювання

Має бути розроблено процедури, що дозволяють вести моніто­ринг і регулярне аналізування результатів моніторингу використан­ня засобів оброблення інформації

А.10.10.3

Захист інформації журналів реєстрації

Контролювання

Засоби реєстрації та інформація журналів реєстрації мають бути захищені від несанкціонованого доступу

А.10.10.4

Журнали реєстрації дій адміністратора та оператора

Контролювання

Дії системного адміністратора та системного оператора потрібно реєструвати

А.10.10.5

Реєстрація відмов

Контролювання

Несправності має бути зареєстровано, проаналізовано та усунено

А.10.10.6

Синхронізація годинників

Контролювання

Годинник усіх відповідних систем оброблення інформації в межах організації або зони, яку охороняють, має бути синхронізовано за допомогою єдиного джерела точного часу

А.11 Управління доступом

А.11.1 Бізнчс-вимоги до управління доступом

Ціль: Контролювати доступ до інформації

А.11.1.1

Політика контролювання доступу

Контролювання

Політика контролювання доступу має бути встановлена й задо­кументована з урахуванням потреб бізнесу та безпеки інформації

А.11.2 Управління доступом користувачів

Ціль: Запоб гання несанкціонованому доступу користувачів до інформаційних систем та забезпечення авторизо­ваного дост/пу користувачів до цих систем

А.11.2.1

Реєстрація користувачів

Контролювання

Має бути встановлено формалізовану процедуру реєстрації або зняття з реєстрації користувачів для надання або відміни доступу до всіх інформаційних систем та послуг

А.11.2.2

Управління привілеями

Контролювання

Надання і використання привілеїв має бути обмежено та контро­льовано

А.11.2.3

Управління паролями користувачів

Контролювання

Надання паролів потрібно контролювати за допомогою формалі­зованого процесу управління

А.11.2.4

Перегляд прав доступу користувачів

Контролювання

Керівництво повинно регулярно розглядати права доступу користувачів, використовуючи формалізований процес

А.11.3 Відповідальність користувачів

Ціль: Запобігання несанкціонованому доступу користувачів, а також компрометації або крадіжці інформації та засобів оброблення інформації

А.11.3.1

Використання паролів

Контролювання

Користувачі повинні дотримуватися правила безпеки під час вибору та використання паролей