Продовження таблиці А.1
|
А.9.2.3 |
Безпека кабельної мережі |
Контролювання Силові й телекомунікаційні кабельні мережі, по яких передаються дані або підтримуються інформаційні послуги, необхідно захищати від перехоплення інформації або пошкодження |
|
А.9.2.4 |
Технічне обслуговування устатковання |
Контролювання Потрібно провадити належне регулярне технічне обслуговування устатковання для забезпечення його безперервної працездатності та збереження |
|
А.9.2.5 |
Забезпечення безпеки устатковання, яке використовують за межами приміщень організації |
Контролювання У разі забезпечення безпеки устатковання, використовуваного за межами його постійної експлуатації, потрібно бути враховано різні ризики, пов’язані з роботою поза приміщеннями організації |
|
А.9.2.6 |
Безпечна утилізація або повторне використання устатковання |
Контролювання Усі компоненти устатковання, що містять носії даних, має бути перевірено, щоб упевнитися в тому, що будь-які конфіденційні дані та ліцензійне програмне забезпечення були видалені або скопійовані безпечним чином перед їх утилізацією (списанням) |
|
А.9.2.7 |
Перенесення майна за межі організації |
Контролювання Устатковання, інформацію або програмне забезпечення дозволено виносити з приміщення організації тільки за наявності відповідного дозволу |
|
А.10 Управління засобами комунікацій та їх функціюванням |
||
|
А.10.1 Процедури щодо експлуатації. Відповідальність Ціль: Забеспечити належне та безпечне функціювання засобів, що оброблюють інформацію |
||
|
А.10.1.1 |
Документування експлуатаційних процедур |
Контролювання Експлуатаційні процедури мають бути задокументовані та підтримуватися, бути доступними для всіх авторизованих користувачів |
|
А.10.1.2 |
Управління змінами |
Контролювання Зміни в конфігураціях засобів, що оброблюють інформацію, та системах потрібно контролювати |
|
А.10.1.3 |
Розмежування обов'язків |
Контролювання Обов’язки та сфери відповідальності має бути розмежовано в цілях зниження можливості несанкціонованої або ненавмисної модифікації, або нецільового використання активів організації |
|
А.10.1.4 |
Розмежування засобів розроблення, тестування та експлуатації |
Контролювання Засоби розроблення, тестування та експлуатації має бути розмежовано для зниження ризиків несанкціонованого доступу або змін операційної системи |
|
А.10.2 Упргвління наданням послуг сторонніми організаціями Ціль: Реалі: овувати та підтримувати необхідний рівень інформаційної безпеки та надання послуг відповідно до угоди про надання послуг сторонніми організаціями (зовнішніми особами та/чи організаціями) |
||
|
А.10.2.1 |
Надання послуг |
Контролювання Має бути забезпечено впевненість у тому, що заходи управління інформаційною безпекою, включені в договір про надання послуг сторонньої організації, реалізовані, функціюють і їх підтримує стороння організація |
|
А.10.2.2 |
Моніторинг та аналізування послуг, наданих сторонніми особами та/чи організаціями |
Контролювання Необхідно регулярно провадити моніторинг, аудит та аналізування послуг, звітів і актів, які забезпечує стороння організація |
|
А.10.2.3 |
Зміни у разі надання сторонніми організаціями послуг щодо забезпечення безпеки |
Контролювання Зміни у разі надання послуг щодо забезпечення безпеки, охоплюючи впровадження та вдосконалення наявних вимог, процедур і заходів забезпечення інформаційної безпеки, повинні бути керованими з урахуванням оцінки критичності систем і процесів бізнесу, а також результатів переоцінки ризиків |
|
А.10.3 Планування та прийняття систем Ціль: Мініміз 'вати ризик збоїв у роботі системи |
||
|
А.10.3.1 |
Управління продуктивністю |
Контролювання Необхідно здійснювати прогнозування, моніторинг і коригування потреби потужності системи для забезпечення необхідної її продуктивності |
|
А.10.3.2 |
Приймання систем |
Контролювання Має бути визначено критерії нових і модернізованих інформаційних систем, нових версій програмного забезпечення, а також проведено тестування систем у процесі їх розроблення та приймання |
|
А. 10.4 Захист від шкідливого та мобільного коду Ціль: Захист цілісності програмного забезпечення та масивів інформації |
||
|
А.10.4.1 |
Заходи захисту від шкідливого коду |
Контролювання Має бути впроваджено заходи щодо виявлення, запобігання проникненню та відновлення після проникнення шкідливого коду, а також встановлено процедури забезпечення відповідного сповіщення користувачів |
|
А.10.4.2 |
Заходи захисту від мобільного коду |
Контролювання Там, де дозволено використання мобільного коду, конфігурація системи має забезпечувати впевненість у тому, що авторизований мобільний код функціює відповідно до чітко визначеної політики безпеки, а виконання операцій з використанням неавто- ризованого мобільного коду буде попереджено |
|
А. 10.5 Резервування Ціль: Підтри лувати цілісність і доступність інформації та засобів оброблення інформації |
||
|
А.10.5.1 |
Резервування інформації |
Контролювання Резервні копії інформації та програмного забезпечення потрібно створювати, перевіряти і постійно тестувати відповідно до прийнятих вимог резервування |
|
А.10.6 Упра зління безпекою мереж Ціль: Забезг ечити захист інформації в мережах і захист інфраструктури, що їх підтримує |
||
|
А.10.6.1 |
Засоби контролювання мереж |
Контролювання Мережі мають бути адекватно керовані та контрольовані для захисту від загроз і підтримування безпеки систем і застосувань, що використовують мережу, охоплюючи інформацію, яку передають по мережах |
|
А.10.6.2 |
Безпека мережевих сервісів |
Контролювання Заходи забезпечення безпеки, рівні обслуговування для всіх мережевих сервісів і вимог щодо управління мають бути визначені й наведені в будь-якому договорі щодо мережевих послуг незалежно від того, чи надають ці послуги самостійно чи стороння організація |
|
А.10.7 Поводження з носіями інформації Ціль: Запобігти несанкціонованому розголошенню, модифікації, видаленню або знищенню активів, а також перериванню біз іес-процесів |
||
Продовження таблиці А.1
|
А.10.7.1 |
Управління знімними носіями інформації |
Контролювання Для управління знімними носіями інформації мають існувати відповідні процедури |
|
А.10.7.2 |
Утилізація носіїв інформації |
Контролювання Носії інформації, коли в них більше немає потреби, мають бути надійно і безпечно утилізовані за допомогою формалізованих процедур |
|
А.10.7.3 |
Процедура оброблення інформації |
Контролювання Для забезпечення захисту інформації від несанкціонованого розкриття або неправильного використання необхідно встановити процедури оброблення та зберігання інформації |
|
А.10.7.4 |
Безпека системної документації |
Контролювання Системну документацію має бути захищено від несанкціонованого доступу |
|
А.10.8 Обмін інформацією Ціль: Підтримка безпеки інформації і програмного забезпечення в разі обміну всередині організації та зі сторонніми організація ии |
||
|
А.10.8.1 |
Політика та процедури обміну інформацією |
Контролювання Має бути формалізовано процедури, вимоги до контролю, що забезпечать захист обміну інформацією в разі використання всіх типів зв’язку |
|
А.10.8.2 |
Угода щодо обміну інформацією |
Контролювання Між організацією та зовнішніми сторонами має бути укладено угоди для обміну інформацією та програмним забезпеченням |
|
А.10.8.3 |
Захист фізичних носіїв інформації під час транспортування |
Контролювання Носії інформації мають бути захищені від несанкціонованого доступу, неправильного використання або пошкодження під час транспортування за межами території організації |
|
А.10.8.4 |
Електронний обмін повідомленнями |
Контролювання Інформація, яку використовують в електронній системі обміну повідомленнями, має бути відповідно захищена |
|
А.10.8.5 |
Інформаційні системи, які використовують у бізнесі |
Контролювання Вимоги та процедури мають бути розроблені та впроваджені для захисту інформації, пов’язаної із взаємодією систем бізнес- інформації |
|
А.10.9 Послуги електронної комерції Ціль: Забезпечити безпеку послуг електронної комерції та їх безпечне використання |
||
|
А.10.9.1 |
Електронна комерція |
Контролювання Інформація щодо електронної комерції, яка проходить через загальнодоступну мережу, має бути захищена від шахрайства, оскарження контактів, а також несанкціонованого розголошення й модифікації |
|
А.10.9.2 |
Трансакції в режимі реального часу (On-line) |
Контролювання Інформація, яку використовують у трансакціях у режимі реального часу, має бути захищена для запобігання неповній передачі, неправильній маршрутизації, несанкціонованій зміні повідомлень, несанкціонованому розголошуванню, несанкціонованому копіюванню чи дублюванню повідомлень |
|
А.10.9.3 |
Загальнодоступна інформація |
Контролювання Інформація, яку надають через загальнодоступну систему, має бути захищена від несанкціонованої модифікації |
|
А. 10.10 Моніторинг Ціль: Вияви 'и несанкціоновані дії щодо оброблення інформації |
||
|
А.10.10.1 |
Ведення журналів аудиту |
Контролювання Має бути забезпечено ведення та зберігання протягом певного періоду часу журналів аудиту, у яких реєструють дії користувачів, позаштатні ситуації та події інформаційної безпеки, для допомоги в майбутніх розслідуваннях та моніторингу контролю доступу |
|
А.10.10.2 |
Моніторинг використання засобів оброблення інформації |
Контролювання Має бути розроблено процедури, що дозволяють вести моніторинг і регулярне аналізування результатів моніторингу використання засобів оброблення інформації |
|
А.10.10.3 |
Захист інформації журналів реєстрації |
Контролювання Засоби реєстрації та інформація журналів реєстрації мають бути захищені від несанкціонованого доступу |
|
А.10.10.4 |
Журнали реєстрації дій адміністратора та оператора |
Контролювання Дії системного адміністратора та системного оператора потрібно реєструвати |
|
А.10.10.5 |
Реєстрація відмов |
Контролювання Несправності має бути зареєстровано, проаналізовано та усунено |
|
А.10.10.6 |
Синхронізація годинників |
Контролювання Годинник усіх відповідних систем оброблення інформації в межах організації або зони, яку охороняють, має бути синхронізовано за допомогою єдиного джерела точного часу |
|
А.11 Управління доступом |
||
|
А.11.1 Бізнчс-вимоги до управління доступом Ціль: Контролювати доступ до інформації |
||
|
А.11.1.1 |
Політика контролювання доступу |
Контролювання Політика контролювання доступу має бути встановлена й задокументована з урахуванням потреб бізнесу та безпеки інформації |
|
А.11.2 Управління доступом користувачів Ціль: Запоб гання несанкціонованому доступу користувачів до інформаційних систем та забезпечення авторизованого дост/пу користувачів до цих систем |
||
|
А.11.2.1 |
Реєстрація користувачів |
Контролювання Має бути встановлено формалізовану процедуру реєстрації або зняття з реєстрації користувачів для надання або відміни доступу до всіх інформаційних систем та послуг |
|
А.11.2.2 |
Управління привілеями |
Контролювання Надання і використання привілеїв має бути обмежено та контрольовано |
|
А.11.2.3 |
Управління паролями користувачів |
Контролювання Надання паролів потрібно контролювати за допомогою формалізованого процесу управління |
|
А.11.2.4 |
Перегляд прав доступу користувачів |
Контролювання Керівництво повинно регулярно розглядати права доступу користувачів, використовуючи формалізований процес |
|
А.11.3 Відповідальність користувачів Ціль: Запобігання несанкціонованому доступу користувачів, а також компрометації або крадіжці інформації та засобів оброблення інформації |
||
|
А.11.3.1 |
Використання паролів |
Контролювання Користувачі повинні дотримуватися правила безпеки під час вибору та використання паролей |
