Продовжені я таблиці А.1
|
А.11.3.2 |
Устатковання, яке залишено користувачем без нагляду |
Контролювання Користувачі повинні забезпечити відповідний захист устатковання, яке залишено без нагляду |
|
А.11.3.3 |
Правила «чистого столу» та «чистого екрана» |
Контролювання Має бути прийнято правило «чистого столу» для документів на паперових носіях і змінних носіях даних, а також правило «чистого екрана» для засобів оброблення інформації |
|
А.11.4 Управління доступом до мереж Ціль: Запобігти несанкціонованому доступу до мережевих послуг |
||
|
А.11.4.1 |
Політика щодо використання мережевих послуг |
Контролювання Користувачі повинні бути забезпечені доступом до тих послуг, стосовно яких вони були спеціально авторизовані |
|
А.11.4.2 |
Аутентифікація користувачів щодо зовнішніх з’єднань |
Контролювання Для контролювання доступу віддалених користувачів повинні бути застосовані відповідні методи аутентифікації |
|
А.11.4.3 |
Ідентифікація устатковання в мережах |
Контролювання Автоматичну ідентифікацію устатковання потрібно розглядати як засіб аутентифікації з’єднань, здійснюваних з певних місць і з певним устаткованням |
|
А.11.4.4 |
Захист діагностичних і конфігураційних портів під час віддаленого доступу |
Контролювання Фізичний і логічний доступ до портів діагностики та конфігурації потрібно контролювати |
|
А.11.4.5 |
Принцип розподілу в мережах |
Контролювання У мережах має бути застосовано принципи розподілу груп інформаційних послуг, користувачів та інформаційних систем |
|
А.11.4.6 |
Контролювання мережевих з’єднань |
Контролювання Підключення користувачів мереж, які спільно використовують, особливо до тих, які виходять за територію організації, необхідно обмежувати відповідно до політики контролювання доступу й вимог бізнес-застосовань (див. 11.1). |
|
А.11.4.7 |
Контролювання маршрутизації в мережі |
Контролювання Повинні бути впроваджені засоби управління й контролювання маршрутизації в мережі для уникнення порушення правил контролювання доступу бізнес-застосовань, які спричиняють сполуки та потоки інформації |
|
А.11.5 Контролювання доступу до операційної системи Ціль: Запоб гти несанкціонованому доступу до операційних систем |
||
|
А.11.5.1 |
Безпечні процедури реєстрації |
Контролювання Контролювання доступу до операційних систем має бути забезпечено безпечною процедурою реєстрації |
|
А.11.5.2 |
Ідентифікація та аутентифікація користувача |
Контролювання Усі користувачі повинні мати унікальні ідентифікатори (ID) тільки для персонального використання, а для підтвердження заявленої особи користувача повинно бути вибрано відповідні методи аутентифікації |
|
А.11.5.3 |
Система управління паролями |
Контролювання Системи управління паролями мають бути інтерактивними та забезпечувати високу якість паролів |
|
А.11.5.4 |
Використання системних утиліт |
Контролювання Використання системних утиліт, які можуть подолати засоби контролювання операційних систем і застосовань, необхідно обмежувати і жорстко контролювати |
|
А.11.5.5 |
Періоди бездіяльності в сеансах зв'язку |
Контролювання Необхідно забезпечити завершення сеансів зв'язку після певного періоду бездіяльності |
|
А.11.5.6 |
Обмеження часу з’єднання |
Контролювання Обмеження часу з’єднання має бути використано для забезпечення додаткової безпеки |
|
А.11.6 Управління доступом до прикладних систем та інформації Ц/ль.-.Запобіїти несанкціонованому доступу до прикладних систем та інформації |
||
|
А.11.6.1 |
Обмеження доступу до інформації |
Контролювання Доступ до інформації та функцій прикладних систем користувачів та обслуговувального персоналу має бути надано тільки щодо певних політик контролю доступу |
|
А.11.6.2 |
Ізоляція систем, що обробляють важливу інформацію |
Контролювання Системи, що оброблюють важливу інформацію, повинні мати виділене (ізольоване) обчислювальне середовище |
|
А.11.7 Мобільні обчислення Ціль: Забезпечити інформаційну безпеку під час використання переносних пристроїв та засобів, необхідних для роботи в дистанційному режимі |
||
|
А.11.7.1 |
Робота з переносними пристроями |
Контролювання Необхідно мати в наявності формалізовану політику для захисту від ризиків під час використання переносних пристроїв |
|
А.11.7.2 |
Робота в дистанційному режимі |
Контролювання Для роботи в дистанційному режимі необхідно розробити і впровадити політику, оперативні плани й процедури |
|
А.12 Розроблення, впровадження та обслуговування інформаційних систем |
||
|
А.12.1 Вимоги щодо безпеки інформаційних систем Ціль: Забезпечити впевненість в тому, що безпека є невід’ємною властивістю інформаційних систем, які впроваджують, і забезпечити виконання вимог щодо безпеки під час їх розроблення та експлуатації |
||
|
А.12.1.1 |
Аналізування й деталізація вимог щодо безпеки |
Контролювання У формулюваннях вимог бізнесу для нових інформаційних систем або вдосконалення наявних має бути деталізовано вимоги щодо безпеки |
|
А.12.2 Прав ільне оброблення даних у застосованнях Ціль: Запобіїти помилкам, втраті, несанкціонованій модифікації або неправильному використанню інформації в застосоваї- нях |
||
|
А.12.2.1 |
Перевіряння достовірності вхідних даних |
Контролювання Вхідні дані для застосовання потрібно перевіряти для встановлення їх відповідності |
|
А.12.2.2 |
Контролювання оброблення даних у застосованнях |
Контролювання Для виявлення помилок або навмисних дій під час обробляння інформації до вимог до функцій застосовання має бути долучено вимоги щодо виконання контрольних перевірок |
|
А.12.2.3 |
Цілісність повідомлення |
Контролювання Має бути визначено вимоги для забезпечення аутентичності й захисту цілісності повідомлень в застосованнях, а також впроваджено відповідні засоби контролювання |
|
А.12.2.4 |
Підтвердження достовірності вихідних даних |
Контролювання Дані, що виводяться із застосовань, необхідно перевіряти на коректність, щоб забезпечити упевненість в тому, що обробку інформації виконано правильно |
Продовжен ія таблиці А.1
|
А.12.3 Кріптографічне контролювання Ціль: Забезпечити захист конфіденційності, аутентичності або цілісність інформації криптографічними засобами |
||
|
А.12.3.1 |
Політика використання криптографічного контролю |
Контролювання Має бути розроблено та впроваджено правила використання криптографічного контролю |
|
А.12.3.2 |
Управління ключами |
Контролювання Для впровадження в організації криптографічних методів захисту має бути використано систему управління ключами |
|
А.12.4 Безпека системних файлів Ціль: Забезпечити безпеку системних файлів |
||
|
А.12.4.1 |
Контролювання програмного забезпечення, що перебуває в промисловій експлуатації |
Контролювання Необхідно забезпечити контролювання за процесами впровадження програмного забезпечення в промислову експлуатацію |
|
А.12.4.2 |
Захист даних тестування систем |
Контролювання Дані, отримані під час тестування систем, необхідно ретельно відбирати, захищати та контролювати |
|
А.12.4.3 |
Контролювання доступу до початкових кодів |
Контролювання Доступ до початкових кодів має бути обмеженим |
|
А.12.5 Безпека в процесах розроблення та підтримування Ціль: Підтр імування безпеки програмного забезпечення прикладних систем і їхньої інформації |
||
|
А.12.5.1 |
Процедури контролю змінами |
Контролювання Внесення змін має бути контрольованим з використанням відповідних формалізованих процедур контролювання змін |
|
А.12.5.2 |
Технічний огляд прикладних систем після внесення змін в операційні системи |
Контролювання Під час внесення змін в операційні системи необхідно провести аналізування і тестування критичних бізнес-застосовань, щоб упевнитися у відсутності негативного впливу на роботу і безпеку організації |
|
А.12.5.3 |
Обмеження на внесення змін у пакети програм |
Контролювання Необхідно уникати модифікацій пакетів програм, а всі необхідні зміни потрібно суворо контролювати |
|
А.12.5.4 |
Витік інформації |
Контролювання Необхідно запобігати можливості витоку інформації |
|
А.12.5.5 |
Розроблення програмного забезпечення із залученням сторонніх організацій |
Контролювання Розроблення програмного забезпечення із залученням сторонніх організацій має перебувати під наглядом і контролем організації |
|
А. 12.6 Упра вління технічними уразливостями Ціль: Знизити ризики, які є результатом використання відомих технічних уразливостей |
||
|
А.12.6.1 |
Контролювання за технічними уразливостями |
Контролювання Необхідно отримувати своєчасну інформацію щодо технічних уразливостей інформаційних систем, оцінювати небезпеку таких уразливостей та приймати відповідні заходи щодо усунення пов’язаного з ними ризику |
|
А.13 Управ; іння інцидентами інформаційної безпеки |
||
|
А.13.1 Повідомлення про порушення та недоліки інформаційної безпеки Ціль: Забезп зчити оперативність повідомлення стосовно події щодо інформаційної безпеки та порушень, пов’язаних з інформаційними системами, а також своєчасність коригувальних дій |
||
|
А.13.1.1 |
Повідомлення щодо випадків порушення інформаційної безпеки |
Контролювання Про випадки порушення інформаційної безпеки необхідно повідомляти через відповідні канали управління якнайшвидше |
|
Продовження |
аблиці А.1 |
|
|
А.13.1.2 |
Повідомлення про недоліки безпеки |
Контролювання Усі співробітники, підрядники та користувачі сторонніх організацій, що користуються інформаційними системами і послугами, повинні негайно повідомляти про будь-які помічені або передбачувані порушення безпеки в системах або послугах |
|
А. 13.2 Управ Ціль: Забезпє |
ііння інцидентами інформаційної безпеки та його удосконалення нити послідовний та ефективний підхід до управління інцидентами інформаційної безпеки |
|
|
А.13.2.1 |
Відповідальність та процедури |
Контролювання Має бути розроблено відповідальність керівництва та процедури, що дозволяють забезпечити швидке, ефективне та послідовне реагування на інциденти інформаційної безпеки |
|
А.13.2.2 |
Отримання досвіду на основі інцидентів інформаційної безпеки |
Контролювання Має бути визначено механізми, що дозволяють провадити моніторинг і реєстрацію інцидентів інформаційної безпеки за типами, обсягами і вартостями |
|
А.13.2.3 |
Збір доказів |
Контролювання На випадок, якщо інцидент інформаційної безпеки може призвести до судового розгляду (цивільного чи кримінального) проти особи чи організації, інформація повинна бути зібрана, збережена і надана згідно з правилами оформлення доказів, викладених у відповідних документах |
|
А.14 Управлі |
чня безперервністю бізнесу |
|
|
А. 14.1 Аспек, Ціль: Щоб ун наслідків велі |
пи інформаційної безпеки управління безперервністю бізнесу икнути перерв у господарській діяльності та для захисту критично важливих бізнес-процесів від ких збоїв інформаційних систем або лиха, а також забезпечити їх своєчасне відновлення |
|
|
А.14.1.1 |
Включення інформаційної безпеки в процес управління безперервністю бізнесу |
Контролювання Має бути розроблено та підтримано керований процес забезпечення безперервності бізнесу в усій організації з урахуванням вимог щодо безпеки інформації, необхідних для забезпечення безперервності бізнесу організації |
|
А.14.1.2 |
Безперервність бізнесу й оцінка ризику |
Контролювання Події, які можуть стати причиною переривання бізнес-процесів, мають бути пов'язані з оцінками вірогідності та ступеня впливу таких переривань, а також з їхніми наслідками для інформаційної безпеки |
|
А.14.1.3 |
Розроблення та впровадження планів безперервності бізнесу, що містять інформаційну безпеку |
Контролювання Має бути розроблено та впроваджено плани для підтримування чи відновлення роботи і забезпечення доступності інформації на необхідному рівні та в певні терміни після переривання або відмови критичних бізнес-процесів |
|
А.14.1.4 |
Структура плану забезпечення безперервності бізнесу |
Контролювання Має бути створено єдину структуру планів безперервності бізнесу, що дозволяє забезпечити несуперечність усіх планів для послідовного виконання всіх вимог до інформаційної безпеки і для розстановки пріоритетів під час тестування та обслуговування |
|
А.14.1.5 |
Тестування, підтримка та перегляд планів щодо забезпечення безперервності бізнесу |
Контролювання Плани щодо забезпечення безперервності бізнесу потрібно регулярно переглядати й оновлювати, щоб забезпечити їхню актуальність та ефективність |
|
А.15 Відлові, |
ність |
|
|
А.15.1 Відпое, Ціль: Запобігсі правовими ак |
ідність правовим вимогам ги будь-яким порушенням норм кримінального та цивільного права, вимог, встановлених нормативно- ами, регулювальними органами або договірними зобов'язаннями, а також вимог щодо безпеки |
|
|
|
. 21 |
|
