Кінець таблиці А.1
А.15.1.1 |
Визначення норм, які застосовують |
Контролювання Усі норми, встановлені законодавством і виконавчими органами влади, вимоги договірних зобов’язань і порядок їх виконання треба чітко визначити, задокументувати і підтримувати на актуальному рівні для кожної інформаційної системи та організації |
А.15.1.2 |
Права на інтелектуальну власність |
Контролювання Має бути впроваджено відповідні процедури щодо застосування законодавчих, регулівних і договірних вимог до матеріалів, які використовують з урахуванням прав на інтелектуальну власність, а також права на використання програмних продуктів, що є предметом приватної власності |
А.15.1.3 |
Захист записів організації |
Контролювання Важливі записи організації повинні бути захищені від втрати, руйнування та фальсифікації відповідно до вимог, встановлених законами, документами органів виконавчої влади і вимогами бізнесу |
А.15.1.4 |
Захист даних і конфіденційність персональної інформації |
Контролювання Захист даних і конфіденційність персональної інформації має бути забезпечено відповідно до вимог законів, нормативних актів і, де це застосовно, відповідно до положень контрактів |
А.15.1.5 |
Запобігання нецільовому використанню засобів оброблення інформації . |
Контролювання Має бути застосовано заходи контролювання щодо запобігання нецільовому використанню засобів оброблення інформації |
А.15.1.6 |
Регулювання використання криптографічного захисту |
Контролювання Засоби криптографічного захисту має бути використано відповідно до законів, нормативних актів і відповідних угод |
А.15.2 Відповідність політикам і стандартам щодо безпеки та технічна відповідність вимогам щодо безпеки Ціль: Забезпечити відповідність систем організаційним політикам і стандартам щодо безпеки |
||
А.15.2.1 |
Відповідність політикам і стандартам щодо безпеки |
Контролювання Керівники повинні забезпечити, щоб усі процедури безпеки в їхній сфері відповідальності були виконані правильно і відповідали політикам і стандартам щодо безпеки |
А.15.2.2 |
Перевіряння технічної відповідності вимогам щодо безпеки |
Контролювання Інформаційні системи необхідно регулярно перевіряти на відповідність вимогам стандартів щодо безпеки |
А.15.3 Розгляди аудиту інформаційних систем Ціль: Підвищення ефективності процесу аудиту інформаційних систем та зниження негативного впливу на цей процес |
||
А.15.3.1 |
Заходи управління аудитом інформаційних систем |
Контролювання Вимоги та процедури аудиту, що охоплюють перевіряння операційних систем, необхідно ретельно планувати та узгоджувати, щоб звести до мінімуму ризики переривання бізнес-процесів |
А.15.3.2 |
Захист інструментальних засобів аудиту інформаційних систем |
Контролювання Доступ до інструментальних засобів аудиту інформаційних систем необхідно захищати для запобігання будь-якій можливості їх неправильного використання чи компрометації |
ДОДАТОК В
(довідковий)
ПРИНЦИПИ ОРГАНІЗАЦІЇ ЕКОНОМІЧНОЇ СПІВПРАЦІ
ТА РОЗВИТКУ І ЦЕЙ СТАНДАРТ
Принципи, надані в Директивах ОЕСР щодо забезпечення безпеки інформаційних систем і мереж, застосовні до всіх рівнів політики та експлуатації, які визначають безпеку інформаційних систем і мереж. Цей стандарт пропонує концептуальну основу системи управління інформаційною безпекою для реалізації деяких з принципів ОЕСР з використанням моделі PDCA і процесів, описаних в розділах 4, 5, 6 і 8 та наведених у таблиці В.1.
Таблиья В.1 — Принципи ОЕСР та модель PDCA
Принципи ОЕСР |
Відповідний процес СУІБ і стадія PDCA |
Обізнаність Учасники повинні бути обізнані щодо необхідності забезпечення безпеки інформаційних систем і мереж і що вони можуть зробити для збільшення рівня безпеки |
Ці заходи є частиною стадії «Виконуй» (див. 4.2.2 та 5.2.2) |
Відповідальність Усі учасники відповідальні за безпеку інформаційних систем і ме )ЄЖ |
Ці заходи є частиною стадії «Виконуй» (див. 4.2.2 та 5.1) |
Реагування Учасники п звинні діяти сумісно та своєчасно, щоб запобігти, еиявити інциденти безпеки та реагувати на них |
Це частина стадії «Перевіряй» діяльність щодо моніторингу (див. 4.2.3, розділ 6, 7.1—7.3) та заходи з реагування стадії «Дій» (див. 4.2.4, 8.1—8.3). Ці заходи можуть також охоплювати деякі елементи стадій «Плануй» та «Перевіряй» |
Оцінювання ризику Учасники повинні провадити оцінювання ризиків |
Цей вид діяльності є частиною стадії «Плануй» (див. 4.2.1), а повторне оцінювання (переоцінювання) ризику є частиною стадії «Перевіряй» (див. 4.2.3, розділ 6, 7.1—7.3) |
Розроблення та впровадження безпеки Учасники п звинні впровадити безпеку, як важливий елемент іноормаційних систем і мереж |
Після виконання оцінювання ризиків вибирають заходи управління для оброблення ризиків як частину стадії «Плануй» (див. 4.2.1). Стадія «Виконуй» (див. 4.2.2 і 5.2) охоплює потім впровадження і забезпечення функціювання цих заходів управління |
Управління безпекою Учасники пс винні прийняти всебічний підхід до управління безпекою |
Управління ризиками є процес, що містить запобігання, виявлення інцидентів та реагування на них, супровід, аналіз та аудит. Усі ці питання вирішують на стадіях «Плануй», «Виконуй» і «Дій» |
Повторне оцінювання Учасники пзвинні аналізувати і повторно оцінювати стан безпеї и інформаційних систем та мереж і вносити відпов дні модифікації в політику, заходи й процедури безпеки |
Переоцінювання (повторне оцінювання) інформаційної безпеки є частиною стадії «Перевіряй» (див. 4.2.3, розділ 6, 7.1—7.3), на якій потрібно виконувати регулярне аналізування ефективності системи управління інформаційної безпеки, а підвищення рівня безпеки є частиною стадії «Дій» (див. 4.2.4, 8.1—8.3) |
ДОДАТОК С
(довідковий)
ПОРІВНЯННЯ СТРУКТУРИ ЦЬОГО СТАНДАРТУ ЗІ СТРУКТУРАМИ
МІЖНАРОДНИХ СТАНДАРТІВ ISO 9001:2000 ТА ISO 14001:2004
У таблиці С.1 наведено порівняння структур ISO 9001:2000, ISO 14001:2004 і цього стандарту.
Таблиця С.1 — Порівняння структур ISO 9001:2000, ISO 14001:2004 і цього стандарту
Цей стандарт |
ISO 9001:2000 |
ISO 14001:2004 |
0 Вступ 0.1 Загале і положення 0.2 Процес йний підхід 0.3 Сумісність з іншими системами управління |
0 Вступ 0.1 Загальні положення 0.2 Процесний підхід 0.3 Зв’язок з ISO 9004 0.4 Сумісність з іншими системами управління |
Вступ |
1 Сфера застосування
|
1 Сфера застосування
|
1 Сфера застосування |
2 Нормативні посилання |
2 Нормативні посилання |
2 Нормативні посилання |
3 Терміни т з визначення понять |
3 Терміни та визначення понять |
3 Терміни та визначення понять |
4 Система j правління інформаційною безпекою
|
4 Система управління якістю
|
4 Вимоги до системи управління навколишнім середовищем
4.4 Впровадження та експлуатація 4.5.1 Моніторинг і вимірювання |
4.3 Вимоги f. о документації
|
4.2 Вимоги до документації
|
4.4.5 Заходи контролювання документації 4.5.4 Заходи контролювання щодо облікових записів |
5 Відповідал эність керівництва 5.1 Зобов'язання керівництва |
5 Відповідальність керівництва
|
|
5.2 Управління ресурсами
|
6 Управління ресурсами
6.2.2 Компетентність, обізнаність та підготовка
|
4.4.2 Навчання, обізнаність та компетентність |
Кінець таблиці С.1
Цей стандарт |
ISO 9001:2000 |
ISO 14001:2004 |
6 Внутрішні аудити СУІБ |
8.2.2 Внутрішні аудити (перевірки) |
4.5.5 Внутрішній аудит |
7 Аналізування СУІБ з боку керівництвг
|
5.6 Управління з боку керівництва
|
4.6 Управління з боку керівництва |
8 Поліпшен ія СУІБ
|
8.5 Удосконалення
|
4.5.3 Невідповідність, коригувальні та превентивні дії |
Додаток A L ,ілі та заходи управління |
— |
Додаток А Настанова щодо застосування цього стандарту |
Додаток В Г ринципи Організації економічної співпраці та розвитку і цей стандарт |
— |
|
Додаток С Порівняння структури цього стандарту зі структурами ISO 9001:2С00 та ISO 14001:2004 |
Додаток А Відповідність ISO 9001:2000 та ISO 14001:2004 |
Додаток В Відповідність між ISO 14001:2004 та ISO 9001:2000 |
БІБЛІОГРАФІЯ
Нормативні документи
ISO 0001:2000 Quality management systems — Requirements
ISO/IEC 13335-1:2004 Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management
ISO/ EC TR 13335-3:1998 Information technology — Guidelines for the management of IT Security — Dart 3: Techniques for the management of IT security
ISO/IEC 13335-4:2000 Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards
ISO 14001:2004 Environmental management systems — Requirements with guidance for use
ISO/IEC TR 18044:2004 Information technology — Security techniques — Information security incident management
ISO 19011:2002 Guidelines for quality and/or environmental management systems auditing
ISO/IEC Guide 62:1996 General requirements for bodies operating assessment and certification/ registration of quality systems
ISO/IEC Guide 73:2002 Risk management — Vocabulary — Guidelines for use in standards.
Інші видання
OECD, Guidelines for the Security of Information Systems and Networks — Towards a Culture of Security. 3aris: OESD, July 2002. www.oecd.org
NIST SP 800-30, Risk Management Guide for Information Technology Systems
Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986Код УКНД 35.040
Ключ )ві слова: документально оформлена процедура, інцидент інформаційної безпеки, система угравління інформаційною безпекою.
1 Термін «власник» визначає особу чи організацію, які мають затверджені керівництвом відповідальність щодо контролю за виробництвом, розробкою, підтримкою, використанням і безпекою активів. Термін «власник» не означає, що особа має будь-які права власності на активи.