9.3 Перегляд з боку керівництва
Вище керівництво повинно переглядати систему управління інформаційною безпекою організації через заплановані проміжки часу для гарантування її постійної придатності, адекватності й ефективності.
Перегляд з боку керівництва повинен стосуватися розгляду:
статусу дії, що є наслідком попереднього перегляду керівництва;
зміни в зовнішніх та внутрішніх обставинах, які мають відношення до системи управління інформаційною безпекою;
зворотного впливу на результативність інформаційної безпеки, охоплюючи тенденції в:
невідповідностях та коригувальних діях;
результатах моніторингу та вимірювань;
результатах аудиту; та
досягненнях цілей інформаційної безпеки;
зворотного зв’язку від зацікавлених сторін;
результатів оцінювання ризиків і статусу плану оброблення ризиків; та
можливостей для постійного вдосконалення.
Вихідні дані перегляду з боку керівництва повинні включати рішення стосовно можливостей постійного вдосконалення та будь-яких потреб внесення змін до системи управління інформаційною безпекою.
Організація повинна зберігати документовану інформацію як доказ результатів переглядів з боку керівництва.
10 ВДОСКОНАЛЕННЯ
Невідповідності й корегувальні дії
У разі виявлення невідповідностей організація повинна:
реагувати на невідповідності і за можливості:
виконувати дії для контролю та їх корекції; та
вживати заходів щодо наслідків;
оцінювати потреби в діях для усунення причин невідповідностей для запобігання їх повторення чи виникнення будь-де за допомогою:
перегляду невідповідностей;
визначення причин невідповідностей; і
визначення, чи існують подібні невідповідності або потенційно можуть з’являтися;
впровадити певні дії, за потреби;
переглянути ефективність виконаних коригувальних дій; і
внести зміни до системи управління інформаційною безпекою, за потреби.
Коригувальні дії мають бути адекватними до наслідків виявлених невідповідностей.
Організація повинна зберігати документовану інформацію як доказ:
сутності невідповідностей та будь-яких послідовних дій, що були виконані, та
д) результати будь-яких коригувальних дій.
10.2 Постійне вдосконалення
Організація повинна постійно вдосконалювати придатність, адекватність та ефективність системи управління інформаційною безпекою, гарантування її постійної придатності, адекватності та ефективності.ДОДАТОКA
(обов’язковий)
ЦІЛІ ЗАХОДІВ БЕЗПЕКИ ТА ЗАХОДИ БЕЗПЕКИ
Цілі заходів безпеки та заходи безпеки, наведені в таблиці А.1, безпосередньо виведені та узгоджені з тих цілей заходів безпеки та заходів безпеки, наведених в ISO/IEC 27002:2013 [1], розділи 5—18, і мають використовуватися в контексті розділу 6.1.3.
Таблиця А.1 — Цілі заходів безпеки та заходи безпеки
|
А.5 Політики безпеки |
||
|
А.5.1 Принципи управління інформаційною безпекою |
||
|
Ціль: Забезпечити принципи управління та підтримку інформаційної безпеки згідно з вимогами бізнесу та відповідними законами й нормативами. |
||
|
А.5.1.1 |
Політики інформаційної безпеки |
Заходи безпеки Набір політик щодо інформаційної безпеки повинен бути визначений, затверджений керівництвом, виданий і доведений до відома всього найманого персоналу та потрібних зовнішніх сторін |
|
А.5.1.2 |
Перегляд політики інформаційної безпеки |
Заходи безпеки Політики інформаційної безпеки потрібно переглядати в заплановані інтервали часу або за появи істотних змін для забезпечення їх постійної придатності, адекватності й ефективності |
|
А.6 Організація інформаційної безпеки ' |
||
|
А.6.1 Внутрішня організація |
||
|
Ціль: Визначити структуру управління для започаткування та контролю впровадження та функціонування інформаційної безпеки в організації |
||
|
А.6.1.1 |
Ролі та обов’язки щодо інформаційної безпеки |
Заходи безпеки Усі обов’язки щодо інформаційної безпеки необхідно чітко визначити та розподілити |
|
А.6.1.2 |
Розподіл обов’язків |
Заходи безпеки Конфліктуючі обов’язки та сфери відповідальності мають бути розподілені для зменшення можливостей неавторизованої чи ненавмисної модифікації або неправильного використання ресурсів СУІБ організації |
|
А.6.1.3 |
Контакти з повноважними органами |
Заходи безпеки Необхідно підтримувати належні контакти з відповідними повноважними органами |
|
А.6.1.4 |
Контакти з групами фахівців з певної проблематики |
Заходи безпеки Необхідно підтримувати належні контакти з групами фахівців з певної проблематики або іншими форумами фахівців з безпеки чи професійними об’єднаннями |
|
А.6.1.5 |
Інформаційна безпека в управлінні проектами |
Заходи безпеки Інформаційну безпеку потрібно брати до уваги під час управління проектами незалежно від типу проекту |
|
A.6.2 Мобільне обладнання та віддалена робота |
|||
|
Ціль: Гарантувати безпеку віддаленої роботи та використання мобільного обладнання. |
|||
|
А.6.2.1 |
Політика щодо мобільного обладнання |
Заходи безпеки Політика та заходи підтримання безпеки мають бути пристосовані до управління ризиками, які виникають за рахунок використання мобільного обладнання |
|
|
А.6.2.2 |
Віддалена робота |
Заходи безпеки Політика та заходи підтримання безпеки мають бути запроваджені для захисту інформації, яка доступна, обробляється чи зберігається в місцях віддаленої роботи |
|
|
А.7 Безпека людських ресурсів |
|||
|
А.7.1 Перед наймом |
|
||
|
Національна примітка Слово «найм» тут призначене, щоб охопити всі різноманітні ситуації: наймання людей (тимчасове чи постійне), призначення на посади, зміну посад, підписання контрактів та припинення дії будь-якої з цих угод. |
|
||
|
|
|
||
|
Ціль: Гарантувати, що найманий персонал та підрядники розуміють свої обов’язки, придатні до ролей, на які претендують. |
|||
|
А.7.1.1 |
Ретельна перевірка |
Заходи безпеки Підтверджувальні перевірки біографічних даних усіх кандидатів на найм мають виконуватись згідно з усіма відповідними законами, нормативами та морально-етичними нормами, а також співвідносно до бізнес-вимог, класифікації інформації, до якої потрібен доступ, і усвідомлюваних ризиків |
|
|
А.7.1.2 |
Терміни та умови найму |
Заходи безпеки Контрактна угода з найманим персоналом та підрядниками має встановити взаємні відповідальності щодо інформаційної безпеки |
|
|
А.7.2 Протягом найму |
|||
|
Ціль: Впевнитися, що весь найманий персонал та підрядники усвідомлюють і виконують свої обов’язки з інформаційної безпеки. |
|||
|
А.7.2.1 |
Відповідальність керівництва |
Заходи безпеки Керівництво повинно вимагати від найманого персоналу та підрядників застосування заходів безпеки згідно з установленими в організації політиками та процедурами |
|
|
А 7.2.2 |
Поінформованість, освіта й навчання щодо інформаційної безпеки |
Заходи безпеки Увесь найманий персонал організації, а там, де це суттєво, і підрядники повинні одержати належне навчання й тренінги для поінформованості та регулярно отримувати оновлені дані щодо політик і процедур організації, суттєвих для їх посадових функцій |
|
|
А.7.2.3 |
Дисциплінарний процес |
Заходи безпеки Має існувати формальний та офіційно оформлений дисциплінарний процес щодо найманого персоналу, який порушив інформаційну безпеку |
|
|
A.7.3 Припинення чи зміна умов найму |
|||
|
Ціль: Захистити інтереси організації як частини процесу зміни умов чи припинення найму. |
|||
|
А.7.3.1 |
Припинення чи зміна відпо- відальностей |
Заходи безпеки Має бути чітко визначено, доведено до найманого персоналу чи підрядників і встановлено відповідальності за інформаційну безпеку та обов’язки, які залишаються дійсними після припинення чи зміни умов найму |
|
|
А.8 Управління ресурсами СУІБ |
|||
|
А.8.1 Відповідальність за ресурси СУІБ |
|||
|
Ціль: Ідентифікувати ресурси СУІБ організації і визначити відповідні обов’язки щодо їх захисту |
|||
|
А.8.1.1 |
Інвентаризація ресурсів СУІБ |
Заходи безпеки Інформація, ресурси СУІБ, пов’язані з інформацією та обладнанням для обробки інформації, мають бути ідентифіковані та має підтримуватися їх актуальний інвентарний опис |
|
|
А.8.1.2 |
Володіння ресурсами СУІБ |
Заходи безпеки Ресурси СУІБ, які наявні в інвентарному описі, мають «бути у власності». |
|
|
|
|
||
|
Національна примітка Термін «власник» ідентифікує особу чи організацію, для якої встановлено затверджену керівництвом відповідальність щодо контролювання виробництва, розвитку, підтримування, використання та безпеки ресурсів СУІБ. Термін «власник» не означає, що особа дійсно має право власності на ресурс СУІБ. |
|
||
|
|
|
||
|
А.8.1.3 |
Припустиме використання ресурсів СУІБ |
Заходи безпеки Правила щодо припустимого використання інформації та ресурсів СУІБ, пов’язаних із засобами оброблення інформації, мають бути ідентифіковані, задокументовані та впроваджені |
|
|
А.8.1.4 |
Повернення ресурсів СУІБ |
Заходи безпеки Увесь найманий персонал та користувачі зовнішньої сторони повинні повернути всі ресурси СУІБ організації, що перебувають у їх володінні, після припинення їх найму, контракту чи угоди |
|
|
А.8.2 Класифікація інформації |
|||
|
Ціль: Забезпечити належний рівень захисту інформації відповідно до її важливості для організації. |
|||
|
А.8.2.1 |
Класифікація інформації |
Заходи безпеки Інформація має бути класифікована в термінах правових вимог, її цінності, критичності й чутливості для неавторизованого розкриття чи модифікації |
|
|
А.8.2.2 |
Маркування інформації |
Заходи безпеки Має бути розроблено та впроваджено належну множину процедур для маркування й оброблення інформації згідно зі схемою класифікації, прийнятою організацією |
|
|
А.8.2.3 |
Поводження з ресурсами СУІБ |
Заходи безпеки Має бути розроблено та впроваджено процедури поводження з ресурсами СУІБ відповідно до схеми класифікації інформації, яку офіційно прийнято в організації |
|
|
А.8.3 Поводження з носіями |
||
|
Ціль: Запобігти несанкціонованому розголошенню, модифікації, вилученню або знищенню інформації, яка зберігається на носіях. |
||
|
А.8.3.1 |
Управління змінними носіями |
Заходи безпеки Має бути впроваджено процедури управління змінними носіями відповідно до схеми класифікації, запровадженої в організації |
|
А.8.3.2 |
Вилучення носіїв |
Заходи безпеки Коли носії більше не потрібні, їх треба безпечно вилучати із застосуванням офіційно оформлених процедур |
|
А.8.3.3 |
Фізичні носії під час передавання |
Заходи безпеки Носії, що містять інформацію, має бути захищено від несанкціонованого доступу, зловживання чи руйнування під час транспортування |
|
А.9 Контроль доступу |
||
|
А.9.1 Бізнес-вимоги до контролю доступу |
||
|
Ціль: Обмежити доступ до інформації та засобів оброблення інформації. |
||
|
А.9.1.1 |
Політика контролю доступу |
Заходи безпеки Політика контролю доступу має бути розроблена, задокументована та переглядатися на основі вимог бізнесу та інформаційної безпеки |
|
А.9.1.2 |
Доступ до мереж та послуг мережі |
Заходи безпеки Користувачі повинні отримувати доступ до мережі та послуг мережі лише тоді, коли вони були спеціально авторизовані для використання |
|
А.9.2 Управління доступом користувача |
||
|
Ціль: Забезпечити санкціонований доступ користувача і запобігти несанкціонованому доступу до систем та послуг. |
||
|
А.9.2.1 |
Реєстрація та зняття з реєстрації користувача |
Заходи безпеки Має бути впроваджено процес реєстрації та зняття з реєстрації для того, щоб була можливість управляти правами доступу |
|
А.9.2.2 |
Забезпечення доступу користувачів |
Заходи безпеки Має бути впроваджено формально затверджений процес забезпечення доступу користувачу для надання або вилучення прав доступу для всіх типів користувачів до всіх систем та послуг |
|
А.9.2.3 |
Управління привілейованими правами доступу |
Заходи безпеки Призначення та використання привілейованих прав доступу має бути обмежено та контрольовано |
|
А.9.2.4 |
Управління таємною інформацією автентифікації користувачів |
Заходи безпеки Облік таємної інформації автентифікації користувачів потрібно контролювати за допомогою офіційно оформленого процесу управління |
|
А.9.2.5 |
Перегляд прав доступу користувача |
Заходи безпеки Власники ресурсів СУІБ повинні переглядати права доступу користувача через регулярні встановлені інтервали |
