А.9.2.6 |
Вилучення або корекція прав доступу |
Заходи безпеки Права доступу всього найманого персоналу та користувачів зовнішніх сторін до інформації та засобів оброблення інформації мають вилучатися після припинення найму, контракту чи угоди, або коректуватися після змін |
A.9.3 Відповідальності користувача |
||
Ціль: Зробити користувачів відповідальними за збереження їх інформації автентифікації. |
||
А.9.3.1 |
Використання таємної інформації автентифікації |
Заходи безпеки Треба вимагати від користувачів додержання визначених в організації практик у використанні таємної інформації автентифікації |
А.9.4 Контроль доступу до систем та прикладних програм |
||
Ціль: Запобігти несанкціонованому доступу до систем та прикладних програм. |
||
А.9.4.1 |
Обмеження доступу до інформації |
Заходи безпеки Доступ до інформації та функцій прикладних систем має бути обмежений відповідно до визначеної політики контролю доступу |
А.9.4.2 |
Процедури безпечного підключення (log-on) |
Заходи безпеки Доступ до систем та прикладних програм повинен контролювати процедурою безпечного підключення, коли це визначено політикою контролю доступу |
А.9.4.3 |
Система управління паролем |
Заходи безпеки Системи для управління паролями мають бути інтерактивними і забезпечувати якісні паролі |
А.9.4.4 |
Використання привілейованих системних утиліт |
Заходи безпеки Використання програм утиліт, що можуть бути спроможні скасовувати заходи безпеки системи та прикладних програм, має бути обмежено та суворо контрольовано |
А.9.4.5 |
Контроль доступу до початкових кодів програм |
Заходи безпеки Доступ до початкових кодів програм має бути обмежений |
А.10 Криптографія |
||
А.10.1 Криптографічні засоби захисту |
||
Ціль: Гарантувати відповідне та ефективне використання криптографії для захисту конфіденційності, автентичності та/або цілісності. |
||
А.10.1.1 |
Політика використання криптографічних засобів |
Заходи безпеки Має бути розроблено та впроваджено політику використання криптографічних засобів для захисту інформації |
А.10.1.2 |
Управління ключами |
Заходи безпеки Має бути розроблено та впроваджено політику використання, захисту й часу життя криптографічних ключів для всього їх життєвого циклу |
А.11 Фізична безпека та безпека інфраструктури |
||
А.11.1 Зони безпеки |
||
Ціль: Запобігти несанкціонованому фізичному доступу, пошкодженню та втручанню в її інформацію та засоби оброблення інформації. |
||
А.11.1.1 |
Периметр фізичної безпеки |
Заходи безпеки Для захисту зон, що містять конфіденційну або критичну інформацію чи засоби оброблення інформації, треба визначити та використовувати периметри безпеки |
А.11.1.2 |
Заходи безпеки фізичного прибуття |
Заходи безпеки Зони безпеки має бути захищено належними заходами безпеки прибуття, щоб гарантувати, що доступ дозволений лише персоналу, який отримав санкцію |
А.11.1.3 |
Убезпечення офісів, кімнат та обладнання |
Заходи безпеки Має бути розроблено й застосовано фізичну безпеку офісів, кімнат та обладнання |
А.11.14 |
Захист від зовнішніх та ін- фраструктурних загроз |
Заходи безпеки Має бути розроблено й застосовано фізичний захист від пошкодження внаслідок природних катаклізмів, акцій громадської непокори та аварій |
А.11.1.5 |
Робота в зонах безпеки |
Заходи безпеки Має бути розроблено та застосовано процедури роботи в зонах безпеки |
А.11.1.6 |
Зони доставки та відвантаження |
Заходи безпеки Щоб уникнути несанкціонованого доступу, має бути контрольовано й, за можливості, ізольовано від засобів оброблення інформації точки доступу, такі як зони доставки та відвантаження, а також інші точки, через які особи, доступ яких не санкціоновано, можуть увійти до службових приміщень |
А.11.2 Обладнання |
||
Ціль: Запобігти втратам, пошкодженню, крадіжці або компрометації ресурсів СУІБ та перериванню діяльності організації. |
||
А. 11.2 1 |
Розміщення та захист обладнання |
Заходи безпеки Обладнання має бути розміщено чи захищено так, щоб зменшити ризики інфраструктурних загроз і небезпек та можливого несанкціонованого доступу |
А. 11.2.2 |
Допоміжні комунальні служби |
Заходи безпеки Обладнання має бути захищено від аварійних відімкнень живлення та інших порушень, внаслідок аварій засобів життєзабезпечення |
А.11.2 3 |
Безпека кабельних мереж |
Заходи безпеки Силові та телекомунікаційні кабельні мережі передачі даних або підтримки інформаційних послуг має бути захищено від перехоплювання, взаємного впливу чи пошкоджень |
А.11.2.4 |
Обслуговування обладнання |
Заходи безпеки Обладнання трібно правильно обслуговувати, щоб забезпечити його постійну доступність і цілісність |
А.11.2.5 |
Переміщення майна |
Заходи безпеки Обладнання, інформацію чи програмне забезпечення не потрібно виносити назовні без попередньої санкції на ці дії |
А.11.2.6 |
Безпека обладнання та ресурсів СУІБ поза службовими приміщеннями |
Заходи безпеки До ресурсів СУІБ поза службовими приміщеннями має бути застосовний захист з урахуванням різних ризиків роботи поза службовими приміщеннями організації |
А.11.2.7 |
Безпечне вилучення або повторне використання обладнання |
Заходи безпеки Всі елементи обладнання, які містять носії пам'яті, має бути перевірено для забезпечення того, що будь-які конфіденційні дані або ліцензійне програмне забезпечення було видалено чи безпечним чином перезаписано до вилучення або повторного використання |
А.11.2.8 |
Обладнання користувачів, залишене без нагляду |
Заходи безпеки Користувачі мають забезпечити, що залишене без нагляду обладнання, належним чином захищене |
А.11.2.9 |
Політика чистого стола та чистого екрана |
Заходи безпеки Повинні бути ухвалені політика чистого стола щодо паперів і змінних носіїв інформації та політика чистого екрана щодо засобів оброблення інформації |
А.12 Безпека експлуатації |
||
А.12.1 Процедури експлуатації та відповідальності |
||
Ціль: Забезпечити коректне та безпечне функціонування засобів оброблення інформації. |
||
А.12.1.1 |
Документовані процедури експлуатації |
Заходи безпеки Процедури експлуатації має бути задокументовано та зроблено доступними для всіх користувачів, що їх потребують |
А.12.1 2 |
Управління змінами |
Заходи безпеки Зміни в організації, бізнес-процесах, засобах оброблення інформації та системах, які впливають на інформаційну безпеку, мають бути контрольованими |
А.12.1.3 |
Управління потужністю |
Заходи безпеки Для забезпечення потрібної продуктивності системи необхідно здійснювати моніторинг та регулювати використання ресурсів і проектувати вимоги до майбутньої потужності |
А.12.1.4 |
Відокремлення засобів розробки, тестування та експлуатації |
Заходи безпеки Засоби розроблення, тестування та експлуатації має бути відокремлено для зменшення ризиків несанкціонованого доступу чи змін в операційному середовищі |
A.12.2 Захист від зловмисного коду
Ціль: Гарантувати, що інформація та засоби оброблення інформації захищені від зловмисного коду. |
||
А.12.2.1 |
Заходи безпеки проти зловмисного коду |
Заходи безпеки Має бути впроваджено заходи безпеки щодо виявлення, запобігання та відновлення для захисту від зловмисного коду і належні процедури поінформування користувачів |
А.12.3 Резервне копіювання |
||
Ціль: Захистити від втрати даних |
||
А.12.3.1 |
Резервне копіювання інформації |
Заходи безпеки Згідно із затвердженою політикою резервного копіювання треба регулярно робити і в подальшому тестувати резервні копії інформації, програмного забезпечення та образів систем |
А.12.4 Ведення журналів аудиту та моніторинг |
||
Ціль: Записувати події та генерувати докази. |
||
А.12.4 1 |
Журнал аудиту подій |
Заходи безпеки Журнал аудиту подій, у якому записується діяльність користувачів, винятки, збої та події інформаційної безпеки, треба вести, зберігати й регулярно переглядати |
А.12.4.2 |
Захист інформації журналів реєстрації |
Заходи безпеки Засоби реєстрування та інформація реєстрації має бути захищено від фальсифікації та несанкціонованого доступу |
А.12.4.3 |
Журнали реєстрації адміністратора та оператора |
Заходи безпеки Діяльність системного адміністратора та системного оператора має реєструватися і журнали аудиту мають бути захищені та регулярно переглядатися |
А.12.4.4 |
Синхронізація годинників |
Заходи безпеки Годинники всіх важливих систем оброблення інформації в організації або домені безпеки має бути синхронізовано з джерелом часу погодженої точності |
А.12.5 Контроль програмного забезпечення, що перебуває в експлуатації |
||
Ціль: Гарантувати цілісність систем, що перебувають в експлуатації. |
||
А.12.5.1 |
Інсталяція програмного забезпечення в системах, що перебувають в експлуатації |
Заходи безпеки Мають бути наявними процедури контролю інсталяції програмного забезпечення в системах, що перебувають в експлуатації |
А.12.6 Управління технічною вразливістю |
||
Ціль Запобігати використанню технічних вразливостей. |
||
А.12.6.1 |
Управління технічною вразливістю |
Заходи безпеки Треба отримувати своєчасну інформацію щодо технічних вразливостей інформаційних систем, які використовують, оцінювати підвладність організації таким вразливостям і вживати належних заходів, щоб урахувати пов’язаний з цим ризик |
А.12.6.2 |
Обмеження на інсталяцію програмного забезпечення |
Заходи безпеки Має бути розроблено та впроваджено правила стосовно інсталяції програмного забезпечення користувачами |
A.12.7 Розгляд аудиту інформаційних систем |
||
Ціль: Мінімізувати вплив аудиту на системи, які перебувають у промисловій експлуатації. |
||
А.12.7.1 |
Заходи безпеки аудиту інформаційних систем |
Заходи безпеки Вимоги аудиту та діяльність, що охоплює перевірки систем, які перебувають в експлуатації, має бути ретельно сплановано та погоджено, щоб мінімізувати ризик порушення бізнес-процесів |
А.13 Безпека комунікацій |
||
А.13.1 Управління безпекою мережі |
||
Ціль: Забезпечити захист інформації в мережах та захист засобів оброблення інформації, що їх підтримує |
||
А.13.1.1 |
Заходи безпеки мережі |
Заходи безпеки Треба відповідним чином управляти й захищати мережі для захисту інформації в системах і прикладних програмах |
А.13.1.2 |
Безпека послуг мережі |
Заходи безпеки Характеристики безпеки, рівні послуг, а також вимоги управління всіма послугами мережі має бути ідентифіковано і міститися в будь-якій угоді щодо послуг мережі як для послуг, які надає сама організація, так і для аутсорсингових послуг |
А.13.1.3 |
Сегментація в мережах |
Заходи безпеки У мережі мають бути сегментовані групи інформаційних послуг, користувачів, а також інформаційні системи |
А.13.2 Обмін інформацією |
||
Ціль: Підтримувати безпеку інформації, якою обмінюються всередині організації та з зовнішнім об’єктом. |
||
А.13.2.1 |
Політики та процедури обміну інформацією |
Заходи безпеки Мають бути наявними офіційно оформлені політики, процедури та заходи безпеки для захисту обміну інформацією з використанням усіх видів засобів комунікації |
А.13.2.2 |
Угоди щодо обміну інформацією |
Заходи безпеки Між організацією та зовнішніми сторонами повинні бути укладені угоди щодо безпечного обміну бізнес-інформацією |
А.13.2.3 |
Електронний обмін повідомленнями |
Заходи безпеки Інформація, яка міститься в електронних повідомленнях, має бути захищена належним чином |
А.13.2.4 |
Угоди щодо конфіденційності або нерозголошення |
Заходи безпеки Вимоги до угод щодо конфіденційності або нерозголошення, які відображують потреби організації в захисті інформації, мають бути ідентифіковані, задокументовані та регулярно переглядатися |