А.14 Придбання, розроблення та підтримка інформаційних систем |
||
А.14.1 Вимоги щодо безпеки для інформаційних систем |
||
Ціль: Гарантувати, що безпека є невід’ємною частиною інформаційних систем протягом всього життєвого циклу Це також включає вимоги для інформаційних систем, які забезпечують надання послуг з використанням публічних (загальнодоступних) мереж. |
||
А. 14.1.1 |
Аналіз та специфікація вимог інформаційної безпеки |
Заходи безпеки Вимоги щодо інформаційної безпеки має бути долучено в положення щодо бізнес-вимог до нових інформаційних систем або модернізацій до наявних інформаційних систем |
А .14 1 2 |
Безпечні прикладні сервіси в публічних мережах |
Заходи безпеки Інформація в прикладних сервісах, яку передають через публічні мережі, має бути захищеною від шахрайської діяльності, контрактних суперечок, несанкціонованого розголошення та модифікації |
А.14.1.3 |
Захист транзакцій прикладних сервісів |
Заходи безпеки Інформація, залучена в транзакції прикладних сервісів, має бути захищена для запобігання неповній передачі, неправильній маршрутизації, несанкціонованій зміні повідомлення, несанкціонованому розголошенню, несанкціонованому дублюванню повідомлення чи його повторенню |
А.14.2 Безпека в процесах розроблення та підтримки |
||
Ціль. Гарантувати, що інформаційну безпеку проектують та впроваджують протягом життєвого циклу розроблення інформаційних систем. |
||
А.14 2.1 |
Політика безпечного розроблення |
Заходи безпеки Потрібно встановлювати та застосовувати до розробників всередині організації правила для розроблення програмного забезпечення та систем |
А.14 2.2 |
Процедури контролю змін системи |
Заходи безпеки Зміни в системах всередині життєвого циклу розроблення мають бути контрольованими за допомогою офіційно оформлених процедур контролю змін |
А.14.2.3 |
Технічний перегляд прикладних програм після змін операційної платформи |
Заходи безпеки Коли операційні платформи змінено, критичні для бізнесу прикладні програми має бути переглянуто й протестовано, щоб забезпечити відсутність негативного впливу на функціонування та безпеку організації |
А.14.2.4 |
Обмеження на зміни до пакетів програмного забезпечення |
Заходи безпеки Модифікації пакетів програмного забезпечення не повинні заохочуватися, бути обмеженими найнеобхіднішими змінами і всі зміни потрібно суворо контролювати |
А .14.2.5 |
Принципи проектування безпечної системи |
Заходи безпеки Принципи проектування безпечних систем потрібно розробити, задокументувати, виконувати та використовувати для будь-яких зусиль щодо реалізації інформаційних систем |
А.14.2.6 |
Безпечне середовище розроблення |
Заходи безпеки Організації повинні запровадити та відповідним чином захистити безпечне середовище проектування для розроблення систем та інтеграції зусиль, що покривають повний життєвий цикл розроблення системи |
А.14.2.7 |
Аутсорсингове розроблення |
Заходи безпеки Організація повинна здійснювати нагляд над аутсорсинговим розробленням систем та його моніторинг |
А.14.2.8 |
Тестування безпеки системи |
Заходи безпеки Тестування функціональності безпеки потрібно виконувати протягом розроблення |
А.14.2.9 |
Приймальне тестування системи |
Заходи безпеки Програми приймального тестування та відповідні критерії має бути визначено для нових інформаційних систем, оновлень та нових версій |
А.14.3 Дані для тестування системи |
||
Ціль: Забезпечити захист даних, які використовують для тестування. |
||
А.14.3.1 |
Захист даних для тестування системи |
Заходи безпеки Дані для тестування має бути ретельно відібрано, захищено та контрольовано |
А.15 Взаємовідносини з постачальниками |
||
А.15.1 Інформаційна безпека у взаємовідносинах з постачальниками |
||
Ціль: Гарантувати захист ресурсів СУІБ організації, які можуть бути доступні постачальникам. |
||
А.15.1.1 |
Політика інформаційної безпеки для взаємовідносин з постачальниками |
Заходи безпеки Вимоги інформаційної безпеки для послаблення ризиків, пов’язаних із доступом постачальників до ресурсів СУІБ організації має бути погоджено з постачальником та задокументовано |
А.15.1.2 |
Врахування безпеки в угодах з постачальниками |
Заходи безпеки Усі відповідні вимоги щодо інформаційної безпеки має бути встановлено та погоджено з кожним постачальником, який може мати доступ, обробляти, зберігати, передавати чи надавати компоненти ІТ- інфраструктури для інформації організації |
А.15.1.3 |
Ланцюг постачання інформаційних та комунікаційних технологій |
Заходи безпеки Угоди з постачальниками мають містити вимоги стосовно адресації ризиків інформаційної безпеки, пов’язаних з ланцюгом постачання продуктів та послуг інформаційних і комунікаційних технологій |
А.15.2 Управління наданням послуг постачальником |
||
Ціль: Підтримувати належний рівень інформаційної безпеки та надання послуг відповідно до угод з постачальниками. |
||
А.15.2.1 |
Моніторинг та перегляд послуг постачальника |
Заходи безпеки Організація повинна регулярно проводити моніторинг, перегляд та аудит отримання послуг постачальника |
А.15.2.2 |
Управління змінами у послугах постачальника |
Заходи безпеки Зміни в наданні послуг постачальника, зокрема й підтримування та вдосконалювання наявних політик інформаційної безпеки, процедур і заходів безпеки, мають управлятися з урахуванням критичності залучених бізнес-систем і процесів та переоцінки ризиків |
А.16 Управління інцидентами інформаційної безпеки |
||
А.16.1 Управління інцидентами інформаційної безпеки та вдосконаленням |
||
Ціль: Гарантувати послідовний та ефективний підхід до управління інцидентами інформаційної безпеки, охоплюючи поширення інформації про події безпеки та слабкі місця. |
||
А.16.1.1 |
Відповідальності та процедури |
Заходи безпеки Має бути визначено відповідальності керівництва та процедури для забезпечення швидкого, ефективного і правильного реагування на інциденти інформаційної безпеки |
А.16.1.2 |
Звітування про події інформаційної безпеки |
Заходи безпеки Необхідно якнайшвидше звітувати стосовно подій інформаційної безпеки через належні канали управління |
А.16.1.3 |
Звітування щодо слабких місць інформаційної безпеки |
Заходи безпеки Треба вимагати від усього найманого персоналу та підрядників, які користуються інформаційними системами та послугами, звертати увагу та звітувати щодо будь-яких спостережених або очікуваних слабких місць у системах чи послугах |
А.16.1.4 |
Оцінювання та прийняття рішення стосовно подій інформаційної безпеки |
Заходи безпеки Події інформаційної безпеки має бути оцінено та прийнято рішення стосовно віднесення їх до інцидентів інформаційної безпеки |
А.16.1.5 |
Реагування на інциденти інформаційної безпеки |
Заходи безпеки Реагування на інциденти інформаційної безпеки має здійснюватися відповідно до задокументованої процедури |
А.16.1.6 |
Знання з вивчення інцидентів інформаційної безпеки |
Заходи безпеки Знання, отримані з аналізу та розв’язання інцидентів інформаційної безпеки, мають використовуватися для зменшення ймовірності чи впливу майбутніх інцидентів |
А.16.1.7 |
Збирання доказів |
Заходи безпеки Організація повинна визначити і використовувати процедури для ідентифікації, збирання, отримання і зберігання інформації, яку можна використовувати як докази |
А.17 Аспекти інформаційної безпеки управління безперервністю бізнесу |
||
А.17.1 Безперервність інформаційної безпеки |
||
Ціль: Безперервність інформаційної безпеки має бути залучено в системи управління безперервністю бізнесу організації. |
||
А. 17.1.1 |
Планування безперервності інформаційної безпеки |
Заходи безпеки Організація повинна визначити свої вимоги щодо інформаційної безпеки та безперервності управління інформаційною безпекою в надзвичайних ситуаціях, наприклад під час кризи чи катастрофи |
А.17.1.2 |
Реалізація безперервності інформаційної безпеки |
Заходи безпеки Організація повинна розробити, задокументувати, реалізувати та підтримувати процеси, процедури та заходи безпеки для гарантування необхідного рівня безперервності щодо інформаційної безпеки під час надзвичайної ситуації |
А.17.1.3 |
Верифікація, перегляд та оцінювання безперервності інформаційної безпеки |
Заходи безпеки Організація повинна підтверджувати розроблені та впроваджені заходи безперервності інформаційної безпеки через регулярні інтервали часу для гарантування, що вони дійсні та ефективні протягом надзвичайних ситуацій |
||
A.17.2 Резервне обладнання |
||||
Ціль: Гарантувати доступність обладнання для оброблення інформації. |
||||
А.17.2.1 |
Доступність обладнання для оброблення інформації |
Заходи безпеки Обладнання оброблення інформації має бути впроваджено з резервуванням, достатнім для того, щоб відповідати вимогам доступності |
||
А.18 Відповідність |
||||
А.18.1 Відповідність правовим та контрактним вимогам |
||||
Ціль: Уникнути порушень будь-якого закону, вимог, що діють на підставі закону, нормативних або контрактних зобов’язань, пов’язаних з інформаційною безпекою та будь-якими вимогами щодо безпеки. |
||||
А.18.1.1 |
Ідентифікація застосовного законодавства та контрактних вимог |
Заходи безпеки Усі важливі вимоги, що діють на підставі закону, нормативні чи контрактні вимоги та підхід організації до задоволення цих вимог має бути чітко визначено, задокументовано та актуалізовано для кожної інформаційної системи та організації |
||
А.18.1.2 |
Права інтелектуальної власності |
Заходи безпеки Має бути впроваджено належні процедури забезпечення відповідності законодавчим, нормативним і контрактним вимогам щодо прав інтелектуальної власності та щодо використання запатентованих продуктів програмного забезпечення |
||
А.18.1.3 |
Захист організаційних записів |
Заходи безпеки Відповідно до законодавчих, регуляторних, контрактних і бізнес-вимог важливі записи має бути захищено від втрати, знищення, фальсифікації, несанкціонованого доступу та несанкціонованого використання |
||
А.18.1.4 |
Захист даних та конфіденційність персональних даних |
Заходи безпеки Конфіденційність і захист даних, що ідентифікують особу, має бути забезпечено згідно з вимогами відповідного законодавства та регуляторними вимогами, за наявності |
||
А.18.1.5 |
Нормативи щодо криптографічних засобів |
Заходи безпеки Криптографічні засоби потрібно використовувати відповідно до всіх застосовних угод, законів та регуляторних вимог |
||
А.18.2 Перевірки інформаційної безпеки |
||||
Ціль: Гарантувати, що інформаційна безпека впроваджена та працює відповідно до організаційних політик та процедур. |
||||
А.18.2.1 |
Незалежні перевірки інформаційної безпеки |
Заходи безпеки Підходи організації до управління інформаційною безпекою та її впровадження (тобто цілі заходів безпеки, заходи безпеки, політики, процеси й процедури для інформаційної безпеки) мають незалежно перевірятися через заплановані інтервали або коли відбуваються значні зміни |
||
А.18.2.2 |
Відповідність політикам і стандартам безпеки |
Заходи безпеки Керівники повинні регулярно перевіряти відповідність оброблення інформації та процедур у межах сфери їх відповідальності належним політикам, стандартам та іншим вимогам щодо безпеки |
||
А.18.2.3 |
Перевірка технічної відповідності |
Заходи безпеки Інформаційні системи потрібно регулярно перевіряти на відповідність політикам і стандартам інформаційної безпеки організації |