Please enable JavaScript.

Coggle requires JavaScript to display documents.

МЕТОДИ ЗАХИСТУ СИСТЕМИ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ - Coggle Diagram

- - - - зацікавлені сторони, які важливі для системи управління інформаційною безпекою
      - вимоги цих зацікавлених сторін, важливих для інформаційної безпеки.
  - - - b) вимоги
      - c) інтерфейси та залежності між діями, які виконує організація, і тими, що виконують інші організації.
      - a) зовнішні та внутрішні обставини
- - - - a) відповідає цілям організації;
      - b) містить цілі інформаційної безпеки (див. 6.2) або зазначає основні положення для визначення цілей інформаційної безпеки;
      - c) містить зобов’язання відповідати застосованим вимогам, пов’язаним з інформаційною безпекою; та
      - d) містить зобов’язання щодо постійного вдосконалення системи управління інформаційною безпекою.
  - - - a) гарантування, що система управління інформаційною безпекою відповідає вимогам цього стандарту;
      - b) звітування вищому керівництву щодо результативності системи управління інформаційною безпекою
  - - - та зобов’язання по відношенню до систем управління інформаційною безпекою.
        
        a) гарантуванням, що політика інформаційної безпеки та цілі інформаційної безпеки розроблені та сумісні зі стратегічними планами організації;
        
        b) гарантуванням інтеграції вимог системи інформаційної безпеки в процеси організації;
        
        c) гарантуванням, що ресурси, потрібні для системи управління інформаційною безпекою, доступні;
        
        d) доведенням до відома організації важливості ефективного управління інформаційною безпекою та відповідності вимогам системи управління інформаційною безпекою;
        
        е) гарантуванням, що система управління інформаційною безпекою досягне своїх запланованих результатів;
        
        f) призначенням та підтримкою осіб для досягнення ефективності системи управління інформаційною безпекою;
        
        g) сприянням постійному вдосконаленню;
        
        h) підтримкою інших пов’язаних ролей вищого керівництва, щоб продемонструвати їх керівну роль, яку вони застосовують у сферах їх відповідальності.
- - - - a) відповідати політиці інформаційної безпеки;
      - b) бути вимірюваними (якщо доцільно);
      - c) враховувати вимоги до інформаційної безпеки, які застосовують, а також результати оцінювання ризиків та оброблення ризиків;
      - d) бути розповсюдженими;
      - е) оновлюватися, за потреби.
      - f) що треба зробити;
      - g) які ресурси будуть потрібні;
      - h) хто буде відповідальним;
      - і) коли процес буде завершено; та
      - j ) як результати будуть оцінювати.
  - - - Організація повинна визначити та застосовувати процес оцінювання ризиків інформаційної
        безпеки, який:
        
        a) встановлює та підтримує критерії ризиків інформаційної безпеки
        
        b) гарантує, що повторні оцінки ризиків інформаційної безпеки призводять до послідовних, дійових та порівняльних результатів
        
        c) ідентифікує ризики інформаційної безпеки
        
        d) виконує аналіз ризиків інформаційної безпеки:
        
        е) оцінює ризики інформаційної безпеки
    - - Організація повинна визначити та застосовувати процес оброблення ризиків інформаційної
        безпеки для:
        
        a) вибору доречних опцій оброблення ризиків інформаційної безпеки з урахуванням результатів оцінки ризиків;
        
        b) визначити всі заходи безпеки, які необхідно впровадити для вибраної(-их) опції(-ій) оброб
        лення ризиків;
        
        c) порівняти заходи безпеки, визначені в 6.1.3 b) вище, з наведеними в додатку А, і підтвердити, що не було опущено потрібних заходів безпеки;
        
        d) підготувати Положення щодо застосовності
        
        е) розробити план оброблення ризиків інформаційної безпеки;
        
        f) отримати від власників ризиків підтвердження плану оброблення ризиків інформаційної безпеки та згоду на залишкові ризики інформаційної безпеки.
    - - Організація повинна
        
        вимоги (4.2)
        
        визначити ризики та можливості, щоб
        
        a) гарантувати, що система управління інформаційною безпекою може досягти запланованого результату(-ів);
        
        b) запобігти або зменшити небажані ефекти;
        
        c) досягти постійного вдосконалення.
        
        розглянути питання (4.1)
- - - - планувати, розробляти, впроваджувати та підтримувати програму(-и) аудиту, зокрема й частоту, методи, відповідальності, заплановані вимоги та звітність.
      - проводити внутрішні аудити через заплановані інтервали часу для забезпечення того, що інформація чи система управління інформаційною безпекою
        
        ефективно впроваджена та підтримується
        
        відповідають
        
        власним вимогам організації для її системи управління інформаційною безпекою
        
        вимогам цього стандарту
      - визначити критерії аудиту та сферу застосування для кожного аудиту
      - призначити аудиторів і виконати аудити, які гарантують об'єктивність і неупередженість
        процесу аудиту
      - гарантувати, що результати аудиту буде доведено до відповідного керівництва
      - зберігати документовану інформацію як доказ програми аудиту та результатів аудиту
  - - - статусу дії, що є наслідком попереднього перегляду керівництва;
      - зміни в зовнішніх та внутрішніх обставинах, які мають відношення до системи управління інформаційною безпекою;
      - зворотного впливу на результативність інформаційної безпеки, охоплюючи тенденції в:
        
        результатах моніторингу та вимірювань
        
        результатах аудиту
        
        невідповідностях та коригувальних діях
        
        досягненнях цілей інформаційної безпеки
      - можливостей для постійного вдосконалення
      - зворотного зв’язку від зацікавлених сторін
      - результатів оцінювання ризиків і статусу плану оброблення ризиків
  - - - a) що саме потрібно моніторити й вимірювати, включаючи процеси інформаційної безпеки та заходи безпеки;
      - b) методи моніторингу, вимірювань, аналізу та оцінювання, які може бути застосовано для гарантії обґрунтованих результатів;
      - c) коли моніторинг та вимірювання потрібно виконувати;
      - d) хто повинен виконувати моніторинг та вимірювання;
      - е) коли результати моніторингу та вимірювань потрібно аналізувати й оцінювати;
      - f) хто повинен аналізувати й оцінювати ці результати
- - - - c) впровадити певні дії, за потреби;
      - d) переглянути ефективність виконаних коригувальних дій;
      - b) оцінювати потреби в діях для усунення причин невідповідностей для запобігання їх повторення чи виникнення будь-де за допомогою:
        
        визначення причин невідповідностей
        
        перегляду невідповідностей;
        
        визначення, чи існують подібні невідповідності або потенційно можуть з’являтися;
      - е) внести зміни до системи управління інформаційною безпекою, за потреби.
      - a) реагувати на невідповідності і за можливості:
        
        вживати заходів щодо наслідків
        
        виконувати дії для контролю та їх корекції;
- - - - Ціль: Впевнитися, що весь найманий персонал та підрядники усвідомлюють і виконують свої обов’язки з інформаційної безпеки.
        
        Поінформованість, освіта й
        навчання щодо інформаційної безпеки
        
        Дисциплінарний процес
        
        Відповідальність керівництва
    - - Ціль: Гарантувати, що найманий персонал та підрядники розуміють свої обов’язки, придатні до ролей, на які
        претендують.
        
        Ретельна перевірка
        
        Терміни та умови найму
    - - Ціль: Захистити інтереси організації як частини процесу зміни умов чи припинення найму.
        
        Припинення чи зміна відповідальностей
  - - - Ціль: Забезпечити належний рівень захисту інформації відповідно до її важливості для організації.
        
        Класифікація інформації
        
        Маркування інформації
        
        Поводження з ресурсами
        СУІБ
    - - Ціль: Запобігти несанкціонованому розголошенню, модифікації, вилученню або знищенню інформації, яка зберігається на носіях.
        
        Вилучення носіїв
        
        Фізичні носії під час передавання
        
        Управління змінними носіями
    - - Ціль: Ідентифікувати ресурси СУІБ організації і визначити відповідні обов’язки щодо їх захисту
        
        Інвентаризація ресурсів СУІБ
        
        Володіння ресурсами СУІБ
        
        Припустиме використання
        ресурсів СУІБ
        
        Повернення ресурсів СУІБ
  - - - Ціль: Визначити структуру управління для
        започаткування та контролю впровадження та функціонування
        інформаційної безпеки в організації
        
        .
        
        Контакти з повноважними
        органами
        
        Контакти з групами фахівців
        з певної проблематики
        
        Розподіл обов’язків
        
        Інформаційна безпека в управлінні проектами
        
        Ролі та обов’язки щодо інформаційної безпеки
    - - Ціль: Гарантувати безпеку віддаленої роботи та використання мобільного обладнання.
        
        Політика щодо мобільного
        обладнання
        
        Віддалена робота
  - - - Ціль: Забезпечити санкціонований доступ користувача і запобігти несанкціонованому доступу до систем та
        послуг.
        
        Забезпечення доступу користувачів
        
        Реєстрація та зняття з реєстрації користувача
        
        Управління привілейованими правами доступу
        
        Управління таємною інформацією автентифікації користувачів
        
        Перегляд прав доступу користувача
        
        Вилучення або корекція
        прав доступу
    - - Ціль: Зробити користувачів відповідальними за збереження їх інформації автентифікації.
        
        Використання таємної інформації автентифікації
    - - Ціль: Обмежити доступ до інформації та засобів оброблення інформації.
        
        Політика контролю доступу
        
        Доступ до мереж та послуг
        мереж
    - - Ціль: Запобігти несанкціонованому доступу до систем та прикладних програм.
        
        Система управління паролем
        
        Використання привілейованих системних утиліт
        
        Процедури безпечного підключення (Іоg-оn)
        
        Контроль доступу до початкових кодів програм
        
        Обмеження доступу до інформації
  - - - Ціль: Забезпечити принципи управління та підтримку інформаційної безпеки згідно з вимогами бізнесу та
        відповідними законами й нормативами.
        
        Політики інформаційної безпеки
        
        Перегляд політики інформаційної безпеки
  - - - Ціль: Гарантувати відповідне та ефективне використання криптографії для захисту конфіденційності, автентичності та/або цілісності.
        
        Політика використання
        криптографічних засобів
        
        Управління ключами
  - - - Ціль: Запобігти несанкціонованому фізичному доступу, пошкодженню та втручанню в її інформацію та засоби
        оброблення інформації.
        
        Убезпечення офісів, кімнат
        та обладнання
        
        Захист від зовнішніх та інфраструктурних загроз
        
        Заходи безпеки фізичного
        прибуття
        
        Робота в зонах безпеки
        
        Периметр фізичної безпеки
        
        Зони доставки та відвантаження
    - - Ціль: Запобігти втратам, пошкодженню, крадіжці або компрометації ресурсів СУІБ та перериванню діяльності
        організації.
        
        Допоміжні комунальні служби
        
        Безпека кабельних мереж
        
        Розміщення та захист обладнання
        
        Обслуговування обладнання
        
        Переміщення майна
        
        Безпека обладнання та ресурсів СУІБ поза службовими приміщеннями
        
        Безпечне вилучення або повторне використання обладнання
        
        Обладнання користувачів,
        залишене без нагляду
        
        Політика чистого стола та
        чистого екрана
  - - - Ціль: Записувати події та генерувати докази.
    - - Ціль Запобігати використанню технічних вразливостей.
    - - Ціль: Захистити від втрати даних
    - - Ціль: Мінімізувати вплив аудиту на системи, які перебувають у промисловій експлуатації.
    - - Ціль: Гарантувати, що інформація та засоби оброблення інформації захищені від зловмисного коду
    - - Ціль: Гарантувати цілісність систем, що перебувають в експлуатації.
    - - Ціль: Забезпечити коректне та безпечне функціонування засобів оброблення інформації.
  - - - Ціль: Забезпечити захист інформації в мережах та захист засобів оброблення інформації, що їх підтримує
    - - Ціль: Підтримувати безпеку інформації, якою обмінюються всередині організації та з зовнішнім об’єктом.
  - - - Ціль. Гарантувати, що інформаційну безпеку проектують та впроваджують протягом життєвого циклу розроблення інформаційних систем.
    - - Ціль: Забезпечити захист даних, які використовують для тестування
    - - Ціль: Гарантувати, що безпека є невід’ємною частиною інформаційних систем протягом всього життєвого
        циклу
  - - - Ціль: Гарантувати захист ресурсів СУІБ організації, які можуть бути доступні постачальникам.
    - - Ціль: Підтримувати належний рівень інформаційної безпеки та надання послуг відповідно до угод з постачальниками.
  - - - Ціль: Гарантувати послідовний та ефективний підхід до управління інцидентами інформаційної безпеки,
        охоплюючи поширення інформації про події безпеки та слабкі місця.
  - - - Ціль: Безперервність інформаційної безпеки має бути залучено в системи управління безперервністю бізнесу
        організації.
    - - Ціль: Гарантувати доступність обладнання для оброблення інформації.
  - - - Ціль: Уникнути порушень будь-якого закону, вимог, що діють на підставі закону, нормативних або контрактних
        зобов’язань, пов’язаних з інформаційною безпекою та будь-якими вимогами щодо безпеки
    - - Ціль: Гарантувати, що інформаційна безпека впроваджена та працює відповідно до організаційних політик та
        процедур.