Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/ІЕС 27002 «Інформаційні технології. Методики безпеки. Практичні…

- - - - Організація повинна ідентифікувати всі активи і документально оформляти значимість цих активів.
      - Існує багато типів активів, що включають:
        
        a) інформацію
        
        файли даних
        
        договори і угоди
        
        бази даних
        
        системна документація
        
        дослідницька інформація
        
        керівництва користувача
        
        навчальні матеріали
        
        процедури експлуатації або підтримки
        
        плани безперервності бізнесу
        
        заходи по переходу на аварійний режим
        
        контрольні записи
        
        архівована інформація
        
        b) програмні активи
        
        системні програмні засоби
        
        засоби розробки
        
        прикладні програмні засоби
        
        утиліти
        
        c) фізичні активи
        
        комп'ютерне обладнання
        
        засоби зв'язку
        
        знімні носії інформації
        
        інше обладнання
        
        d) послуги
        
        послуги зв'язку
        
        основні підтримують послуги
        
        освітлення
        
        електроенергія
        
        опалення
        
        кондиціонування повітря
        
        обчислювальні послуги
        
        e) персонал, його кваліфікація, навички та досвід;
        
        f) нематеріальні цінності
        
        репутація
        
        імідж організації
    - - Рекомендація щодо реалізації
        Власник активу повинен нести відповідальність за:
        
        а) забезпечення впевненості в тому, що інформація і активи, пов'язані із засобами обробки інформації, класифіковані відповідним чином;
        
        б) визначення та періодичний перегляд обмежень і класифікацій доступу, беручи до уваги застосовні політики управління доступом.
      - Володіння може поширюватися на:
        
        a) процес бізнесу;
        
        b) певний набір діяльностей;
        
        c) прикладні програми;
        
        d) певне безліч даних.
    - - Всім службовцям, підрядникам та представникам третьої сторони рекомендується слідувати правилам прийнятного використання інформації та активів, пов'язаних із засобами обробки інформації, включаючи:
        
        a) правила використання електронної пошти та Інтернету
        
        b) рекомендації щодо використання мобільних пристроїв, особливо щодо використання їх за межами приміщень організації
  - - - Рекомендації по класифікації
        
        повинні включати настанови щодо початкової класифікації і подальшої класифікації після закінчення часу відповідно до якоїсь визначеної політикою управління доступом
        
        В обов'язки власника активу входить класифікація активу
        
        Необхідно враховувати вимоги бізнесу щодо спільного використання або обмеження доступу до інформації та наслідки для бізнесу, пов'язані з такими вимогами
        
        Предметом розгляду повинно стати кількість класифікаційних категорій і переваги, одержувані від їх використання
        
        Інформацію слід класифікувати, виходячи з її цінності, законодавчих вимог, чутливості та критичності для організації.
      - Маркування та обробка інформації
        
        Відповідний набір процедур маркування та обробки інформації слід розробляти і реалізовувати відповідно до системи класифікації
        
        Необхідно, щоб процедури маркування інформації охоплювали інформаційні активи, представлені як у фізичній, так і в електронній формі.
        
        Виведені з систем документи, що містять інформацію, яка класифікована як чутлива або критична, повинні містити відповідний маркувальний знак.
        
        Для кожного рівня класифікації повинні бути визначені процедури обробки, що включають
        
        передачу
        
        зняття грифа секретності і знищення
        
        зберігання
        
        безпечну обробку
- - - - Перевірка повинна включати наступні елементи:
        
        a) наявність позитивних рекомендацій, зокрема, щодо ділових та особистих якостей претендента;
        
        b) перевірку (на предмет повноти і точності) біографії претендента;
        
        c) підтвердження заявленої освіти і професійної кваліфікації;
        
        d) незалежну перевірку достовірності документів, що засвідчують особу (паспорта або його замінює);
        
        e) більш детальну перевірку, наприклад кредитоспроможності або на наявність судимості.
    - - Умови зайнятості повинні відображати політику безпеки організації і крім того роз'яснювати і констатувати:
        
        a) що всі співробітники, підрядники та представники третьої сторони, які мають доступ до чутливої інформації, повинні підписувати угоду про конфіденційність або нерозголошення перш, ніж їм буде надано доступ до засобів обробки інформації;
        
        b) правову відповідальність і права співробітників, підрядників і будь-яких інших клієнтів, наприклад, в частині законів про авторське право або законодавства про захист персональних даних;
        
        c) обов'язки щодо класифікації інформації та менеджменту активів організації, пов'язаних з інформаційними системами та послугами, виконуються співробітником, підрядником або представником третьої сторони;
        
        d) відповідальність співробітника, підрядника або представника третьої сторони за обробку інформації, одержуваної від інших фірм і сторонніх організацій;
        
        e) відповідальність організації за обробку персональної інформації, включаючи персональну інформацію, отриману в результаті або в процесі роботи в організації;
        
        f) відповідальність, що поширюється також і на роботу поза приміщеннями організації і в неробочий час, наприклад в разі виконання роботи на дому;
        
        g) дії, які повинні бути зроблені в разі, якщо співробітник, підрядник або представник третьої сторони ігнорує вимоги безпеки організації.
    - - Ролі та обов'язки в галузі безпеки повинні включати в себе вимоги щодо:
        
        a) реалізації і дії відповідно до політиками інформаційної безпеки організації;
        
        b) захисту активів від несанкціонованого доступу, розголошення відомостей, модифікації, руйнувань або втручання;
        
        c) виконання певних процесів або діяльності, пов'язаних з безпекою;
        
        d) забезпечення впевненості в тому, що на індивідуума покладається відповідальність за їхні дії;
        
        e) інформування про події або потенційних події, пов'язані з безпекою, або інші ризики безпеки для організації.
  - - - Керівництво організації повинно вимагати, щоб співробітники, підрядники та представники третьої боку забезпечували безпеку відповідно до встановлених політиками і процедурами організації.
        
        Керівництво зобов'язане забезпечити впевненість у тому, що співробітники, підрядники та представники третьої сторони:
        
        a) були проінформовані про свої ролі і обов'язки в області інформаційної безпеки перш, ніж їм було надано доступ до чутливої інформації або інформаційним системам;
        
        b) забезпечені рекомендаціями щодо формулювання їх передбачуваних ролей щодо безпеки в рамках організації;
        
        c) зацікавлені слідувати політикам безпеки організації;
        
        d) досягають рівня обізнаності щодо безпеки, відповідного їх ролям і обов'язків в організації
        
        e) слідують умовам зайнятості, які включають політику інформаційної безпеки організації і відповідні методи роботи;
        
        f) продовжують підтримувати відповідні навички та кваліфікацію.
    - - Всі співробітники організації і, де необхідно, підрядники та представники третьої сторони, повинні пройти відповідне навчання і отримувати на регулярній основі оновлені варіанти політик і процедур
      - Постійне навчання повинно охоплювати
        
        вимоги безпеки
        
        правову відповідальність
        
        управління бізнесом
        
        навчання правильному використанню засобів обробки інформації
  - - - негативний вплив на бізнес
      - чи вчинено порушення вперше або повторно
      - тип і тяжкість порушення
      - чи отримав порушник належну підготовку
      - відповідне законодавство
      - договори в сфері бізнесу тощо.
  - - - Обов'язки щодо припинення зайнятості або зміни зайнятості повинні бути чітко визначені і встановлені.
      - Інформування про припинення обов'язків має включати
        
        актуальні вимоги безпеки
        
        правову відповідальність
        
        обов'язки, що містяться в угоді про конфіденційності
        
        умови зайнятості
      - Повернення активів
        
        Всі співробітники, підрядники та представники третьої сторони зобов'язані повернути організації всі активи
        
        Процес припинення зайнятості повинен бути формалізований
        
        У тих випадках, коли співробітник, підрядник або представник третьої сторони купує обладнання організації або використовує своє власне обладнання, необхідно дотримуватися процедур, що забезпечує впевненість у тому, що вся значима інформація була передана організації і видалена з обладнання безпечним чином
      - Анулювання прав доступу
        
        Права доступу до інформаційних активів і засобів обробки інформації слід зменшуватиабо анулювати до припинення зайнятості або зміни місця зайнятості, в залежності від оцінки факторів ризику, наприклад:
        
        a) було припинення зайнятості або зміна місця зайнятості ініційовані співробітником, підрядником або представником третьої сторони, або керівництвом, і причина припинення зайнятості;
        
        b) поточні обов'язки співробітника, підрядника або будь-якого іншого представника;
        
        c) значимість активів, доступних на даний момент.
- - - - Відносно фізичних периметрів безпеки рекомендується розглядати і реалізовувати такі рекомендації:
        
        a) периметри безпеки повинні бути чітко визначені, а розміщення і надійність кожного з периметрів повинні залежати від вимог безпеки активів і від результатів оцінки ризику
        
        b) периметри будівлі або приміщень, де розташовані засоби обробки інформації, повинні бути фізично міцними
        
        c) повинна бути виділена і укомплектована персоналом зона реєстрації відвідувачів
        
        d) повинні бути побудовані фізичні бар`єри
        
        e) всі аварійні виходи на випадок пожежі в периметрі безпеки повинні бути обладнані аварійною сигналізацією, повинні піддаватися моніторингу та тестування разом зі стінами
        
        f) слід встановлювати необхідні системи виявлення вторгнення
        
        g) необхідно фізично ізолювати засоби обробки інформації, контрольовані організацією, від засобів, контрольованих сторонніми організаціями.
    - - Слід брати до уваги наступні рекомендації:
        
        а) дату і час входу і виходу відвідувачів слід реєструвати, і всіх відвідувачів необхідно супроводжувати
        
        b) доступ до зон, де обробляється або зберігається чутлива інформація, повинен контролюватися і надаватися тільки авторизованим особам
        
        c) необхідно вимагати, щоб всі співробітники, підрядники та представники третьої сторони носили ту чи іншу форму видимого ідентифікатора і негайно повідомляли співробітників служби безпеки про помічені без супроводу відвідувачів та осіб, що не носять видимого ідентифікатора;
        
        d) доступ в зони безпеки або до засобів обробки чутливої інформації персоналу допоміжних служб третьої сторони слід надавати тільки при необхідності
        
        e) права доступу в зони безпеки слід регулярно аналізувати, переглядати, і анулювати при необхідності
    - - Відносно захисту будівель, виробничих приміщень і обладнання необхідно враховувати наступні рекомендації:
        
        a) слід брати до уваги відповідні правила і стандарти, що стосуються охорони здоров'я і безпеки праці;
        
        b) основне обладнання повинно бути розташоване в місцях, де обмежений доступ стороннім особам;
        
        c) будівлі повинні давати мінімальну інформацію щодо їх призначення, не повинні мати явних ознак, що дозволяють встановити наявність діяльності по обробці інформації;
        
        d) довідники та внутрішні телефонні книги, які вказують на місце розташування засобів обробки чутливої інформації, не повинні бути легкодоступними для сторонніх осіб.
    - - Для запобігання шкоди від пожежі, повені, землетруси, вибуху, громадських заворушень та інших форм природних або антропогенних лих, слід враховувати наступні рекомендації:
        
        a) забезпечити надійне зберігання небезпечних або горючих матеріалів на достатній відстані від зони, що охороняється; великі запаси, наприклад паперу для друкуючих пристроїв, не слід зберігати в межах зони безпеки;
        
        b) резервне обладнання та носії даних слід розміщувати на безпечній відстані, щоб запобігти пошкодженню від наслідки стихійного лиха в основній будівлі;
        
        c) слід забезпечити і відповідним чином розмістити необхідні засоби пожежогасіння.
    - - Необхідно розглянути наступні рекомендації:
        
        a) про існування зони безпеки і проводяться там роботах персонал повинен бути обізнаний з «принципом необхідного знання»;
        
        b) з міркувань безпеки і запобігання можливості зловмисних дій в зонах безпеки необхідно уникати виконання роботи без належного контролю з боку уповноваженого персоналу;
        
        c) порожні зони безпеки повинні бути фізично замкнені і їх стан необхідно періодично перевіряти;
        
        d) використання фото-, відео-, аудіо- та іншого обладнання для запису, наприклад камер, наявних в мобільних пристроях, має бути заборонено, якщо тільки на це не отримано спеціальний дозвіл.
    - - Необхідно розглянути наступні рекомендації:
        
        a) доступ до зони приймання та відвантаження з зовнішньої сторони будівлі повинен бути дозволений тільки певному і авторизованому персоналу;
        
        b) зона приймання та відвантаження повинна бути організована так, щоб надходять матеріальні цінності могли бути розвантажені без надання персоналу постачальника доступу до інших частин будівлі;
        
        c) повинна бути забезпечена безпека зовнішніх дверей зони приймання та відвантаження в той час, коли внутрішні двері відкриті;
        
        d) надходять матеріальні цінності повинні бути перевірені на предмет потенційних загроз перш, ніж вони будуть переміщені із зони приймання та відвантаження до місця використання;
        
        e) при надходженні матеріальні цінності повинні реєструватися відповідно до процедур менеджменту активів
        
        f) там, де можливо, що ввозяться і вивозяться вантажі повинні бути фізично розділені.
  - - - Необхідно розглянути наступні рекомендації щодо захисту обладнання:
        
        а) обладнання слід розміщувати таким чином, щоб звести до мінімуму зайвий доступ в робочі зони;
        
        b) засоби обробки інформації, що обробляють чутливі дані, слід розміщувати і обмежувати кут огляду таким чином, щоб зменшити ризик перегляду інформації неавторизованими особами під час їх використання, а кошти зберігання інформації слід захищати від несанкціонованого доступу;
        
        c) окремі елементи обладнання, що вимагають спеціального захисту, слід ізолювати для зниження загального рівня необхідного захисту;
        
        d) заходи і засоби контролю і управління повинні бути впроваджені таким чином, щоб звести до мінімуму ризик потенційних фізичних загроз
        
        e) необхідно встановлювати правила щодо прийому їжі, пиття і куріння поблизу коштів обробки інформації;
        
        f) слід проводити моніторинг стану навколишнього середовища по виявленню умов, наприклад температури і вологості, які могли б мати несприятливий вплив на функціонування засобів обробки інформації;
        
        g) на всіх будівлях повинен бути встановлений захист від блискавки, а фільтри захисту від блискавки повинні бути встановлені на вході всіх ліній електропередачі та ліній комунікації;
        
        h) щодо обладнання, розташованого в промисловому середовищі, слід використовувати спеціальні засоби захисту, наприклад захисні плівки для клавіатури;
        
        i) обладнання, обробляє чутливу інформацію, має бути захищене, щоб звести до мінімуму ризик витоку інформації внаслідок випромінювання.
    - - Устаткування необхідно захищати від перебоїв подачі електроенергії та інших збоїв, пов'язаних з перебоями в забезпеченні підтримують послуг.
    - - Відносно безпеки кабельної мережі слід розглянути наступні рекомендації:
        
        a) силові та телекомунікаційні лінії, пов'язані із засобом обробки інформації, повинні, по можливості, розташовуватися під землею або мати адекватну альтернативну захист;
        
        b) мережевий кабель повинен бути захищений від неавторизованих підключень або пошкодження, наприклад за допомогою використання спеціального кожуха або вибору маршрутів прокладки кабелю в обхід загальнодоступних ділянок;
        
        c) силові кабелі повинні бути відокремлені від комунікаційних, щоб запобігати перешкоди;
        
        d) слід використовувати кабель та обладнання з чіткою маркіровкою, щоб звести до мінімуму експлуатаційні помилки, наприклад випадкового внесення виправлень при ремонті мережевих кабелів;
        
        e) для зменшення ймовірності помилок слід використовувати документально оформлений перелік виправлень;
        
        f) додаткові заходи і засоби контролю і управління для чутливих або критичних систем включають:
        
        .
        
        1) використання армованого кабельного каналу, а також закритих приміщень або шаф в контрольних і кінцевих точках;
        
        2) використання дублюючих маршрутів прокладки кабелю і альтернативних способів передачі, що забезпечують відповідну безпеку;
        
        3) використання оптико-волоконних ліній зв'язку;
        
        4) використання електромагнітного екранування для захисту кабелів;
        
        5) проведення технічних оглядів і фізичних перевірок підключення неавторизованих пристроїв до кабельної мережі;
        
        6) керований доступ до комутаційних панелей і електрощитових.
    - - Відносно технічного обслуговування обладнання слід розглянути наступні рекомендації:
        
        a) обладнання повинно обслуговуватися відповідно до рекомендованими постачальником періодичністю і специфікаціями;
        
        b) технічне обслуговування та ремонт обладнання повинні проводитися тільки авторизованим персоналом;
        
        c) слід зберігати записи про всіх передбачуваних або фактичних несправності і всіх видах профілактичного обслуговування;
        
        d) якщо заплановано технічне обслуговування обладнання, слід вживати відповідних заходів і засоби контролю і управління
        
        e) повинні дотримуватися всі вимоги, що встановлюються полісами страхування.
    - - Наступні рекомендації необхідно враховувати щодо захисту обладнання, що використовується поза приміщеннями організації:
        
        b) необхідно дотримуватися інструкції виробників щодо захисту обладнання
        
        c) для роботи на дому слід визначити відповідні заходи і засоби контролю і управління, виходячи з оцінки ризиків
        
        a) обладнання і носії інформації, узяті з приміщень організації, не слід залишати без нагляду в загальнодоступних місцях; під час поїздок портативні комп'ютери потрібно перевозити як ручну поклажу і по можливості маскувати
        
        d) з метою захисту устаткування, використовуваного поза приміщеннями організації, повинно проводитися адекватне страхування, яке покриває зазначені ризики.
    - - Всі компоненти обладнання, які містять носії даних, слід перевіряти з метою забезпечення впевненості в тому, що будь-які чутливі дані і ліцензійне програмне забезпечення були видалені або перезаписані безпечним чином до їх утилізації.
    - - Рекомендації:
        
        a) обладнання, інформацію або програмне забезпечення можна використовувати поза приміщеннями організації тільки при наявності відповідного дозволу;
        
        b) співробітники, підрядники та представники третьої сторони, які мають право дозволяти переміщення активів за межі місця експлуатації, повинні бути чітко визначені;
        
        c) терміни переміщення обладнання повинні бути встановлені і перевірені на відповідність при повернення;
        
        d) там, де необхідно і доречно, обладнання слід реєструвати при переміщенні з приміщень організації та при поверненні.