Please enable JavaScript.

Coggle requires JavaScript to display documents.

BS ISO/IEC 27001:2005 p2 - Coggle Diagram

- - - - Захист віддалених діагностичних і конфігураційних
        портів
        
        Механізм управління
        Фізичний і логічний доступ до діагностичних і конфігураційним портам повинен контролюватися
      - Ізоляція мережі
        
        Механізм управління
        Групи інформаційних сервісів, користувачів та інформаційних систем повинні бути ізольовані в мережах.
      - Ідентифікація обладнання в мережах
        
        Механізм управління
        В якості методів аутентифікації з'єднань з конкретних місць і від конкретного обладнання повинна розглядатися автоматична ідентифікація обладнання
      - Елемент керування підключенням до мережі
        
        Механізм управління
        У спільно використовуваних мережах, особливо в тих, які виходять за межі організації, повинні бути обмежені можливості підключення користувачів до мережі відповідно до політики контролю доступу та вимог бізнес додатків
      - Аутентифікація користувачів при зовнішніх
        підключених
        
        Механізм управління
        Для контролю доступу віддалених користувачів повинні використовуватися відповідні методи аутентифікації.
      - Керування маршрутизацією в мережі
        
        Механізм управління
        У мережах повинні бути впроваджені механізми контролю маршрутизації, щоб гарантувати, що підключення комп'ютерів і інформаційні потоки не порушують політики контролю доступу бізнес додатків
      - Політика використання мережевих сервісів
        
        Механізм управління
        Користувачам повинен бути наданий доступ тільки до тих сервісів, використання яких їм явним чином дозволено
    - - Система керування паролями
        
        Механізм управління
        Системи управління паролями повинні бути інтерактивними і забезпечувати вибір якісних паролів
      - Використання системних утиліт
        
        Механізм управління
        Використання утиліт, які можуть обходити механізми контролю системи і додатків, має бути обмежена і строго контролюватися
      - Ідентифікація та аутентифікація користувача
        
        Всі користувачі повинні мати унікальний ідентифікатор (ідентифікатор користувача) виключно для персонального використання. Для підтвердження заявленого коду користувача повинні вибиратися відповідні методи аутентифікації
      - Завершення сесій при перевищенні ліміту часу
        
        Механізм управління
        Неактивні сесії повинні автоматично завершуватися при закінчення встановленого періоду неактивності.
      - Безпечні процедури входу в систему
        
        Механізм управління
        Доступ до операційних систем повинен контролюватися за допомогою безпечної процедури входу в систему.
      - Обмеження часу з'єднання
        
        Механізм управління
        Обмеження часу підключення повинно використовуватися для забезпечення додаткового рівня захисту для додатків з високим ризиком.
    - - Користувальницьке обладнання, залишене без нагляду
        
        Механізм управління
        Користувачі повинні забезпечити необхідний рівень захисту для обладнання, що залишається без нагляду
      - Політика чистих столів і чистих екранів.
        
        Механізм управління
        Повинна бути прийнята політика чистих столів для паперів і знімних пристроїв зберігання інформації і політика чистих екранів для засобів обробки інформації.
      - Використання паролів
        
        Механізм управління
        Від користувачів треба вимагати, щоб вони слідували стандартам добре зарекомендувала себе практики в області вибору і використання паролів.
    - - Обмеження доступу до інформації
        
        Механізм управління
        Доступ до інформації і до функцій прикладної системи з боку користувачів і обслуговуючого персоналу повинен бути обмежений відповідно до встановленої політики контролю доступу.
      - Ізоляція критичних систем
        
        Механізм управління
        Критичні системи вимагають створення спеціального(ізольованого) комп'ютерного середовища
    - - Керування привілеями
        
        Механізм управління
        Розподіл і використання привілеїв повинні бути обмежені і контролюватися.
      - Керування паролями користувачів
        
        Механізм управління
        Контроль розподілу паролів повинен здійснюватися за допомогою офіційного керуючого процесу.
      - Реєстрація користувача
        
        Механізм управління
        Повинна існувати офіційна процедура реєстрації та видалення облікових записів користувачів для надання та скасування доступу до всіх інформаційних систем і сервісів.
      - Перевірка прав доступу користувачів
        
        Механізм управління
        Керівництво повинно регулярно проводити перевірку прав доступу користувачів в рамках відповідного офіційного процесу.
    - - Мобільна комп'ютерна техніка та засоби зв'язку
        
        Механізм управління
        Повинна існувати офіційна політика і повинні бути затверджені відповідні механізми контролю для захисту від ризиків, пов'язаних з використанням мобільного комп'ютерного обладнання та засобів зв'язку
      - Робота поза офісом
        
        Механізм управління
        Повинні бути розроблені та реалізовані політика, робочі плани і процедури для роботи поза офісом.
    - - Політика контролю доступу
        
        Механізм управління
        Політика контролю доступу повинна бути встановлена, документально підтверджена, повинна переглядатися на підставі бізнес вимог та вимог щодо забезпечення безпеки доступу.
- - - - Політика використання криптографічних механізмів
        
        Механізм управління
        Повинна бути розроблена і реалізована політика використання криптографічних механізмів для захисту інформації.
      - Управління ключами
        
        Механізм управління
        Спосіб керування ключами для підтримки застосування криптографічних методів в організації
    - - Захист тестових системних даних
        
        Механізм управління
        Тестові дані повинні бути ретельно відібрані, захищені та контрольовані.
      - Контроль доступу до вихідних текстів програм
        
        Механізм управління
        Доступ до вихідних текстів програм повинен бути обмежений.
      - Управління поточним програмним забезпеченням
        
        Механізм управління
        Повинні існувати процедури для контролю установки програмного забезпечення в діючих системах
    - - Контроль внутрішньої обробки даних
        
        Механізм управління
        Для виявлення будь-яких спотворень оброблюваних даних в результаті помилок їх обробки або навмисних дій в додатки повинні бути вбудовані механізми перевірки їх достовірності.
      - Цілісність повідомлення
        
        Механізм управління
        Повинні бути ідентифіковані вимоги до забезпечення автентичності та цілісності повідомлення в додатках, а також повинні бути ідентифіковані і реалізовані відповідні механізми контролю.
      - Перевірка вхідних даних
        
        Механізм управління
        Вхідні дані програми повинні перевірятися на предмет їх коректності та прийнятності.
      - Перевірка вихідних даних
        
        Механізм управління
        Вихідні дані додатки повинні перевірятися для забезпечення коректності обробки інформації, що зберігається і її відповідності обставинам.
    - - Обмеження на зміни пакетів програмного забезпечення
        
        Механізм управління
        Необхідно запобігти внесенню змін до програмних пакетів, за винятком необхідних змін, і всі зміни повинні строго контролюватися.
      - Витік інформації
        
        Механізм управління
        Слід запобігати можливості витоку інформації.
      - Технічний аналіз додатків після змін операційної системи
        
        Механізм управління
        Після внесення змін до операційних систем критично важливі для бізнесу програми повинні бути проаналізовані та перевірені, щоб гарантувати відсутність шкідливих наслідків для роботи або безпеки організації
      - Аутсорсинг розробки програмного забезпечення
        
        Механізм управління
        Аутсорсинг розробки програмного забезпечення повинен контролюватися і відслідковуватися організацією.
      - Процедури контролю змін
        
        Механізм управління
        Внесення змін має контролюватися шляхом використання офіційних процедур контролю змін
    - - Аналіз безпеки та специфікація
        
        Механізм управління
        Вимоги до механізмів безпеки повинні визначатися бізнес вимогами для нових систем або вимогами до вдосконалення для існуючих систем.
    - - Контроль технічних вразливостей
        
        Механізм управління
        Інформація про технічні вразливості інформаційних систем, що використовуються, повинна бути своєчасно повідомлена, вплив організації на ці вразливості повинен бути оцінений і необхідні заходи, вжиті для мінімізації пов'язаного з ними ризику
- - - - Інформування про події інформаційної безпеки
        
        Механізм управління
        Інформування про події інформаційної безпеки має здійснюватися по відповідних каналах управління якомога швидше.
      - Інформування про недоліки інформаційної безпеки
        
        Механізм управління
        Усі працівники, підрядники та користувачі сторонніх інформаційних систем і служб повинні записувати та повідомляти про всі недоліки безпеки систем або послуг.
    - - Тренінг з питань інформаційної безпеки
        
        Механізм управління
        Повинні існувати механізми для кількісного представлення і відстеження типів, розмірів і вартості інцидентів інформаційної безпеки.
      - Збір свідчень
        
        Механізм управління
        У тих випадках, коли дії, що вживаються після інциденту інформаційної безпеки проти фізичної особи або організації, припускають юридичні санкції (цивільні або кримінальні), повинні здійснюватися збір, зберігання і надання свідчень для виконання правил, прийнятих у відповідній юрисдикції (ях).
      - Відповідальність і процедури
        
        Механізм управління
        Повинні бути встановлені відповідальність керівництва та процедури для забезпечення швидкої, ефективної і послідовної реакції на інциденти інформаційної безпеки
  - - - Розробка і реалізація планів забезпечення безперервності, включаючи інформаційну безпеку
        
        Механізм управління
        Повинні бути розроблені та реалізовані плани, які дозволять продовжити або відновити операції і забезпечити необхідний рівень доступності інформації у встановлені терміни після переривання або збою критично важливих бізнес процесів
      - Загальна схема планування безперервності бізнесу
        
        Механізм управління
        Необхідно підтримувати єдину структуру планів забезпечення безперервності бізнесу, що дозволить гарантувати несуперечність всіх планів, послідовно враховувати вимоги інформаційної безпеки, а також визначати пріоритети в області тестування і супроводу
      - Безперервність бізнесу та оцінка ризиків
        
        Механізм управління
        Події, які можуть призвести до переривань бізнес процесів, повинні бути ідентифіковані поряд з ймовірністю і наслідками таких переривань і їх впливом на інформаційну безпеку.
      - Тестування, підтримка і перегляд планів забезпечення
        безперервності бізнесу
        
        Механізм управління
        Плани забезпечення безперервності бізнесу необхідно регулярно тестувати і переглядати, щоб гарантувати їх ефективність і відповідність сучасному стану речей
      - Включення інформаційної безпеки в процес управління безперервністю бізнесу
        
        Механізм управління
        Для забезпечення безперервності бізнесу в усій організації слід розробити і підтримувати керований процес, що враховує вимоги інформаційної безпеки, необхідні для забезпечення безперервності бізнесу організації
  - - - Дотримання вимог політик і стандартів безпеки
        
        Механізм управління
        Керівники повинні забезпечити коректне виконання всіх процедур щодо забезпечення безпеки в зоні своєї відповідальності з метою дотримання вимог політик і стандартів безпеки.
      - Перевірка відповідності технічним вимогам
        
        Механізм управління
        Інформаційні системи повинні регулярно перевірятися на відповідність стандартам в області реалізації механізмів безпеки
    - - Механізми аудиту інформаційних систем
        
        Механізм управління
        Вимоги та заходи аудиту, що включають в себе проведення перевірок діючих систем, повинні бути ретельно сплановані та погоджені з метою зведення до мінімуму ризику переривання бізнес процесів.
      - Захист засобів аудиту інформаційних систем
        
        Механізм управління
        Доступ до засобів аудиту інформаційних систем повинен бути захищений з метою запобігання будь-якій можливості неналежного використання або компрометації
    - - Захист документації організації
        
        Механізм управління
        Важлива документація організації повинна бути захищена від втрати, знищення та фальсифікації відповідно до вимог законодавства, підзаконних актів, контрактних зобов'язань і бізнес вимогами
      - Захист особистих секретних даних
        
        Механізм управління
        Захист особистих секретних даних повинен забезпечуватися відповідно до вимог чинного законодавства та нормативної бази, а також, якщо необхідно, положень контрактних зобов'язань
      - Право інтелектуальної власності
        
        Механізм управління
        Повинні бути впроваджені відповідні процедури для забезпечення дотримання законодавчих обмежень, підзаконних актів і контрактних зобов'язань по використанню матеріалів, що охороняються правом інтелектуальної власності, а також по використанню ліцензійного програмного забезпечення
      - Запобігання випадків неналежного використання інструментів обробки інформації
        
        Механізм управління
        Користувачі повинні утримуватися від використання засобів обробки інформації нецільовим чином.
      - Визначення законодавчої бази, яка застосовується до діяльності організації
        
        Механізм управління
        Усі значимі вимоги, встановлені чинним законодавством, підзаконними актами і договірними відносинами, а також підхід організації до забезпечення відповідності цим вимогам повинні бути явно визначені, задокументовані і підтримуватися в актуальному стані для кожної інформаційної системи та організації
      - Правове регулювання в галузі використання криптографічних засобів
        
        Механізм управління
        Криптографічні механізми повинні використовуватися у відповідності з усіма наявними угодами, законодавчими і нормативними актами.