Please enable JavaScript.

Coggle requires JavaScript to display documents.

БРИТАНСЬКИЙ СТАНДАРТ BS ISO/IEC 27001:2005 BS 7799-2:2005 Частина 3 -…

- - - - Мета: Забезпечити управління і підтримку в області інформаційної безпеки з боку керівництва організації відповідно до вимог бізнесу, що відносяться до справи законами та нормативними актами.
        
        Задокументована політика інформаційної безпеки
        
        Перегляд політики інформаційної безпеки
    - - Внутрішня організація
        
        Мета: Управляти інформаційною безпекою в організації.
        
        Прихильність керівництва інформаційної безпеки
        
        Координація інформаційної безпеки
        
        Розподіл відповідальності за інформаційну безпеку
        
        Процес авторизації для засобів обробки інформації
        
        Угоди про конфіденційність
        
        Контакт з органами влади
        
        Контакт з професійними об'єднаннями
        
        Незалежна перевірка інформаційної безпеки
      - Зовнішні сторони
        
        Мета: Забезпечити безпеку інформації організації та засобів її обробки, доступ, обробка, передача або управління якими здійснюється третіми сторонами.
        
        Ідентифікація ризиків, пов'язаних з зовнішніми сторонами
        
        Врахування вимог безпеки при роботі з клієнтами
        
        Врахування вимог безпеки в договорах з третіми сторонами
    - - Відповідальність за ресурси
        
        Мета: Забезпечити і підтримувати необхідний захист ресурсів організації.
        
        Інвентаризація ресурсів
        
        Володіння ресурсами
        
        Допустиме використання ресурсів
      - Класифікація інформації
        
        Мета: Забезпечити необхідний рівень захисту інформації.
        
        Керівництво по класифікації
        
        Маркування та обробка інформації
    - - Перед наймом
        
        Мета: Гарантувати, що працівники, підрядники та користувачі третьої сторони розуміють свою відповідальність і відповідають своїм ролям, а також знизити ризик крадіжок, шахрайства або неправомірного використання обладнання.
        
        Ролі та відповідальність
        
        Перевірка співробітників
        
        Умови працевлаштування
      - У період роботи
        
        Мета: Гарантувати, що всі працівники, підрядники та користувачі третьої сторони поінформовані про загрози та проблеми інформаційної безпеки, їх відповідальності та зобов'язання і готові підтримувати політику безпеки організації в своїй повсякденній діяльності та зменшувати ризик людської помилки.
        
        Підвищення обізнаності, навчання і тренінги в області інформаційної безпеки
        
        Дисциплінарний процес
        
        Відповідальність керівництва
      - Завершення або зміна трудових відносин
        
        Мета: Гарантувати, що всі співробітники, підрядники та користувачі третьої сторони залишають організацію чи змінюють роботу в установленому порядку.
        
        Відповідальність при завершенні трудових відносин
        
        Повернення ресурсів
        
        Скасування прав доступу
    - - Захищені області
        
        Мета: Запобігти несанкціонований фізичний доступ і заподіяння шкоди для приміщень та інформації організації.
        
        Периметр фізичної безпеки
        
        Механізми контролю фізичного входу
        
        Захист офісів, кімнат та обладнання
        
        Захист від зовнішніх загроз і загроз навколишнього середовища
        
        Робота в захищених областях
        
        Області загального доступу, доставки та навантаження
      - Безпека обладнання
        
        Мета: Запобігти втрату, пошкодження, крадіжку або компрометацію ресурсів і порушення діяльності організації.
        
        Розміщення і захист устаткування
        
        Послуги підтримки
        
        Безпека кабельної розводки
        
        Технічне обслуговування обладнання
        
        Безпека обладнання за межами організації
        
        Безпечна утилізація або повторне використання обладнання
        
        Переміщення майна
    - - Операційні процедури і розподіл відповідальності
        
        Мета: Забезпечити коректне і безпечне функціонування засобів обробки інформації.
        
        Задокументовані операційні процедури
        
        Управління змінами
        
        Розподіл обов'язків
        
        Відокремлення систем, що розробляються, випробовуються та працюють
      - Управління сторонніми службами
        
        Мета: Реалізація та підтримка необхідного рівня інформаційної безпеки та надання сервісу відповідно до угод про надання сервісів, що укладаються з третіми особами.
        
        Надання послуг
        
        Моніторинг і аналіз сервісів, що надаються третьою стороною
        
        Управління змінами в сервісах, що надаються третьою стороною
      - Системне планування та прийняття
        
        Мета: Мінімізація ризику відмови системи.
        
        Управління продуктивністю
        
        Управління продуктивністю
        
        Приймання системи
      - Захист від шкідливого і мобільного коду
        
        Мета: Забезпечити цілісність інформації та програмного забезпечення.
        
        Механізми контролю, спрямовані проти шкідливого коду
        
        Механізми контролю, спрямовані проти мобільного коду
      - Резервне копіювання
        
        Мета: Підтримувати цілісність і доступність інформації та засобів її обробки.
        
        Резервне копіювання інформації
      - Управління мережевою безпекою
        
        Мета: Забезпечити збереження інформації в мережах, а також захист підтримуючої інфраструктури.
        
        Мережеві механізми контролю
        
        Безпека мережевих сервісів
      - Поводження з носіями інформації
        
        Мета: Запобігти несанкціоноване розкриття, модифікацію, видалення або руйнування ресурсів, а також переривання бізнес діяльності.
        
        Управління змінними носіями інформації
        
        Знищення носіїв інформації
        
        Процедури поводження з інформацією
        
        Безпека системної документації
      - Обмін інформацією
        
        Мета: Підтримувати безпеку інформації і програмного забезпечення при їх обміні всередині організації і з будь-якої зовнішньої стороною.
        
        Політики та процедури обміну інформацією
        
        Угоди про обмін інформацією
        
        Транспортування фізичних носіїв інформації
        
        Передача електронних повідомлень
        
        Інформаційні бізнес-системи
      - Сервіси електронної комерції
        
        Мета: Забезпечити безпеку сервісів електронної комерції і їх безпечне використання.
        
        Електронна комерція
        
        Онлайн-транзакції
        
        Загальнодоступна інформація
      - Моніторинг
        
        Мета: Виявлення несанкціонованої діяльності з обробки інформації.
        
        Реєстрація подій аудиту
        
        Моніторинг використання системи
        
        Захист даних журналів аудиту
        
        Журнали адміністратора та оператора
        
        Повідомлення про помилки
        
        Синхронізація годин
    - - Бізнес вимоги до контролю доступу
        
        Мета: Контролювати доступ до інформації.
        
        Політика контролю доступу
      - Управління доступом користувачів
        
        Мета: Забезпечити доступ авторизованих користувачів і запобігти несанкціонованому доступу до інформаційних систем.
        
        Реєстрація користувача
        
        Керування привілеями
        
        Керування паролями користувачів
        
        Перевірка прав доступу користувачів
      - Відповідальність користувачів
        
        Мета: Запобігти несанкціонований доступ користувачів, а також компрометацію або крадіжку інформації і засобів її обробки.
        
        Використання паролів
        
        Користувальницьке обладнання, залишене без нагляду
        
        Політика чистих столів і чистих екранів.
      - Керування доступом до мережі
        
        Мета: Запобігання несанкціонованому доступу до мережевих служб.
        
        Політика використання мережевих сервісів
        
        Аутентифікація користувачів при зовнішніх
        підключених
        
        Ідентифікація обладнання в мережах
        
        Захист віддалених діагностичних і конфігураційних
        портів
        
        Ізоляція мережі
        
        Елемент керування підключенням до мережі
        
        Керування маршрутизацією в мережі
      - Контроль доступу в операційних системах
        
        Мета: Запобігти несанкціонований доступ до операційних систем.
        
        Безпечні процедури входу в систему
        
        Ідентифікація та аутентифікація користувача
        
        Система керування паролями
        
        Використання системних утиліт
        
        Завершення сесій при перевищенні ліміту часу
        
        Обмеження часу з'єднання
      - Контроль доступу до прикладних програм та інформації
        
        Мета: Запобігти несанкціонований доступ до інформації, що міститься в прикладних системах.
        
        Обмеження доступу до інформації
        
        Ізоляція критичних систем
      - Мобільна комп'ютерна техніка та робота поза офісом
        
        Мета: Забезпечити безпеку інформації при використанні мобільного комп'ютерного обладнання та при роботі поза офісом.
        
        Мобільна комп'ютерна техніка та засоби зв'язку
        
        Робота поза офісом
    - - Вимоги безпеки для інформаційних систем
        
        Мета: Гарантувати, що безпека є складовою частиною інформаційних систем.
        
        Аналіз безпеки та специфікація
      - Коректна обробки інформації в додатках
        
        Мета: Запобігти помилки, втрату, несанкціоновану модифікацію або неправильне використання інформації в додатках.
        
        Перевірка вхідних даних
        
        Контроль внутрішньої обробки даних
        
        Цілісність повідомлення
        
        Перевірка вихідних даних
      - Криптографічні механізми
        
        Мета: Захист конфіденційності, автентичності та цілісності інформації криптографічними засобами.
        
        Політика використання криптографічних механізмів
        
        Управління ключами
      - Безпека системних файлів
        
        Мета: Забезпечення безпеки системних файлів.
        
        Управління поточним програмним забезпеченням
        
        Захист тестових системних даних
        
        Контроль доступу до вихідних текстів програм
      - Безпека процесів розробки і підтримки
        
        Мета: Підтримання безпеки програмного забезпечення та інформації прикладних систем.
        
        Процедури контролю змін
        
        Технічний аналіз додатків після змін операційної системи
        
        Обмеження на зміни пакетів програмного забезпечення
        
        Витік інформації
        
        Аутсорсинг розробки програмного забезпечення
      - Управління технічними уразливими
        
        Мета: Зменшення ризиків, пов'язаних з використанням опублікованих технічних вразливостей.
        
        Контроль технічних вразливостей
    - - Інформація про події та слабкі сторони інформаційної безпеки
        
        Мета: Забезпечити своєчасне повідомлення інформації про події інформаційної безпеки та слабкі місця, пов'язані з інформаційними системами, уповноваженим особам, що дозволяє вчасно вжити коригувальних заходів.
        
        Інформування про події інформаційної безпеки
        
        Інформування про недоліки інформаційної безпеки
      - Управління інцидентами і вдосконаленням інформаційної безпеки
        
        Мета: Забезпечення послідовного та ефективного підходу до управління інцидентами інформаційної безпеки.
        
        Відповідальність і процедури
        
        Тренінг з питань інформаційної безпеки
        
        Збір свідчень
    - - Аспекти управління безперервністю бізнесу, пов'язані з інформаційною безпекою
        
        Мета: Перешкоджати перериванням господарської діяльності та захищати критично важливі бізнес процеси від впливу великих збоїв інформаційних систем або аварій і забезпечити їх своєчасне відновлення.
        
        Включення інформаційної безпеки в процес управління безперервністю бізнесу
        
        Безперервність бізнесу та оцінка ризиків
        
        Розробка і реалізація планів забезпечення безперервності, включаючи інформаційну безпеку
        
        Загальна схема планування безперервності бізнесу
        
        Тестування, підтримка і перегляд планів забезпечення
        безперервності бізнесу
    - - Дотримання вимог законодавства
        
        Мета: Уникнути порушення положень будь-яких обов'язків, встановлених чинним законодавством, підзаконними актами і договірними відносинами, а також будь-яких вимог безпеки.
        
        Визначення законодавчої бази, яка застосовується до діяльності організації
        
        Право інтелектуальної власності
        
        Захист документації організації
        
        Захист особистих секретних даних
        
        Запобігання випадків неналежного використання інструментів обробки інформації
        
        Правове регулювання в галузі використання криптографічних засобів
      - Дотримання вимог політик і стандартів безпеки, а також технічних вимог
        
        Мета: Забезпечити відповідність систем політикам і стандартам безпеки організації.
        
        Дотримання вимог політик і стандартів безпеки
        
        Перевірка відповідності технічним вимогам
      - Міркування, що відносяться до аудиту інформаційних систем
        
        Мета: максимізувати ефективність і мінімізувати втручання в / з боку процесу аудиту інформаційних систем.
        
        Механізми аудиту інформаційних систем
        
        Захист засобів аудиту інформаційних систем
- - - - Поінформованість
        Учасники повинні бути інформовані про необхідність забезпечення безпеки інформаційних систем і мереж, а також про те, що вони можуть зробити для посилення безпеки.
        
        Ця міра є частиною стадії Реалізації
      - Відповідальність
        Всі учасники несуть відповідальність за забезпечення безпеки інформаційних систем і мереж.
        
        Ця міра є частиною стадії Реалізації
      - Реагування
        Учасники повинні діяти своєчасно і спільно для запобігання, виявлення і реагування на інциденти безпеки.
        
        Це частково заходи з моніторингу стадії Перевірки (див. 4.2.3 та 6 - 7.3) і відповідні заходи стадії Дії (див. 4.2.4 та 8.1 - 8.3). Це також частково може бути деякими аспектами стадії Планування і Перевірки.
      - Оцінка ризиків
        Учасники повинні проводити оцінку ризиків.
        
        Цей захід є частиною стадії Планування (див. 4.2.1), також оцінка ризиків є частиною стадії Перевірки (див. 4.2.3 і 6 - 7.3).
      - Проектування і впровадження механізмів безпеки
        Учасники повинні вбудовувати механізми безпеки як суттєвий елемент інформаційних систем і мереж.
        
        По завершенню оцінки ризиків вибираються механізми контролю для обробки ризиків як частина стадії Планування (див. 4.2.1). Стадія Реалізації (див. 4.2.2 та 5.2) потім закриває питання впровадження і робочої експлуатації цих механізмів контролю.
      - Управління безпекою
        Учасники повинні прийняти комплексний підхід до управління безпекою.
        
        Управління ризиками - це процес, що включає в себе запобігання, виявлення і реагування на інциденти, безперервний супровід, аналіз і аудит. Всі ці аспекти включені в стадії Планування, Реалізації, Перевірки і Дії.
      - Перегляд
        Учасники повинні аналізувати і переглядати безпеку інформаційних систем і мереж, вносити необхідні зміни в політики безпеки, практики, механізми і процедури.
        
        Перегляд інформаційної безпеки є частиною стадії Перевірки (див. 4.2.3 та 6 - 7.3), де повинні проводитися регулярні перегляди з метою перевірки ефективності системи управління інформаційною безпекою, а вдосконалення безпеки є частиною стадії Дії (див. 4.2.4 та 8.1 - 8.3).
- - - - 0 Вступ
        
        0.1 Загальні положення
        
        0.2 Процесний підхід
        
        0.3 Сумісність з іншими системами управління
      - 1 Область дії
        
        1.1 Загальні положення
        1.2 Застосування
      - 2 Нормативні посилання
      - 3 Терміни та визначення
      - 4 Система управління інформаційною безпекою
        
        4.1 Загальні вимоги
        
        4.2 Створення та управління СУІБ
        
        4.2.1 Створення СУІБ
        
        4.2.2 Впровадження та експлуатація СУІБ
        
        4.2.3 Моніторинг та аналіз СУІБ
        
        4.2.4 Супровід та вдосконалення СУІБ
        
        4.3 Вимоги до документування
        
        4.3.1 Загальні вимоги
        
        4.3.2 Управління документами
        
        4.3.3 Контроль протоколів
      - 5 Відповідальність керівництва
        
        5.1 Прихильність керівництва
        
        5.2 Управління ресурсами
        
        5.2.1 Забезпечення ресурсами
        
        5.2.2 Навчання, поінформованість та компетенція
      - 6 Внутрішні аудити СУІБ
      - 7 Аналіз СУІБ з боку керівництва
        
        7.1 Загальні положення
        
        7.2 Вхідні дані аналізу
        
        7.3 Вихідні дані аналізу
      - 8 Удосконалення СУІБ
        
        8.1 Безперервне вдосконалення
        
        8.2 Коригувальна міра
        
        8.3 Превентивна міра
      - Додатки
        
        Додаток А Цілі контролю і механізми контролю
        
        Додаток В Принципи OECD і цей Міжнародний стандарт
        
        Додаток З Взаємозв'язок між ISO 9001: 2000, ISO 14001: 2004 та цим Міжнародним стандартом
    - - 0 Вступ
        
        0.1 Загальні положення
        
        0.2 Процесний підхід
        
        0.3 Взаємозв'язок з ISO 9004
        
        0.4 Сумісність з іншими системами управління
      - 1 Область дії
        
        1.1 Загальні положення
        1.2 Застосування
      - 2 Нормативні посилання
      - 3 Терміни та визначення
      - 4 Система управління якістю
        
        4.1 Загальні вимоги
      - 8.2.3 Моніторинг та вимірювання процесів
        8.2.4 Моніторинг та вимірювання продукту
      - 4.2 Вимоги до документування
        
        4.2.1 Загальні вимоги
        
        4.2.2 Настанова з якості
        
        4.2.3 Управління документами
        
        4.2.4 Контроль протоколів
      - 5 Відповідальність керівництва
        
        5.1 Прихильність керівництва
        
        5.2 Фокус на клієнта
        
        5.3 Політика якості
        
        5.4 Планування
        
        5.5 Відповідальність, повноваження та взаємодія
      - 6 Управління ресурсами
        
        6.1 Забезпечення ресурсами
        
        6.2 Людські ресурси
        
        6.2.2 Компетенція, обізнаність та навчання
        
        6.3 Інфраструктура
        
        6.4 Робоче середовище
      - 8.2.2 Внутрішній аудит
      - 5.6 Критичне аналізування з боку керівництва
        
        5.6.1 Загальні положення
        
        5.6.2 Вхідні дані аналізу
        
        5.6.3 Вихідні дані аналізу
      - 8.5 Удосконалення
        
        8.5.1 Безперервне вдосконалення
        
        8.5.2 Коригувальні заходи
        
        8.5.3 Превентивні заходи
      - Додаток А Взаємозв'язок між ISO 9001 та ISO 14001: 1996
    - - Вступ
      - 1 Область дії
      - 2 Нормативні посилання
      - 3 Терміни та визначення
      - 4 Вимоги СУОС
        
        4.1 Загальні вимоги
        4.4 Впровадження та експлуатація
      - 4.5.1 Моніторинг та вимірювання
      - 4.4.5 Управління документацією
        4.5.4 Контроль протоколів
      - 4.2 Політика навколишнього середовища
        4.3 Планування
      - 4.2.2 Компетенція, навчання і обізнаність
      - 4.5.5 Внутрішній аудит
      - 4.6 Критичне аналізування з боку керівництва
      - 4.5.3 Невідповідність, коригуюча міра і превентивна міра
      - Додаток А Інструкції з використання цього Міжнародного стандарту
        Додаток В Взаємозв'язок між ISO 14001: 2004 та ISO 9001: 2000