Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/IEC 27005: 2011 - Coggle Diagram

- - - - рівень керівництва (координація та менеджмент)
      - . операційний рівень (види діяльності, пов'язані з виробництвом і
        підтримкою)
      - рівень прийняття рішень (визначення стратегічної орієнтації)
  - - - пакети програмного забезпечення (вимоги, що стосуються стандартів, рівня оцінювання, якості, відповідності нормам, безпеки і т.д.)
      - загальна архітектура (вимоги, що стосуються топології (Централізована, розподілена, клієнт-сервер), фізична архітектура і т.д.)
      - прикладне програмне забезпечення (вимоги, що стосуються
        проектування специфічного програмного забезпечення, ринкові стандарти і т.д.)
      - архіви (файли) (вимоги, що стосуються організації, менеджмент носіїв, менеджмент правил доступу і т.д.)
      - апаратні засоби (вимоги, що стосуються стандартів, якості,
        відповідності нормам і т.д.)
      - мережі зв'язку (вимоги, що стосуються покриття, стандартів, ємності, надійності і т.д.)
      - інфраструктура споруд та інженерних комунікацій
    - - підтримка
      - менеджмент кадрових ресурсів
      - експлуатація
      - адміністративний менеджмент
      - менеджмент розробки
      - менеджмент зовнішніх відносин
- - - - бізнес-процеси (або підпроцеси) і бізнес-діяльність, наприклад
        
        процеси, модифікація яких може значно вплинути на виконання призначення організації
        
        процеси, втрата або погіршення яких унеможливлює виконання цільової мети організації
        
        процеси, які необхідні організації для виконання договірних, правових або регулюючих вимог
        
        процеси, що включають в себе секретні процеси або процеси, створені з використанням високорівневої технології
      - інформація
        
        нформацію, необхідну для реалізації призначення або бізнесу організації
        
        інформацію особистого характеру, яка може бути визначена особливим чином, відповідним національним законам про недоторканність приватного життя
        
        стратегічну інформацію, необхідну для досягнення цілей, визначених стратегією діяльності організації
        
        інформацію з високою собівартістю, збір, зберігання, обробка і передача якої вимагають тривалого часу і/або пов'язані з великими витратами на її придбання
    - - інформація
      - бізнес-процеси і дії
    - - програмне забезпечення
      - мережу
      - апаратні засоби
      - персонал
      - сайт
      - організаційна структура
  - - - вартість придбання, конфігурації і установки нового активу або повна резервна копія
      - вартість призупинених через інцидент операцій, поки послуга,
        яка надається активом (активами), очікує відновленння
      - фінансова відновна вартість втраченого активу
      - вплив призводить до порушення інформаційної безпеки
    - - витрати втрачених можливостей
      - вартість перерваних операцій
      - можливе зловживання інформацією, отриманою в результаті
        порушення безпеки
      - порушення встановлених законом або регулятивних
        зобов'язань
      - :порушення етичних норм поведінки
- - - - Сприйнятливість до
        вологості, пилу, забруднення
      - Чутливість до
        електромагнітної радіації
      - Вади схем для періодичних
        замін
      - Вади ефективного контролю
        внесення змін конфігурації
      - Недостатнє обслуговування /
        дефектна інсталяція з носіїв
        даних
      - Сприйнятливість до змін
        напруги
      - Незахищене зберігання
      - Сприйнятливість до
        температурних змін
      - Неконтрольоване копіювання
      - Недолік в обережності при
        знищенні
    - - Мале число ревізій
      - Неправильний розподіл прав
        доступу
      - Передача або багаторазове
        використання носіїв даних
        без належного стирання
      - Широко поширене
        програмне забезпечення
      - Відсутній 'вихід з системи'
        при залишенні робочої
        станції
      - Застосування прикладних
        програм до фальшивих
        даними в термінах часу
      - Відомі недоліки
        програмному забезпеченні
      - Складний призначений для
        користувача інтерфейс
      - Відсутність або недостатня
        програмне тестування
      - Вади в документуванні
      - Встановлено неправильний
        параметр
      - Некоректні дати
    - - Запущені непотрібні служби
      - Недоработанное або нове
        програмне забезпечення
      - Поганий менеджмент
        паролями
      - Неясні або неповні
        специфікації розробників
      - Незахищені таблиці паролів
      - Неконтрольована
        завантаження використання
        програмного забезпечення
      - Вади в процедурі резервного
        копіювання
      - Вади фізичного захисту
        будівлі, дверей і вікон
      - Відмова менеджменту від
        перевірки звітів
      - Брак докази посилки або
        одержання повідомлення
      - Незахищені лінії зв'язкуНезахищений чутливий
        трафік
      - Незахищений чутливий
        трафік
      - Погана спільна проводка
      - Єдина точка відмови
      - Вади ідентифікації
        аутентифікація відправника
      - Небезпечна мережева
        архітектура
      - Передача паролів у
        відкритому вигляді
      - Неадекватний менеджмент
        мережею
      - Незахищені підключення
        загальнодоступної мережі
    - - Вади процедури контролю
        внесення змін
      - Вади або недостатнє угоду
        сервісного обслуговування
      - Вади формальної процедури
        для менеджменту документацією СМІБ
      - Неадекватна відповідь
        обслуговуючого сервісу
      - Вади політики використання
        поштової
      - Брак менеджменту активами
        дистанційного резервування
      - Брак процедур обробки
        секретних даних
      - Брак певного
        дисциплінарного процесу
      - Вади планів безперервності
      - Брак санкцій на засоби
        обробки інформації
      - Брак регулярних переглядів
        контролів
  - - - фізичний огляд
      - аналіз документів
      - анкетування
      - опитування співробітників і користувачів
- - - - Втрата електроживлення
      - Відмова телекомунікаційного
        обладнання
      - Відмова кондиціонування або системи
        водопостачання
    - - Теплове випромінювання
      - Електромагнітний імпульс
      - Електромагнітне випромінювання
    - - Сейсмічне явище
      - Вулканічне явище
      - Кліматичні явища
      - Метеорологічне явище
      - Повінь
    - - Фальсифікація прав
      - Заперечення дій
      - Зловживання правами
      - Порушення працездатності персоналу
      - Помилка у використанні
    - - Забруднення
      - Значний інцидент
      - Пошкодження водою
      - Знищення обладнання або носіїв
      - Вогонь
      - Пил, корозія і обмерзання
    - - Відмова устаткування
      - Збій обладнання
      - Насичення інформаційної системи
      - Програмний збій
      - Порушення ремонтопридатності
        інформаційної системи
    - - Використання контрафактного або
        скопійованого програмного
        забезпечення
      - Незаконна обробка даних
      - Шахрайське копіювання програмного
        забезпечення
      - Спотворення даних
      - Несанкціоноване використання
        обладнання
    - - Дистанційний шпигунство
      - Підслуховування
      - Перехоплення і відправка
        компрометувати сигналу
      - Крадіжка носіїв або документів
      - Відновлення інформації на носіях,
        відправлених на переробку або
        бракованих
      - Виявлення (розкриття)
      - Дані з ненадійних джерел
      - Втручання в апаратні засоби
      - Втручання в програмні засоби
      - Виявлення місця розташування
- - - - правозастосування
      - громадський порядок
      - юридичні та регулятивні зобов'язання
      - політика і операції бізнесу
      - особиста інформація
      - втрата "невловимого капіталу"
      - особиста безпека
      - договір або угоду з клієнтом.
- - - - Технічних проблем, таких як сумісність програм або апаратних засобів, легко можна уникнути, якщо їх враховувати під час вибору засобів контролю.
        Крім того, ретроспективна реалізація засобів контролю для існуючого процесу або системи часто ускладнюється технічними обмеженнями.
    - - Операційні обмеження, такі як потреба працювати 24 години на день, виробляючи все ж при цьому резервне копіювання, можуть призводити до складної і дорогої реалізації засобів контролю, якщо вони не вбудовуються в проект з самого початку
    - - Реалізація або підтримка засобів контролю не повинна бути більш дорогої, чому цінність активів, які вони призначені захищати, за винятком випадків, коли забезпечення відповідностіі є обов'язковим повинні докладати всіх зусиль, щоб не перевищити встановлений бюджет і досягти фінансової вигоди завдяки використанню засобів контролю. Однак в деяких випадках може не бути можливості досягти бажаної безпеки і рівня прийняття ризику через бюджетних обмежень.
    - - Культурні обмеження, що стосуються вибору засобів контролю, можуть бути характерними для країни, сектора, організації або навіть відділу в організації.
    - - Може існувати багато видів тимчасових обмежень. Наприклад, засоби
        контролю повинні бути реалізовані протягом тимчасового періоду, прийнятного для керівників організації. Ще один вид тимчасового обмеження - чи може засіб контролю бути реалізовано протягом терміну служби системи або інформації. третім видом тимчасового обмеження може бути період часу, який керівники організації вважають відповідним для схильності певного ризику
    - - Етичні обмеження можуть мати серйозні наслідки для засобів контролю,
        так як етичні принципи змінюються на основі соціальних норм.
    - - Фактори навколишнього середовища, такі як обсяг пам'яті, доступний, екстремальні кліматичні умови, навколишнє природне і міська географія, можуть впливати на вибір засобів контролю
    - - Правові фактори, такі як забезпечення захисту особистих даних або положення кримінального кодексу, що стосуються обробки інформації, можуть впливати на вибір засобів контролю.
    - - Поганий інтерфейс людина-технологія буде викликати помилки персоналу і може приводити до марності контролю.
    - - Слід враховувати доступність і витрати на оплату сукупності
        спеціалізованих навичок для реалізації засобів контролюю, а також можливість переміщення персоналу на різні майданчики при несприятливих робочих умовах.