Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/ІЕС 27002 «ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ. МЕТОДИКИ БЕЗПЕКИ. ПРАКТИЧНІ…

- - - - Незалежно від форми подання інформації, засобів її поширення або зберігання, вона завжди повинна бути адекватно захищена. Інформаційна безпека захищає інформацію від широкого діапазону загроз з метою забезпечення впевненості в безперервності бізнесу, мінімізації ризику бізнесу, отримання максимальної віддачі від інвестицій, а також реалізації потенційних можливостей бізнесу. Інформаційна безпека досягається шляхом реалізації відповідного комплексу заходів і засобів контролю та управління, які можуть бути представлені політиками, процесами, процедурами, організаційними структурами, а також функціями програмних і апаратних засобів. Зазначені заходи і засоби контролю і управління необхідно створювати, реалізовувати, піддавати моніторингу, аналізувати і покращувати, якщо необхідно, для забезпечення впевненості в тому, що певна безпеку і певні цілі бізнесу організації досягнуті. Все це необхідно виконувати поряд з іншими процесами менеджменту бізнесу
  - - - Організації, а також їх інформаційні системи і мережі стикаються із загрозами безпеці з широкого діапазону джерел, включаючи комп'ютерне шахрайство, шпигунство, саботаж, вандалізм, пожежа або повінь. Джерела шкоди, наприклад шкідливий код, комп'ютерне хакерство і атаки типу відмови в обслуговуванні, стають більш поширеними і все більш і більш витонченими. Інформаційна безпека важлива як для державного, так і для приватного секторів бізнесу, а також для захисту критичних інфраструктур. В обох секторах інформаційна безпека діє як фактор, що сприяє, наприклад використання «електронного уряду» або «електронного бізнесу», і щоб уникнути або знизити відповідні ризики.
  - - - Другим джерелом є правові, законодавчі, нормативні та договірні вимоги, яким повинні задовольняти організація, її торгові партнери, підрядники та постачальники послуг, а також їх соціокультурне середовище. Ще одним джерелом є певний набір принципів, цілей і вимог бізнесу для обробки інформації, які розробила організація для підтримки своєї діяльності.
  - - - Оцінка ризиків повинна періодично повторюватися, щоб враховувати будь-які зміни, які могли б вплинути на результати оцінки ризику. Більш детальну інформацію про оцінку ризиків безпеки можна знайти в 4.1 «Оцінка ризиків безпеки».
  - - - Вибір заходів і засобів контролю та управління залежить від рішень організації, заснованих на критеріях прийняття ризиків, варіантах обробки ризиків і загальний підхід до менеджменту ризиків, що застосовується в організації. При цьому необхідно також враховувати всі відповідні національні та міжнародні закони і норми. Деякі заходи і засоби контролю і управління, наведені в цьому документі, рекомендується розглядати як керівні принципи для менеджменту інформаційної безпеки і застосовувати для більшості організацій. Більш докладно такі заходи і засоби контролю і управління розглядаються нижче під заголовком «Відправна точка інформаційної безпеки».
  - - - a. захист даних і конфіденційність персональних даних
      - b. захист документів організації
      - c. права на інтелектуальну власність
    - - a. документування політики інформаційної безпеки
      - b. розподіл обов'язків щодо забезпечення інформаційної безпеки
      - c. обізнаність, навчання і тренінг - навчання на практичних заняттях або в наближених до реальних умовах
      - e. менеджмент технічних вразливостей
      - f. менеджмент безперервності бізнесу
      - g. менеджмент інцидентів інформаційної безпеки та необхідне вдосконалення
  - - - a. відповідність цілей, політик і процедур інформаційної безпеки цілям бізнесу;
      - b. підхід і основи для впровадження, підтримки, моніторингу та поліпшення інформаційної безпеки, які узгоджуються з корпоративною культурою;
      - c. видима підтримка і зобов'язання з боку керівництва всіх рівнів; d. чітке розуміння вимог інформаційної безпеки, оцінки ризиків та управління ризиками;
      - e. ефективний маркетинг інформаційної безпеки серед всіх керівників, співробітників та інших сторін для досягнення поінформованості;
      - f. поширення керівних вказівок політики інформаційної безпеки та відповідних стандартів серед усіх керівників, співробітників та інших сторін;
      - g. забезпечення фінансування діяльностей по менеджменту інформаційної безпеки;
      - h. забезпечення відповідної поінформованості, навчання і тренінгу; i. створення ефективного процесу менеджменту інцидентів інформаційної безпеки;
      - j. впровадження системи вимірювань
  - - - В документи, що містять додаткові рекомендації, а також заходи і засоби контролю і управління, у відповідних випадках корисно включати перехресні посилання на положення цього стандарту для полегшення перевірки відповідності, проведеної аудиторами і партнерами по бізнесу.
- - - - a. застосування відповідних заходів і засобів контролю та управління для зниження ризиків;
      - b. свідоме та об'єктивне прийняття ризиків в тому випадку, якщо вони, безсумнівно, задовольняють політиці і критеріям організації щодо прийняття ризиків;
      - c. запобігання ризикам шляхом недопущення дій, які можуть стати причиною виникнення ризиків;
      - d. перенесення взаємодіючих ризиків шляхом поділу їх з іншими сторонами, наприклад страховиками або постачальниками.
- - - - a. визначення інформації, що підлягає захисту (наприклад конфіденційна інформація);
      - b. передбачуваний термін дії угоди, включаючи випадки, коли може виникнути необхідність в необмеженій підтримці конфіденційності;
      - c. необхідні дії при закінченні терміну дії угоди;
      - d. обов'язки і дії осіб, які підписали угоду, з метою запобігання несанкціонованого розголошення інформації (наприклад за принципом «необхідного знання»);
      - e. володіння інформацією, комерційні таємниці і інтелектуальна власність, і як це співвідноситься з захистом конфіденційної інформації;
      - f. дозволене використання конфіденційної інформації та права осіб, що підписали угоду, щодо використання інформації;
      - g. право піддавати аудиту і моніторингу діяльність, пов'язану з конфіденційною інформацією;
      - h. процедуру попередження і повідомлення про несанкціонований розголошенні або порушеннях, пов'язаних з конфіденційною інформацією;
      - i. умови повернення або знищення інформації в разі призупинення дії угоди;
      - j. передбачувані дії, які повинні бути зроблені в разі порушення даної угоди.
- - - - a) забезпечення відповідних інтерфейсів між мережею організації та мережами, що належать іншим організаціям, і загальнодоступними мережами;
      - b) впровадження відповідних механізмів аутентифікації щодо користувачів і обладнання;
      - c) запропонованого управління доступом користувачів до інформаційних послуг.