Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO 27002 Квітницький Р.О. КБ-91 - Coggle Diagram
ISO 27002
Квітницький Р.О. КБ-91
1 ОБЛАСТЬ ЗАСТОСУВАННЯ
2 ТЕРМІНИ ТА ВИЗНАЧЕННЯ
2.1
Актив (asset)
2.2
Міра і засіб контролю і управління (control)
2.3
Рекомендація (guideline)
2.4
Засоби обробки інформації (information processing facilities)
2.5
Інформаційна безпека (information security)
2.6
Подія інформаційної безпеки (information security event)
2.7
Інцидент інформаційної безпеки (information security incident)
2.8
Політика (policy)
2.9
Ризик (risk)
2.10
Аналіз ризику (risk analysis)
2.11
Оцінка ризику (risk assessment)
2.12
Оцінювання ризику (risk evaluation)
2.13
Менеджмент ризику (risk management)
2.14
Обробка ризику (risk treatment)
2.15
Третя сторона (third party)
2.16
Загроза (threat)
2.17
Вразливість (vulnerability)
3 СТРУКТУРА ЦЬОГО СТАНДАРТУ
3.1 Розділи
3.2 Основні категорії безпеки
4 ОЦІНКА І ОБРОБКА РИЗИКІВ
4.1 Оцінка ризиків безпеки
4.2 Обробка ризиків безпеки
5 ПОЛІТИКА БЕЗПЕКИ
5.1 Політика інформаційної безпеки
5.1.1 Документування політики інформаційної безпеки
5.1.2 Перегляд політики інформаційної безпеки
6 ОРГАНІЗАЦІЙНІ АСПЕКТИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
6.1 Завдання, які вирішуються всередині організації
6.1.1 Зобов'язання керівництва по відношенню до інформаційної
безпеки
6.1.2 Координація питань інформаційної безпеки
6.1.3 Розподіл обов'язків по забезпеченню інформаційної безпеки
6.1.4 Процес отримання дозволу на використання коштів обробки
інформації
6.1.5 Угоди про конфіденційність
6.1.6 Контакт з різними інстанціями
6.1.7 Контакт зі спеціалізованими професійними групами
6.1.8 Незалежна перевірка інформаційної безпеки
6.2 Аспекти взаємодії зі сторонніми організаціями
6.2.1 Ідентифікація ризиків, які є наслідком роботи зі сторонніми
організаціями
6.2.2 Розгляд питань безпеки при роботі з клієнтами
6.2.3 Розгляд вимог безпеки в договорах з третьою стороною
7 МЕНЕДЖМЕНТ АКТИВІВ
7.1 Відповідальність за активи
7.1.1 Інвентаризація активів
7.1.2 Володіння активами
7.1.3 Прийнятне використання активів
7.2 Класифікація інформації
7.2.1 Рекомендації по класифікації
7.2.2 Маркування та обробка інформації
8 БЕЗПЕКА, ПОВ'ЯЗАНА З ПЕРСОНАЛОМ
8.1 Перед працевлаштуванням.
8.1.1 Ролі та обов'язки
8.1.2 Попередня перевірка
8.1.3 Умови зайнятості
8.2 Протягом зайнятості
8.2.1 Обов'язки керівництва
8.2.2 Поінформованість,
навчання і тренінг в області інформаційної
безпеки
8.2.3 Дисциплінарний процес
8.3 Припинення або зміна зайнятості
8.3.1 Припинення обов'язків
8.3.2 Повернення активів
8.3.3 Анулювання прав доступу
9 ФІЗИЧНА БЕЗПЕКА І ЗАХИСТ ВІД ВПЛИВІВ
НАВКОЛИШНЬОГО СЕРЕДОВИЩА
9.1 Зони безпеки
9.1.1 Периметр зони безпеки
9.1.2 Заходи і засоби контролю і управління фізичним входом
9.1.3 Безпека будівель, виробничих приміщень і обладнання
9.1.4 Захист від зовнішніх загроз і загроз з боку навколишнього
середовища
9.1.5 Робота в зонах безпеки
9.1.6 Зони загального доступу, приймання та відвантаження
9.2 Безпека обладнання
9.2.1 Розміщення та захист обладнання
9.2.2 Послуги підтримки
9.2.3 Безпека кабельної мережі
9.2.4 Технічне обслуговування обладнання
9.2.5 Безпека обладнання поза приміщеннями організації
9.2.6 Безпечна утилізація або повторне використання обладнання
9.2.7 Переміщення майна
10 МЕНЕДЖМЕНТ КОМУНІКАЦІЙ І РОБІТ
10.1 Експлуатаційні процедури і обов'язки
10.1.1 Документальне оформлення експлуатаційних процедур
10.1.2 Управління змінами
10.1.3 Розподіл обов'язків
10.1.4 Поділ засобів розробки, тестування та експлуатації
10.2 Менеджмент надання послуг третьою стороною
10.2.1 Надання послуг
10.2.2 Моніторинг та аналіз послуг третьої сторони
10.2.3 Управління змінами послуг третьої сторони
10.3 Планування та приймання систем
10.3.1 Управління продуктивністю
10.3.2 Приймання систем
10.4 Захист від шкідливої
і мобільного програми
10.4.1 Заходи і засоби контролю і управління проти шкідливої
програми
10.4.2 Заходи і засоби контролю і управління при використанні
мобільного програми
10.5 Резервування
10.5.1 Резервування інформації
10.6 Менеджмент безпеки мережі
10.6.1 Заходи і засоби контролю і управління мережами
10.6.2 Безпека мережевих послуг
10.7 Поводження з носіями інформації
10.7.1 Менеджмент змінних носіїв інформації
10.7.2 Утилізація носіїв інформації
10.7.3 Процедури обробки інформації
10.7.4 Безпека системної документації
10.8 Обмін інформацією
10.8.1 Політики та процедури обміну інформацією
10.8.2 Угоди з обміну інформацією
10.8.3 Фізичні носії інформації при транспортуванні
10.8.4 Електронний обмін повідомленнями
10.8.5 Інформаційні системи бізнесу
10.9 Послуги електронної торгівлі
10.9.1 Електронна торгівля
10.9.2 Транзакції в режимі онлайн
10.9.3 Загальнодоступна інформація
10.10 Моніторинг
10.10.1 Контрольна реєстрація
10.10.2 Використання системи моніторингу
10.10.3 Захист інформації журналів реєстрації
10.10.4 Журнали реєстрації адміністратора та оператора
10.10.5 Реєстрація несправностей
10.10.6 Синхронізація годин
11 УПРАВЛІННЯ ДОСТУПОМ
11.1 Вимога бізнесу з управління доступом
11.1.1 Політика управління доступом
11.2 Менеджмент доступу користувачів
11.2.1 Реєстрація користувачів
11.2.2 Управління привілеями
11.2.3 Управління паролями користувачів
11.2.4 Перегляд прав доступу користувачів
11.3 Обов'язки користувача
11.3.1 Використання паролів
11.3.2 Обладнання користувача, залишене без нагляду
11.3.3 Політика «чистого стола» та «чистого екрану»
11.4 Управління доступом до мережі
11.4.1 Політика використання мережевих послуг
11.4.2 Автентифікація користувача для зовнішніх з'єднань
11.4.3 Ідентифікація обладнання в мережах
11.4.4 Захист портів дистанційної діагностики та конфігурації
11.4.5 Поділ в мережах
11.4.6 Управління мережевими з'єднаннями
11.4.7 Управління мережевий маршрутизацією
11.5 Управління доступом до експлуатованої системі
11.5.1 Безпечні процедури започаткування сеансу
11.5.2 Ідентифікація та аутентифікація користувача
11.5.3 Система управління паролями
11.5.4 Використання системних утиліт
11.5.5 Ліміт часу сеансу зв'язку
11.5.6 Обмеження часу з'єднання
11.6 Управління доступом до інформації і прикладним програмам
11.6.1 Обмеження доступу до інформації
11.6.2 Ізоляція чутливих систем
12 ПРИДБАННЯ, РОЗРОБКА ТА ЕКСПЛУАТАЦІЯ
ІНФОРМАЦІЙНИХ СИСТЕМ
12.1 Вимоги безпеки інформаційних систем
12.1.1 Аналіз вимог безпеки і специфікація
12.2 Коректна обробка в прикладних програмах
12.2.1 Підтвердження коректності вхідних даних
12.2.2 Управління внутрішньої обробкою
12.2.3 Цілісність повідомлень
12.2.4 Підтвердження вихідних даних
12.3 Криптографічні заходи і засоби контролю і управління
12.3.1 Політика використання криптографічних заходів і засобів
контролю та управління
12.3.2 Управління ключами
12.4 Безпека системних файлів
12.4.1 Управління експлуатаційним програмним забезпеченням
12.4.2 Захист тестових даних системи
12.4.3 Управління доступом до вихідних текстів програм
12.5 Безпека у процесах розробки та підтримки
12.5.1 Процедури управління змінами
12.5.2 Технічна перевірка прикладних програм після змін
експлуатованої системи
12.5.3 Обмеження на зміни пакетів програм
12.5.4 Витік інформації
12.5.5 Аутсорсинг розробки програмного забезпечення
12.6 Менеджмент технічних вразливостей
12.6.1 Управління технічними уразливими
13 МЕНЕДЖМЕНТ ІНЦИДЕНТІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
13.1 Оповіщення про події та вразливості інформаційної безпеки
13.1.1 Оповіщення про події інформаційної безпеки
13.1.2 Оповіщення про уразливість безпеки
13.2 Менеджмент інцидентів інформаційної безпеки та необхідне
вдосконалення
13.2.1 Обов'язки та процедури
13.2.2 Витяг уроків з інцидентів інформаційної безпеки
13.2.3 Збір доказів
14 МЕНЕДЖМЕНТ БЕЗПЕРЕРВНОСТІ БІЗНЕСУ
14.1 Аспекти інформаційної безпеки в рамках менеджменту
безперервності бізнесу
14.1.1 Включення інформаційної безпеки в процес менеджменту
безперервності бізнесу
14.1.2 Безперервність бізнесу та оцінка ризику
14.1.3 Розробка і впровадження планів безперервності бізнесу, які
враховують інформаційну безпеку
14.1.4 Основи планування безперервності бізнесу
14.1.5 Тестування, підтримка і перегляд планів безперервності бізнесу
15 ВІДПОВІДНІСТЬ
15.1 Відповідність вимогам законодавства
15.1.1 Визначення застосовного законодавства
15.1.2 Права на інтелектуальну власність
15.1.3 Захист документів організації
15.1.4 Захист даних і конфіденційність персональних даних
15.1.5 Запобігання нецільового використання коштів обробки
інформації
15.1.6 Регулювання криптографічних заходів і засобів контролю та
управління
15.2 Відповідність політикам безпеки і стандартам, технічну
відповідність
15.2.1 Відповідність політикам та стандартам безпеки
15.2.2 Перевірка технічної відповідності
15.3 Розгляд аудиту інформаційних систем
15.3.1 Запобіжні і засоби контролю і управління аудиту
інформаційних систем
15.3.2 Захист інструментальних засобів аудиту інформаційних систем