BS ISO/IEC 27001 Каплун Д.В.
Взаємозв'язок між ISO 9001: 2000, ISO 14001: 2004 та цим Міжнародним стандартом
Принцип OECD та Відповідний процес СУІБ і стадія ПРПД
цілі та елементи керування
Придбання, розробка та обслуговування
інформаційних систем
Управління технічними уразливими
Контроль технічних вразливостей
Вимоги безпеки для інформаційних систем
Аналіз безпеки та специфікація
Коректна обробки інформації в додатках
Перевірка вхідних даних
Контроль внутрішньої обробки даних
Цілісність повідомлення
Перевірка вихідних даних
Криптографічні механізми
Політика використання криптографічних механізмів
Управління ключами
Безпека системних файлів
Контроль доступу до вихідних текстів програм
Управління поточним програмним забезпеченням
Захист тестових системних даних
Безпека процесів розробки і підтримки
Обмеження на зміни пакетів програмного забезпечення
Процедури контролю змін
Технічний аналіз додатків після змін операційної системи
Витік інформації
Аутсорсинг розробки програмного забезпечення
Управління безперервністю бізнесу
Аспекти управління безперервністю бізнесу,
пов'язані з інформаційною безпекою
Включення інформаційної безпеки в процес управління безперервністю бізнесу
Безперервність бізнесу та оцінка ризиків
Розробка і реалізація планів забезпечення безперервності,
включаючи інформаційну безпеку
Загальна схема планування безперервності бізнесу
Тестування, підтримка і перегляд планів забезпечення
безперервності бізнесу
Контроль доступу
Контроль доступу до прикладних програм та інформаці
Обмеження доступу до інформації
Ізоляція критичних систем
Мобільна комп'ютерна техніка та робота поза офісом
Мобільна комп'ютерна техніка та засоби зв'язку
Робота поза офісом
Контроль доступу в операційних системах
Безпечні процедури входу в систему
Ідентифікація та аутентифікація користувача
Система керування паролями
Використання системних утиліт
Завершення сесій при перевищенні ліміту часу
Обмеження часу з'єднання
Керування доступом до мережі
Аутентифікація користувачів при зовнішніх підключених
Ідентифікація обладнання в мережах
Захист віддалених діагностичних і конфігураційних портів
Ізоляція мережі
Елемент керування підключенням до мережі
Керування маршрутизацією в мережі
Політика використання мережевих сервісів
Відповідальність користувачів
Використання паролів
Користувальницьк е обладнання, залишене без нагляду
Політика чистих столів і чистих екранів.
Управління доступом користувачів
Реєстрація користувача
Керування привілеями
Керування паролями користувачів
Перевірка прав доступу користувачів
Бізнес вимоги до контролю доступу
Політика контролю доступу
Організація інформаційної безпеки
Внутрішня організація
Прихильність керівництва інформаційної безпеки
Координація інормаційної безпеки
Розподіл відповідності за інформаційну бузпеку
Процкс автоматизації для засобів обробки інформації
угоди про конфіденційність
контакт з органами влади
контакт з професійними об'єднаннями
незалежна перевірка інформаційної безпеки
Зовнішні сторони
Ідентифікація ризиків пов'язаних з зовнішніми сторонами
Врахування вимог безпеки при роботі з клієнтами
врахування вимог безпеки в договорах з третіми сторонами
Політика безпеки
Задокументована політика інформаційної безпеки
Перегляд політики інформаційної безпеки
Управління ресурсами
Відповідальність за ресурси
володіння ресурсами
Допустиме використання ресурсів
Інвентаризація ресурсів
Класифікація інформації
Маркування та обробка інформації
Керівництво по класифікації
Безпека людських ресурсів
Перед наймом
Умови працевлаштування
Ролі та відповідальність
Перевірка співробітників
У період роботи
Дисциплінарний процес
Відповідальність керівництва
Підвищення обізнаності, навчання і тренінги в області
інформаційної безпеки
Завершення або зміна трудових відносин
Скасування прав доступу
Відповідальність при завершенні трудових відносин
Повернення ресурсів
Фізична безпека і безпека навколишнього середовища
Захищені області
Периметр фізичної безпеки
Механізми контролю фізичного входу
Захист офісів, кімнат та обладнання
Захист від зовнішніх загроз і загроз навколишнього
середовища
Робота в захищених областях
Області загального доступу, доставки та навантаження
Безпека обладнання
Послуги підтримки
Безпека кабельної розводки
Розміщення і захист устаткування
Технічне обслуговування обладнання
Безпека обладнання за межами організації
Безпечна утилізація або повторне використання обладнання
Переміщення майна
Управління зв'язком та операціями
Мониторингинг
Моніторинг використання системи
Захист даних журналів аудиту
Журнали адміністратора та оператора
Повідомлення про помилки
Синхронізація годин
Реєстрація подій аудиту
Сервіси електронної комерції
Електронна комерція
Онлайн-транзакції
Загальнодоступна інформація
Обмін інформацією
Транспортування фізичних носіїв інформації
Політики та процедури обміну інформацією
Угоди про обмін інформацією
Передача електронних повідомлень
Інформаційні бізнес-системи
Управління мережевою безпекою
Мережеві механізми контролю
Безпека мережевих сервісів
Системне планування та прийняття
Управління продуктивністю
Приймання системи
Управління сторонніми службами
Управління змінами в сервісах, що надаються третьою
стороною
Надання послуг
Моніторинг і аналіз сервісів, що надаються третьою стороною
Захист від шкідливого і мобільного коду
Механізми контролю, спрямовані проти шкідливого коду
Механізми контролю, спрямовані проти мобільного коду
Операційні процедури і розподіл відповідальності
Відокремлення систем, що розробляються, випробовуються
та працюють
Розподіл обов'язків
Управління змінами
Задокументовані операційні процедури
Резервне копіювання
Резервне копіювання інформації
Поводження з носіями інформації
Управління змінними носіями інформації
Знищення носіїв інформації
Процедури поводження з інформацією
Безпека системної документації
Управління інцидентами інформаційної безпеки
Управління інцидентами і вдосконаленням
інформаційної безпеки
Інформація про події та слабкі сторони
інформаційної безпеки
Відповідальність і процедури
Тренінг з питань інформаційної безпеки
Збір свідчень
Інформування про події інформаційної безпеки
Інформування про недоліки інформаційної безпеки
Дотримання вимог
Міркування, що відносяться до аудиту
інформаційних систем
Захист засобів аудиту інформаційних систем
Механізми аудиту інформаційних систем
Дотримання вимог політик і стандартів безпеки, а
також технічних вимог
Дотримання вимог політик і стандартів безпеки
Перевірка відповідності технічним вимогам
Дотримання вимог законодавства
Запобігання випадків неналежного використання
інструментів обробки інформації
Захист документації організації
Визначення законодавчої бази, яка застосовується до
діяльності організації
Право інтелектуальної власності
Захист особистих секретних даних
Правове регулювання в галузі використання криптографічних
засобів
Поінформованість
Учасники повинні бути інформовані про необхідність забезпечення безпеки інформаційних систем і мереж, а також про те, що вони можуть зробити для посилення безпеки.
Ця міра є частиною стадії Реалізації
(Див. 4.2.2 та 5.2.2)
Відповідальність
Всі учасники несуть відповідальність за забезпечення
безпеки інформаційних систем і мереж.
Ця міра є частиною стадії Реалізації
(Див. 4.2.2 та 5.1)
Реагування
Учасники повинні діяти своєчасно і спільно для запобігання,
виявлення і реагування на інциденти безпеки.
Це частково заходи з моніторингу стадії Перевірки (див. 4.2.3 та 6 - 7.3) і відповідні заходи стадії Дії (див. 4.2.4 та 8.1 - 8.3). Це також частково може бути деякими аспектами стадії Планування і Перевірки.
Оцінка ризиків
Учасники повинні проводити оцінку
ризиків.
Цей захід є частиною стадії Планування (див. 4.2.1), також оцінка ризиків є частиною стадії Перевірки (див. 4.2.3 і 6 - 7.3).
Проектування і впровадження
механізмів безпеки
Учасники повинні вбудовувати механізми безпеки як суттєвий
елемент інформаційних систем і мереж.
По завершенню оцінки ризиків вибираються механізми контролю для обробки ризиків як частина стадії Планування (див. 4.2.1). Стадія Реалізації (див. 4.2.2 та 5.2) потім закриває питання впровадження і робочої експлуатації цих механізмів контролю.
Управління безпекою
Учасники повинні прийняти комплексний підхід до управління
безпекою.
Управління ризиками - це процес, що включає в себе запобігання, виявлення і реагування на інциденти, безперервний супровід, аналіз і аудит. Всі ці аспекти включені в стадії Планування, Реалізації, Перевірки і Дії.
Перегляд
Учасники повинні аналізувати і переглядати безпеку інформаційних систем і мереж, вносити необхідні зміни в політики безпеки, практики, механізми і процедури.
Перегляд інформаційної безпеки є частиною стадії Перевірки (див. 4.2.3 та 6 - 7.3), де повинні проводитися регулярні перегляди з метою перевірки ефективності системи управління інформаційною безпекою, а вдосконалення безпеки є частиною стадії Дії (див. 4.2.4 та 8.1 - 8.3).
Вступ
Цей Міжнародний
стандарт
ISO 9001: 2000
ISO 14001: 2004
click to edit
0 Вступ
0.1 Загальні положення
0.2 Процесний підхід
0.3 Сумісність з іншими
системами управління
0 Вступ
0.1 Загальні положення
0.2 Процесний підхід
0.3 Взаємозв'язок з ISO
9004
0.4 Сумісність з іншими
системами управління
Вступ
Область дії
Цей Міжнародний стандарт
ISO 9001: 2000
ISO 14001: 2004
1.1 Загальні положення
1.2 Застосування
1 Область дії
1 Область дії
1.1 Загальні положення
1.2 Застосування
1 Область дії
Нормативні посилання
Цей Міжнародний стандарт
ISO 9001: 2000
ISO 14001: 2004
2 Нормативні посилання
2 Нормативні посилання
2 Нормативні посилання
Терміни та визначення
Цей Міжнародний стандарт
ISO 9001: 2000
ISO 14001: 2004
3 Терміни та визначення
3 Терміни та визначення
3 Терміни та визначення
Система управління інформаційною безпекою
Цей Міжнародний стандарт
ISO 9001: 2000
ISO 14001: 2004
4 Система управління інформаційною безпекою
4.1 Загальні вимоги
4.2 Створення та управління СУІБ
4.2.1 Створення СУІБ
4.2.2 Впровадження та експлуатація СУІБ
4 Система управління якістю
4.1 Загальні вимоги
4 Вимоги СУОС
4.1 Загальні вимоги
4.4 Впровадження та експлуатація
Моніторинг та
аналіз СУІБ
Цей Міжнародний стандарт
ISO 9001: 2000
ISO 14001: 2004
4.2.3 Моніторинг та аналіз СУІБ
8.2.3 Моніторинг та вимірювання процесів
8.2.4 Моніторинг та вимірювання продукту
4.5.1 Моніторинг та
вимірювання
Супровід та
вдосконалення СУІБ
Цей Міжнародний стандарт
ISO 9001: 2000
ISO 14001: 2004
4.2.4 Супровід та
вдосконалення СУІБ
4.3 Вимоги до
документування
4.3.1 Загальні вимо
4.3.2 Управління
документами
4.3.3 Контроль
протоколів
4.2 Вимоги до
документування
4.2.1 Загальні вимоги
4.2.2 Настанова з якості
4.2.3 Управління
документами
4.2.4 Контроль
протоколів
4.4.5 Управління
документацією
4.5.4 Контроль
протоколів
Відповідальність
керівництва
click to edit
Цей Міжнародний стандарт
ISO 9001: 2000
ISO 14001: 2004
5 Відповідальність
керівництва
5.1 Прихильність
керівництва
5.1 Прихильність керівництва
5.2 Фокус на клієнта
5 Відповідальність керівництва
5.3 Політика якості
5.4 Планування
5.5 Відповідальність, повноваження та взаємодія
4.2 Політика навколишнього середовища
4.3 Планування
Управління
ресурсами
click to edit
Цей Міжнародний стандарт
ISO 9001: 2000
ISO 14001: 2004
5.2.1 Забезпечення ресурсами
5.2.2 Навчання, поінформованість та компетенція
5.2 Управління
ресурсами
6.1 Забезпечення ресурсами
6.2 Людські ресурси
6 Управління ресурсами
6.2.2 Компетенція обізнаність та навчання,
6.3 Інфраструктура
6.4 Робоче середовище
4.2.2 Компетенція,
навчання і обізнаність
Внутрішні аудити
СУІБ
Цей Міжнародний стандарт
ISO 9001: 2000
ISO 14001: 2004
6 Внутрішні аудити
СУІБ
8.2.2 Внутрішній аудит
4.5.5 Внутрішній аудит
Аналіз СУІБ з боку
керівництва
Цей Міжнародний стандарт
ISO 9001: 2000
ISO 14001: 2004
7.1 Загальні положення
7.2 Вхідні дані аналізу
7 Аналіз СУІБ з боку керівництва
7.3 Вихідні дані аналізу
5.6.1 Загальні положення
5.6.2 Вхідні дані аналізу
5.6 Критичне аналізування з боку керівництва
5.6.3 Вихідні дані аналізу
4.6 Критичне аналізування з боку керівництва
Удосконалення СУІБ
click to edit
Цей Міжнародний стандарт
ISO 9001: 2000
ISO 14001: 2004
click to edit
8.1 Безперервне вдосконалення
8.2 Коригувальна міра
8 Удосконалення СУІБ
8.3 Превентивна міра
8.5.1 Безперервне вдосконалення
8.5.2 Коригувальні заходи
8.5 Удосконалення
8.5.3 Превентивні заходи
4.5.3 Невідповідність, коригуюча міра і превентивна міра