Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/ІЕС 27002 «ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ. МЕТОДИКИ БЕЗПЕКИ. ПРАКТИЧНІ…

- - - - управління доступом (7);
      - придбання, розробка та експлуатація інформаційних систем (6);
      - менеджмент інцидентів інформаційної безпеки (2);
      - менеджмент безперервності бізнесу (1);
      - відповідність (3)
      - політика безпеки (1);
      - організаційні аспекти інформаційної безпеки (2);
      - менеджмент активів (2);
      - безпеку, пов'язана з персоналом (3);
      - фізичний захист і захист від впливу навколишнього середовища (2);
      - менеджмент комунікацій і робіт (10);
  - - - мета управління, в якій формулюється, що має бути досягнуто;
      - одну або більше заходів і засобів контролю та управління, за
        допомогою яких можуть бути досягнуті цілі управління.
    - - Міра і засіб контролю і управління – визначається формулювання специфічних заходів і засобів контролю і управління для досягнення мети управління.
      - Рекомендація щодо реалізації – надається більш деталізована інформація для підтримки реалізації заходів і засоби контролю і управління та досягнення мети управління. Деякі з цих рекомендацій можуть бути неприйнятні для всіх випадків, тому інші способи реалізації заходів і засоби контролю і управління можуть бути більш доречними.
      - Додаткова інформація – надається додаткова інформація, яка може бути розглянута, наприклад правові питання і посилання на інші стандарти.
- - - - застосування відповідних заходів і засобів контролю та управління
        для зниження ризиків;
      - свідоме та об'єктивне прийняття ризиків в тому випадку, якщо вони, безсумнівно, задовольняють політиці і критеріям організації щодо прийняття ризиків;
      - запобігання ризикам шляхом недопущення дій, які можуть стати
        причиною виникнення ризиків;
      - перенесення взаємодіючих ризиків шляхом поділу їх з іншими
        сторонами, наприклад страховиками або постачальниками.
    - - вимоги та обмеження національних і міжнародних законів і норм;
      - цілі організації;
      - експлуатаційні вимоги і обмеження;
      - вартість реалізації і експлуатації стосовно знижує ризик повинна
        залишатися пропорційної вимогам і обмеженням організації;
      - необхідність збереження балансу між інвестиціями в реалізацію і експлуатацію заходів і засобів контролю та управління і збитком, який може мати місце в результаті недостатньої безпеки.
- - - - Міра і засіб контролю і управління:
        
        Політика інформаційної безпеки повинна бути затверджена керівництвом, видана і доведена до відома всіх співробітників організації і відповідних сторонніх організацій.
      - Рекомендація щодо реалізації:
        
        Політика інформаційної безпеки повинна встановлювати відповідальність керівництва, а також викладати підхід організації до менеджменту інформаційної безпеки, Документ, в якому викладається політика, повинен містити положення щодо:
        
        визначення інформаційної безпеки, її загальних цілей і сфери дії, а також згадки значення безпеки як інструменту, що забезпечує можливість спільного використання інформації (див. «Вступ»);
        
        викладу намірів керівництва, що підтримують цілі і принципи
        інформаційної безпеки відповідно до стратегії і цілями бізнесу;
        
        підходу до встановлення заходів і засобів контролю та управління і цілей їх застосування, включаючи структуру оцінки ризику та менеджменту ризику;
        
        короткого роз'яснення найбільш істотних для організації політик безпеки,
        принципів, стандартів і вимог відповідності
        
        визначення загальних і конкретних обов'язків співробітників в рамках менеджменту інформаційної безпеки, включаючи інформування про інциденти безпеки;
        
        посилань на документи, що доповнюють політику інформаційної безпеки, наприклад більш детальні політики та процедури безпеки для певних інформаційних систем, а також правила безпеки, яким повинні слідувати користувачі.
    - - Міра і засіб контролю і управління:
        
        Політика інформаційної безпеки повинна переглядатися або через заплановані інтервали часу, або, якщо відбулися значні зміни, з метою забезпечення впевненості в її актуальності, адекватності та ефективності.
      - Рекомендація щодо реалізації:
        
        Політика інформаційної безпеки повинна мати власника, який затверджений керівництвом в якості відповідального за розробку, перегляд та оцінку політики безпеки. Перегляд полягає в оцінці можливостей щодо поліпшення політики інформаційної безпеки організації і підходу до менеджменту інформаційної безпеки у відповідь на зміни організаційної середовища, обставин бізнесу, правових умов або технічного середовища.
        
        При перегляді політики інформаційної безпеки слід враховувати результати переглядів методів управління. Повинні існувати певні процедури перегляду методів управління, в тому числі графік або період перегляду.
- - - - Міра і засіб контролю і управління:
        
        Керівництву слід активно підтримувати безпеку в організації за допомогою чіткого управління, відомого розподілу обов'язків, визначених призначень і визнання обов'язків щодо інформаційної безпеки.
      - Рекомендація щодо реалізації:
        
        Керівництву слід:
        
        забезпечувати впевненість в тому, що цілі інформаційної безпеки визначено, відповідають вимогам організації і включені до відповідних процеси;
        
        формулювати, аналізувати і затверджувати політику інформаційної
        безпеки;
        
        аналізувати ефективність реалізації політики інформаційної
        безпеки;
        
        забезпечувати чітке управління і очевидну підтримку менеджменту
        щодо ініціатив, пов'язаних з безпекою;
        
        забезпечувати ресурси, необхідні для інформаційної безпеки;
        
        затверджувати певні ролі і відповідальності щодо інформаційної
        безпеки в рамках організації;
        
        ініціювати плани і програми для підтримки поінформованості про
        інформаційну безпеку;
        
        забезпечувати впевненість в тому, що реалізація заходів і засобів контролю та управління інформаційної безпеки скоординована в рамках організації
    - - Міра і засіб контролю і управління:
        
        Діяльність, пов'язана з інформаційною безпекою, повинна бути скоординована представниками різних підрозділів організації з відповідними ролями та посадовими обов'язками.
      - Рекомендація щодо реалізації:
        
        Як правило, координація проблем інформаційної безпеки повинна включати в себе співпрацю і участь менеджерів, користувачів, адміністраторів, розробників прикладних програм, аудиторів і персоналу, що займається безпекою, а також фахівців в галузі страхування, правових аспектів, кадрових ресурсів, ІТ або ризик-менеджменту.
        
        Якщо в організації не використовується спеціальна міжфункціональнагрупа, наприклад, з причин невідповідності величиною організації, вищеописані дії можуть виконуватися іншим відповідним органом управління або окремим менеджером.
    - - Міра і засіб контролю і управління:
        
        Всі обов'язки по забезпеченню інформаційної безпеки повинні бути чітко
        визначені.
      - Рекомендація щодо реалізації:
        
        Розподіл обов'язків по забезпеченню інформаційної безпеки слід здійснювати відповідно до політики інформаційної безпеки (див. 4). Слід чітко визначати обов'язки щодо захисту окремих активів та щодо виконання конкретних процесів, пов'язаних з інформаційною безпекою. Такі обов'язки слід доповнювати, при необхідності, більш детальними інструкціями для конкретних місць експлуатації та засобів обробки інформації. Конкретні обов'язки щодо захисту активів і здійснення специфічних процесів, пов'язаних з безпекою, наприклад планування безперервності бізнесу, повинні бути чітко визначені.
        
        Особи, на які покладено обов'язок щодо забезпечення безпеки, можуть делегувати завдання, пов'язані з безпекою, іншим особам. Проте, вони залишаються відповідальними за виконання делегованих завдань.
    - - Міра і засіб контролю і управління:
        
        Необхідно визначити і реалізувати процес отримання дозволу у
        керівництва на використання нових засобів обробки інформації.
      - Рекомендація щодо реалізації:
        
        Відносно процесу отримання дозволу слід розглянути наступні
        рекомендації:
        
        на нові засоби повинні бути отримані відповідні дозволи керівництва користувачів, який стверджує їх мета і використання. Дозвіл слід також отримувати від менеджера, відповідального за підтримку середовища безпеки локальної інформаційної системи, щоб забезпечити впевненість у тому, що всі відповідні вимоги і політики безпеки дотримуються;
        
        апаратні засоби і програмне забезпечення, де необхідно, слід
        перевіряти на предмет сумісності з іншими компонентами системи;
        
        використання персональних або перебувають у приватній власності засобів обробки інформації, наприклад лептопів, домашніх комп'ютерів або кишенькових пристроїв для обробки ділової інформації може бути причиною нових вразливостей, тому слід визначати і реалізовувати необхідні заходи і засоби контролю і управління.
    - - Міра і засіб контролю і управління:
        
        Вимоги щодо угод про конфіденційність або нерозголошення, що відображають потреби організації в захисті інформації, повинні визначатися і регулярно переглядатися.
      - Рекомендація щодо реалізації:
        
        В угодах про конфіденційність або нерозголошення повинно міститися вимога про захист конфіденційної інформації, виражене юридичними термінами, що мають позовну силу. Щоб визначити вимоги для угод про конфіденційність або нерозголошення, необхідно врахувати наступні фактори:
        
        визначення інформації, що підлягає захисту (наприклад
        конфіденційна інформація);
        
        передбачуваний термін дії угоди, включаючи випадки, коли може
        виникнути необхідність в необмеженій підтримці конфіденційності;
        
        необхідні дії при закінченні терміну дії угоди;
        
        обов'язки і дії осіб, які підписали угоду, з метою запобігання несанкціонованого розголошення інформації (наприклад за принципом «необхідного знання»);
        
        володіння інформацією, комерційні таємниці і інтелектуальна власність, і як це співвідноситься з захистом конфіденційної інформації;
        
        дозволене використання конфіденційної інформації та права осіб,
        що підписали угоду, щодо використання інформації;
        
        право піддавати аудиту і моніторингу діяльність, пов'язану з
        конфіденційною інформацією;
        
        процедуру попередження і повідомлення про несанкціонований розголошенні або порушеннях, пов'язаних з конфіденційною інформацією;
        
        умови повернення або знищення інформації в разі призупинення дії
        угоди;
        
        передбачувані дії, які повинні бути зроблені в разі порушення даної
        угоди
    - - Міра і засіб контролю та управління:
        
        Повинні підтримуватися відповідні контакти з різними інстанціями.
      - Рекомендація щодо реалізації:
        
        В організаціях повинні застосовуватися процедури, що визначають, коли і з якими інстанціями (наприклад правоохоронними, пожежними та наглядовими органами) необхідно вступити в контакт, і яким чином слід своєчасно повідомляти про виявлені інциденти інформаційної безпеки, якщо є підозра про можливість порушення закону. Організаціям, що піддаються атаці через Інтернет, може знадобитися залучення зовнішньої третьої сторони (наприклад провайдера Інтернет-послуг або телекомунікаційного оператора) для вжиття заходів проти джерела атаки.
    - - Міра і засіб контролю та управління:
        
        Повинні підтримуватися відповідні контакти зі спеціалізованимипрофесійними групами або учасниками форумів з безпеки, а також з професійними асоціаціями.
      - Рекомендація щодо реалізації:
        
        Членство в спеціалізованих групах або форумах слід розглядати як засіб
        для:
        
        підвищення знання про «передовий досвід» і досягнень
        інформаційної безпеки на сучасному рівні;
        
        забезпечення впевненості в тому, що розуміння проблем
        інформаційної безпеки є сучасним і повним;
        
        отримання раннього оповіщення у вигляді попереджень, інформаційних повідомлень і патчей (блок змін для оперативного виправлення або нейтралізації помилки в виконуваної програмі, найчастіше поставляється або розміщується на сайті розробника у вигляді невеликої програми, вставляти виправлення в об'єктний кодвідповідних модулів програми. Іноді цей метод використовується для додавання в додаток нової функціональності) стосуються атак і вразливостей;
        
        можливості отримання консультацій фахівців з питань
        інформаційної безпеки;
        
        спільного використання та обміну інформацією про нові технології,
        продуктах, погрози або вразливості;
        
        забезпечення адекватних точок контакту для обговорення
        інцидентів інформаційної безпеки
    - - Міра і засіб контролю і управління:
        
        Підхід організації до менеджменту інформаційної безпеки і її реалізації (тобто мети управління, політики, процеси та процедури щодо забезпечення інформаційної безпеки) повинен перевірятися незалежним чином через заплановані інтервали часу, або коли відбулися значні зміни, пов'язані з реалізацією безпеки.
      - Рекомендація щодо реалізації:
        
        Незалежна перевірка повинна ініціюватися керівництвом. Така незалежна перевірка необхідна для забезпечення впевненості в збереженні працездатності, адекватності та ефективності підходу організації до менеджменту інформаційної безпеки. Перевірка повинна включати в себе оцінку можливостей поліпшення і необхідність змін підходу до безпеки, в тому числі політику і цілі управління.
        
        Така перевірка повинна здійснюватися фахівцями, які не працюють у даній області діяльності, наприклад службою внутрішнього аудиту, незалежним менеджером або сторонньою організацією, яка спеціалізується на таких перевірках. Фахівці, які залучаються до таких перевірок, повинні володіти відповідними навичками та досвідом.
        
        Результати незалежної перевірки повинні реєструватися і повідомлятися керівництву, який ініціював перевірку. Ці звіти необхідно зберігати для можливого подальшого використання.
        
        Якщо в результаті незалежної перевірки встановлюється, що підхід організації і реалізація менеджменту інформаційної безпеки неадекватні або не відповідають напрямку інформаційної безпеки, викладеному в документі, що містить політику інформаційної безпеки (Див. 5.1.1), керівництву слід розглянути відповідні коригувальні дії.
  - - - Міра і засіб контролю і управління:
        
        Ризики для інформації і засобів обробки інформації організації, що є наслідком процесів бізнесу, в яких беруть участь сторонні організації, необхідно визначати і необхідно реалізовувати відповідні заходи і засоби контролю і управління перш, ніж буде надано доступ.
      - Рекомендація щодо реалізації:
        
        Там, де є необхідність дозволу доступу сторонньої організації до засобів обробки інформації або інформації організації, слід проводити оцінку ризику (див. 4) з метою визначення будь-яких потреб у спеціальних заходах і засобах контролю і управління. При визначенні ризиків, пов'язаних з доступом сторонніх організацій, слід враховувати:
        
        засоби обробки інформації, необхідні стороннім організаціям для
        доступу;
        
        тип доступу до інформації та засобів обробки інформації, який буде
        наданий стороннім організаціям
        
        цінність і чутливість використовуваної інформації, її критичність
        для операцій бізнесу;
        
        заходи і засоби контролю і управління, необхідні для захисту
        інформації, не призначеної для доступу стороннім організаціям;
        
        персонал сторонньої організації, що бере участь в обробці
        інформації організації;
        
        яким чином організація або персонал, авторизовані на отримання доступу, можуть бути ідентифіковані, авторизація перевірена і як часто це необхідно підтверджувати;
        
        різні способи і заходи і засоби контролю і управління, які застосовуються сторонніми організаціями при зберіганні, обробці, передачі, спільне використання та обмін інформацією;
        
        вплив ненадання необхідного доступу сторонньої організації і введення або отримання сторонньою організацією неточної або помилкової інформації;
        
        інструкції та процедури прийняття заходів по відношенню до інцидентів інформаційної безпеки та можливих збитків, а також терміни і умови поновлення доступу сторонніх організацій в разі інциденту інформаційної безпеки;
        
        правові та нормативні вимоги, а також договірні зобов'язання,
        значимі для сторонніх організацій, які необхідно брати до уваги;
        
        вплив вищезгаданих заходів на інтереси будь-яких інших
        причетних сторін.
        
        Доступ сторонніх організацій до інформації організації не повинен забезпечуватися до тих пір, поки не будуть реалізовані відповідні заходи і засоби контролю і управління та поки не буде підписанодоговір, що визначає терміни і умови підключення або доступу і робочий механізм. Як правило, всі вимоги до безпеки, що випливають з роботи зі сторонніми організаціями або внутрішнього контролю, повинні відображатися в угоді зі сторонніми організаціями
        
        Слід забезпечувати впевненість у тому, що сторонні організації обізнані про свої обов'язки, і беруть на себе відповідальність і зобов'язання щодо доступу, обробки, передачі або менеджменту інформації та засобів обробки інформації організації.
    - - Міра і засіб контролю і управління:
        
        Всі встановлені вимоги безпеки повинні бути розглянуті раніше, ніж
        клієнтам буде даний доступ до інформації або активів організації.
      - Рекомендація щодо реалізації:
        
        Наступні умови повинні бути враховані при розгляді безпеки до надання клієнтам доступу до будь-якого активу організації (в залежності від типу і тривалості надається доступу не всі з них можуть бути застосовні):
        
        опис продукту чи послуги, які повинні бути забезпечені;
        
        різні причини, вимоги та переваги, пов'язані з доступом клієнта;
        
        політика управління доступом
        
        процедури щодо звітності, повідомлення та розслідування неточностей в інформації (наприклад, персональних подробиць), інцидентів інформаційної безпеки та порушень безпеки;
        
        опис кожної послуги, що надається;
        
        визначення необхідного та неприйнятного рівня обслуговування;
        
        право на проведення моніторингу та скасування будь-якої
        діяльності, пов'язаної з активами організації;
        
        відповідні зобов'язання організації і клієнта;
        
        зобов'язання щодо юридичних питань, і спосіб забезпечення впевненості у відповідності правовим нормам, наприклад законодавству про захист даних, особливо з урахуванням різних вимог національних правових систем, якщо договір передбачає співпрацю з клієнтами в інших країнах
        
        дотримання прав на інтелектуальну власність та авторських прав (див. 15.1.2), а також забезпечення правового захисту будь-якої спільної роботи
    - - Міра і засіб контролю і управління:
        
        Договори з третьою стороною, залученої до доступу, обробці, передачі або управління інформацією або засобами обробки інформації організації, або до доповнення продуктів або послуг до засобів обробки інформації, повинні охоплювати всі відповідні вимоги безпеки.
      - Рекомендація щодо реалізації:
        
        Договір повинен забезпечувати впевненість в тому, що немає ніякого непорозуміння між організацією і третьою стороною. Організації повинні переконатися, що третя сторона зможе відшкодувати можливі збитки.
- - - - Міра і засіб контролю і управління:
        
        Всі активи повинні бути чітко визначені, повинна складатися і
        підтримуватися опис всіх важливих активів.
      - Рекомендація щодо реалізації
        
        Організація повинна ідентифікувати всі активи і документально оформляти значимість цих активів. В опис активів слід включити всю інформацію, необхідну для відновлення після лиха, в тому числі тип активу, формат, місце розташування, інформацію про резервних копіях, інформаціюпро ліцензування і цінності для бізнесу. Опис не повинна без необхідності дублювати інші описи, але слід забезпечувати впевненість у тому, що її зміст вивірено.
        
        Крім того, володіння (див. 7.1.2) і класифікація інформації (див. 7.2) повинні бути узгоджені і документально оформлені щодо кожного активу. Грунтуючись на важливості активу, його цінності для бізнесу і його категорії секретності, слід визначити рівні захисту, відповідні значущості активів (більш детальну інформацію про те, як оцінювати активи, щоб врахувати їх важливість, можна знайти в ISO / IEC 27005).
    - - Міра і засіб контролю і управління
        
        Вся інформація і активи, пов'язані із засобами обробки інформації повинні знаходитися у власності (Терміном «власник» визначається фізична або юридична особа, яка наділена адміністративною відповідальністю за керівництво виготовленням, розробкою, зберіганням, використанням та безпекою активів. Термін «власник» не означає, що дана людина фактично має право власності на цей актив) певної частини організації.
      - Рекомендація щодо реалізації
        
        Власник активу повинен нести відповідальність за:
        
        забезпечення впевненості в тому, що інформація і активи, пов'язані
        із засобами обробки інформації, класифіковані відповідним чином;
        
        визначення та періодичний перегляд обмежень і класифікацій
        доступу, беручи до уваги застосовні політики управління доступом.
    - - Міра і засіб контролю і управління
        
        Слід визначати, документально оформляти і реалізовувати правила прийнятного використання інформації та активів, пов'язаних із засобами обробки інформації.
      - Рекомендація щодо реалізації
        
        Всім службовцям, підрядникам та представникам третьої сторони рекомендується слідувати правилам прийнятного використання інформації та активів, пов'язаних із засобами обробки інформації, включаючи:
        
        правила використання електронної пошти та Інтернету
        
        рекомендації щодо використання мобільних пристроїв, особливо
        щодо використання їх за межами приміщень організації
  - - - Міра і засіб контролю і управління
        
        Інформацію слід класифікувати, виходячи з її цінності, законодавчих
        вимог, чутливості та критичності для організації.
      - Рекомендація щодо реалізації
        
        При класифікації інформації та пов'язаних з нею захисних заходів і засобів контролю та управління необхідно враховувати вимоги бізнесу щодо спільного використання або обмеження доступу до інформації та наслідки для бізнесу, пов'язані з такими вимогами.
        
        Рекомендації по класифікації повинні включати настанови щодо початкової класифікації і подальшої класифікації після закінчення часу відповідно до якоїсь визначеної політикою управління доступом
        
        Предметом розгляду повинно стати кількість класифікаційних категорій і переваги, одержувані від їх використання. Надмірно складні схеми можуть стати обтяжливими і невиправдано дорогими для застосування, або можуть виявитися нездійсненними. Слід проявляти обережність в інтерпретації класифікаційних позначок на документах з інших організацій, так як одні й ті ж мітки можуть мати різний зміст.
    - - Міра і засіб контролю і управління
        
        Відповідний набір процедур маркування та обробки інформації слід розробляти і реалізовувати відповідно до системи класифікації, прийнятої організацією.
      - Рекомендація щодо реалізації
        
        Необхідно, щоб процедури маркування інформації охоплювали
        інформаційні активи, представлені як у фізичній, так і в електронній формі.
        
        Виведені з систем документи, що містять інформацію, яка класифікована як чутлива або критична, повинні містити відповідний маркувальний знак. Маркування повинна відображати класифікацію згідно з правилами, встановленими в 7.2.1. Маркованими можуть бути надруковані звіти, екранні відображення, носії інформації (наприклад стрічки, диски, компакт-диски), електронні повідомлення і пересилаються файли.
        
        Для кожного рівня класифікації повинні бути визначені процедури обробки, що включають: безпечну обробку, зберігання, передачу, зняття грифа секретності і знищення. Сюди слід також віднести процедури щодо забезпечення збереження та реєстрації будь-якої події, що має значення длябезпеки.
- - - - Міра і засіб контролю і управління
        
        Ролі та обов'язки в галузі безпеки співробітників, підрядників і представників третьої сторони необхідно визначати і оформляти документально відповідно до політики інформаційної безпеки організації.
      - Рекомендація щодо реалізації
        
        Ролі та обов'язки в галузі безпеки повинні включати в себе вимоги щодо:
        
        реалізації і дії відповідно до політиками інформаційної безпеки
        організації
        
        захисту активів від несанкціонованого доступу, розголошення
        відомостей, модифікації, руйнувань або втручання;
        
        виконання певних процесів або діяльності, пов'язаних з безпекою;
        
        забезпечення впевненості в тому, що на індивідуума покладається
        відповідальність за їхні дії;
        
        інформування про події або потенційних події, пов'язані з безпекою,
        або інші ризики безпеки для організації.
    - - Міра і засіб контролю і управління
        
        Ретельна перевірка всіх кандидатів на постійну роботу, підрядників і представників третьої боку повинна проводитися згідно з відповідними законами, інструкціями і правилами етики, пропорційно вимогам бізнесу, класифікації інформації, до якої буде здійснюватися доступ, і передбачуваним ризикам.
      - Рекомендація щодо реалізації
        
        При перевірці слід враховувати конфіденційність, захист персональних даних і (або) трудове законодавство. Така перевірка повинна включати наступні елементи:
        
        наявність позитивних рекомендацій, зокрема, щодо ділових та
        особистих якостей претендента;
        
        перевірку (на предмет повноти і точності) біографії претендента;
        
        підтвердження заявленої освіти і професійної кваліфікації;
        
        незалежну перевірку достовірності документів, що засвідчують
        особу (паспорта або його замінює);
        
        більш детальну перевірку, наприклад кредитоспроможності або на
        наявність судимості.
    - - Міра і засіб контролю і управління
        
        В рамках своїх договірних зобов'язань, співробітники, підрядники та представники третьої сторони повинні узгодити і підписати умови свого трудового договору, що встановлює їх відповідальність і відповідальність організації щодо інформаційної безпеки.
      - Рекомендація щодо реалізації
        
        Умови зайнятості повинні відображати політику безпеки організації і
        крім того роз'яснювати і констатувати:
        
        що всі співробітники, підрядники та представники третьої сторони, які мають доступ до чутливої інформації, повинні підписувати угоду про конфіденційність або нерозголошення перш, ніж їм буде надано доступ до засобів обробки інформації;
        
        правову відповідальність і права співробітників, підрядників і будьяких інших клієнтів, наприклад, в частині законів про авторське право або законодавства про захист персональних даних
        
        обов'язки щодо класифікації інформації та менеджменту активів організації, пов'язаних з інформаційними системами та послугами, виконуються співробітником, підрядником або представником третьої сторони
        
        відповідальність співробітника, підрядника або представника третьої сторони за обробку інформації, одержуваної від інших фірм і сторонніх організацій;
        
        відповідальність організації за обробку персональної інформації, включаючи персональну інформацію, отриману в результаті або в процесі роботи в організації
        
        відповідальність, що поширюється також і на роботу поза приміщеннями організації і в неробочий час, наприклад в разі виконання роботи на дому
        
        дії, які повинні бути зроблені в разі, якщо співробітник, підрядник
        або представник третьої сторони ігнорує вимоги безпеки організації
  - - - Міра і засіб контролю і управління
        
        Керівництво організації повинно вимагати, щоб співробітники, підрядники та представники третьої боку забезпечували безпеку відповідно до встановлених політиками і процедурами організації
      - Рекомендація щодо реалізації
        
        Керівництво зобов'язане забезпечити впевненість у тому, що
        співробітники, підрядники та представники третьої сторони:
        
        були проінформовані про свої ролі і обов'язки в області інформаційної безпеки перш, ніж їм було надано доступ до чутливої інформації або інформаційним системам;
        
        забезпечені рекомендаціями щодо формулювання їх
        передбачуваних ролей щодо безпеки в рамках організації;
        
        зацікавлені слідувати політикам безпеки організації;
        
        досягають рівня обізнаності щодо безпеки, відповідного їх ролям і
        обов'язків в організації
        
        слідують умовам зайнятості, які включають політику інформаційної
        безпеки організації і відповідні методи роботи;
        
        продовжують підтримувати відповідні навички та кваліфікацію.
    - - Міра і засіб контролю і управління
        
        Всі співробітники організації і, де необхідно, підрядники та представники третьої сторони, повинні пройти відповідне навчання і отримувати на регулярній основі оновлені варіанти політик і процедур, прийнятих в організації та необхідних для виконання їх робочих функцій.
      - Рекомендація щодо реалізації
        
        Навчання, що забезпечує поінформованість, слід починати з формального вступного процесу, призначеного для ознайомлення з політиками і очікуваннями організації в області безпеки перш, ніж буде надано доступ до інформації або послуг.
        
        Постійне навчання повинно охоплювати вимоги безпеки, правову відповідальність, управління бізнесом, а також навчання правильному використанню засобів обробки інформації, наприклад процедурі початку сеансу, використання пакетів програм та інформації про дисциплінарне процесі
    - - Міра і засіб контролю і управління
        
        Повинен існувати формальний дисциплінарний процес, застосовуваний
        щодо співробітників, які вчинили порушення безпеки.
      - Рекомендація щодо реалізації
        
        Не слід починати дисциплінарний процес, не отримавши попереднього
        підтвердження того, що порушення безпеки сталося
        
        Формальний дисциплінарний процес покликаний забезпечити впевненість в коректному і справедливому розгляді справ співробітників, підозрюваних в скоєнні порушень безпеки.
        
        Формальний дисциплінарний процес слід забезпечувати для диференційованого реагування, що враховує такі фактори, як тип і тяжкість порушення і його негативний вплив на бізнес, чи вчинено порушення вперше або повторно, чи отримав порушник належну підготовку, відповідне законодавство, договори в сфері бізнесу та інші фактори, якщо в цьому є необхідність. У серйозних випадках неправомірної поведінки процес повинен забезпечувати можливість невідкладного анулювання обов'язків, прав доступу і привілеїв співробітника і, при необхідності, негайного видалення його зінформаційного процесу.
  - - - Міра і засіб контролю і управління
        
        Обов'язки щодо припинення зайнятості або зміни зайнятості повинні бути
        чітко визначені і встановлені
      - Рекомендація щодо реалізації
        
        Інформування про припинення обов'язків має включати в себе актуальні вимоги безпеки і правову відповідальність, і, при необхідності, обов'язки, що містяться в угоді про конфіденційності (див. 6.1.5), а також умови зайнятості (див. 8.1.3), що продовжують діяти протягом певного періоду часу після припинення зайнятості співробітників, підрядників або представників третьої сторони.
        
        Відповідальність і службові обов'язки, що продовжують залишатися дійсними після припинення зайнятості, повинні міститися в договорах з працівниками, підрядниками або представниками третьої сторони.
        
        Зміна обов'язків і зайнятості повинні управлятися також як і припинення відповідних обов'язків або зайнятості, а управління новим обов'язком або зайнятістю має здійснюватися так, як це описано в 8.1.
    - - Міра і засіб контролю і управління
        
        Всі співробітники, підрядники та представники третьої сторони зобов'язані повернути організації всі активи, що знаходяться в їх користуванні, при припиненні їх зайнятості, договору або угоди.
      - Рекомендація щодо реалізації
        
        Процес припинення зайнятості повинен бути формалізований таким чином, щоб включати в себе повернення всього раніше виданого програмного забезпечення, корпоративних документів та обладнання.
        
        Необхідно повертати також інші активи організації, наприклад мобільнуобчислювальну техніку, кредитні картки, карти доступу, програмне забезпечення, керівництва та інформацію, що зберігається на електронних носіях.
        
        У випадках, коли співробітник, підрядник або представник третьої сторони має знаннями, важливими для триваючих робіт, таку інформацію слід оформляти документально і передавати організації.
    - - Міра і засіб контролю і управління
        
        Права доступу всіх службовців, підрядників і представників третьої сторони до інформації та засобів обробки інформації повинні бути анульовані у разі припинення зайнятості, договору або угоди, або скориговані при зміні зайнятості.
      - Рекомендація щодо реалізації
        
        При припинення зайнятості, права доступу до активів, пов'язаних з інформаційними системами, і послуг необхідно переглядати. Це дозволить визначати, чи потрібно анулювати права доступу.
        
        Зміна зайнятості повинна супроводжуватися анулюванням всіх прав доступу, що не санкціоновані для нової зайнятості. Права доступу, які повинні бути анульовані або адаптовані, стосуються фізичного і логічного доступу, ключів, ідентифікаційних карт, засобів обробки інформації (див. також 11.2.4), підписок і видалення з будь-якої документації, в якій вони ідентифікуються як фактичні співробітники організації. Якщо звільняється співробітник, підрядник або представник третьої сторони знав паролі до облікових записів, що залишаються активними, то ці паролі повинні бути змінені після припинення зайнятості, договору або угоди, або при зміні зайнятості.
- - - - Міра і засіб контролю і управління:
        
        Політика управління доступом повинна створюватися, документально оформлятися і переглядатися з урахуванням вимог бізнесу і безпеки для доступу.
      - Рекомендація щодо реалізації:
        
        Правила управління доступом і права кожного користувача або групи користувачів повинні бути чітко сформульовані в політиці управління доступом. Існує як логічне, так і фізичне управління доступом (див. 9), і їх слід розглядати спільно. Користувачам і постачальникам послуг повинні бути представлені чітко сформульовані вимоги бізнесу, що пред'являються до управління доступом.
  - - - Міра і засіб контролю і управління:
        
        Необхідна формальна процедура реєстрації та зняття з обліку користувачів щодо надання та скасування доступу до всіх інформаційних систем і послуг.
      - Рекомендація щодо реалізації:
        
        Процедура управління доступом щодо реєстрації та зняття з обліку
        користувачів повинна включати:
        
        використання унікальних ідентифікаторів користувачів, які дозволяють відстежувати дії користувачів, щоб вони несли
        відповідальність за свої дії; використання групових ідентифікаторів слід вирішувати тільки там, де це необхідно для бізнесу або за умовами експлуатації, все це повинно бути затверджено і документовано;
        
        перевірку того, що користувач має дозвіл власника системи на використання інформаційної системи або послуги; наявність окремого дозволу на право доступу від керівництва також може бути доречним;
        
        перевірку того, що рівень наданого доступу відповідає цілям бізнесу (див. 9.1) і узгоджується з політикою безпеки організації, например не порушує принципу розмежування обов'язків
        
        надання користувачам письмової заяви про їхні права доступу;
        
        вимога від користувачів підписати заяву про прийняття умов
        доступу;
        
        забезпечення впевненості в тому, що всі постачальники послуг
        дозволяють доступ, поки процедури авторизації не завершені;
        
        ведення формального обліку всіх осіб, зареєстрованих як користувачі
        послуг;
        
        негайне скасування або блокування прав доступу користувачів, у
        яких змінилися роль, або робоче місце, або звільнилися з організації;
        
        періодичну перевірку і видалення або блокування надлишкових
        користувальницьких ідентифікаторів і облікових записів
        
        забезпечення того, щоб надлишкові призначені для користувача
        ідентифікатори були передані іншим користувачам.
    - - Міра і засіб контролю і управління:
        
        Надання і використання привілеїв необхідно обмежувати і контролювати.
      - Рекомендація щодо реалізації:
        
        Необхідно, щоб в багатокористувацьких системах, які вимагають захисту від несанкціонованого доступу, надання привілеїв контролювалося за допомогою формального процесу авторизації. Необхідно розглянути наступні заходи:
        
        визначення привілеїв доступу щодо кожного системного продукту, наприклад експлуатованої системи, системи управління базами даних, кожної програми і користувачів, яким ці привілеї повинні бути надані;
        
        привілеї повинні надаватися користувачам на підставі принципу необхідності і принципу «подія за подією» відповідно до політики управління доступом (див. 11.1.1), тобто мінімальна вимога для їх функціональної ролі, тільки при необхідності;
        
        забезпечення процесу авторизації і реєстрації щодо всіх наданих привілеїв, привілеї не повинні надаватися до завершення процесу авторизації;
        
        проведення політики розробки і використання стандартних системних утиліт (скриптів), для того щоб уникнути необхідності надання привілеїв користувачам;
        
        заохочення розробки і використання програм, що дозволяють
        уникнути необхідності надання привілеїв при їх виконанні;
        
        використання різних ідентифікаторів користувачів при роботі в
        нормальному режимі і з використанням привілеїв.
    - - Міра і засіб контролю і управління:
        
        Розподіл паролів необхідно контролювати за допомогою формального
        процесу управління.
      - Рекомендація щодо реалізації:
        
        Процес повинен включати наступні вимоги:
        
        користувачів необхідно зобов'язати підписати заяву про збереження особистих паролів в таємниці і збереженні групових паролів виключно в межах членів даної групи; ця заява може бути включено в умови і положення зайнятості
        
        якщо користувачі самостійно управляють власними паролями, їм слід спочатку надати безпечний тимчасовий пароль (див. 11.3.1), який підлягає негайну примусову заміну після входу в систему;
        
        створення процедур перевірки особистості користувача, перш ніж
        йому буде надано новий, замінює або тимчасовий пароль;
        
        тимчасові паролі слід видавати користувачам безпечним способом, при цьому необхідно уникати використання третіх сторін або незахищеного (відкритого) тексту повідомлень електронної пошти;
        
        тимчасові паролі повинні бути унікальні для кожного користувача і не
        повинні бути легко вгадувати;
        
        користувачі повинні підтверджувати отримання паролів;
        
        паролі ніколи не слід зберігати в комп'ютерних системах в
        незахищеною формі;
        
        паролі постачальника, встановлені за замовчуванням, необхідно
        змінити після інсталяції систем або програмного забезпечення.
    - - Міра і засіб контролю управління:
        
        Керівництво повинно здійснювати формальний процес періодичного
        перегляду прав доступу користувачів.
      - Рекомендація щодо реалізації:
        
        При перегляді прав доступу повинні враховуватися такі рекомендації:
        
        права доступу повинні переглядатися регулярно, наприклад через шість місяців, і після будь-яких змін, таких як підвищення / пониження в посаді, або звільнення
        
        права доступу користувачів повинні переглядатися і перепризначатися при переході з однієї роботи на іншу в межах однієї організації;
        
        дозволу щодо спеціальних привілейованих прав доступу (див. 11.2.2) повинні переглядатися через невеликі інтервали часу, наприклад через три місяці;
        
        надані привілеї повинні переглядатися через рівні інтервали часу длязабезпечення впевненості в тому, що не було отримано неавторизовані привілеї;
        
        зміни привілейованих облікових записів повинні реєструватися для
        періодичного аналізу.
  - - - Міра і засіб контролю і управління:
        
        Користувачі повинні дотримуватися загальноприйнятої практики в
        області безпеки при виборі і використанні паролів.
      - Рекомендація щодо реалізації:
        
        Всім користувачам слід рекомендувати:
        
        зберігати конфіденційність паролів;
        
        уникати записи паролів (наприклад на папері, у файлі програмного забезпечення або кишенькових пристроях), якщо не може бути забезпечено безпечне зберігання і спосіб зберігання не затверджений;
        
        змінювати паролі всякий раз, коли з'являється будь-яка ознака
        можливої компрометації системи або пароля;
        
        вибирати якісні паролі з досить мінімальною довжиною
        
        змінювати паролі через різні інтервали часу або після певного числа звернень до системи (паролі для привілейованих облікових записів слід міняти частіше, ніж звичайні паролі) і уникати повторного або циклічного використання старих паролів;
        
        змінювати тимчасові паролі при першому початку сеансу;
        
        не включати паролі в жодній автоматизований процес початку сеансу, наприклад з використанням збережених макрокоманд або функціональних клавіш;
        
        не використовувати колективно індивідуальні паролі;
        
        не використовувати один і той же пароль для бізнесу та некомерційних
        цілей.
    - - Міра і засіб контролю і управління:
        
        Користувачі повинні забезпечувати відповідний захист обладнання,
        залишеного без нагляду
      - Рекомендація щодо реалізації:
        
        Всім користувачам необхідно знати вимоги безпеки і процедури щодо захисту залишеного без нагляду обладнання, а також їх обов'язки щодо забезпечення такого захисту. Користувачам рекомендується:
        
        завершувати активні сеанси по закінченні роботи, якщо відсутня відповідний механізм блокування, наприклад захищена паролем заставка;
        
        завершити сеанс на системах мейнфреймів, серверах і офісних персональних комп'ютерах, коли робота завершена (т. е. не тільки вимкнути екран персонального комп'ютера або термінал);
        
        забезпечувати безпеку персональних комп'ютерів або терміналів від несанкціонованого використання за допомогою блокування клавіатури або еквівалентних засобів контролю, наприклад доступу по паролю, коли обладнання не використовується
    - - Міра і засіб контролю і управління:
        
        Необхідно прийняти політику «чистого стола» щодо паперових документів і змінних носіїв даних, а також політику «чистого екрану» щодо засобів обробки інформації.
      - Рекомендація щодо реалізації:
        
        Політика «чистого стола» та «чистого екрану» повинна враховувати класифікацію інформації (див. 7.2), законодавчі та договірні вимоги (див. 15.1), а також відповідні ризики і корпоративну культуру організації. Необхідно розглянути наступні рекомендації:
        
        носії (паперові або електронні), які містять чутливу або критичну інформацію бізнесу, коли вони не використовуються, слід прибирати і замикати (найкраще, в вогнетривкий сейф або шафа), особливо, коли приміщення пустує;
        
        комп'ютери і термінали, коли їх залишають без нагляду, слід вимикати або захищати за допомогою механізму блокування екрану або клавіатури, контрольованого паролем, токеном або аналогічним механізмом аутентифікації користувача, а також необхідно застосовувати кодові замки, паролі або інші заходи та засоби контролю і управління в той час, коли ці пристрої не використовуються;
        
        необхідно забезпечити захист пунктів прийому / відправки
        кореспонденції, а також автоматичних факсимільних апаратів;
        
        необхідно запобігати несанкціонованому використанню фотокопіювальних пристроїв і іншиої відтворювальної техніки (сканерів, цифрових фотоапаратів);
        
        документи, що містять чутливу або критичну інформацію, необхідно
        негайно вилучати з принтерів.
  - - - Міра і засіб контролю і управління:
        
        Користувачам слід надавати доступ тільки до тих послуг, на
        використання яких вони були спеціально уповноважені.
      - Рекомендація щодо реалізації:
        
        Слід сформулювати політику щодо використання мереж і мережевих
        послуг.
        
        Політика використання мережевих послуг повинна бути узгоджена з
        політикою управління доступом
    - - Міра і засіб контролю і управління:
        
        Для управління доступом віддалених користувачів слід застосовувати
        відповідні методи аутентифікації.
      - Рекомендація щодо реалізації:
        
        Аутентифікація віддалених користувачів може бути досягнута при використанні, наприклад методів, заснованих на застосуванні засобів криптографії, апаратних засобів захисту (токенов) або протоколів «запитвідповідь». Прикладом можливої реалізаціїтаких методів можуть служити різні рішення щодо віртуальних приватних мереж. Виділені приватні лінії можуть також використовуватися для забезпечення довіри до джерела підключень.
        
        Процедури, заходи і засоби контролю і управління зворотного виклику, наприклад використання модемів зі зворотним викликом, можуть забезпечити захист від несанкціонованих і небажаних підключень до засобів обробки інформації організації. Зазначені заходи дозволяють зробити аутентифікацію користувачів, які намагаються встановити віддалену зв'язок з мережею організації. При використанні такого заходу і засоби контролю і управління організації не слід застосовувати мережеві сервіси, які включають переадресацію виклику, або, якщо вони це роблять, то вони повинні відключити використання таких функцій, щоб уникнути недоліків, пов'язаних з переадресацією виклику. Процес зворотного виклику повинен забезпечити впевненість у тому, що фактичне роз'єднання відбувається на стороніорганізації. В іншому випадку, віддалений користувач може тримати лінію відкритою, вважаючи, що сталася перевірка зворотного виклику. Процедури, заходи і засоби контролю і управління зворотного виклику слід ретельного протестувати на предмет наявності такої можливості.
        
        Аутентифікація вузла може служити альтернативним засобом аутентифікації груп віддалених користувачів там, де вони під'єднані до безпечного комп'ютерного засобу спільного використання. Для аутентифікації вузла можуть застосовуватися криптографічні методи, засновані, наприклад, намеханізмі сертифікації. Це є частиною деяких рішень, заснованих на віртуальних приватних мережах
    - - Міра і засіб контролю і управління:
        
        Автоматичну ідентифікацію обладнання необхідно розглядати як засіб для аутентифікації для підключення згідно здійснюваних з певних місць або певного обладнання.
      - Рекомендація щодо реалізації:
        
        Ідентифікацію обладнання можна застосовувати в тих випадках, коли важливо, щоб зв'язок могла бути ініційована тільки з певного місця або обладнання. Для того щоб показати, чи дозволено цьому обладнаннюпід'єднання до мережі, може бути використаний внутрішній або прикріплений до обладнання ідентифікатор. Такі ідентифікатори повинні чітко показувати, до якої мережі дозволено підключати обладнання, якщо ця мережа не єдина і, особливо, якщо ці мережі мають різну ступінь чутливості. Для забезпечення безпеки ідентифікатора обладнання може виникнути необхідність фізичного захисту обладнання.
    - - Міра і засіб контролю і управління:
        
        Фізичний і логічний доступ для портів дистанційної діагностики та
        конфігурації повинен бути контрольованим і керованим.
      - Рекомендація щодо реалізації:
        
        Можливі заходи і засоби контролю і управління доступом до портів дистанційної діагностики та конфігурації включають в себе використання блокування клавіш і підтримують процедур для контролю фізичного доступу до порту. Прикладом такої підтримуючої процедури є забезпечення впевненості в тому, що доступ до портів дистанційної діагностики та конфігурації здійснюється тільки за умови взаємної домовленості між керівником, який відповідає за надання комп'ютерних послуг, і персоналом по підтримці апаратних / програмних засобів.
        
        Порти, сервіси та аналогічні засоби, встановлені на комп'ютері або мережевому обладнанні, які безумовно не потрібні для функціональності бізнесу, слід блокувати або видаляти.
    - - Міра і засіб контролю управління:
        
        Групи інформаційних послуг, користувачів та інформаційних систем в
        межах мережі повинні бути розділені.
      - Рекомендація щодо реалізації:
        
        Один з методів контролю безпеки великих мереж полягає в тому, щоб розділити їх на окремі логічні мережеві домени, наприклад на внутрішні мережеві домени організації і зовнішні мережеві домени, кожен з яких захищений певним периметром безпеки. Сукупність послідовних заходів і засобів контролю та управління може бути застосована в різних логічних мережевих доменах для подальшого поділу середовища мережевої безпеки, наприклад загальнодоступні системи, внутрішні мережі і критичні активи. Домени повинні визначатися на основі оцінки ризику і різних вимог щодо безпеки в межах кожного з доменів.
        
        Такий мережевий периметр може бути реалізований за допомогою впровадження шлюзу безпеки між двома пов'язаними мережами для управління доступом і інформаційним потоком між двома доменами.
    - - Міра і засіб контролю управління:
        
        Приєднання користувачів до спільно використовуваних мереж, особливо тим, які виходять за рамки організації, необхідно обмежувати відповідно до політики управління доступом і вимогами прикладних програм бізнесу
      - Рекомендація щодо реалізації:
        
        Права користувачів стосовно мережевого доступу повинні підтримуватися і оновлюватися відповідно до вимог політики управління доступом
        
        Можливість під'єднання користувачів може обмежуватися мережевими шлюзами, що фільтрують трафік за допомогою заздалегідь визначених таблиць або правил
        
        Слід розглянути права доступу до мережі, приурочені до певного часу
        доби або датою.
    - - Міра і засіб контролю і управління:
        
        Для мереж слід впроваджувати заходи і засоби контролю і управління маршрутизацією, щоб забезпечити впевненість у тому, що приєднання комп'ютерів і інформаційні потоки не порушують політику управління доступом до прикладних програм бізнесу.
      - Рекомендація щодо реалізації:
        
        Необхідно, щоб заходи та засоби контролю і управління маршрутизацією
        грунтувалися на механізмах перевірки реальних адрес джерела і одержувача.
        
        Шлюзи безпеки можуть використовуватися для підтвердження адрес джерела і одержувача на внутрішньої і зовнішньої точках управління мережею, якщо використовуються технології трансляції мережевих адрес і (або) проксі. Необхідно, щоб фахівці, що займаються впровадженням, були інформовані про переваги і недоліки різних використовуваних механізмів. Вимоги щодо заходіві засобів контролю та управління маршрутизацією мережі повинні ґрунтуватися на політиці управління доступом
  - - - Міра і засіб контролю управління:
        
        Доступ до експлуатованих систем повинен контролюватися за допомогою
        безпечної процедури початку сеансу.
      - Рекомендація щодо реалізації:
        
        Процедура реєстрації в експлуатованої системі повинна бути спроектована так, щоб звести до мінімуму можливість несанкціонованого доступу. Тому необхідно, щоб процедура початку сеансу розкривала мінімум інформації про систему, щоб уникнути надання будь-якої непотрібної допомоги неавторизованого користувачеві. Правильна процедура початку сеансу характеризується такі властивості:
        
        не відображує найменувань системи або прикладних програм, поки
        процес початку сеанси не буде успішно завершено;
        
        відображає загальне попередження про те, що доступ до комп'ютера
        можуть отримати тільки авторизовані користувачі;
        
        не надає повідомлень-підказок протягом процедури започаткування
        сеансу, які могли б допомогти неавторизованого користувача;
        
        підтверджує інформацію початку сеансу тільки по завершенні введення всіх вихідних даних, в разі помилкового введення, система не повинна показувати, яка частина даних є правильною або неправильної;
        
        обмежує максимальне і мінімальне час, дозволений для процедури започаткування сеансу, якщо воно перевищено, система повинна припинити початок сеансу;
        
        не відображує введений пароль або передбачає приховування знаків
        пароля за допомогою символів;
        
        не передають паролі відкритим текстом по мережі.
    - - Міра і засіб контролю і управління:
        
        Необхідно, щоб всі користувачі мали унікальний ідентифікатор (ідентифікатор користувача), призначений тільки для їх особистого використання, і повинен бути обраний відповідний спосіб перевірки для підтвердження заявленої автентичності користувача.
      - Рекомендація щодо реалізації:
        
        Заходи і засоби контролю і управління повинна застосовуватися по
        відношенню до всіх типів користувачів
        
        Ідентифікатори користувачів необхідно використовувати для відстеження дій підзвітної особи. Регулярні дії користувачів не повинні виконуватися з привілейованих облікових записів.
        
        За виняткових обставин, коли є очевидна вигода для бізнесу, може використовуватися загальний ідентифікатор для групи користувачів або для виконання певної роботи
        
        У таких випадках необхідно документально оформляти дозвіл керівництва. можуть знадобитися додаткові заходи і засоби контролю і управління для підтримки відстеження.
    - - Міра і засіб контролю управління:
        
        Системи управління паролями повинні бути інтерактивними і повинні
        забезпечувати впевненість у як паролі.
      - Рекомендація щодо реалізації:
        
        Система управління паролями повинна:
        
        наказувати використання індивідуальних користувальницьких ідентифікаторів і паролів з метою встановлення персональної відповідальності;
        
        дозволяти користувачам вибирати і змінювати свої паролі, і
        включати процедуру підтвердження помилок введення;
        
        наказувати використання якісних паролів
        
        примушувати до зміни паролів
        
        примушувати користувачів змінювати тимчасові паролі при
        першому початку сеансу
        
        вести облік попередніх призначених для користувача паролів і
        запобігати їх повторне використання;
        
        не відображати паролі на екрані при їх введенні;
        
        зберігати файли паролів окремо від даних прикладних систем;
        
        зберігати і передавати паролі в захищеній (наприклад
        зашифрованою або хешировать) формі.
    - - Міра і засіб контролю і управління:
        
        Використання утиліт, які могли б обійти заходи і засоби контролю і управління експлуатованих систем і прикладних програм, слід обмежувати і строго контролювати
      - Рекомендація щодо реалізації:
        
        Необхідно розглянути наступні рекомендації по використанню системних
        утиліт:
        
        використання процедур ідентифікації, аутентифікації і авторизації для
        системних утиліт;
        
        відділення системних утиліт від прикладних програм;
        
        обмеження використання системних утиліт мінімальним числом
        довірених авторизованих користувачів
        
        авторизація на використання спеціальних системних утиліт;
        
        реєстрація використання всіх системних утиліт;
        
        визначення та документальне оформлення рівнів авторизації щодо
        системних утиліт;
        
        видалення або блокування непотрібного програмного забезпечення
        утиліт і системного програмного забезпечення;
        
        забезпечення недоступності системних утиліт для користувачів, що мають доступ до прикладних програмами на системах, де потрібно поділ обов'язків.
- - - - Міра і засіб контролю і управління
        
        Необхідно, щоб у формулюваннях вимог бізнесу для нових інформаційних систем або при модернізації існуючих інформаційних систем були визначені вимоги до заходів і засобів контролю та управління безпеки.
      - Рекомендація щодо реалізації
        
        У специфікаціях вимог до заходів і засобів контролю та управління слід враховувати як вбудовані в інформаційну систему автоматизовані заходи і засоби контролю і управління, так і необхідність підтримки ручного управління. Аналогічно слід підходити до оцінки пакетів прикладних програм, розроблених або придбаних для прикладних програм бізнесу.
        
        Системні вимоги щодо інформаційної безпеки та процесів реалізації безпеки необхідно включати на ранніх стадіях проектів, що стосуються інформаційних систем. Визначення заходів і засобів контролю та управління на стадії проектування системи дозволяє істотно знизити витрати на їх впровадження і підтримку в порівнянні з розробкою заходів і засобів контролю та управління під час або після впровадження системи.
        
        У разі придбання готових продуктів необхідно дотримання формального процесу придбання і тестування. У договорах з постачальниками повинні враховуватися певні вимоги безпеки. Якщо функціональність безпеки в пропонованому готовому продукті не задовольняє встановленим організацією вимогу, то тоді необхідно повторно розглянути породжуваний цим фактом ризик і пов'язані з ним заходи і засоби контролю і управління перш, ніж продукт буде придбаний. Якщо забезпечується додаткова функціональність, і це створює ризик безпеки, то її слід блокувати, або переглянути запропоновану структуру управління, щоб визначити можливість використання переваг наявної додаткової функціональності.
  - - - Міра і засіб контролю і управління
        
        Вхідні дані для прикладних програм повинні проходити процедуру підтвердження з метою забезпечення впевненості в їх коректності та відповідності.
      - Рекомендація щодо реалізації
        
        Перевірки слід проводити під час уведення транзакцій бізнесу, довідників (наприклад імена та адреси, кредитні ліміти, ідентифікаційні номери клієнтів) і таблиць параметрів (наприклад ціни продажів, курси валют, ставки податків).
        
        Там, де це доцільно, можна розглянути автоматичну експертизу і перевірку вводяться даних, щоб знизити ріскошібок і запобігти стандартні атаки, включаючи переповнення буфера і внесення коду.
    - - Міра і засіб контролю і управління
        
        Підтверджують перевірки повинні бути включені в прикладні програми з метою виявлення будь-якого спотворення інформації внаслідок помилок обробки або навмисних дій.
      - Рекомендація щодо реалізації
        
        Розробка і реалізація прикладних програм повинні забезпечувати впевненість в тому, що ризики обробки збоїв, що ведуть до втрати цілісності, зведені до мінімуму. Необхідно враховувати, зокрема, наступне:
        
        використання функцій додавання, модифікації і видалення для
        здійснення змін даних;
        
        процедури, що не допускають запуск програм, виконуваних в неправильній послідовності або виконуваних після збою в попередньої обробки
        
        використання відповідних програм для відновлення після збоїв і
        забезпечення правильної обробки даних;
        
        захист від атак, що використовують перевантаження / переповнення
        буфера.
        
        Дані, які були введені правильно, можуть бути спотворені внаслідок апаратних помилок, помилок обробки або навмисних дій. Обгрунтування необхідних перевірок залежить від характеру прикладної програми і впливу на бізнес будь-якого спотворення даних.
    - - Міра і засіб контролю і управління
        
        Необхідно визначити вимоги щодо забезпечення автентичності та захисту цілісності повідомлень в прикладних програмах, а також ідентифікувати і впровадити відповідні заходи і засоби контролю і управління.
      - Рекомендація щодо реалізації
        
        Необхідно провести оцінку ризиків безпеки для визначення необхідності забезпечення цілісності повідомлень, і ідентифікації відповідного способу реалізації
    - - Міра і засіб контролю і управління
        
        Дані, що виводяться з прикладної програми, повинні бути перевірені з метою забезпечення впевненості в коректності обробки інформації, що зберігається і відповідності вимогам.
      - Рекомендація щодо реалізації
        
        Перевірка вихідних даних може включати:
        
        перевірки достовірності з метою визначення прийнятності вихідних
        даних;
        
        контрольна звірка результатів, для забезпечення впевненості в тому,
        що всі дані були оброблені;
        
        надання достатньої інформації для читання або подальшої системи обробки, щоб визначити коректність, повноту, точність і класифікацію інформації;
        
        процедури реагування на перевірку придатності вихідних даних;
        
        визначення обов'язків всіх співробітників, залучених до процесу
        виведення даних;
        
        створення журналу реєстрації дій по підтвердженню коректності
        вихідних даних
  - - - Міра і засіб контролю управління
        
        З метою захисту інформації необхідно розробити і реалізувати політику
        щодо використання криптографічних заходів і засобів контролю та управління.
      - Рекомендація щодо реалізації
        
        При впровадженні політики організації в області криптографії слід враховувати вимоги законодавства і обмеження, які можуть застосовуватися щодо криптографічних методів в різних країнах, а також питання транскордонного потоку зашифрованої інформації
        
        Процес прийняття рішення щодо використання криптографії слід розглядати в рамках більш загального процесу оцінки ризиків та вибору заходів та засобів контролю і управління. така оцінка може потім використовуватися для визначення того, чи є криптографічний міра і засіб контролю і управління підходящої, який тип заходів і засобів контролю та управління слід застосовувати, з якою метою і для яких процесів бізнесу.
    - - Міра і засіб контролю і управління
        
        Для підтримки використання організацією криптографічних методів
        необхідно застосовувати управління ключами.
      - Рекомендація щодо реалізації
        
        Всі криптографічні ключі слід захищати від модифікації, втрати і руйнування. Крім того, секретним і персональним ключам необхідний захист від несанкціонованого розкриття. Обладнання, що використовується для генерації, зберігання та архівування ключів повинно бути фізично захищене.
        
        Для зменшення ймовірності компрометації ключів необхідно, щоб вони мали певні дати активації і деактивації. Даний період часу залежить від обставин, при яких використовуються криптографічні заходи і засоби контролю і управління, і від усвідомлюваного ризику.
        
        На додаток до питання безпеки менеджменту секретних і персональних ключів, необхідно також враховувати питання автентичності відкритих ключів. Процес аутентифікації може здійснюватися при використанні сертифікатів відкритих ключів, які зазвичай видаються органом сертифікації, які представляють собою офіційно визнану організацію, яка застосовує відповідні заходи і засоби контролю і управління та процедури для забезпечення необхідного ступеня довіри.
  - - - Міра і засіб контролю і управління
        
        Необхідно застосовувати процедури контролю установки програмного
        забезпечення в експлуатованих системах.
      - Рекомендація щодо реалізації
        
        Необхідно, щоб поставляється постачальником програмне забезпечення, що використовується в діючій системі, підтримувалося на рівні, яке забезпечується постачальником. Згодом постачальники програмного забезпечення припиняють підтримувати більш старі версії програмного забезпечення. Організація повинна враховувати ризики, коли вона покладається на непідтримуваний програмне забезпечення.
        
        Фізичний або логічний доступ слід надавати постачальникам тільки для цілей підтримки, в міру необхідності і на підставі дозволу керівництва. Дії постачальника повинні піддаватися моніторингу.
        
        Програмне забезпечення комп'ютерів може використовувати поставляються зовнішнім (іноземним) постачальником програмне забезпечення і модулі, які повинні бути контрольовані і керовані під уникнути несанкціонованих змін, які можуть сприяти порушенню безпеки.
    - - Міра і засіб контролю і управління
        
        Дані тестування слід ретельно відбирати, захищати і контролювати.
      - Рекомендація щодо реалізації
        
        Слід уникати використання діючих баз даних, що містять персональну або какуюлибо іншу чутливу інформацію, для цілей тестування. Якщо персональна або будь-яка інша чутлива інформація потрібна для тестування, то все чутливі подробиці та інформаційне наповнення слід видалити або змінити до невпізнання перед використанням.
        
        Для здійснення системного або приймального тестування звичайно потрібно істотний обсяг тестових даних, які максимально наближені до дії (робочим) даними.
    - - Міра і засіб контролю управління
        
        Доступ до вихідних текстів програм необхідно обмежувати.
      - Рекомендація щодо реалізації
        
        З метою запобігання введенню несанкціонованих функціональних можливостей і щоб уникнути випадкових змін повинен бути забезпечений суворий контроль доступу до вихідних текстів програм і пов'язаних з ними документів (наприклад проектам, специфікаціям, планам верифікації і планам валідації). Відносно початкового програмного коду це може бути досягнуто за допомогою контрольованого централізованого зберігання таких текстів, переважно в бібліотеках вихідних текстів програм. Щоб скоротити можливість спотворення комп'ютерних програм, необхідно розглянути наступні рекомендації (див. 11) з управління доступом до таких бібліотек вихідних текстів програм
        
        У стандартах ІСО 10007 [13] і ISO / IEC 12207 [14] міститься додаткова інформація про управлінні конфігурацією і про процес, пов'язаний з життєвим циклом програмного забезпечення.
  - - - Міра і засіб контролю і управління
        
        Внесення змін слід контролювати, використовуючи формальні процедури
        управління змінами.
      - Рекомендація щодо реалізації
        
        Для зведення до мінімуму пошкоджень інформаційних систем слід здійснювати і документально оформляти формальні процедури контролю змін. Введення нових і значних змін існуючих систем повинні супроводжуватися формальним процесом документального оформлення, деталізованості, тестування, контролю якості та керованого впровадження.
        
        Зазначений процес повинен включати в себе оцінку ризиків, аналіз впливу змін і деталізацію необхідних заходів і засобів контролю та управління безпеки. Він також повинен забезпечувати впевненість в тому, що не порушені безпеку і самі процедури управління, що програмістам, відповідає за підтримку, надано доступ тільки до тих частин системи, які необхідні для їх роботи, і що будь-які зміни формально узгоджені і схвалені.
    - - Міра і засіб контролю і управління
        
        При внесенні змін до експлуатовані системи прикладні програми, що мають велике значення для бізнесу, слід аналізувати і тестувати з метою забезпечення впевненості в тому, що не надається несприятливого впливу на функціонування або безпеку організації.
      - Рекомендація щодо реалізації
        
        Певної групи осіб або окремим фахівця слід ставити за обов'язок проведення моніторингу вразливостей, версій патчів постачальників і їх установок
    - - Міра і засіб контролю і управління
        
        Необхідно уникати модифікацій пакетів програм, обмежуватися
        необхідними змінами і строго контролювати всі зроблені зміни.
        
        Рекомендація щодо реалізації
        
        Наскільки можливо і допустимо з практичної точки зору пакети програм,
        що поставляються постачальником, слід використовувати без змін
    - - Міра і засіб контролю і управління
        
        Можливість витоку інформації повинна бути відвернена.
      - Рекомендація щодо реалізації
        
        Приховані канали - це канали, які не призначені для передачі інформаційних потоків, деякі, проте, можуть існувати в системі або мережі. Наприклад маніпулювання битами в пакетах протоколів зв'язку може використовуватися як прихований метод передачі сигналів. Природа прихованих каналів така, що запобігти існування всіх можливих прихованих каналів важко або навіть неможливо. Однак такі канали часто використовуються «троянськими» програмами (див. 10.4.1). Отже, вжиття заходів щодо захисту від «троянських» програм знижує ризик використання прихованих каналів.
    - - Міра і засіб контролю і управління
        
        Аутсорсинг розробки програмного забезпечення повинен бути під
        наглядом і контролем організації.
      - Рекомендація щодо реалізації
        
        Там, де для розробки програмного забезпечення залучається стороння
        організація, необхідно враховувати наступне:
        
        ліцензійні угоди, права власності на програми і права
        інтелектуальної власності
        
        сертифікацію якості і точності виконаної роботи;
        
        угоди умовного депонування на випадок відмови третьої сторони виконувати свої зобов'язання;
        
        права доступу з метою перевірки якості і точності виконаної
        роботи;
        
        договірні вимоги до якості та функціональної безпеки програм;
        
        тестування програм перед установкою на предмет виявлення
        шкідливих і «троянських» програм.
  - - - Міра і засіб контролю управління
        
        Необхідно отримувати своєчасну інформацію про технічні вразливості використовуваних інформаційних систем, оцінювати незахищеність організації щодо таких вразливостей і вживати відповідних заходів для розгляду пов'язаного з ними ризику.
      - Рекомендація щодо реалізації
        
        Постійно оновлюється та повний опис активів (див. 7.1) є передумовою ефективного менеджменту технічних вразливостей. Спеціальна інформація, необхідна для підтримки менеджменту технічних вразливостей, включає в себе інформацію про постачальника програмного забезпечення, номерах версій, поточний стан розгортання (наприклад яке програмне забезпечення встановлено на яких системах) і фахівця (ах), що відповідає (їх) в організації за програмне забезпечення
        
        Аналогічно, своєчасне дія повинна робитися в відповідь на виявлення потенційних технічних вразливостей. Для створення ефективного процесу менеджменту щодо технічних вразливостей необхідно виконувати наступні рекомендації
        
        Правильне функціонування процесу менеджменту технічних вразливостей грає важливу роль для багатьох організацій, тому процес повинен піддаватися регулярному моніторингу. Для забезпечення впевненості в тому, що потенційно значущі технічні уразливості виявлені, важлива точна інвентаризація.
- - - - Міра і засіб контролю і управління
        
        Про події інформаційної безпеки необхідно негайно повідомляти через
        відповідні канали управління.
      - Рекомендація щодо реалізації
        
        Необхідно впровадити формальну процедуру оповіщення про події інформаційної безпеки разом з процедурою реагування та ескалації інциденту, що містить дію, яке потрібно вжити при отриманні повідомлення про подію інформаційної безпеки. Повинна бути встановлена «точка контакту» для повідомлення про події інформаційної безпеки. необхідно забезпечитивпевненість в тому, що ця «точка контакту» відома в організації, завжди доступна і здатна до адекватного і своєчасного реагування.
    - - Міра і засіб контроля управління
        
        Від усіх співробітників, підрядників і представників третьої сторони, що мають справу з інформаційними системами та послугами, необхідно вимагати,щоб вони звертали увагу і повідомляли про будь-які помічені або передбачуваних вразливості в області безпеки в відношенні систем або послуг.
      - Рекомендація щодо реалізації
        
        Всі співробітники, підрядники та представники третьої сторони повинні якомога швидше повідомляти про уразливість безпеки своєму керівництву або безпосередньо постачальнику послуг, щоб запобігти інциденти інформаційної безпеки. Механізм повідомлення повинен бути, наскільки можливо, простим і доступним. Співробітників, підрядників і представників третьої сторони необхідно проінформувати про неприпустимість спроб перевірити передбачуваний недолік.
  - - - Міра і засіб контролю і управління
        
        Необхідно встановлювати обов'язки посадових осіб щодо здійснення менеджменту та процедури для забезпечення швидкого, ефективного та належного реагування на інциденти інформаційної безпеки.
      - Рекомендація щодо реалізації
        
        На додаток до інформування про події та недоліки інформаційної безпеки (див. 13.1), необхідно також використовувати моніторинг систем, сигналів тривоги і вразливостей для виявлення інцидентів інформаційної безпеки (див. 10.10.2). Відносно процедур менеджменту інцидентів інформаційної безпеки необхідно враховувати наступні рекомендаці
        
        Цілі менеджменту інцидентів інформаційної безпеки слід узгодити з керівництвом, а також необхідно забезпечити впевненість у тому, що особи, відповідальні за здійснення менеджменту інцидентів інформаційної безпеки, розуміють пріоритети організації по обробці таких інцидентів.
    - - Міра і засіб контролю і управління
        
        Повинні бути створені механізми, що дозволяють встановити типи, обсяги і збитки, викликані інцидентами інформаційної безпеки, які повинні бути виміряні і проконтрольовані.
      - Рекомендація щодо реалізації
        
        Інформацію, отриману в результаті оцінки інцидентів інформаційної безпеки, слід використовувати для ідентифікації повторюваних або які суттєво впливають інцидентів.
    - - Міра і засіб контролю управління
        
        У тих випадках, коли наступні дії проти особи або організації після інциденту безпеки призводять до судового позову (як цивільного, так і кримінального), докази повинні бути зібрані, збережені і представлені відповідно до правил збору доказів, викладених у відповідних юрисдикціях.
      - Рекомендація щодо реалізації
        
        При зборі і поданні докази для цілей дисциплінарних впливів, що розглядаються в рамках організації, необхідно розробити і забезпечити проходження внутрішніх процедур.
        
        Щоб домогтися визнання допустимості доказів, організаціям необхідно бути впевненими в тому, що їх інформаційні системи відповідають будь-якому з виданим стандарту або зводу правил щодо пред'явлення допустимих доказів.
        
        Вагомість пропонованих доказів повинна відповідати будь-яким поставленим вимогам. Щоб домогтися визнання вагомості доказів, необхідні переконливі докази того, що для коректної і послідовного захисту доказів протягом періоду їх зберігання і обробки застосовувалися заходи і засоби контролю і управління відповідної якості і повноти (тобто доказ керованості процесу).
        
        Цілісність доказового матеріалу необхідно захищати. Копіювання доказового матеріалу має контролюватися заслуговує довіри персоналом, а інформація про те, коли і де здійснювався процес копіювання, хто цим займався і які інструментальні засоби і програми були використані, повинна реєструватися.
- - - - Міра і засіб контролю і управління:
        
        Слід розробляти та підтримувати керований процес для забезпечення безперервності бізнесу в усій організації, який враховує вимоги до інформаційної безпеки, необхідні для забезпечення безперервності бізнесу організації.
      - Рекомендація щодо реалізації:
        
        Даний процес повинен об'єднувати такі ключові елементи менеджменту
        безперервності бізнесу:
        
        розуміння ризиків, з якими стикається організація, з точки зору ймовірності і тривалості впливу, включаючи визначення критичних процесів бізнесу і встановлення їх пріоритетів
        
        визначення всіх активів, залучених в критичні процеси бізнесу
        
        розуміння наслідків для бізнесу, які можуть бути викликані перериваннями, зумовленими інцидентами інформаційної безпеки (важливо, щоб були знайдені рішення, які будуть застосовуватися як в разі незначних, так і суттєвих інцидентів, потенційно загрозливих життєдіяльності організації), а також визначення цілей бізнесу стосовно до засобів обробки інформації;
        
        розгляд можливості відповідного страхування, яке може стати частиною загального процесу безперервності бізнесу, а також частиною менеджменту експлуатаційного ризику;
        
        визначення і розгляд впровадження додаткових превентивних і
        політики з боротьби з і засобів контролю і управління;
        
        визначення достатності фінансових, організаційних, технічних ресурсів і ресурсів навколишнього середовища для реагування на виявлені вимоги інформаційної безпеки;
        
        забезпечення безпеки персоналу та захист засобів обробки інформації
        і майна організації;
        
        розробку і документальне оформлення планів забезпечення безперервності бізнесу, які враховують вимоги інформаційної безпеки відповідно до узгодженої стратегією забезпечення безперервності бізнесу
        
        регулярне тестування і оновлення даних планів і застосовуваних
        процесів
        
        забезпечення впевненості в тому, що менеджмент безперервності бізнесу органічно вписується в процеси і структуру організації; відповідальність за процес менеджменту інформаційної безпеки слід призначати на відповідному рівні в рамках організації
    - - Міра і засіб контролю і управління:
        
        Події, які можуть стати причиною переривань процесів бізнесу, необхідно визначати разом з ймовірністю і впливом таких переривань, а також їх наслідками для інформаційної безпеки.
      - Рекомендація щодо реалізації:
        
        Необхідно, щоб аспекти інформаційної безпеки в контексті забезпечення безперервності бізнесу грунтувалися на виявленні подій (або послідовності подій), які можуть стати причиною переривань бізнес-процесів організацій, наприклад відмова обладнання, помилки оператора, крадіжка, пожежа, стихійні лиха і тероризм. Даний процес повинен супроводжуватися оцінкою ризиків зметою визначення ймовірності і наслідків зазначених переривань з точки зору часу, масштабу ушкодження і періоду відновлення.
        
        Залежно від результатів оцінки ризиків, необхідно розробити стратегію, щоб визначити загальний підхід до забезпечення безперервності бізнесу. Після того як ця стратегія буде розроблена, необхідно, щоб вона була затверджена керівництвом, а також, щоб був розроблений і затверджений план реалізації даної стратегії.
    - - Міра і засіб контролю і управління:
        
        Слід розробити і впровадити плани забезпечення безперервності бізнесу з метою підтримки або відновлення операцій і забезпечення доступності інформації на необхідному рівні та в потрібні терміни після переривання або збою критичних процесів бізнесу.
      - Рекомендація щодо реалізації:
        
        Процес планування безперервності бізнесу повинен передбачати
        наступне:
        
        визначення та узгодження всіх обов'язків і процедур, пов'язаних із
        забезпеченням безперервності бізнесу;
        
        визначення прийнятних втрат інформації та послуг;
        
        впровадження процедур, що дозволяють відновити і відновити операції бізнесу і доступність інформації в необхідні терміни; особливу увагу слід приділити оцінці зовнішніх і внутрішніх залежностей бізнесу та існуючих договорів;
        
        експлуатаційні процедури, яких необхідно дотримуватися в очікуванні
        завершення відновлення і відновлення;
        
        документальне оформлення узгоджених процедур і процесів;
        
        відповідне навчання співробітників узгодженими процедурами
        розвиваються, включаючи управління в критичних ситуаціях;
        
        тестування та оновлення планів.
    - - Міра і засіб контролю і управління:
        
        Слід підтримувати єдину структуру планів безперервності бізнесу, щоб забезпечити впевненість у тому, що всі плани узгоджені відповідно до розглянутими вимогами інформаційної безпеки і встановлених пріоритетів для тестування і обслуговування.
      - Рекомендація щодо реалізації:
        
        У кожному плані забезпечення безперервності бізнесу повинен описуватися підхід до забезпечення безперервності, наприклад підхід до забезпечення впевненості в доступності та безпеки інформації або інформаційних систем. Кожен план повинен визначати план ескалації (розширення) і умови активізації, а також осіб, відповідальних за виконання кожного пункту плану. При появі нових вимог будь-які існуючі процедури на випадок надзвичайних ситуацій, наприклад плани евакуації або заходи по переходу на аварійний режим, при необхідності слід коригувати. Процедури повинні бути включені в програму менеджменту змін організації з метою забезпечення впевненості в тому, що питання забезпечення безперервності бізнесу розглядаються завжди відповідним чином.
        
        Кожен план повинен мати певного власника. Процедури на випадок надзвичайних ситуацій, плани по переходу на аварійний режим, плани по відновленню слід включати в сферу відповідальності власників відповідних ресурсів бізнесу або залучених процесів. Відповідальність за заходи щодо переходу на аварійний режим альтернативних технічних послуг, таких як обробка інформації та засоби зв'язку, зазвичай несуть постачальники послуг.
    - - Міра і засіб контролю і управління:
        
        Плани безперервності бізнесу необхідно регулярно тестувати та оновлювати з метою забезпечення впевненості в їх актуальності та ефективності.
      - Рекомендація щодо реалізації:
        
        Зазначені тести повинні забезпечувати впевненість в тому, що всі члени групи ліквідації наслідків надзвичайних ситуацій та інший персонал, що має доцього відношення, обізнані про плани і про свої обов'язки, що стосуються забезпечення безперервності бізнесу та інформаційної безпеки.
        
        У графіку тестування плану (ів) щодо забезпечення безперервності бізнесу необхідно вказувати, як і коли слід тестувати кожен пункт плану. Окремі пункти плану (ів) необхідно тестувати часто.
        
        Зазначені методи можуть використовуватися будь-якою організацією. Вони повинні застосовуватися відповідно до специфіки конкретного плану з відновлення. Результати тестів слід реєструвати і при необхідності здійснювати дії, спрямовані на вдосконалення планів.
        
        Необхідно призначити відповідальних за проведення регулярних переглядів кожного плану по забезпеченню безперервності бізнесу. Виявлення змін в процесах бізнесу, ще не відображені в планах щодо забезпечення безперервності бізнесу, повинне супроводжуватися відповідним оновленням планів. Зазначений формальний процес управління змінами покликаний забезпечити впевненість у тому, що оновлені плани розповсюджуються і підкріплюються відповідно до регулярним переглядом комплексного плану.
- - - - Визначення застосовного законодавства
        
        Все застосовні правові, нормативні та договірні вимоги та підхід організації до виконання цих вимог слід чітко визначити, документально оформити і підтримувати на актуальному рівні по відношенню до кожної інформаційної системи та організації.
      - Рекомендація щодо реалізації:
        
        Конкретні заходи і засоби контролю і управління, а також обов'язки конкретних осіб щодо виконання цих вимог необхідно визначити і документально оформити.
    - - Міра і засіб контролю управління:
        
        Необхідно впровадити відповідні процедури для забезпечення впевненості в дотриманні законодавчих, нормативних та договірних вимог по використанню матеріалів, відносно яких можуть бути права на інтелектуальну власність, і по використанню пропрієтарних програмних продуктів.
      - Рекомендація щодо реалізації:
        
        Наступні рекомендації слід враховувати щодо захисту будь-якого
        матеріалу, який може розглядатися як інтелектуальна власність:
        
        створення політики дотримання прав на інтелектуальну власність щодо програмного забезпечення, що визначає законне використання програмних та інформаційних продуктів;
        
        придбання програмного забезпечення тільки з відомих і заслуговують на довіру для забезпечення впевненості в тому, що авторське право не порушується;
        
        підтримка поінформованості співробітників про політиків щодо захисту прав на інтелектуальну власність і повідомлення про намір застосувати дисциплінарні санкції стосовно порушників;
        
        підтримання відповідних реєстрів активів і виявлення всіх активів, щодо яких застосовні вимоги щодо захисту прав на інтелектуальну власність;
        
        збереження підтверджень і свідоцтв прав власності на ліцензії,
        дистрибутивні диски, керівництва по експлуатації та т. д .;
        
        впровадження заходів і засобів контролю та управління для забезпечення впевненості в тому, що максимальне число дозволених користувачів не перевищено;
        
        проведення перевірок на предмет встановлення тільки авторизованого
        програмного забезпечення і ліцензованих продуктів;
        
        надання політики щодо підтримки умов відповідних ліцензійних угод;
        
        надання політики утилізації або передачі програмного забезпечення
        іншим стороннім організаціям;
        
        використання відповідних інструментальних засобів аудиту;
        
        дотримання термінів і умов застосування програмного забезпечення та
        інформації, отриманої із загальнодоступних мереж;
        
        забороняти дублювання, перетворення або витяг з комерційних записів
        (відео, аудіо) з порушенням закону про авторське право;
        
        забороняти повне або часткове копіювання книг, статей, звітів або
        інших документів з порушенням закону про авторське право.
    - - Міра і засіб контролю управління:
        
        Важливі документи організації необхідно захищати від втрати, руйнування і фальсифікації в відповідно до законодавчих, нормативних та договірними вимогами, а також вимогами бізнесу.
      - Рекомендація щодо реалізації:
        
        Документи необхідно класифікувати за типами, наприклад бухгалтерські рахунки, записи баз даних, журнали реєстрації транзакцій, контрольні журналиі методики експлуатації, із зазначенням періоду зберігання та типу носіїв даних, що зберігаються, наприклад папір, мікрофіша (мікрофіша - плівка або пластина з декількома десятками кадрів мікрофільмів. Мікрофіші мають стандартні розміри під налаштування їх виготовлення і перегляду. Ця технологія широковикористовувалася в 1970-1980-і роки, а потім була витіснена комп'ютерними носіями даних), магнітні та оптичні носії. Будь-які дані, пов'язані з криптографічними ключами і програми, пов'язані з зашифрованими архівами або цифровими підписами (див. 12.3), слід також зберігати для забезпечення можливості дешифрування записів протягом усього часу їх зберігання.
        
        Необхідно враховувати можливість зниження якості носіїв, які використовуються для зберігання документів. Процедури зберігання і поводження з носіями повинні здійснюватися відповідно до рекомендацій виробника. При необхідності довгострокового зберігання рекомендується використання паперу і мікрофіші.
        
        Там, де для зберігання використовуються електронні носії даних, слід застосовувати процедури, забезпечують впевненість у можливості доступу до даних (читаність носіїв і формату даних) протягом періоду зберігання з метою захисту від втрати внаслідок майбутніх змін технології.
        
        Системи зберігання даних слід вибирати таким чином, щоб необхідні дані могли бути витягнуті в прийнятні терміни і в прийнятному форматі в залежності від вимог.
    - - Міра і засіб контролю і управління:
        
        Повинна бути забезпечена впевненість у захисті даних та персональних даних відповідно до вимогами відповідних законодавчих і нормативних актів і, в разі необхідності, умов договорів.
      - Рекомендація щодо реалізації:
        
        Необхідно розробити і впровадити політику організації по відношенню до забезпечення захисту даних і персональних даних. Ця політика повинна бути доведена до відома всіх осіб, що беруть участь в обробці персональних даних.
        
        Дотримання зазначеної політики і застосовних вимог законодавчих та нормативних актів щодо захисту даних має на увазі наявність відповідної структури управління і контролю. Часто це найкраще досягається шляхом призначення відповідальної особи, наприклад посадової особи, яка відповідає за захист даних, яке має надати інструкції керівникам середньої ланки,користувачам і постачальникам послуг щодо їх персональної відповідальності і спеціальних процедур, обов'язкових для виконання. Забезпечення відповідальності за обробку персональної інформації і обізнаності про принципи захисту даних повинне здійснюватися відповідно до вимогзастосовних законодавчих та нормативних актів. З метою захисту персональної інформації слід реалізувати відповідні технічні та організаційні заходи.
    - - Міра і засіб контролю і управління:
        
        Користувачів слід утримувати від застосування засобів обробки
        інформації для несанкціонованих цілей.
      - Рекомендація щодо реалізації:
        
        Керівництво повинно санкціонувати використання коштів обробки інформації. Будь-яке використання цих коштів для невиробничих цілей без схвалення керівництва (див. 6.1.4) або для яких-небудь несанкціонованих цілей слід розглядати як нецільове. Якщо будь-які несанкціоновані дії визначаються моніторингом або іншими засобами, то на них слід звернути увагу безпосереднього керівника співробітника, з метою вжиття відповідних заходів дисциплінарного і (або) правового впливу.
        
        Перш ніж здійснювати процедури моніторингу, необхідно отримати
        консультацію юриста.
        
        Всі користувачі повинні бути інформовані про чіткі рамках дозволеного їм доступу та про проведення моніторингу з метою виявлення несанкціонованого використання коштів обробки інформації. Це може бути досягнуто шляхом надання користувачам письмового дозволу, копія якого повинна бути підписана користувачем і надійно зберігатися в організації. Необхідно, щоб співробітники організації, підрядники та представники третьої сторони були інформовані про те, що ніякої доступ не дозволений, за винятком того, що авторизований.
        
        Необхідно, щоб при початку сеансу на екрані комп'ютера було представлено попереджувала повідомлення, яке вказує, що засіб обробки інформації, вхід в яке намагаються здійснити, є власністю організації, і що несанкціонований доступ до нього заборонений. Користувач повинен підтвердити прочитання і відповідним чином реагувати на це повідомлення на екрані, щоб продовжити процес початку сеансу
    - - Міра і засіб контролю управління:
        
        Криптографічні заходи і засоби контролю і управління повинні використовуватися з дотриманням всіх відповідних угод, законів і нормативних актів
      - Рекомендація щодо реалізації:
        
        Наступні питання необхідно розглядати стосовно дотримання
        відповідних угод, законів і нормативних актів:
        
        обмеження на імпорт і (або) експорт комп'ютерних апаратних і
        програмних засобів для виконання криптографічних функцій;
        
        обмеження на імпорт і (або) експорт комп'ютерних апаратних і програмних засобів, які розроблені таким чином, що мають в якості доповнення криптографічні функції;
        
        обмеження на використання шифрування;
        
        обов'язкові або представлені на власний розсуд методи доступу державних органів до інформації, зашифрованої за допомогою апаратних або програмних засобів для забезпечення конфіденційності змісту.
  - - - Міра і засіб контролю і управління:
        
        Керівники повинні забезпечити впевненість у тому, що всі процедури безпеки в межах їх зони відповідальності виконуються правильно, для того щоб досягти відповідності політикам та стандартам безпеки.
      - Рекомендація щодо реалізації:
        
        Керівники повинні регулярно аналізувати відповідність обробки інформації в межах їх зони відповідальності політикам і стандартам безпеки, а також будь-яким іншим вимогам безпеки.
        
        Результати аналізу та коригуючих заходів, вжитих керівниками, необхідно реєструвати, і ці записи слід зберігати. Керівники повинні повідомляти результати особам, які проводять незалежні перевірки (див. 6.1.8), якщо така незалежна перевірка мала місце в зоні їх відповідальності
    - - Міра і засіб контролю управління:
        
        Інформаційні системи слід регулярно перевіряти на відповідність
        стандартам безпеки безпеки.
      - Рекомендація щодо реалізації:
        
        Перевірку відповідності технічним вимогам повинен здійснювати досвідчений системний інженер вручну (при необхідності за допомогою відповідних інструментальних засобів програмного забезпечення) і (або) за допомогою автоматизованих інструментальних засобів, які генерують технічний звіт для подальшого аналізу технічним фахівцем.
        
        Якщо проводиться тестування на проникнення або оцінка вразливостей, слід дотримуватися обережності, оскільки такі дії можуть призвести до компрометації безпеки системи. Такі тести повинні бути сплановані, документально оформлені і відтворювані.
        
        Будь-яка перевірка відповідності технічним вимогам повинна виконуватися тільки компетентними і уповноваженими особами або під їх наглядом.
  - - - Міра і засіб контролю і управління:
        
        Вимоги і процедури аудиту, що включають перевірки експлуатованих систем, необхідно ретельно планувати і погоджувати, щоб звести до мінімуму ризик порушення процесів бізнесу.
      - Рекомендація щодо реалізації:
        
        вимоги аудиту повинні бути погоджені з відповідним
        керівництвом;
        
        область перевірок слід узгоджувати і контролювати;
        
        при проведенні перевірок доступ до програмного забезпечення та
        даними повинен бути обмежений тільки читанням;
        
        інші види доступу, крім доступу тільки для читання, можуть бути дозволені тільки в відношенні ізольованих копій файлів системи, які необхідно видалити після завершення аудиту або забезпечити відповідним захистом, якщо необхідно зберігати такі файли у відповідності до вимог документального оформлення аудиту;
        
        ресурси, необхідні для виконання перевірок, повинні бути чітко
        визначені і зроблені доступними;
        
        вимоги щодо спеціальної або додаткової обробки даних слід
        визначити і узгодити;
        
        весь доступ необхідно відстежувати і реєструвати для створення простежуються посилань; для критично важливих даних і систем належить розглядати використання датуються простежуються посилань;
        
        всі процедури, вимоги і обов'язки слід оформляти документально;
        
        особа (и), що проводить (і) аудит, має (и) бути незалежним (і)
    - - Міра і засіб контролю і управління:
        
        Доступ до інструментальним кошти, що застосовуються при проведенні аудиту інформаційних систем, необхідно захищати, щоб запобігти будь-яке можливе їх неправильне використання або компрометацію.
      - Рекомендація щодо реалізації:
        
        Інструментальні засоби, що застосовуються при проведенні аудиту інформаційних систем, наприклад програмне забезпечення або файли даних, необхідно відокремлювати від систем розробки і експлуатованих систем, а також, якщо не забезпечений відповідний рівень додаткового захисту, їх не слід зберігати в бібліотеках на магнітних стрічках або в області користувачів.