Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/ІЕС 27002 «Інформаційні технології. Методики безпеки. Практичні…
ISO/ІЕС 27002 «Інформаційні технології. Методики безпеки. Практичні правила безпеки упралівння безпекою інформації», КБ-91, Кіхтенко Дмитро
МЕНЕДЖМЕНТ АКТИВІВ
Відповідальність за активи
Мета: Забезпечити відповідний захист активів організації
Інвентаризація активів
Всі активи повинні бути чітко визначені, повинна складатися і підтримуватися опис всіх важливих активів
Володіння активами
Вся інформація і активи, пов'язані із засобами обробки інформації повинні знаходитися у власності (Терміном «власник» визначається фізична або юридична особа, яка наділена адміністративною відповідальністю за керівництво виготовленням, розробкою, зберіганням, використанням та безпекою активів
Прийнятне використання активів
Слід визначати, документально оформляти і реалізовувати правила прийнятного використання інформації та активів, пов'язаних із засобами обробки інформації
Класифікація інформації
Мета: Забезпечити впевненість в захищеності інформації на належному рівні
Рекомендації по класифікації
Інформацію слід класифікувати, виходячи з її цінності, законодавчих вимог, чутливості та критичності для організації
Маркування та обробка інформації
Відповідний набір процедур маркування та обробки інформації слід розробляти і реалізовувати відповідно до системи класифікації, прийнятої організацією
БЕЗПЕКА, ПОВ'ЯЗАНА З ПЕРСОНАЛОМ
Перед працевлаштуванням
Мета: Забезпечити впевненість в тому, що співробітники, підрядники та представники третьої сторони усвідомлюють свої обов'язки і здатні виконувати передбачені для них ролі, і знизити ризик розкрадання, шахрайства або нецільового використання коштів обробки інформації
Ролі та обов'язки
Ролі та обов'язки в галузі безпеки співробітників, підрядників і представників третьої сторони необхідно визначати і оформляти документально відповідно до політики інформаційної безпеки організації
Попередня перевірка
Ретельна перевірка всіх кандидатів на постійну роботу, підрядників і представників третьої боку повинна проводитися згідно з відповідними законами, інструкціями і правилами етики, пропорційно вимогам бізнесу, класифікації інформації, до якої буде здійснюватися доступ, і передбачуваним ризикам
Протягом зайнятості
Мета: Забезпечити впевненість в тому, що співробітники, підрядники та представники третьої сторони обізнані про загрози та проблеми, пов'язані з інформаційною безпекою, про міру їх відповідальності та зобов'язання, а також оснащені всім необхідним для підтримки політики безпеки організації, що знижує ризик людського фактора
Обов'язки керівництва
Керівництво організації повинно вимагати, щоб співробітники, підрядники та представники третьої боку забезпечували безпеку відповідно до встановлених політиками і процедурами організації
Поінформованість, навчання і тренінг в області інформаційної безпеки
Всі співробітники організації і, де необхідно, підрядники та представники третьої сторони, повинні пройти відповідне навчання і отримувати на регулярній основі оновлені варіанти політик і процедур, прийнятих в організації та необхідних для виконання їх робочих функцій
Дисциплінарний процес
Повинен існувати формальний дисциплінарний процес, застосовуваний щодо співробітників, які вчинили порушення безпеки
Припинення або зміна зайнятості
Мета: Забезпечити впевненість в тому, що співробітники, підрядники та представники третьої сторони залишають організацію чи змінюють зайнятість належним чином
Припинення обов'язків
Обов'язки щодо припинення зайнятості або зміни зайнятості повинні бути чітко визначені і встановлені
Повернення активів
Всі співробітники, підрядники та представники третьої сторони зобов'язані повернути організації всі активи, що знаходяться в їх користуванні, при припиненні їх зайнятості, договору або угоди
Анулювання прав доступу
Права доступу всіх службовців, підрядників і представників третьої сторони до інформації та засобів обробки інформації повинні бути анульовані у разі припинення зайнятості, договору або угоди, або скориговані при зміні зайнятості
ФІЗИЧНА БЕЗПЕКА І ЗАХИСТ ВІД ВПЛИВІВ НАВКОЛИШНЬОГО СЕРЕДОВИЩА
Зони безпеки
Мета: Запобігти неавторизований фізичний доступ, пошкодження і вплив щодо приміщень та інформації організації
Периметр зони безпеки
Для захисту зон, що містять інформацію і засоби обробки інформації, слід використовувати периметри безпеки
Заходи і засоби контролю і управління фізичним входом
Зони безпеки необхідно захищати за допомогою відповідних заходів і засобів контролю та управління входу, щоб забезпечити впевненість у тому, що доступ дозволений тільки авторизованому персоналу
Безпека будівель, виробничих приміщень і обладнання
Необхідно розробити і реалізувати фізичний захист будівель, виробничих приміщень і обладнання
Захист від зовнішніх загроз і загроз з боку навколишнього середовища
Необхідно розробити і реалізувати фізичний захист від нанесення шкоди, який може з'явитися результатом пожежі, повені, землетруси, вибуху, громадських заворушень та інших форм природних або антропогенних лих
Безпека обладнання
Мета: Запобігти втраті, пошкодження, крадіжку або компрометацію активів і переривання діяльності організації
Розміщення та захист обладнання
Обладнання повинно бути розміщено і захищено так, щоб зменшити ризики від загроз навколишнього середовища і можливості несанкціонованого доступу
Безпека кабельної мережі
Силові та телекомунікаційні кабельні мережі, по яких передаються дані або підтримують інформаційні послуги, необхідно захищати від перехоплення інформації або руйнування
Безпека обладнання поза приміщеннями організації
При забезпеченні безпеки обладнання, що використовується поза місцем його постійної експлуатації, слід враховувати різні ризики, пов'язані з роботою поза приміщеннями організації
Переміщення майна
Устаткування, інформацію або програмне забезпечення можна використовувати поза приміщеннями організації тільки при наявності відповідного дозволу
МЕНЕДЖМЕНТ КОМУНІКАЦІЙ І РОБІТ
Мета: Забезпечити впевненість в належному і безпечне функціонування засобів обробки інформації
Документальне оформлення експлуатаційних процедур
Експлуатаційні процедури слід документально оформляти, дотримуватися і робити доступними для всіх, хто потребує них користувачів
Розподіл обов'язків
Обов'язки та сфери відповідальності повинні бути розділені для зменшення можливостей неавторизованої або ненавмисної модифікації активів організації або їх нецільового використання
Поділ засобів розробки, тестування та експлуатації
Щоб знизити ризики несанкціонованого доступу або змін експлуатованої системи, слід забезпечувати розподіл коштів розробки, тестування та експлуатації
Менеджмент надання послуг третьою стороною
Мета: Реалізовувати і підтримувати відповідний рівень інформаційної безпеки та надання послуг відповідно до договорів про надання послуг третьою стороною
Моніторинг та аналіз послуг третьої сторони
Необхідно регулярно проводити моніторинг і аналіз послуг, звітів і записів, які забезпечуються третьою стороною, і регулярно проводити аудити
Резервування
Мета: Підтримувати цілісність і доступність інформації та засобів обробки інформації
Менеджмент безпеки мережі
Мета: Забезпечити впевненість у захисті інформації в мережах і захист підтримуючої інфраструктури
Поводження з носіями інформації
Ціль: Запобігти неавторизованому розкриття, модифікацію, вибуття або знищення активів і переривання діяльності бізнесу
МЕНЕДЖМЕНТ ІНЦИДЕНТІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Оповіщення про події та вразливості інформаційної безпеки
Мета: Забезпечити впевненість в тому, що про події та вразливості інформаційної безпеки оповіщається способом, який дозволяє своєчасно вжити коригувальну дію
Менеджмент інцидентів інформаційної безпеки та необхідне вдосконалення
Мета: Забезпечити впевненість в тому, що по відношенню до менеджменту інцидентів інформаційної безпеки застосовується послідовний і ефективний підхід
ВІДПОВІДНІСТЬ
Відповідність вимогам законодавства
Мета: Уникнути порушень будь-якого закону, правових, нормативних або договірних зобов'язань, а також будь-яких вимог безпеки
Відповідність політикам безпеки і стандартам, технічну відповідність
Перевірка технічної відповідності
Інформаційні системи слід регулярно перевіряти на відповідність стандартам безпеки безпеки
Мета: Забезпечити впевненість у відповідності систем політикам безпеки організації і стандартам.
Відповідність політикам та стандартам безпеки
Керівники повинні забезпечити впевненість у тому, що всі процедури безпеки в межах їх зони відповідальності виконуються правильно, для того щоб досягти відповідності політикам та стандартам безпеки
Розгляд аудиту інформаційних систем
Мета: Підвищення до максимуму ефективності процесу аудиту інформаційних систем і зниження до мінімуму негативного впливу, пов'язаного з даним процесом
Запобіжні і засоби контролю і управління аудиту інформаційних систем
Вимоги і процедури аудиту, що включають перевірки експлуатованих систем, необхідно ретельно планувати і погоджувати, щоб звести до мінімуму ризик порушення процесів бізнесу
Захист інструментальних засобів аудиту інформаційних систем
Доступ до інструментальним кошти, що застосовуються при проведенні аудиту інформаційних систем, необхідно захищати, щоб запобігти будь-яке можливе їх неправильне використання або компрометацію
ВСТУП
Що таке інформаційна безпека?
Інформація це актив, який, подібно до інших активів організації, має цінність і, отже, повинен бути захищений належним чином, що важливо для бізнес-середовища, де спостерігається все зростаюча взаємозв'язок
Чому необхідна інформаційна безпека?
Інформація та підтримуючі її процеси, системи та мережі є важливими діловими активами
Оцінка ризиків безпеки
Вимоги безпеки визначаються за допомогою систематичної оцінки ризиків
Розробка власних рекомендацій
В документи, що містять додаткові рекомендації, а також заходи і засоби контролю і управління, у відповідних випадках корисно включати перехресні посилання на положення цього стандарту для полегшення перевірки відповідності, проведеної аудиторами і партнерами по бізнесу
ОБЛАСТЬ ЗАСТОСУВАННЯ
Цей стандарт пропонує рекомендації та основні принципи введення, реалізації, підтримки та поліпшення менеджменту інформаційної безпеки в організації
ТЕРМІНИ ТА ВИЗНАЧЕННЯ
Міра і засіб контролю і управління (control) – Засіб менеджменту ризику, що включає в себе політики, процедури, рекомендації, інструкції або організаційні структури, які можуть бути адміністративного, технічного, управлінського або правового характеру
Рекомендація (guideline) – Опис, пояснює дії і способи їх виконання, необхідні для досягнення цілей, викладених в політиці
Засоби обробки інформації (information processing facilities) – Будь-яка система обробки інформації, послуга чи інфраструктура, або їх фактичне місце розташування
Політика (policy) – Загальний намір і напрямок, офіційно вираженей керівництвом
Ризик (risk) – Поєднання ймовірності події та її наслідків
Аналіз ризику (risk analysis) – Систематичне використання інформації для визначення джерел і кількісної оцінки ризику
Оцінка ризику (risk assessment) – Загальний процес аналізу ризику та оцінювання ризику
Менеджмент ризику (risk management) – Скоординовані дії по керівництву і управлінню організацією стосовно ризику
Обробка ризику (risk treatment) – Процес вибору і здійснення заходів щодо модифікації ризику
Третя сторона (third party) – Особи або організація, які визнані незалежними від сторін-учасниць, по відношенню до даної проблеми
Загроза (threat) – Потенційна причина небажаного інциденту, результатом якого може бути нанесення шкоди системі або організації
Вразливість (vulnerability) – Слабкість одного або декількох активів, яка може бути використана одна чи кілька погрозами
ОЦІНКА І ОБРОБКА РИЗИКІВ
Оцінка ризиків безпеки
Оцінки ризиків слід виконувати періодично, щоб враховувати зміни у вимогах безпеки і в ситуації, пов'язаної з ризиком, наприклад щодо активів, погроз, вразливостей, впливів, оцінювання ризиків, а також при значних змінах
Областю застосування оцінки ризиків може бути ціла організація, її підрозділи, окрема інформаційна система, певні компоненти системи, або послуги, де це можливо, реально і корисно
Обробка ризиків безпеки
Можливі варіанти обробки ризиків
застосування відповідних заходів і засобів контролю та управління для зниження ризиків
свідоме та об'єктивне прийняття ризиків в тому випадку, якщо вони, безсумнівно, задовольняють політиці і критеріям організації щодо прийняття ризиків
запобігання ризикам шляхом недопущення дій, які можуть стати причиною виникнення ризиків
перенесення взаємодіючих ризиків шляхом поділу їх з іншими
сторонами, наприклад страховиками або постачальниками
Заходи і засоби контролю і управління можуть бути обрані з цього стандарту або інших сукупностей заходів і засобів контролю та управління, можуть бути створені нові заходи і засоби контролю і управління з метою задоволення специфічних потреб організації
ПОЛІТИКА БЕЗПЕКИ
Політика інформаційної безпеки
Мета: Забезпечити управління і підтримку вищим керівництвом інформаційної безпеки відповідно до вимог бізнесу і відповідними законами і нормами
При необхідності слід передбачити наявність контактної особи, що займається питаннями інформаційної безпеки всередині організації, до якого можуть звертатися зацікавлені співробітники
Документування політики інформаційної безпеки
Рекомендація щодо реалізації
викладу намірів керівництва, що підтримують цілі і принципи інформаційної безпеки відповідно до стратегії і цілями бізнесу
короткого роз'яснення найбільш істотних для організації політик безпеки, принципів, стандартів і вимог відповідності, наприклад
відповідність законодавчим вимогам та договірними зобов'язаннями
вимоги щодо забезпечення поінформованості, навчання і тренінгу щодо безпеки
менеджмент безперервності бізнесу
відповідальність за порушення політики інформаційної безпеки
Дана політика інформаційної безпеки повинна бути доведена до відома користувачів в рамках всієї організації в актуальною, доступній та зрозумілій формі
Додаткова інформація
Якщо політика інформаційної безпеки поширюється за 20 межами організації, слід приймати заходи щодо нерозголошення чутливої інформації
Перегляд політики інформаційної безпеки
Міра і засіб контролю і управління
Політика інформаційної безпеки повинна переглядатися або через заплановані інтервали часу, або, якщо відбулися значні зміни, з метою забезпечення впевненості в її актуальності, адекватності та ефективності
Рекомендація щодо реалізації
Вхідні дані для перегляду методів управління повинні включати інформацію про
відповідної реакції зацікавлених сторін
результати незалежних переглядів
результати попередніх переглядів методів управління
виконання процесу і відповідно політиці інформаційної безпеки
поліпшення підходу організації до менеджменту інформаційної
безпеки та її процесів
поліпшення розподілу ресурсів і (або) обов'язків
ПРИДБАННЯ, РОЗРОБКА ТА ЕКСПЛУАТАЦІЯ ІНФОРМАЦІЙНИХ СИСТЕМ
Вимоги безпеки інформаційних систем
Мета: Забезпечити впевненість в тому, що безпека є невід'ємною частиною інформаційних систем
Коректна обробка в прикладних програмах
Мета: Запобігти помилки, втрату, неавторизовану модифікацію або нецільове використання інформації в прикладних програмах
Криптографічні заходи і засоби контролю і управління
Мета: Захищати конфіденційність, автентичність або цілісність інформації, використовуючи криптографічні засоби
Безпека системних файлів
Мета: Забезпечити впевненість у безпеці системних файлів
Безпека у процесах розробки та підтримки
Мета: Підтримувати безпеку прикладних систем та захисту інформації
Менеджмент технічних вразливостей
Мета: Знизити ризики, які є результатом використання опублікованих технічних вразливостей
МЕНЕДЖМЕНТ БЕЗПЕРЕРВНОСТІ БІЗНЕСУ
Аспекти інформаційної безпеки в рамках менеджменту безперервності бізнесу
Мета: Протидіяти перериванням видів діяльності в рамках бізнесу організації і захищати найважливіші процеси бізнесу від наслідків значних збоїв інформаційних систем або надзвичайних ситуацій та забезпечувати їх своєчасне відновлення
Тестування, підтримка і перегляд планів безперервності бізнесу
Плани безперервності бізнесу необхідно регулярно тестувати та оновлювати з метою забезпечення впевненості в їх актуальності та ефективності
Основи планування безперервності бізнесу
Слід підтримувати єдину структуру планів безперервності бізнесу, щоб забезпечити впевненість у тому, що всі плани узгоджені відповідно до розглянутими вимогами інформаційної безпеки і встановлених пріоритетів для тестування і обслуговування
Розробка і впровадження планів безперервності бізнесу, які враховують інформаційну безпеку
Слід розробити і впровадити плани забезпечення безперервності бізнесу з метою підтримки або відновлення операцій і забезпечення доступності інформації на необхідному рівні та в потрібні терміни після переривання або збою критичних процесів бізнесу
ОРГАНІЗАЦІЙНІ АСПЕКТИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Завдання, які вирішуються всередині організації
Мета: Здійснювати менеджмент інформаційної безпеки в рамках організації
Зобов'язання керівництва по відношенню до інформаційної безпеки
Міра і засіб контролю і управління
Керівництву слід активно підтримувати безпеку в організації за допомогою чіткого управління, відомого розподілу обов'язків, визначених призначень і визнання обов'язків щодо інформаційної безпеки
Рекомендація щодо реалізації
формулювати, аналізувати і затверджувати політику інформаційної безпеки
аналізувати ефективність реалізації політики інформаційної безпеки
забезпечувати чітке управління і очевидну підтримку менеджменту щодо ініціатив, пов'язаних з безпекою
забезпечувати ресурси, необхідні для інформаційної безпеки
ініціювати плани і програми для підтримки поінформованості про інформаційну безпеку
Додаткова інформація міститься в ISO / IEC 13335-1
Координація питань інформаційної безпеки
Міра і засіб контролю і управління
Діяльність, пов'язана з інформаційною безпекою, повинна бути скоординована представниками різних підрозділів організації з відповідними ролями та посадовими обов'язками
Рекомендація щодо реалізації
забезпечувати впевненість у тому, що забезпечення безпеки здійснюється відповідно до політикою інформаційної безпеки
визначати спосіб усунення невідповідності
стверджувати методики і процеси забезпечення інформаційної безпеки, наприклад оцінку ризику, класифікацію інформації
виявляти значні зміни загроз і схильність інформації і засобів обробки інформації загрозам
оцінювати адекватність і координувати реалізацію заходів і засобів контролю та управління інформаційної безпеки
ефективно сприяти обізнаності, навчання та тренінгу щодо інформаційної безпеки в рамках організації
Розподіл обов'язків по забезпеченню інформаційної безпеки
Міра і засіб контролю і управління
Всі обов'язки по забезпеченню інформаційної безпеки повинні бути чітко визначені
Рекомендація щодо реалізації
необхідно призначити відповідальних за кожен актив або процедуру безпеки, і докладно описати їх обов'язки у відповідних документах
рівні доступу до повинні бути чітко визначені і документально оформлені
активи і процеси (процедури) безпеки, пов'язані з кожною конкретною системою, повинні бути чітко визначені
Угоди про конфіденційність
Міра і засіб контролю і управління
Вимоги щодо угод про конфіденційність або нерозголошення, що відображають потреби організації в захисті інформації, повинні визначатися і регулярно переглядатися
Рекомендація щодо реалізації
визначення інформації, що підлягає захисту (наприклад конфіденційна інформація)
передбачуваний термін дії угоди, включаючи випадки, коли може виникнути необхідність в необмеженій підтримці конфіденційності
необхідні дії при закінченні терміну дії угоди
дозволене використання конфіденційної інформації та права осіб, що підписали угоду, щодо використання інформації
умови повернення або знищення інформації в разі призупинення дії угоди
Аспекти взаємодії зі сторонніми організаціями
Мета: Забезпечувати безпеку інформації і засобів обробки інформації організації при доступі, обробці, передачі і менеджменті, здійснюваному сторонніми організаціями
Ідентифікація ризиків, які є наслідком роботи зі сторонніми організаціями
Міра і засіб контролю і управління
Ризики для інформації і засобів обробки інформації організації, що є наслідком процесів бізнесу, в яких беруть участь сторонні організації, необхідно визначати і необхідно реалізовувати відповідні заходи і засоби контролю і управління перш, ніж буде надано доступ
Рекомендація щодо реалізації
засоби обробки інформації, необхідні стороннім організаціям для доступу
тип доступу до інформації та засобів обробки інформації, який буде наданий стороннім організаціям, наприклад
фізичний доступ, наприклад до офісів, машинним залам, картотеками
логічний доступ, наприклад до баз даних, інформаційних систем організації
можливість підключення до мережі між мережею (мережами) організації та сторонньої організації, наприклад нероз'ємне з'єднання, віддалений доступ
здійснення доступу на місці або поза місцем експлуатації
цінність і чутливість використовуваної інформації, її критичність для операцій бізнесу
персонал сторонньої організації, що бере участь в обробці інформації організації
правові та нормативні вимоги, а також договірні зобов'язання, значимі для сторонніх організацій, які необхідно брати до уваги