Please enable JavaScript.
Coggle requires JavaScript to display documents.
БРИТАНСЬКИЙ СТАНДАРТ ISO/IEC 27001 (Ч.3) - Coggle Diagram
БРИТАНСЬКИЙ СТАНДАРТ ISO/IEC 27001 (Ч.3)
Цілі та елементи керування
Політика безпеки
Мета: Забезпечити управління і підтримку в області інформаційної безпеки з боку керівництва організації відповідно до вимог бізнесу, що відносяться до справи законами та нормативними актами.
Організація інформаційної безпеки
Внутрішня організація
Мета: Управляти інформаційною безпекою в організації.
Зовнішні сторони
Мета: Забезпечити безпеку інформації організації та засобів її обробки, доступ, обробка, передача або управління якими здійснюється третіми сторонами.
Управління ресурсами
Відповідальність за ресурси
Мета: Забезпечити і підтримувати необхідний захист ресурсів організації.
Класифікація інформації
Мета: Забезпечити необхідний рівень захисту інформації.
Безпека людських ресурсів
Перед наймом
Мета: Гарантувати, що працівники, підрядники та користувачі третьої сторони розуміють свою відповідальність і відповідають своїм ролям, а також знизити ризик крадіжок, шахрайства або неправомірного використання обладнання.
У період роботи
Мета: Гарантувати, що всі працівники, підрядники та користувачі третьої сторони поінформовані про загрози та проблеми інформаційної безпеки, їх відповідальності та зобов'язання і готові підтримувати політику безпеки організації в своїй повсякденній діяльності та зменшувати ризик людської помилки.
Завершення/зміна трудових відносин
Мета: Гарантувати, що всі співробітники, підрядники та користувачі третьої сторони залишають організацію чи змінюють роботу в установленому порядку.
Фізична безпека і безпека навколишнього середовища
Захищені області
Мета: Запобігти несанкціонований фізичний доступ і заподіяння шкоди для приміщень та інформації організації.
Безпека обладнання
Мета: Запобігти втрату, пошкодження, крадіжку або компрометацію ресурсів і порушення діяльності організації.
Управління зв'язком та операціями
Операційні процедури і розподіл відповідальності
Мета: Забезпечити коректне і безпечне функціонування засобів обробки інформації.
Управління сторонніми службами
Мета: Реалізація та підтримка необхідного рівня інформаційної безпеки та надання сервісу відповідно до угод про надання сервісів, що укладаються з третіми особами.
Системне планування та прийняття
Мета: Мінімізація ризику відмови системи.
Захист від шкідливого і мобільного коду
Мета: Забезпечити цілісність інформації та програмного забезпечення.
Резервне копіювання
Мета: Підтримувати цілісність і доступність інформації та засобів її обробки.
Управління мережевою безпекою
Мета: Забезпечити збереження інформації в мережах, а також захист підтримуючої інфраструктури.
Поводження з носіями інформації
Мета: Запобігти несанкціоноване розкриття, модифікацію, видалення або руйнування ресурсів, а також переривання бізнес діяльності.
Обмін інформацією
Мета: Підтримувати безпеку інформації і програмного забезпечення при їх обміні всередині організації і з будь-якої зовнішньої стороною.
Сервіси електронної комерції
Мета: Забезпечити безпеку сервісів електронної комерції і їх безпечне використання.
Моніторинг
Мета: Виявлення несанкціонованої діяльності з обробки інформації.
Контроль доступу
Бізнес вимоги до контролю доступу
Мета: Контролювати доступ до інформації.
Управління доступом користувачів
Мета: Забезпечити доступ авторизованих користувачів і запобігти несанкціонованому доступу до інформаційних систем.
Відповідальність користувачів
Мета: Запобігти несанкціонований доступ користувачів, а також компрометацію або крадіжку інформації і засобів її обробки.
Керування доступом до мережі
Мета: Запобігання несанкціонованому доступу до мережевих служб.
Контроль доступу в ОС
Мета: Запобігти несанкціонований доступ до операційних систем.
Контроль доступу до прикладних програм та інформації
Мета: Запобігти несанкціонований доступ до інформації, що міститься в прикладних системах.
Мобільна комп'ютерна техніка та робота поза офісом
Мета: Забезпечити безпеку інформації при використанні мобільного комп'ютерного обладнання та при роботі поза офісом.
Придбання, розробка та обслуговування інформаційних систем
Вимоги безпеки для інформаційних систем
Мета: Гарантувати, що безпека є складовою частиною інформаційних систем.
Коректна обробки інформації в додатках
Мета: Запобігти помилки, втрату, несанкціоновану модифікацію або неправильне використання інформації в додатках.
Криптографічні механізми
Мета: Захист конфіденційності, автентичності та цілісності інформації криптографічними засобами.
Безпека системних файлів
Мета: Забезпечення безпеки системних файлів.
Безпека процесів розробки і підтримки
Мета: Підтримання безпеки програмного забезпечення та інформації прикладних систем.
Управління технічними уразливими
Мета: Зменшення ризиків, пов'язаних з використанням опублікованих технічних вразливостей.
Управління інцидентами інформаційної безпеки
Інформація про події та слабкі сторони інформаційної безпеки
Мета: Забезпечити своєчасне повідомлення інформації про події інформаційної безпеки та слабкі місця, пов'язані з інформаційними системами, уповноваженим особам, що дозволяє вчасно вжити коригувальних заходів.
Управління інцидентами і вдосконаленням інформаційної безпеки
Мета: Забезпечення послідовного та ефективного підходу до управління інцидентами інформаційної безпеки.
Принципи OECD
Проінформованість
Учасники повинні бути інформовані про необхідність забезпечення безпеки інформаційних систем і мереж, а також про те, що вони можуть зробити для посилення безпеки.
Відповідальність
Всі учасники несуть відповідальність за забезпечення безпеки інформаційних систем і мереж.
Реагування
Учасники повинні діяти своєчасно і спільно для запобігання, виявлення і реагування на інциденти безпеки.
Оцінка ризиків
Учасники повинні проводити оцінку ризиків.
Проектування і впровадження механізмів безпеки
Учасники повинні вбудовувати механізми безпеки як суттєвий елемент інформаційних систем і мереж.
Управління безпекою
Учасники повинні прийняти комплексний підхід до управління безпекою.
Перегляд
Учасники повинні аналізувати і переглядати безпеку інформаційних систем і мереж, вносити необхідні зміни в політики безпеки, практики, механізми і процедури.