Please enable JavaScript.

Coggle requires JavaScript to display documents.

Лр.6 МІЖНАРОДНІ СТАНДАРТИ ІЗ ЗАХИСТУ ІНФОРМАЦІЇ ISO/ІЕС 27002 Ч. 2 -…

- - - - a. інформацію: бази даних і файли даних, договори і угоди, системна документація, дослідницька інформація, керівництва користувача, навчальні матеріали, процедури експлуатації або підтримки, плани безперервності бізнесу, заходи по переходу на аварійний режим, контрольні записи і архівована інформація;
      - b. програмні активи: прикладні програмні засоби, системні програмні засоби, засоби розробки і утиліти;
      - c. фізичні активи: комп'ютерне обладнання, засоби зв'язку, знімні носії інформації та інше обладнання;
      - d. послуги: обчислювальні послуги і послуги зв'язку, основні підтримують послуги, наприклад, опалення, освітлення, електроенергія і кондиціонування повітря;
      - e. персонал, його кваліфікація, навички та досвід;
      - f. нематеріальні цінності, наприклад репутація та імідж організації.
    - - a. забезпечення впевненості в тому, що інформація і активи, пов'язані із засобами обробки інформації, класифіковані відповідним чином;
      - b. визначення та періодичний перегляд обмежень і класифікацій доступу, беручи до уваги застосовні політики управління доступом.
      - Володіння може поширюватися на:
        
        a. процес бізнесу;
        
        b. певний набір діяльностей;
        
        c. прикладні програми;
        
        d. певне безліч даних.
    - - a. правила використання електронної пошти та Інтернету
      - b. рекомендації щодо використання мобільних пристроїв, особливо щодо використання їх за межами приміщень організації
- - - - Ролі та обов'язки в галузі безпеки повинні включати в себе вимоги щодо:
        
        a. реалізації і дії відповідно до політиками інформаційної безпеки організації (Див. 5.1);
        
        b. захисту активів від несанкціонованого доступу, розголошення відомостей, модифікації, руйнувань або втручання;
        
        c. виконання певних процесів або діяльності, пов'язаних з безпекою;
        
        d. забезпечення впевненості в тому, що на індивідуума покладається відповідальність за їхні дії;
        
        e. інформування про події або потенційних події, пов'язані з безпекою, або інші ризики безпеки для організації.
    - - При перевірці слід враховувати конфіденційність, захист персональних даних і (або) трудове законодавство. Така перевірка повинна включати наступні елементи:
        
        a. наявність позитивних рекомендацій, зокрема, щодо ділових та особистих якостей претендента;
        
        b. перевірку (на предмет повноти і точності) біографії претендента;
        
        c. підтвердження заявленої освіти і професійної кваліфікації;
        
        d. незалежну перевірку достовірності документів, що засвідчують особу (паспорта або його замінює);
        
        e. більш детальну перевірку, наприклад кредитоспроможності або на наявність судимості.
    - - Умови зайнятості повинні відображати політику безпеки організації і крім того роз'яснювати і констатувати:
        
        a. що всі співробітники, підрядники та представники третьої сторони, які мають доступ до чутливої інформації, повинні підписувати угоду про конфіденційність або нерозголошення перш, ніж їм буде надано доступ до засобів обробки інформації;
        
        b. правову відповідальність і права співробітників, підрядників і будь-яких інших клієнтів, наприклад, в частині законів про авторське право або законодавства про захист персональних даних (див. 15.1.1 та 15.1.2);
        
        c. обов'язки щодо класифікації інформації та менеджменту активів організації, пов'язаних з інформаційними системами та послугами, виконуються співробітником, підрядником або представником третьої сторони (див. 7.2.1 та 10.7.3);
        
        d. відповідальність співробітника, підрядника або представника третьої сторони за обробку інформації, одержуваної від інших фірм і сторонніх організацій;
        
        e. відповідальність організації за обробку персональної інформації, включаючи персональну інформацію, отриману в результаті або в процесі роботи в організації (див. 15.1.4);
        
        f. відповідальність, що поширюється також і на роботу поза приміщеннями організації і в неробочий час, наприклад в разі виконання роботи на дому (див. 9.2.5 та 11.7.1);
        
        g. дії, які повинні бути зроблені в разі, якщо співробітник, підрядник або представник третьої сторони ігнорує вимоги безпеки організації (див. 8.2.3).
  - - - Керівництво зобов'язане забезпечити впевненість у тому, що співробітники, підрядники та представники третьої сторони:
        
        a. були проінформовані про свої ролі і обов'язки в області інформаційної безпеки перш, ніж їм було надано доступ до чутливої інформації або інформаційним системам;
        
        b. забезпечені рекомендаціями щодо формулювання їх передбачуваних ролей щодо безпеки в рамках організації;
        
        c. зацікавлені слідувати політикам безпеки організації;
        
        d. досягають рівня обізнаності щодо безпеки, відповідного їх ролям і обов'язків в організації (див. 8.2.2);
        
        e. слідують умовам зайнятості, які включають політику інформаційної безпеки організації і відповідні методи роботи;
        
        f. продовжують підтримувати відповідні навички та кваліфікацію.
- - - - Відносно фізичних периметрів безпеки рекомендується розглядати і реалізовувати, при необхідності, такі рекомендації:
        
        a. периметри безпеки повинні бути чітко визначені, а розміщення і надійність кожного з периметрів повинні залежати від вимог безпеки активів, які перебувають у межах периметра, і від результатів оцінки ризику;
        
        b. периметри будівлі або приміщень, де розташовані засоби обробки інформації, повинні бути фізично міцними (тобто не повинно бути ніяких проміжків в периметрі або місць, через які можна було б легко проникнути); зовнішні стіни приміщень повинні мати тверду конструкцію, а все зовнішні двері повинні бути
        
        c. повинна бути виділена і укомплектована персоналом зона реєстрації відвідувачів, або повинні існувати інші заходи для контролю фізичного доступу в приміщення або будівлі; доступ в приміщення та будівлі повинен надаватися тільки авторизованому персоналу;
        
        d. коли це доцільно, повинні бути побудовані фізичні бар`єри, що запобігають неавторизований фізичний доступ і забруднення навколишнього середовища;
        
        e. всі аварійні виходи на випадок пожежі в периметрі безпеки повинні бути обладнані аварійною сигналізацією, повинні піддаватися моніторингу та тестування разом зі стінами, щоб створити необхідний рівень стійкості відповідно до застосовних регіональними, національними і міжнародними стандартами; вони повинні експлуатуватися відповідно до місцевої системою протипожежних правил безвідмовним чином;
        
        f. слід встановлювати необхідні системи виявлення вторгнення, що відповідають національним, регіональним або міжнародним стандартам, і регулярно тестувати їх на предмет охоплення всіх зовнішніх дверей і доступні вікон, вільні приміщення необхідно ставити на сигналізацію; аналогічно слід обладнати і інші зони, наприклад серверну кімнату або приміщення, де розташовані засоби комунікацій;
        
        g. необхідно фізично ізолювати засоби обробки інформації, контрольовані організацією, від засобів, контрольованих сторонніми організаціями.
    - - Слід брати до уваги наступні рекомендації:
        
        a. дату і час входу і виходу відвідувачів слід реєструвати, і всіх відвідувачів необхідно супроводжувати, чи вони повинні володіти відповідним допуском; доступ слід надавати тільки для виконання певних авторизованих завдань, а також необхідно інструктувати відвідувачів на предмет вимог безпеки, і дій в разі аварійних ситуацій;
        
        b. доступ до зон, де обробляється або зберігається чутлива інформація, повинен контролюватися і надаватися тільки авторизованим особам; слід використовувати засоби аутентифікації, наприклад контрольну карту доступу з персональним ідентифікаційним номером (ПІН) для авторизації і
        
        c. необхідно вимагати, щоб всі співробітники, підрядники та представники третьої сторони носили ту чи іншу форму видимого ідентифікатора і негайно повідомляли співробітників служби безпеки про помічені без супроводу відвідувачів та осіб, що не носять видимого ідентифікатора;
        
        d. доступ в зони безпеки або до засобів обробки чутливої інформації персоналу допоміжних служб третьої сторони слід надавати тільки при необхідності; такий доступ повинен бути санкціонований і супроводжуватися відповідним контролем;
        
        e. права доступу в зони безпеки слід регулярно аналізувати, переглядати, і анулювати при необхідності (див. 8.3.3).
    - - Відносно захисту будівель, виробничих приміщень і обладнання необхідно враховувати наступні рекомендації:
        
        a. слід брати до уваги відповідні правила і стандарти, що стосуються охорони здоров'я і безпеки праці;
        
        b. основне обладнання повинно бути розташоване в місцях, де обмежений доступ стороннім особам;
        
        c. будівлі, де це може бути застосовано, повинні давати мінімальну інформацію щодо їх призначення, не повинні мати явних ознак зовні або всередині будівлі, що дозволяють встановити наявність діяльності по обробці інформації;
        
        d. довідники та внутрішні телефонні книги, які вказують на місце розташування засобів обробки чутливої інформації, не повинні бути легкодоступними для сторонніх осіб.
    - - Для запобігання шкоди від пожежі, повені, землетруси, вибуху, громадських заворушень та інших форм природних або антропогенних лих, слід враховувати наступні рекомендації:
        
        a. забезпечити надійне зберігання небезпечних або горючих матеріалів на достатній відстані від зони, що охороняється; великі запаси, наприклад паперу для друкуючих пристроїв, не слід зберігати в межах зони безпеки;
        
        b. резервне обладнання та носії даних слід розміщувати на безпечній відстані, щоб запобігти пошкодженню від наслідків стихійного лиха в основній будівлі;
        
        c. слід забезпечити і відповідним чином розмістити необхідні засоби пожежогасіння.
    - - Необхідно розглянути наступні рекомендації:
        
        a. про існування зони безпеки і проводяться там роботах персонал повинен бути обізнаний з «принципом необхідного знання»;
        
        b. з міркувань безпеки і запобігання можливості зловмисних дій в зонах безпеки необхідно уникати виконання роботи без належного контролю з боку уповноваженого персоналу;
        
        c. порожні зони безпеки повинні бути фізично замкнені і їх стан необхідно періодично перевіряти;
        
        d. використання фото-, відео-, аудіо- та іншого обладнання для запису, наприклад камер, наявних в мобільних пристроях, має бути заборонено, якщо тільки на це не отримано спеціальний дозвіл.
    - - Необхідно розглянути наступні рекомендації:
        
        a. доступ до зони приймання та відвантаження з зовнішньої сторони будівлі повинен бути дозволений тільки певному і авторизованому персоналу;
        
        b. зона приймання та відвантаження повинна бути організована так, щоб надходять матеріальні цінності могли бути розвантажені без надання персоналу постачальника доступу до інших частин будівлі;
        
        c. повинна бути забезпечена безпека зовнішніх дверей зони приймання та відвантаження в той час, коли внутрішні двері відкриті;
        
        d. надходять матеріальні цінності повинні бути перевірені на предмет потенційних загроз (Див. Перелік d) 9.2.1) перш, ніж вони будуть переміщені із зони приймання та відвантаження до місця використання;
        
        e. при надходженні матеріальні цінності повинні реєструватися відповідно до процедур менеджменту активів (див. 7.1.1);
        
        f. там, де можливо, що ввозяться і вивозяться вантажі повинні бути фізично розділені.
  - - - Необхідно розглянути наступні рекомендації щодо захисту обладнання:
        
        a. обладнання слід розміщувати таким чином, щоб звести до мінімуму зайвий доступ в робочі зони;
        
        b. засоби обробки інформації, що обробляють чутливі дані, слід розміщувати і обмежувати кут огляду таким чином, щоб зменшити ризик перегляду інформації неавторизованими особами під час їх використання, а кошти зберігання інформації слід захищати від несанкціонованого доступу;
        
        c. окремі елементи обладнання, що вимагають спеціального захисту, слід ізолювати для зниження загального рівня необхідного захисту;
        
        d. заходи і засоби контролю і управління повинні бути впроваджені таким чином, щоб звести до мінімуму ризик потенційних фізичних загроз (крадіжка, пожежа, вибухи, задимлення, затоплення або несправність водопостачання, пил, вібрація, хімічний вплив, перешкоди в електропостачанні, перешкоди в роботі ліній зв'язку, електромагнітне випромінювання і вандалізм);
        
        e. необхідно встановлювати правила щодо прийому їжі, пиття і куріння поблизу коштів обробки інформації;
        
        f. слід проводити моніторинг стану навколишнього середовища по виявленню умов, наприклад температури і вологості, які могли б мати несприятливий вплив на функціонування засобів обробки інформації;
        
        g. на всіх будівлях повинен бути встановлений захист від блискавки, а фільтри захисту від блискавки повинні бути встановлені на вході всіх ліній електропередачі та ліній комунікації;
        
        h. щодо обладнання, розташованого в промисловому середовищі, слід використовувати спеціальні засоби захисту, наприклад захисні плівки для клавіатури;
        
        i. обладнання, обробляє чутливу інформацію, має бути захищене, щоб звести до мінімуму ризик витоку інформації внаслідок випромінювання.
    - - Відносно безпеки кабельної мережі слід розглянути наступні рекомендації:
        
        a. силові та телекомунікаційні лінії, пов'язані із засобом обробки інформації, повинні, по можливості, розташовуватися під землею або мати адекватну альтернативну захист;
        
        b. мережевий кабель повинен бути захищений від неавторизованих підключень або пошкодження, наприклад за допомогою використання спеціального кожуха або вибору маршрутів прокладки кабелю в обхід загальнодоступних ділянок;
        
        c. силові кабелі повинні бути відокремлені від комунікаційних, щоб запобігати перешкоди;
        
        d. слід використовувати кабель та обладнання з чіткою маркіровкою, щоб звести до мінімуму експлуатаційні помилки, наприклад випадкового внесення виправлень при ремонті мережевих кабелів;
        
        e. для зменшення ймовірності помилок слід використовувати документально оформлений перелік виправлень;
        
        f. додаткові заходи і засоби контролю і управління для чутливих або критичних систем включають:
        
        1) використання армованого кабельного каналу, а також закритих приміщень або шаф в контрольних і кінцевих точках;
        
        2) використання дублюючих маршрутів прокладки кабелю і (або) альтернативних способів передачі, що забезпечують відповідну безпеку;
        
        3) використання оптико-волоконних ліній зв'язку;
        
        4) використання електромагнітного екранування для захисту кабелів;
        
        5) проведення технічних оглядів і фізичних перевірок підключення неавторизованих пристроїв до кабельної мережі;
        
        6) керований доступ до комутаційних панелей і електрощитових.
    - - Відносно технічного обслуговування обладнання слід розглянути наступні рекомендації:
        
        a. обладнання повинно обслуговуватися відповідно до рекомендованими постачальником періодичністю і специфікаціями;
        
        b. технічне обслуговування та ремонт обладнання повинні проводитися тільки авторизованим персоналом;
        
        c. слід зберігати записи про всіх передбачуваних або фактичних несправності і всіх видах профілактичного обслуговування;
        
        d. якщо заплановано технічне обслуговування обладнання, слід вживати відповідних заходів і засоби контролю і управління, при цьому необхідно враховувати, чи буде технічне обслуговування проводитися персоналом організації або за її межами; при необхідності, чутлива інформація з обладнання повинна бути видалена, або фахівці з технічного обслуговування і ремонту повинні мати відповідний допуск;
        
        e. повинні дотримуватися всі вимоги, що встановлюються полісами страхування.
    - - Наступні рекомендації необхідно враховувати щодо захисту обладнання, що використовується поза приміщеннями організації:
        
        a. обладнання і носії інформації, узяті з приміщень організації, не слід залишати без нагляду в загальнодоступних місцях; під час поїздок портативні комп'ютери потрібно перевозити як ручну поклажу і по можливості маскувати;
        
        b. необхідно дотримуватися інструкції виробників щодо захисту обладнання, наприклад щодо захисту від впливу сильних електромагнітних полів;
        
        c. для роботи на дому слід визначити відповідні заходи і засоби контролю і управління, виходячи з оцінки ризиків, наприклад використання замикаються шаф для зберігання документів, дотримання політики «чистого стола», управління доступом до комп'ютерів і зв'язок з офісом по захищеним мережам (див. також ISO / IEC 18028 «Мережева Безпека»);
        
        d. з метою захисту устаткування, використовуваного поза приміщеннями організації, повинно проводитися адекватне страхування, яке покриває зазначені ризики.
    - - Необхідно враховувати наступні рекомендації:
        
        a. обладнання, інформацію або програмне забезпечення можна використовувати поза приміщеннями організації тільки при наявності відповідного дозволу;
        
        b. співробітники, підрядники та представники третьої сторони, які мають право дозволяти переміщення активів за межі місця експлуатації, повинні бути чітко визначені;
        
        c. терміни переміщення обладнання повинні бути встановлені і перевірені на відповідність при повернення;
        
        d. там, де необхідно і доречно, обладнання слід реєструвати при переміщенні з приміщень організації та при поверненні.