Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/ІЕС 27002 «ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ. МЕТОДИКИБЕЗПЕКИ. ПРАКТИЧНІ…

- - - - Управління змінами
        Експлуатовані системи і прикладне програмне забезпечення повинні бути предметом суворого контролю управління змінами.
        
        планування і тестування змін;
        
        оцінку можливих наслідків, включаючи наслідки для безпеки,
        таких змін
        
        визначення та реєстрацію істотних змін;
      - Розподіл обов'язків
        
        Це спосіб зведення до мінімуму ризику
        нецільового використання систем внаслідок помилкових або зловмисних дій користувачів.
      - Документальне оформлення експлуатаційних процедур
        Дані процедури повинні містити детальні інструкції щодо виконання кожної роботи, включаючи:
        
        резервування
        
        необхідні контакти на випадок несподіваних експлуатаційних або технічних проблем;
        
        обробку і управління інформацією;
      - Поділ засобів розробки, тестування та експлуатації
        
        Рівень поділу між середовищами експлуатації, тестування і розробки, необхідний для запобігання проблем експлуатації, повинен бути визначений і при цьому повинні бути реалізовані відповідні заходи і засоби контролю і управління
        
        розробка і експлуатація програмного забезпечення повинна
        здійснюватися на різних системах або комп'ютерах в різних доменах або директоріях;
        
        середовище системи тестування повинна емулювати середу
        експлуатації настільки точно, наскільки це можливо;
        
        правила перекладу програмного забезпечення зі статусу
        розроблюваного в статус прийнятого до експлуатації повинні бути визначені і документально оформлені;
  - - - Моніторинг та аналіз послуг третьої сторони
        
        Необхідно регулярно проводити моніторинг і аналіз послуг, звітів і записів, які забезпечуються третьою стороною, і регулярно проводити аудити.
      - Управління змінами послуг третьої сторони
        
        Зміни в наданні послуг, включаючи підтримку і поліпшення існуючих політик, процедур, заходів та засобів контролю і управління інформаційної безпеки, повинні здійснюватися з урахуванням критичності яких торкається систем і процесів бізнесу, а також переоцінки ризиків
      - Надання послуг
        
        Необхідно забезпечувати впевненість в тому, що заходи і засоби контролю і управління безпеки, визначення послуг та рівні надання послуг, які підтверджують договір про надання послуг третьою стороною, реалізуються, функціонують і підтримуються третьою стороною.
  - - - Управління продуктивністю
        
        Використання ресурсів необхідно прогнозувати, виходячи з майбутніх вимог до продуктивності, налаштовувати і контролювати, щоб забезпечити впевненість у досягненні необхідних експлуатаційних даних системи.
      - Приймання систем
        
        Повинні бути визначені критерії приймання для нових інформаційних систем, оновлень і нових версій, окрім того, необхідно тестувати системи протягом їх розробки і перед їх прийманням.
  - - - Заходи і засоби контролю і управління проти шкідливої
        програми
        
        Необхідно впровадити заходи і засоби контролю і управління, пов'язані з виявленням, попередженням та відновленням, з метою захисту від шкідливої програми, а також процедури, що забезпечують відповідну обізнаність користувачів
      - Заходи і засоби контролю і управління при використанні
        мобільного програми
        
        Там, де дозволено використання мобільного програми, конфігурація повинна забезпечувати впевненість у тому, що дозволена мобільна програма функціонує відповідно до ясно сформульованої політикою безпеки, а виконання невирішеною мобільного програми буде заборонено.
  - - - Резервування інформації
        
        Створення резервних копій інформації та програмного забезпечення повинно виконуватися і тестуватися на регулярній основі відповідно до встановленої політики резервування
  - - - Заходи і засоби контролю і управління мережами
        
        Мережі повинні адекватно справлятися і контролюватися, щоб бути захищеними від загроз і забезпечити безпеку систем і прикладних програм, що використовують мережу, включаючи інформацію під час її передачі.
      - Безпека мережевих послуг
        
        Засоби забезпечення безпеки, рівні послуг і вимоги щодо менеджменту всіх мережевих послуг повинні бути визначені і включені в будь-який договір з мережних послуг, незалежно від того, чи будуть вони забезпечуватися силами організації або в рамках договорів аутсорсинг
  - - - Утилізація носіїв інформації
        
        Носії інформації, коли в них більше немає необхідності, слід надійно і безпечно утилізувати, використовуючи формальні процедури.
      - Процедури обробки інформації
        
        З метою забезпечення захисту інформації від несанкціонованого розкриття або неправильного використання необхідно визначити процедури обробки та зберігання інформації.
      - Менеджмент змінних носіїв інформації
        
        Повинні існувати процедури щодо менеджменту змінних носіїв
        інформації.
      - Безпека системної документації
        
        Системна документація повинна бути захищена від несанкціонованого доступу.
  - - - Політики та процедури обміну інформацією
        
        Повинні існувати формальні політики, процедури та заходи і засоби контролю і управління в щодо обміну інформацією з метою захисту такого обміну, коли використовуються всі типи засобів зв'язку
      - Угоди з обміну інформацією
        
        Необхідно укладати угоди з обміну інформацією та програмним забезпеченням між організацією і сторонніми організаціями.
      - Фізичні носії інформації при транспортуванні
        
        Носії інформації повинні бути захищені від несанкціонованого доступу, неправильного використання або пошкодження під час їх транспортування за межами організації
- - - - Захист портів дистанційної діагностики та конфігурації
        
        Фізичний і логічний доступ для портів дистанційної діагностики та конфігурації повинен бути контрольованим і керованим.
      - Поділ в мережах
        
        Групи інформаційних послуг, користувачів та інформаційних систем в межах мережі повинні бути розділені.
      - Ідентифікація обладнання в мережах
        
        Автоматичну ідентифікацію обладнання необхідно розглядати як засіб для аутентифікації для підключення згідно здійснюваних з певних місць або певного обладнання.
      - Управління мережевими з'єднаннями
        
        Приєднання користувачів до спільно використовуваних мереж, особливо тим, які виходять за рамки організації, необхідно обмежувати відповідно до політики управління доступом і вимогами прикладних програм бізнесу
      - Автентифікація користувача для зовнішніх з'єднань
        
        Для управління доступом віддалених користувачів слід застосовувати відповідні методи аутентифікації.
      - Управління мережевий маршрутизацією
        
        Для мереж слід впроваджувати заходи і засоби контролю і управління маршрутизацією, щоб забезпечити впевненість у тому, що приєднання комп'ютерів і інформаційні потоки не порушують політику управління доступом до прикладних програм бізнесу.
      - Політика використання мережевих послуг
        
        Користувачам слід надавати доступ тільки до тих послуг, на
        використання яких вони були спеціально уповноважені.
  - - - Система управління паролями
        
        Системи управління паролями повинні бути інтерактивними і повинні
        забезпечувати впевненість у як паролі.
      - Використання системних утиліт
        
        Використання утиліт, які могли б обійти заходи і засоби контролю і управління експлуатованих систем і прикладних програм, слід обмежувати і строго контролювати.
      - Ідентифікація та аутентифікація користувача
        
        Необхідно, щоб всі користувачі мали унікальний ідентифікатор , призначений тільки для їх особистого
        використання, і повинен бути обраний відповідний спосіб перевірки для підтвердження заявленої автентичності користувача.
      - Ліміт часу сеансу зв'язку
        
        Неактивні сеанси повинні бути закриті після певного періоду
        бездіяльності
      - Безпечні процедури започаткування сеансу
        
        Доступ до експлуатованих систем повинен контролюватися за
        допомогою безпечної процедури початку сеансу
      - Обмеження часу з'єднання
        
        Обмеження на час з'єднання повинні бути використані для забезпечення додаткової безпеки прикладних програм з високим ступенем ризику.
  - - - Обладнання користувача, залишене без нагляду
        
        Користувачі повинні забезпечувати відповідний захист обладнання,
        залишеного без нагляду
      - Політика «чистого стола» та «чистого екрану»
        
        Необхідно прийняти політику «чистого стола» щодо паперових документів і змінних носіїв даних, а також політику «чистого екрану» щодо засобів обробки інформації
      - Використання паролів
        
        Користувачі повинні дотримуватися загальноприйнятої практики в області безпеки при виборі і використанні паролів
  - - - Обмеження доступу до інформації
        
        Доступ користувачів і персоналу підтримки до інформації і функцій прикладних систем повинен обмежуватися відповідно до певної політики щодо управління доступом
      - Ізоляція чутливих систем
        
        Чутливі системи повинні мати спеціалізовану (ізольовану)
        обчислювальну середу.
  - - - Управління привілеями
        
        Надання і використання привілеїв необхідно обмежувати і
        контролювати.
      - Управління паролями користувачів
        
        Розподіл паролів необхідно контролювати за допомогою формального процесу управління.
      - Реєстрація користувачів
        
        Необхідна формальна процедура реєстрації та зняття з обліку
        користувачів щодо надання та скасування доступу до всіх інформаційних систем і послуг
      - Перегляд прав доступу користувачів
        
        Керівництво повинно здійснювати формальний процес періодичного перегляду прав доступу користувачів.
  - - - Мобільна обчислювальна техніка і зв'язок
        
        Необхідно прийняти формальну політику і забезпечити відповідні заходи безпеки для захисту від ризиків, пов'язаних з роботою із засобами мобільного обчислювальної техніки і зв'язку
      - Дистанційна робота
        
        Політика, плани і процедури експлуатації повинні бути розроблені і впроваджені для дистанційної роботи
  - - - Політика управління доступом
        
        Політика управління доступом повинна створюватися, документально оформлятися і переглядатися з урахуванням вимог бізнесу і безпеки для доступу.