Please enable JavaScript.
Coggle requires JavaScript to display documents.
СТАНДАРТ ISO/IEC 27002 (Ч.4) - Coggle Diagram
СТАНДАРТ ISO/IEC 27002 (Ч.4)
Придбання, розробка та експлуатація інформаційних систем (ІС)
Вимоги безпеки інформаційних систем
Аналіз вимог безпеки і специфікація
Міра і засіб контролю і управління
Необхідно, щоб у формулюваннях вимог бізнесу для нових інформаційних систем або при модернізації існуючих інформаційних систем були визначені вимоги до заходів і засобів контролю та управління безпеки.
Коректна обробка в прикладних програмах
Підтвердження коректності вхідних даних
Міра і засіб контролю і управління
Вхідні дані для прикладних програм повинні проходити процедуру підтвердження з метою забезпечення впевненості в їх коректності та відповідності.
Управління внутрішньої обробкою
Міра і засіб контролю і управління
Підтверджують перевірки повинні бути включені в прикладні програми з метою виявлення будь-якого спотворення інформації внаслідок помилок обробки або навмисних дій.
a. використання функцій додавання, модифікації і видалення для здійснення змін даних;
b. процедури, що не допускають запуск програм, виконуваних в неправильній послідовності або виконуваних після збою в попередньої обробки;
c. використання відповідних програм для відновлення після збоїв і забезпечення правильної обробки даних;
d. захист від атак, що використовують перевантаження/переповнення буфера
Цілісність повідомлень
Міра і засіб контролю і управління
Необхідно визначити вимоги щодо забезпечення автентичності та захисту цілісності повідомлень в прикладних програмах, а також ідентифікувати і впровадити відповідні заходи і засоби контролю і управління.
Підтвердження вихідних даних
Міра і засіб контролю і управління
Дані, що виводяться з прикладної програми, повинні бути перевірені з метою забезпечення впевненості в коректності обробки інформації, що зберігається і відповідності вимогам.
Криптографічні заходи і засоби контролю і управління
Політика використання криптографічних заходів і засобів контролю та управління
Міра і засіб контролю управління
З метою захисту інформації необхідно розробити і реалізувати політику щодо використання криптографічних заходів і засобів контролю та управління.
Управління ключами
Міра і засіб контролю і управління
Для підтримки використання організацією криптографічних методів необхідно застосовувати управління ключами.
Безпека системних файлів
Управління експлуатаційним програмним забезпеченням
Міра і засіб контролю і управління
Необхідно застосовувати процедури контролю установки програмного забезпечення в експлуатованих системах.
a) оновлення експлуатованого програмного забезпечення, прикладних програм і бібліотек програм повинні виконувати тільки навчені адміністратори при наявності відповідного дозволу керівництва (див. 12.4.3); і не повинні містити коди розробки або компілятори;
b) прикладні програми та програмне забезпечення слід впроваджувати в експлуатований систему тільки після всебічного і успішного тестування, яке повинно виконуватися на ізольованих системах і включати в себе тести на придатність до експлуатації, безпека, вплив на інші системи і зручність для користувача (див. 10.1.4); необхідно забезпечити впевненість у тому, що всі відповідні бібліотеки вихідних текстів програм були оновлені;
c) заходи і засоби контролю і управління конфігурацією системи необхідно використовувати згідно системної документації для збереження управління всім реалізованим програмним забезпеченням;
d) перш ніж зміни будуть реалізовані, необхідно застосовувати метод відкоту;
e) в контрольному журналі повинні бути збережені всі оновлення експлуатованої бібліотеки програм;
f) попередні версії прикладного програмного забезпечення слід зберігати на випадок непередбачених обставин;
g) старі версії програмного забезпечення слід архівувати разом з усією необхідною інформацією та параметрами, процедурами, конфігураційними деталями і підтримує програмним забезпеченням до тих пір, поки дані зберігаються в архіві.
Захист тестових даних системи
Міра і засіб контролю і управління
Дані тестування слід ретельно відбирати, захищати і контролювати.
Управління доступом до вихідних текстів програм
Міра і засіб контролю управління
Доступ до вихідних текстів програм необхідно обмежувати.
Безпека у процесах розробки та підтримки
Процедури управління змінами
Міра і засіб контролю і управління
Внесення змін слід контролювати, використовуючи формальні процедури управління змінами.
Технічна перевірка прикладних програм після змін експлуатованої системи
Міра і засіб контролю і управління
При внесенні змін до експлуатовані системи прикладні програми, що мають велике значення для бізнесу, слід аналізувати і тестувати з метою забезпечення впевненості в тому, що не надається несприятливого впливу на функціонування або безпеку організації.
Обмеження на зміни пакетів програм
Міра і засіб контролю і управління
Необхідно уникати модифікацій пакетів програм, обмежуватися необхідними змінами і строго контролювати всі зроблені зміни.
Витік інформації
Міра і засіб контролю і управління
Можливість витоку інформації повинна бути відвернена.
Аутсорсинг розробки програмного забезпечення
Міра і засіб контролю і управління
Аутсорсинг розробки програмного забезпечення повинен бути під наглядом і контролем організації.
Менеджмент технічних вразливостей
Управління технічними уразливими
Міра і засіб контролю управління
Необхідно отримувати своєчасну інформацію про технічні вразливості використовуваних інформаційних систем, оцінювати незахищеність організації щодо таких вразливостей і вживати відповідних заходів для розгляду пов'язаного з ними ризику.
Менеджмент інцидентів інформаційної безпеки (ІБ)
Оповіщення про події та вразливості інформаційної безпеки
Оповіщення про події інформаційної безпеки
Міра і засіб контролю і управління
Про події інформаційної безпеки необхідно негайно повідомляти через відповідні канали управління.
Оповіщення про уразливість безпеки
Міра і засіб контроля управління
Від усіх співробітників, підрядників і представників третьої сторони, що мають справу з інформаційними системами та послугами, необхідно вимагати, щоб вони звертали увагу і повідомляли про будь-які помічені або передбачуваних вразливості в області безпеки в відношенні систем або послуг.
Менеджмент інцидентів інформаційної безпеки та необхідне вдосконалення
Обов'язки та процедури
Міра і засіб контролю і управління
Необхідно встановлювати обов'язки посадових осіб щодо здійснення менеджменту та процедури для забезпечення швидкого, ефективного та належного реагування на інциденти інформаційної безпеки.
Витяг уроків з інцидентів інформаційної безпеки
Міра і засіб контролю і управління
Повинні бути створені механізми, що дозволяють встановити типи, обсяги і збитки, викликані інцидентами інформаційної безпеки, які повинні бути виміряні і проконтрольовані.
Збір доказів
Міра і засіб контролю управління
У тих випадках, коли наступні дії проти особи або організації після інциденту безпеки призводять до судового позову (як цивільного, так і кримінального), докази повинні бути зібрані, збережені і представлені відповідно до правил збору доказів, викладених у відповідних юрисдикціях.
Менеджмент безперервності бізнесу
Аспекти інформаційної безпеки в рамках менеджменту безперервності бізнесу
Включення інформаційної безпеки в процес менеджменту безперервності бізнесу
Міра і засіб контролю і управління:
Слід розробляти та підтримувати керований процес для забезпечення безперервності бізнесу в усій організації, який враховує вимоги до інформаційної безпеки, необхідні для забезпечення безперервності бізнесу організації.
Безперервність бізнесу та оцінка ризику
Міра і засіб контролю і управління:
Події, які можуть стати причиною переривань процесів бізнесу, необхідно визначати разом з ймовірністю і впливом таких переривань, а також їх наслідками для інформаційної безпеки.
Розробка і впровадження планів безперервності бізнесу, які враховують інформаційну безпеку
Міра і засіб контролю і управління:
Слід розробити і впровадити плани забезпечення безперервності бізнесу з метою підтримки або відновлення операцій і забезпечення доступності інформації на необхідному рівні та в потрібні терміни після переривання або збою критичних процесів бізнесу.
Основи планування безперервності бізнесу
Міра і засіб контролю і управління:
Слід підтримувати єдину структуру планів безперервності бізнесу, щоб забезпечити впевненість у тому, що всі плани узгоджені відповідно до розглянутими вимогами інформаційної безпеки і встановлених пріоритетів для тестування і обслуговування.
Тестування, підтримка і перегляд планів безперервності бізнесу
Міра і засіб контролю і управління:
Плани безперервності бізнесу необхідно регулярно тестувати та оновлювати з метою забезпечення впевненості в їх актуальності та ефективності.
Відповідність
Відповідність вимогам законодавства
Визначення застосовного законодавства
Міра і засіб контролю і управління:
Все застосовні правові, нормативні та договірні вимоги та підхід організації до виконання цих вимог слід чітко визначити, документально оформити і підтримувати на актуальному рівні по відношенню до кожної інформаційної системи та організації.
Права на інтелектуальну власність
Міра і засіб контролю управління:
Необхідно впровадити відповідні процедури для забезпечення впевненості в дотриманні законодавчих, нормативних та договірних вимог по використанню матеріалів, відносно яких можуть бути права на інтелектуальну власність, і по використанню пропрієтарних програмних продуктів.
Захист документів організації
Міра і засіб контролю управління:
Важливі документи організації необхідно захищати від втрати, руйнування і фальсифікації в відповідно до законодавчих, нормативних та договірними вимогами, а також вимогами бізнесу.
a) розробити рекомендації щодо термінів, порядку зберігання і обробки, а також знищення документів і інформації;
b) скласти графіки зберігання із зазначенням документів і періоду, протягом якого їх необхідно зберігати;
c) підтримувати ведення обліку джерел ключової інформації;
d) необхідно впровадити відповідні заходи і засоби контролю і управління з метою захисту документів і інформації від втрати, руйнування і фальсифікації.
Захист даних і конфіденційність персональних даних
Міра і засіб контролю управління:
Повинна бути забезпечена впевненість у захисті даних та персональних даних відповідно до вимогами відповідних законодавчих і нормативних актів і, в разі необхідності, умов договорів.
Запобігання нецільового використання коштів обробки інформації
Міра і засіб контролю і управління:
Користувачів слід утримувати від застосування засобів обробки інформації для несанкціонованих цілей.
Регулювання криптографічних заходів і засобів контролю та управління
Міра і засіб контролю управління:
Криптографічні заходи і засоби контролю і управління повинні використовуватися з дотриманням всіх відповідних угод, законів і нормативних актів.
a) обмеження на імпорт і (або) експорт комп'ютерних апаратних і програмних засобів для виконання криптографічних функцій;
b) обмеження на імпорт і (або) експорт комп'ютерних апаратних і програмних засобів, які розроблені таким чином, що мають в якості доповнення криптографічні функції;
c) обмеження на використання шифрування;
d) обов'язкові або представлені на власний розсуд методи доступу державних органів до інформації, зашифрованої за допомогою апаратних або програмних засобів для забезпечення конфіденційності змісту.
Відповідність політикам безпеки і стандартам, технічну відповідність
Відповідність політикам та стандартам безпеки
Міра і засіб контролю і управління:
Керівники повинні забезпечити впевненість у тому, що всі процедури безпеки в межах їх зони відповідальності виконуються правильно, для того щоб досягти відповідності політикам та стандартам безпеки.
Перевірка технічної відповідності
Міра і засіб контролю управління:
Інформаційні системи слід регулярно перевіряти на відповідність стандартам безпеки.
Розгляд аудиту інформаційних систем
Запобіжні і засоби контролю і управління аудиту інформаційних систем
Міра і засіб контролю управління:
Вимоги і процедури аудиту, що включають перевірки експлуатованих систем, необхідно ретельно планувати і погоджувати, щоб звести до мінімуму ризик порушення процесів бізнесу.
Захист інструментальних засобів аудиту інформаційних систем
Міра і засіб контролю і управління:
Доступ до інструментальним кошти, що застосовуються при проведенні аудиту інформаційних систем, необхідно захищати, щоб запобігти будь-яке можливе їх неправильне використання або компрометацію.