СТАНДАРТ ISO/IEC 27002 (Ч.4)

Придбання, розробка та експлуатація інформаційних систем (ІС)

Менеджмент інцидентів інформаційної безпеки (ІБ)

Менеджмент безперервності бізнесу

Відповідність

Вимоги безпеки інформаційних систем

Коректна обробка в прикладних програмах

Криптографічні заходи і засоби контролю і управління

Безпека системних файлів

Безпека у процесах розробки та підтримки

Менеджмент технічних вразливостей

Оповіщення про події та вразливості інформаційної безпеки

Менеджмент інцидентів інформаційної безпеки та необхідне вдосконалення

Аспекти інформаційної безпеки в рамках менеджменту безперервності бізнесу

Відповідність вимогам законодавства

Відповідність політикам безпеки і стандартам, технічну відповідність

Розгляд аудиту інформаційних систем

Аналіз вимог безпеки і специфікація

Міра і засіб контролю і управління
Необхідно, щоб у формулюваннях вимог бізнесу для нових інформаційних систем або при модернізації існуючих інформаційних систем були визначені вимоги до заходів і засобів контролю та управління безпеки.

Підтвердження коректності вхідних даних

Управління внутрішньої обробкою

Цілісність повідомлень

Підтвердження вихідних даних

Політика використання криптографічних заходів і засобів контролю та управління

Управління ключами

Управління експлуатаційним програмним забезпеченням

Захист тестових даних системи

Управління доступом до вихідних текстів програм

Процедури управління змінами

Технічна перевірка прикладних програм після змін експлуатованої системи

Обмеження на зміни пакетів програм

Витік інформації

Аутсорсинг розробки програмного забезпечення

Управління технічними уразливими

Оповіщення про події інформаційної безпеки

Оповіщення про уразливість безпеки

Обов'язки та процедури

Витяг уроків з інцидентів інформаційної безпеки

Збір доказів

Включення інформаційної безпеки в процес менеджменту безперервності бізнесу

Безперервність бізнесу та оцінка ризику

Розробка і впровадження планів безперервності бізнесу, які враховують інформаційну безпеку

Основи планування безперервності бізнесу

Тестування, підтримка і перегляд планів безперервності бізнесу

Визначення застосовного законодавства

Права на інтелектуальну власність

Захист документів організації

Захист даних і конфіденційність персональних даних

Запобігання нецільового використання коштів обробки інформації

Регулювання криптографічних заходів і засобів контролю та управління

Відповідність політикам та стандартам безпеки

Перевірка технічної відповідності

Запобіжні і засоби контролю і управління аудиту інформаційних систем

Захист інструментальних засобів аудиту інформаційних систем

Міра і засіб контролю і управління
Вхідні дані для прикладних програм повинні проходити процедуру підтвердження з метою забезпечення впевненості в їх коректності та відповідності.

Міра і засіб контролю і управління
Підтверджують перевірки повинні бути включені в прикладні програми з метою виявлення будь-якого спотворення інформації внаслідок помилок обробки або навмисних дій.

Міра і засіб контролю і управління
Необхідно визначити вимоги щодо забезпечення автентичності та захисту цілісності повідомлень в прикладних програмах, а також ідентифікувати і впровадити відповідні заходи і засоби контролю і управління.

Міра і засіб контролю і управління
Дані, що виводяться з прикладної програми, повинні бути перевірені з метою забезпечення впевненості в коректності обробки інформації, що зберігається і відповідності вимогам.

Міра і засіб контролю управління
З метою захисту інформації необхідно розробити і реалізувати політику щодо використання криптографічних заходів і засобів контролю та управління.

Міра і засіб контролю і управління
Для підтримки використання організацією криптографічних методів необхідно застосовувати управління ключами.

Міра і засіб контролю і управління
Необхідно застосовувати процедури контролю установки програмного забезпечення в експлуатованих системах.

Міра і засіб контролю і управління
Дані тестування слід ретельно відбирати, захищати і контролювати.

Міра і засіб контролю управління
Доступ до вихідних текстів програм необхідно обмежувати.

Міра і засіб контролю і управління
Внесення змін слід контролювати, використовуючи формальні процедури управління змінами.

Міра і засіб контролю і управління
При внесенні змін до експлуатовані системи прикладні програми, що мають велике значення для бізнесу, слід аналізувати і тестувати з метою забезпечення впевненості в тому, що не надається несприятливого впливу на функціонування або безпеку організації.

Міра і засіб контролю і управління
Необхідно уникати модифікацій пакетів програм, обмежуватися необхідними змінами і строго контролювати всі зроблені зміни.

Міра і засіб контролю і управління
Можливість витоку інформації повинна бути відвернена.

Міра і засіб контролю і управління
Аутсорсинг розробки програмного забезпечення повинен бути під наглядом і контролем організації.

Міра і засіб контролю управління
Необхідно отримувати своєчасну інформацію про технічні вразливості використовуваних інформаційних систем, оцінювати незахищеність організації щодо таких вразливостей і вживати відповідних заходів для розгляду пов'язаного з ними ризику.

Міра і засіб контролю і управління
Про події інформаційної безпеки необхідно негайно повідомляти через відповідні канали управління.

Міра і засіб контроля управління
Від усіх співробітників, підрядників і представників третьої сторони, що мають справу з інформаційними системами та послугами, необхідно вимагати, щоб вони звертали увагу і повідомляли про будь-які помічені або передбачуваних вразливості в області безпеки в відношенні систем або послуг.

Міра і засіб контролю і управління
Необхідно встановлювати обов'язки посадових осіб щодо здійснення менеджменту та процедури для забезпечення швидкого, ефективного та належного реагування на інциденти інформаційної безпеки.

Міра і засіб контролю і управління
Повинні бути створені механізми, що дозволяють встановити типи, обсяги і збитки, викликані інцидентами інформаційної безпеки, які повинні бути виміряні і проконтрольовані.

Міра і засіб контролю управління
У тих випадках, коли наступні дії проти особи або організації після інциденту безпеки призводять до судового позову (як цивільного, так і кримінального), докази повинні бути зібрані, збережені і представлені відповідно до правил збору доказів, викладених у відповідних юрисдикціях.

Міра і засіб контролю і управління:
Слід розробляти та підтримувати керований процес для забезпечення безперервності бізнесу в усій організації, який враховує вимоги до інформаційної безпеки, необхідні для забезпечення безперервності бізнесу організації.

Міра і засіб контролю і управління:
Події, які можуть стати причиною переривань процесів бізнесу, необхідно визначати разом з ймовірністю і впливом таких переривань, а також їх наслідками для інформаційної безпеки.

Міра і засіб контролю і управління:
Слід розробити і впровадити плани забезпечення безперервності бізнесу з метою підтримки або відновлення операцій і забезпечення доступності інформації на необхідному рівні та в потрібні терміни після переривання або збою критичних процесів бізнесу.

Міра і засіб контролю і управління:
Слід підтримувати єдину структуру планів безперервності бізнесу, щоб забезпечити впевненість у тому, що всі плани узгоджені відповідно до розглянутими вимогами інформаційної безпеки і встановлених пріоритетів для тестування і обслуговування.

Міра і засіб контролю і управління:
Плани безперервності бізнесу необхідно регулярно тестувати та оновлювати з метою забезпечення впевненості в їх актуальності та ефективності.

Міра і засіб контролю і управління:
Все застосовні правові, нормативні та договірні вимоги та підхід організації до виконання цих вимог слід чітко визначити, документально оформити і підтримувати на актуальному рівні по відношенню до кожної інформаційної системи та організації.

Міра і засіб контролю управління:
Необхідно впровадити відповідні процедури для забезпечення впевненості в дотриманні законодавчих, нормативних та договірних вимог по використанню матеріалів, відносно яких можуть бути права на інтелектуальну власність, і по використанню пропрієтарних програмних продуктів.

Міра і засіб контролю управління:
Важливі документи організації необхідно захищати від втрати, руйнування і фальсифікації в відповідно до законодавчих, нормативних та договірними вимогами, а також вимогами бізнесу.

Міра і засіб контролю управління:
Повинна бути забезпечена впевненість у захисті даних та персональних даних відповідно до вимогами відповідних законодавчих і нормативних актів і, в разі необхідності, умов договорів.

Міра і засіб контролю і управління:
Користувачів слід утримувати від застосування засобів обробки інформації для несанкціонованих цілей.

Міра і засіб контролю управління:
Криптографічні заходи і засоби контролю і управління повинні використовуватися з дотриманням всіх відповідних угод, законів і нормативних актів.

Міра і засіб контролю і управління:
Керівники повинні забезпечити впевненість у тому, що всі процедури безпеки в межах їх зони відповідальності виконуються правильно, для того щоб досягти відповідності політикам та стандартам безпеки.

Міра і засіб контролю управління:
Інформаційні системи слід регулярно перевіряти на відповідність стандартам безпеки.

Міра і засіб контролю управління:
Вимоги і процедури аудиту, що включають перевірки експлуатованих систем, необхідно ретельно планувати і погоджувати, щоб звести до мінімуму ризик порушення процесів бізнесу.

Міра і засіб контролю і управління:
Доступ до інструментальним кошти, що застосовуються при проведенні аудиту інформаційних систем, необхідно захищати, щоб запобігти будь-яке можливе їх неправильне використання або компрометацію.

a) обмеження на імпорт і (або) експорт комп'ютерних апаратних і програмних засобів для виконання криптографічних функцій;

b) обмеження на імпорт і (або) експорт комп'ютерних апаратних і програмних засобів, які розроблені таким чином, що мають в якості доповнення криптографічні функції;

c) обмеження на використання шифрування;

d) обов'язкові або представлені на власний розсуд методи доступу державних органів до інформації, зашифрованої за допомогою апаратних або програмних засобів для забезпечення конфіденційності змісту.

a) розробити рекомендації щодо термінів, порядку зберігання і обробки, а також знищення документів і інформації;

b) скласти графіки зберігання із зазначенням документів і періоду, протягом якого їх необхідно зберігати;

c) підтримувати ведення обліку джерел ключової інформації;

d) необхідно впровадити відповідні заходи і засоби контролю і управління з метою захисту документів і інформації від втрати, руйнування і фальсифікації.

a. використання функцій додавання, модифікації і видалення для здійснення змін даних;

b. процедури, що не допускають запуск програм, виконуваних в неправильній послідовності або виконуваних після збою в попередньої обробки;

c. використання відповідних програм для відновлення після збоїв і забезпечення правильної обробки даних;

d. захист від атак, що використовують перевантаження/переповнення буфера

a) оновлення експлуатованого програмного забезпечення, прикладних програм і бібліотек програм повинні виконувати тільки навчені адміністратори при наявності відповідного дозволу керівництва (див. 12.4.3); і не повинні містити коди розробки або компілятори;

b) прикладні програми та програмне забезпечення слід впроваджувати в експлуатований систему тільки після всебічного і успішного тестування, яке повинно виконуватися на ізольованих системах і включати в себе тести на придатність до експлуатації, безпека, вплив на інші системи і зручність для користувача (див. 10.1.4); необхідно забезпечити впевненість у тому, що всі відповідні бібліотеки вихідних текстів програм були оновлені;

c) заходи і засоби контролю і управління конфігурацією системи необхідно використовувати згідно системної документації для збереження управління всім реалізованим програмним забезпеченням;

d) перш ніж зміни будуть реалізовані, необхідно застосовувати метод відкоту;

e) в контрольному журналі повинні бути збережені всі оновлення експлуатованої бібліотеки програм;

f) попередні версії прикладного програмного забезпечення слід зберігати на випадок непередбачених обставин;

g) старі версії програмного забезпечення слід архівувати разом з усією необхідною інформацією та параметрами, процедурами, конфігураційними деталями і підтримує програмним забезпеченням до тих пір, поки дані зберігаються в архіві.