Please enable JavaScript.
Coggle requires JavaScript to display documents.
Інтелект карта стандарту ISO/IEC 27002 Субота Роман КБ-21 -…
Інтелект карта стандарту ISO/IEC 27002 Субота Роман КБ-21
ТЕРМІНИ ТА ВИЗНАЧЕННЯ
Оцінка ризику (risk assessment) – Загальний процес аналізу ризику та оцінювання ризику.
Аналіз ризику (risk analysis) – Систематичне використання інформації для визначення джерел і
кількісної оцінки ризику.
Ризик (risk) – Поєднання ймовірності події та її наслідків.
Політика (policy) – Загальний намір і напрямок, офіційно вираженей керівництвом
Оцінювання ризику (risk evaluation) – Процес порівняння кількісно оціненого ризику із заданими
критеріями ризику для визначення значущості ризику.
Менеджмент ризику (risk management) – Скоординовані дії по керівництву і управлінню
організацією стосовно ризику.
Обробка ризику (risk treatment) – Процес вибору і здійснення заходів щодо модифікації ризику.
Інцидент інформаційної безпеки - це наслідок одного або кількох несподіваних подій, які мають значну ймовірність компрометації операцій бізнесу або створення загрози інформаційній безпеці.
Подія інформаційної безпеки - це будь-яка подія, яка дозволяє виявити порушення політики ІБ, відмову захисних заходів або виникнення невідомої раніше ситуації, що може стосуватися безпеки, через певний стан системи, сервісу або мережі
Інформаційна безпека - це захист конфіденційності, цілісності та доступності інформації, а також інших властивостей, таких як автентичність, підзвітність, неспростовності і надійність.
Засоби обробки інформації (information processing facilities) – Будь-яка система обробки
інформації, послуга чи інфраструктура, або їх фактичне місце розташування.
Третя сторона (third party) – Особи або організація, які визнані незалежними від сторін-учасниць,
по відношенню до даної проблеми.
Загроза (threat) – Потенційна причина небажаного інциденту, результатом якого може бути
нанесення шкоди системі або організації.
Вразливість (vulnerability) – Слабкість одного або декількох активів, яка може бути використана
одна чи кілька погрозами.
Рекомендація (guideline) – Опис, пояснює дії і способи їх виконання, необхідні для досягнення
цілей, викладених в політиці.
Міра і засіб контролю і управління - це засіб менеджменту ризику, який включає політики, процедури, рекомендації, інструкції або організаційні структури, адміністративного, технічного, управлінського або правового характеру.
Актив (asset) – Все, що має цінність для організації.
СТРУКТУРА ЦЬОГО СТАНДАРТУ
Кожна основна категорія безпеки включає в себе
мета управління, в якій формулюється, що має бути досягнуто
одну або більше заходів і засобів контролю та управління, за допомогою яких
можуть бути досягнуті цілі управління
Міра і засіб контролю і управління – визначається формулювання специфічних
заходів і засобів контролю і управління для досягнення мети управління.
Рекомендація щодо реалізації - це деталізована інформація, яка підтримує впровадження заходів і засобів контролю та управління для досягнення мети управління. Деякі рекомендації можуть не бути застосовними в усіх випадках, тому інші методи можуть бути більш відповідними для конкретних ситуацій.
Додаткова інформація – надається додаткова інформація, яка може бути розглянута,
наприклад правові питання і посилання на інші стандарти.
У кожному розділі міститься кілька основних категорій безпеки. цими одинадцятьма розділами
(супроводжуються кількістю основних категорій, включених в кожен розділ) є
організаційні аспекти інформаційної безпеки (2)
менеджмент активів (2)
безпеку, пов'язана з персоналом (3)
фізичний захист і захист від впливу навколишнього середовища (2)
менеджмент комунікацій і робіт (10)
управління доступом (7)
політика безпеки (1)
придбання, розробка та експлуатація інформаційних систем (6)
менеджмент інцидентів інформаційної безпеки (2)
менеджмент безперервності бізнесу (1)
відповідність (3)
ОЦІНКА І ОБРОБКА РИЗИКІВ
Оцінка ризиків інформаційної безпеки - ідентифікація, оцінка і призначення пріоритетів ризиків для захисту організації.
Щодо кожного з виявлених ризиків, слідом за оцінкою ризиків, необхідно приймати рішення по
його обробці. Можливі варіанти обробки ризиків включають в себе
свідоме та об'єктивне прийняття ризиків в тому випадку, якщо вони, безсумнівно,
задовольняють політиці і критеріям організації щодо прийняття ризиків
запобігання ризикам шляхом недопущення дій, які можуть стати причиною
виникнення ризиків;
застосування відповідних заходів і засобів контролю та управління для зниження
ризиків
перенесення взаємодіючих ризиків шляхом поділу їх з іншими сторонами,
наприклад страховиками або постачальниками.
Для ризиків, що вимагають обробки, необхідно вибирати та реалізувати заходи контролю і управління з урахуванням вимог, ідентифікованих оцінкою ризиків, для зниження їх до прийнятного рівня.
вимоги та обмеження національних і міжнародних законів і норм;
експлуатаційні вимоги і обмеження;
вартість реалізації і експлуатації стосовно знижує ризик повинна залишатися
пропорційної вимогам і обмеженням організації;
цілі організації;
ПОЛІТИКА БЕЗПЕКИ
Мета політики інформаційної безпеки - управління та підтримка вищим керівництвом забезпечення безпеки відповідно до вимог бізнесу та законодавства.
Політика інформаційної безпеки встановлює відповідальність керівництва та підхід організації до менеджменту інформаційної безпеки.
викладу намірів керівництва, що підтримують цілі і принципи інформаційної безпеки
відповідно до стратегії і цілями бізнесу
підходу до встановлення заходів і засобів контролю та управління і цілей їх застосування,
включаючи структуру оцінки ризику та менеджменту ризику
короткого роз'яснення найбільш істотних для організації політик безпеки, принципів,
стандартів і вимог відповідності, наприклад
вимоги щодо забезпечення поінформованості, навчання і тренінгу щодо безпеки
менеджмент безперервності бізнесу
відповідальність за порушення політики інформаційної безпеки
відповідність законодавчим вимогам та договірними зобов'язаннями;
визначення загальних і конкретних обов'язків співробітників в рамках менеджменту
інформаційної безпеки, включаючи інформування про інциденти безпеки
Посилання на документи, що доповнюють політику інформаційної безпеки, включають детальні політики та процедури безпеки для певних інформаційних систем, а також правила безпеки для користувачів.
Визначення інформаційної безпеки, її цілей, області застосування та значення як інструменту спільного використання інформації.
Вхідні дані для перегляду методів управління повинні включати інформацію про (о)
відповідної реакції зацікавлених сторін
результати незалежних переглядів (см. 6.1.8)
стані запобігають і коригувальних дій (див. 6.1.8 та 15.2.1);
результати попередніх переглядів методів управління
виконання процесу і відповідно політиці інформаційної безпеки;
тенденції щодо загроз і вразливостей
рекомендаціях, даних відповідними органами (див. 6.1.6)
ОРГАНІЗАЦІЙНІ АСПЕКТИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Керівництву слід
формулювати, аналізувати і затверджувати політику інформаційної безпеки
аналізувати ефективність реалізації політики інформаційної безпеки
забезпечувати чітке управління і очевидну підтримку менеджменту щодо ініціатив,
пов'язаних з безпекою
забезпечувати ресурси, необхідні для інформаційної безпеки
затверджувати певні ролі і відповідальності щодо інформаційної безпеки в рамках
організації
ініціювати плани і програми для підтримки поінформованості про інформаційну
безпеку
Така діяльність повинна
визначати спосіб усунення невідповідності
виявляти значні зміни загроз і схильність інформації і засобів обробки інформації
загрозам
оцінювати адекватність і координувати реалізацію заходів і засобів контролю та
управління інформаційної безпеки
ефективно сприяти обізнаності, навчання та тренінгу щодо інформаційної безпеки в
рамках організації
забезпечувати впевненість у тому, що забезпечення безпеки здійснюється
відповідно до політикою інформаційної безпеки
Коло обов'язків кожного керівника повинен бути чітко визначений, зокрема
рівні доступу до повинні бути чітко визначені і документально оформлені.
необхідно призначити відповідальних за кожен актив або процедуру безпеки, і
докладно описати їх обов'язки у відповідних документах (див. 7.1.2)
активи і процеси (процедури) безпеки, пов'язані з кожною конкретною системою,
повинні бути чітко визначені;
Підтримка контактів з інстанціями, такими як правоохоронні та надзвичайні служби, для виявлення та реагування на інциденти безпеки. Обов'язковість забезпечення зв'язку з провайдерами Інтернету для запобігання атак. Контакти з регулюючими органами для врахування змін у законах.
Підхід до управління інформаційною безпекою повинен перевірятися незалежно через певні інтервали часу або після значних змін.
Створення структури менеджменту для забезпечення інформаційної безпеки. Найвище керівництво встановлює політику, призначає відповідальних та співпрацює з зовнішніми фахівцями.
МЕНЕДЖМЕНТ АКТИВІВ
Існує багато типів активів, що включають
нематеріальні цінності, наприклад репутація та імідж організації.
персонал, його кваліфікація, навички та досвід
фізичні активи: комп'ютерне обладнання, засоби зв'язку, знімні носії інформації та
інше обладнання
Всі активи мають власника, який відповідає за підтримку заходів безпеки. Власник може делегувати реалізацію заходів, але залишається відповідальним за захист активів.
Всім працівникам, підрядникам і представникам третьої сторони рекомендується дотримуватися правил прийнятного використання інформації та активів, пов'язаних з обробкою інформації, включаючи:
правила використання електронної пошти та Інтернету (див. 10.8);
рекомендації щодо використання мобільних пристроїв, особливо щодо
використання їх за межами приміщень організації (див. 11.7.1
Інформацію слід класифікувати, щоб визначити необхідність, пріоритети і передбачувану ступінь
захисту при обробці інформації.
Інформацію слід класифікувати, виходячи з її цінності, законодавчих вимог, чутливості та
критичності для організації.
БЕЗПЕКА, ПОВ'ЯЗАНА З ПЕРСОНАЛОМ
Перед працевлаштуванням включається охоплення всіх ситуацій, таких як найм, вказівка посадових функцій, зміна або припинення договорів.
Ролі та обов'язки в галузі безпеки повинні включати в себе вимоги щодо
реалізації і дії відповідно до політиками інформаційної безпеки організації (Див. 5.1)
захисту активів від несанкціонованого доступу, розголошення відомостей,
модифікації, руйнувань або втручання
виконання певних процесів або діяльності, пов'язаних з безпекою
забезпечення впевненості в тому, що на індивідуума покладається відповідальність
за їхні дії
інформування про події або потенційних події, пов'язані з безпекою, або інші ризики
безпеки для організації.
При перевірці слід враховувати конфіденційність, захист персональних даних і (або) трудове
законодавство. Така перевірка повинна включати наступні елементи:
перевірку (на предмет повноти і точності) біографії претендента
наявність позитивних рекомендацій, зокрема, щодо ділових та особистих якостей
претендента
підтвердження заявленої освіти і професійної кваліфікації;
незалежну перевірку достовірності документів, що засвідчують особу (паспорта або
його замінює)
Співробітники, підрядники та представники третьої сторони повинні узгодити та підписати умови трудового договору, що визначають їх відповідальність за інформаційну безпеку.
Керівництво має визначити обов'язки для забезпечення постійної безпеки працівників. Навчання про безпеку та формальний дисциплінарний процес важливі для мінімізації ризиків.
Керівництво зобов'язане забезпечити впевненість у тому, що співробітники, підрядники та
представники третьої сторони
забезпечені рекомендаціями щодо формулювання їх передбачуваних ролей щодо
безпеки в рамках організації
зацікавлені слідувати політикам безпеки організації
досягають рівня обізнаності щодо безпеки, відповідного їх ролям і обов'язків в
організації (див. 8.2.2)
слідують умовам зайнятості, які включають політику інформаційної безпеки
організації і відповідні методи роботи
продовжують підтримувати відповідні навички та кваліфікацію
ФІЗИЧНА БЕЗПЕКА І ЗАХИСТ ВІД ВПЛИВІВ НАВКОЛИШНЬОГО СЕРЕДОВИЩА
Критичну чи чутливу інформацію слід зберігати в безпечних зонах з відповідними захисними заходами та контролем доступу для запобігання несанкціонованому доступу та пошкодженню.
Відносно фізичних периметрів безпеки рекомендується розглядати і реалізовувати, при
необхідності, такі рекомендації
Периметри безпеки повинні бути чітко визначені і відповідати вимогам безпеки активів та результатам оцінки ризику.
Необхідно мати зону реєстрації відвідувачів або інші засоби для контролю фізичного доступу, а також обмежувати доступ лише для авторизованого персоналу.
коли це доцільно, повинні бути побудовані фізичні бар`єри, що запобігають
неавторизований фізичний доступ і забруднення навколишнього середовища;
необхідно фізично ізолювати засоби обробки інформації, контрольовані
організацією, від засобів, контрольованих сторонніми організаціями.
Захист устаткування, включаючи засоби поза організацією, від фізичних загроз і впливу середовища для запобігання неавторизованому доступу і збереження інформації.
Перевіряти та безпечно видаляти чутливі дані з компонентів обладнання перед їх утилізацією. Фізично знищувати носії даних або видаляти інформацію так, щоб її не можна було відновити.
Слід брати до уваги наступні рекомендації:
Вимагати носити видимий ідентифікатор, повідомляти службу безпеки про носіїв ідентифікаторів та осіб без ідентифікаторів.
права доступу в зони безпеки слід регулярно аналізувати, переглядати, і анулювати
при необхідності (див. 8.3.3).
Реєструвати дату та час входу/виходу відвідувачів, супроводжувати їх, обмежувати доступ до виконання авторизованих завдань, інструктувати про вимоги безпеки та дії в аварійних ситуаціях.
МЕНЕДЖМЕНТ КОМУНІКАЦІЙ І РОБІТ
Установити обов'язки та процедури для управління та експлуатації засобів обробки інформації, включаючи розробку експлуатаційних процедур. Рекомендується реалізувати принцип розмежування обов'язків для мінімізації ризику неправильного використання систем.
Дані процедури повинні містити детальні інструкції щодо виконання кожної роботи, включаючи:
обробку і управління інформацією;
резервування (див. 10.5);
вимоги щодо графіка робіт, включаючи взаємозалежності між системами, час
початку самого ранньої роботи і час завершення самої останньої роботи;
необхідні контакти на випадок несподіваних експлуатаційних або технічних
проблем;
Годинники в системах повинні бути синхронізовані з точним джерелом часу, таким як всесвітній координований час. Необхідно виявляти та коригувати будь-які відхилення годинників.
Реєстрація несправностей, виявлених користувачами або системними програмами, є обов'язковою. Потрібно встановити чіткі правила обробки таких несправностей.
аналіз журналів реєстрації несправностей для забезпечення впевненості в тому, що
несправності були відповідним чином усунуті;
Аналіз коригувальних заходів для перевірки непорушності заходів та засобів контролю та керування.
УПРАВЛІННЯ ДОСТУПОМ
Доступ до інформації, засобів обробки інформації та процесів бізнесу повинен бути керованим з
урахуванням вимог бізнесу і безпеки.
Необхідно, щоб в політиці було враховано наступне:
правила щодо поширення інформації та авторизації доступу, наприклад необхідно знати
принципи і рівні безпеки і класифікації інформації (див. 7.2)
вимоги щодо формального дозволу запитів доступу (див. 11.2.1);
вимоги щодо періодичного перегляду управління доступом (див. 11.2.4);
вимоги щодо безпеки конкретних прикладних програм бізнесу;
анулювання прав доступу (див. 8.3.3).
Необхідна наявність формальних процедур з контролю надання прав доступу до інформаційних
систем і послуг.
При перегляді прав доступу повинні враховуватися такі рекомендації:
дозволу щодо спеціальних привілейованих прав доступу (див. 11.2.2) повинні
переглядатися через невеликі інтервали часу, наприклад через три місяці;
надані привілеї повинні переглядатися через рівні інтервали часу для забезпечення
впевненості в тому, що не було отримано неавторизовані привілеї;
зміни привілейованих облікових записів повинні реєструватися для періодичного
аналізу.
права доступу користувачів повинні переглядатися і перепризначатися при переході з
однієї роботи на іншу в межах однієї організації;
ПРИДБАННЯ, РОЗРОБКА ТА ЕКСПЛУАТАЦІЯ ІНФОРМАЦІЙНИХ СИСТЕМ
Розробити політику щодо криптографічних засобів та управління ключами.
Встановити вимоги до автентичності та цілісності повідомлень у програмах та реалізувати відповідні контролі та заходи.
Прикладні програми, включаючи користувацькі, повинні включати контроль даних для їхньої правильної обробки та підтвердження коректності введення, обробки та виведення. Для систем з важливою інформацією можуть знадобитися додаткові заходи безпеки, визначені згідно з вимогами безпеки та оцінкою ризиків.
Інформаційні системи включають експлуатовані системи, інфраструктуру, прикладні програми
бізнесу, готові продукти, послуги та прикладні програми, розроблені користувачами.