Please enable JavaScript.
Coggle requires JavaScript to display documents.
Інтелект-карта стандарту ISO/IEC 27002 Субота Роман КБ-21 - Coggle…
Інтелект-карта стандарту ISO/IEC 27002 Субота Роман КБ-21
Терміни та визначення
Подія інформаційної безпеки - це будь-яке зміна стану системи, сервісу або мережі, що може вказувати на порушення політики ІБ, відмову захисних заходів або виникнення нової безпекової ситуації.
Інцидент інформаційної безпеки - це небажана або несподівана подія, яка може спричинити компрометацію операцій бізнесу або створити загрозу для інформаційної безпеки.
Обробка ризику (risk treatment) – Процес вибору і здійснення заходів щодо модифікації ризику.
Політика (policy) – Загальний намір і напрямок, офіційно вираженей керівництвом.
Ризик (risk) – Поєднання ймовірності події та її наслідків.
Аналіз ризику (risk analysis) – Систематичне використання інформації для визначення джерел і
кількісної оцінки ризику.
Оцінка ризику (risk assessment) – Загальний процес аналізу ризику та оцінювання ризику.
Оцінювання ризику (risk evaluation) – Процес порівняння кількісно оціненого ризику із заданими
критеріями ризику для визначення значущості ризику.
Інформаційна безпека - захист конфіденційності, цілісності та доступності інформації, а також інших важливих властивостей, які включають автентичність, підзвітність, неспростовність і надійність.
Засоби обробки інформації (information processing facilities) – Будь-яка система обробки
інформації, послуга чи інфраструктура, або їх фактичне місце розташування.
Рекомендація (guideline) – Опис, пояснює дії і способи їх виконання, необхідні для досягнення
цілей, викладених в політиці.
Третя сторона (third party) – Особи або організація, які визнані незалежними від сторін-учасниць,
по відношенню до даної проблеми.
Загроза (threat) – Потенційна причина небажаного інциденту, результатом якого може бути
нанесення шкоди системі або організації.
Вразливість (vulnerability) – Слабкість одного або декількох активів, яка може бути використана
одна чи кілька погрозами.
Актив (asset) – Все, що має цінність для організації.
Структура цього стандарту
Кожна основна категорія безпеки включає в себе
одну або більше заходів і засобів контролю та управління, за допомогою яких
можуть бути досягнуті цілі управління.
мета управління, в якій формулюється, що має бути досягнуто
Описи заходів і засобів контролю і управління структуруються таким чином
Додаткова інформація – надається додаткова інформація, яка може бути розглянута,
наприклад правові питання і посилання на інші стандарти.
Рекомендація щодо реалізації - деталізована інформація, що сприяє виконанню заходів та контролю для досягнення мети управління, з урахуванням можливих варіантів інтерпретації та виконання.
Міра і засіб контролю і управління – визначається формулювання специфічних
заходів і засобів контролю і управління для досягнення мети управління
У кожному розділі міститься кілька основних категорій безпеки. цими одинадцятьма розділами
(супроводжуються кількістю основних категорій, включених в кожен розділ) є
менеджмент інцидентів інформаційної безпеки (2)
придбання, розробка та експлуатація інформаційних систем (6)
управління доступом (7)
менеджмент комунікацій і робіт (10)
фізичний захист і захист від впливу навколишнього середовища (2)
безпеку, пов'язана з персоналом (3)
менеджмент активів (2)
організаційні аспекти інформаційної безпеки (2)
політика безпеки (1)
відповідність (3)
ОРГАНІЗАЦІЙНІ АСПЕКТИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Завдання, які вирішуються всередині організації
Зобов'язання керівництва по відношенню до інформаційної безпеки
ініціювати плани і програми для підтримки поінформованості про інформаційну
безпеку
затверджувати певні ролі і відповідальності щодо інформаційної безпеки в рамках
організації
забезпечувати ресурси, необхідні для інформаційної безпеки
забезпечувати чітке управління і очевидну підтримку менеджменту щодо ініціатив,
пов'язаних з безпекою
аналізувати ефективність реалізації політики інформаційної безпеки
формулювати, аналізувати і затверджувати політику інформаційної безпеки
забезпечувати впевненість в тому, що цілі інформаційної безпеки визначено,
відповідають вимогам організації і включені до відповідних процеси
Координація питань інформаційної безпеки
стверджувати методики і процеси забезпечення інформаційної безпеки, наприклад
оцінку ризику, класифікацію інформації
виявляти значні зміни загроз і схильність інформації і засобів обробки інформації
загрозам
оцінювати адекватність і координувати реалізацію заходів і засобів контролю та
управління інформаційної безпеки
забезпечувати впевненість у тому, що забезпечення безпеки здійснюється
відповідно до політикою інформаційної безпеки
визначати спосіб усунення невідповідності
Розподіл обов'язків по забезпеченню інформаційної безпеки
активи і процеси (процедури) безпеки, пов'язані з кожною конкретною системою,
повинні бути чітко визначені
необхідно призначити відповідальних за кожен актив або процедуру безпеки, і
докладно описати їх обов'язки у відповідних документах
рівні доступу до повинні бути чітко визначені і документально оформлені
Процес отримання дозволу на використання коштів обробки інформації
Нові засоби: отримати дозвіл від керівництва та менеджера безпеки
апаратні засоби і програмне забезпечення, де необхідно, слід перевіряти на предмет
сумісності з іншими компонентами системи
Використання особистих засобів: потенційні вразливості, потрібен контроль.
Аспекти взаємодії зі сторонніми організаціями
Розгляд питань безпеки при роботі з клієнтами
опис продукту чи послуги, які повинні бути забезпечені
різні причини, вимоги та переваги, пов'язані з доступом клієнта
опис кожної послуги, що надається
визначення необхідного та неприйнятного рівня обслуговування
право на проведення моніторингу та скасування будь-якої діяльності, пов'язаної з
активами організації
Розгляд вимог безпеки в договорах з третьою стороною
тренінг користувачів і адміністраторів щодо методів, процедур і безпеки
забезпечення доставки персоналу до місця роботи, де це необхідно
політика інформаційної безпеки
ясний і певний процес менеджменту змін
чітка структура підзвітності та узгоджені формати подання звітів
Ідентифікація ризиків, які є наслідком роботи зі сторонніми організаціями
цінність і чутливість використовуваної інформації, її критичність для операцій
бізнесу
заходи і засоби контролю і управління, необхідні для захисту інформації, не
призначеної для доступу стороннім організаціям
персонал сторонньої організації, що бере участь в обробці інформації організації
засоби обробки інформації, необхідні стороннім організаціям для доступу
яким чином організація або персонал, авторизовані на отримання доступу, можуть
бути ідентифіковані, авторизація перевірена і як часто це необхідно підтверджувати
БЕЗПЕКА, ПОВ'ЯЗАНА З ПЕРСОНАЛОМ
Ролі та обов'язки
реалізації і дії відповідно до політиками інформаційної безпеки організації
забезпечення впевненості в тому, що на індивідуума покладається відповідальність
за їхні дії
виконання певних процесів або діяльності, пов'язаних з безпекою
Попередня перевірка
незалежну перевірку достовірності документів, що засвідчують особу
перевірку (на предмет повноти і точності) біографії претендента
підтвердження заявленої освіти і професійної кваліфікації
Умови зайнятості
відповідальність співробітника, підрядника або представника третьої сторони за
обробку інформації, одержуваної від інших фірм і сторонніх організацій
відповідальність, що поширюється також і на роботу поза приміщеннями організації
і в неробочий час, наприклад в разі виконання роботи на дому
дії, які повинні бути зроблені в разі, якщо співробітник, підрядник або представник
третьої сторони ігнорує вимоги безпеки організації
Припинення обов'язків
Повернення активів
Припинення зайнятості: повернення активів та інформації
Анулювання прав доступу
значимість активів, доступних на даний момент
Припинення зайнятості: ініціатор і причина
поточні обов'язки співробітника, підрядника або будь-якого іншого представника
ФІЗИЧНА БЕЗПЕКА І ЗАХИСТ ВІД ВПЛИВІВ НАВКОЛИШНЬОГО СЕРЕДОВИЩА
Периметр зони безпеки
Периметри безпеки: чітке визначення та відповідність вимогам активів і ризику
Фізичний контроль доступу: зона реєстрації відвідувачів або інші заходи, лише для авторизованого персоналу
коли це доцільно, повинні бути побудовані фізичні бар`єри, що запобігають
неавторизований фізичний доступ і забруднення навколишнього середовища
необхідно фізично ізолювати засоби обробки інформації, контрольовані
організацією, від засобів, контрольованих сторонніми організаціями
Фізична безпека приміщень: міцні периметри, захищені двері і вікна
Заходи і засоби контролю і управління фізичним входом
права доступу в зони безпеки слід регулярно аналізувати, переглядати, і анулювати
при необхідності
Ідентифікація: обов'язкова форма, повідомлення про носіння ідентифікатора
Контроль доступу: авторизація, засоби аутентифікації, захищені записи доступу
Реєстрація відвідувачів: час входу/виходу, супровід, авторизація, інструктаж з безпеки
Робота в зонах безпеки
про існування зони безпеки і проводяться там роботах персонал повинен бути
обізнаний з «принципом необхідного знання»
порожні зони безпеки повинні бути фізично замкнені і їх стан необхідно періодично
перевіряти
Безпека: робота лише з контролем уповноваженого персоналу
Заборона використання записувального обладнання без дозволу
Безпека будівель, виробничих приміщень і обладнання
слід брати до уваги відповідні правила і стандарти, що стосуються охорони здоров'я
і безпеки прац
основне обладнання повинно бути розташоване в місцях, де обмежений доступ
стороннім особам
довідники та внутрішні телефонні книги, які вказують на місце розташування засобів
обробки чутливої інформації, не повинні бути легкодоступними для сторонніх осіб
УПРАВЛІННЯ ДОСТУПОМ
Управління змінами
визначення та реєстрацію істотних змін
оцінку можливих наслідків, включаючи наслідки для безпеки, таких змін
формалізовану процедуру затвердження передбачуваних змін
докладне інформування про зміни всіх зацікавлених осіб
планування і тестування змін
Документальне оформлення експлуатаційних процедур
обробку і управління інформацією
резервування
вимоги щодо графіка робіт, включаючи взаємозалежності між системами, час
початку самого ранньої роботи і час завершення самої останньої роботи
необхідні контакти на випадок несподіваних експлуатаційних або технічних
проблем
перезапуск системи і відповідні процедури відновлення на випадок системних збоїв
Поділ засобів розробки, тестування та експлуатації
правила перекладу програмного забезпечення зі статусу розроблюваного в статус
прийнятого до експлуатації повинні бути визначені і документально оформлені
розробка і експлуатація програмного забезпечення повинна здійснюватися на
різних системах або комп'ютерах в різних доменах або директоріях
середовище системи тестування повинна емулювати середу експлуатації
настільки точно, наскільки це можливо
чутливі дані не повинні копіюватися в середу системи тестування
Приймання систем
ефективні ручні процедури
вимоги до потужності і продуктивності комп'ютера
процедури відновлення після збоїв і перезапуску, і плани дій в надзвичайних ситуаціях
підготовка і тестування типових операційних процедур на відповідність встановленим
стандартам
наявність узгодженого набору заходів та засоби контролю і управління безпеки
заходи щодо забезпечення безперервності бізнесу
документальне підтвердження того, що було враховано вплив, який чиниться новою
системою, на загальну безпеку організації