Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO/IEC 27001 Інтелект-карта Бабушкіна Д. О. - Coggle Diagram

- - - - a) Зацікавлені сторони, які важливі для системи управління інформаційною безпекою; та
      - b) Вимоги цих зацікавлених сторін, важливих для інформаційної безпеки
  - - - a) Зовнішні та внутрішні обставини, зазначені в 4.1
      - b) Вимоги, зазначені в 4.2; та
      - c) Інтерфейси та залежності між діями, які виконує організація, і тими, що виконують інші організації. Сфера застосування має бути доступною як документована інформація
- - - - a) Гарантуванням, що політика інформаційної безпеки та цілі інформаційної безпеки розроблені та сумісні зі стратегічними планами організації
      - b) Гарантуванням інтеграції вимог системи інформаційної безпеки в процеси організації
      - c) Гарантуванням, що ресурси, потрібні для системи управління інформаційною безпекою, доступні
      - d) Доведенням до відома організації важливості ефективного управління інформаційною безпекою та відповідності вимогам системи управління інформаційною безпекою
      - е) Гарантуванням, що система управління інформаційною безпекою досягне своїх запланованих результатів
      - f) Призначенням та підтримкою осіб для досягнення ефективності системи управління інфор маційною безпекою
      - g) Сприянням постійному вдосконаленню; та
      - h) Підтримкою інших пов’язаних ролей вищого керівництва, щоб продемонструвати їх керівну роль, яку вони застосовують у сферах їх відповідальності
  - - - a) Відповідає цілям організації
      - b) Містить цілі інформаційної безпеки (див. 6.2) або зазначає основні положення для визначення цілей інформаційної безпеки
      - c) Містить зобов’язання відповідати застосованим вимогам, пов’язаним з інформаційною безпекою; та
      - d) Містить зобов’язання щодо постійного вдосконалення системи управління інформаційною безпекою
    - - е) Бути доступною як документована інформація
      - f) Бути розповсюдженою в середині організації
      - g) Бути доступною зацікавленим сторонам, за потреби
  - - - a) Гарантування, що система управління інформаційною безпекою відповідає вимогам цього стандарту; і
      - b) Звітування вищому керівництву щодо результативності системи управління інформаційною безпекою. Примітка. Вище керівництво може також призначити відповідальності та повноваження для звітування щодо резуль тативності системи управління інформаційною безпекою в межах організації
- - - - Під час планування системи управління інформаційною безпекою організація повинна розглянути питання, описані в 4.1, і вимоги, описані в 4.2, а також визначити ризики та можливості, які потрібно мати на увазі, щоб
        
        a) Гарантувати, що система управління інформаційною безпекою може досягти запланованого результату(-ів)
        
        b) Запобігти або зменшити небажані ефекти; і
        
        c) Досягти постійного вдосконалення
      - Організація повинна планувати
        
        d) Дії, які стосуються цих ризиків та можливостей, і
        
        е) Як саме
        
        1) Інтегрувати й упровадити ці дії до процесів її системи управління інформаційною безпекою; та
        
        2) Оцінювати ефективність цих дій
    - - Організація повинна визначити та застосовувати процес оцінювання ризиків інформаційної безпеки, який
        
        a) Встановлює та підтримує критерії ризиків інформаційної безпеки, які містять
        
        1) Критерії прийняття ризиків; і
        
        2) Критерії для виконання оцінки ризиків інформаційної безпеки
        
        b) Гарантує, що повторні оцінки ризиків інформаційної безпеки призводять до послідовних, дійових та порівняльних результатів
        
        c) Ідентифікує ризики інформаційної безпеки
        
        1) Застосовує процес оцінювання ризиків інформаційної безпеки для ідентифікації ризиків, пов’язаних із втратою конфіденційності, цілісності й доступності в межах сфери застосування системи управління інформаційною безпекою; та
        
        2) Ідентифікує власників ризиків
        
        d) Виконує аналіз ризиків інформаційної безпеки
        
        1) Оцінює потенційні наслідки, які будуть результатом реалізації ризиків, ідентифікованих в 6.1.2 с) 1)
        
        2) Оцінює практичну імовірність появи ризиків, ідентифікованих у 6.1.2 с) 1); та
        
        3) Визначає рівні ризиків
        
        е) Оцінює ризики інформаційної безпеки
        
        1) Порівнює результати аналізу ризиків з критеріями ризиків, визначеними в 6.1.2 а); та
        
        2) Визначає пріоритети проаналізованих ризиків для оброблення ризиків
      - Організація повинна зберігати документовану інформацію стосовно процесу оцінювання ризиків інформаційної безпеки
    - - Організація повинна визначити та застосовувати процес оброблення ризиків інформаційної безпеки для
        
        a) Вибору доречних опцій оброблення ризиків інформаційної безпеки з урахуванням результатів оцінки ризиків
        
        b) Визначити всі заходи безпеки, які необхідно впровадити для вибраної(-их) опції(-ій) оброб лення ризиків
        Примітка. Організація може розробити необхідні заходи безпеки або ідентифікувати їх з будь-якого джерела
        
        c) Порівняти заходи безпеки, визначені в 6.1.3 b) вище, з наведеними в додатку А, і підтвердити, що не було опущено потрібних заходів безпеки
        Примітка 1. Додаток А містить всебічний перелік цілей заходів безпеки та заходів безпеки. Користувачів цього стандарту відсилаємо до додатка А для впевненості, що необхідні заходи безпеки не було пропущено
        Примітка 2. Цілі заходів безпеки повністю долучено до вибраних заходів безпеки Перелік цілей заходів безпеки та заходи безпеки, надані в додатку А не є вичерпними і можуть бути потрібні додаткові цілі заходів безпеки та заходи безпеки
        
        ㅤ
        
        d) Підготувати Положення щодо застосовності, яке містить
        
        Необхідні заходи безпеки (див. 6.1.3 b) та с))
        
        Обґрунтування для їх застосування
        
        Впроваджені необхідні заходи безпеки чи ні
        
        Обґрунтування для виключень заходів безпеки, наданих у додатку А
        
        е) Розробити план оброблення ризиків інформаційної безпеки; та
        
        f) Отримати від власників ризиків підтвердження плану оброблення ризиків інформаційної безпеки та згоду на залишкові ризики інформаційної безпеки. Організація повинна зберігати задокументовану інформацію щодо процесу оброблення ризиків інформаційної безпеки
        Примітка. Процес оцінювання та оброблення ризиків інформаційної безпеки в цьому стандарті відповідає принципам та загальним настановам, зазначеним в ІSО 31000 [5]
  - - - a) Відповідати політиці інформаційної безпеки
      - b) Бути вимірюваними (якщо доцільно)
      - c) Враховувати вимоги до інформаційної безпеки, які застосовують, а також результати оцінювання ризиків та оброблення ризиків
      - d) Бути розповсюдженими; та
      - е) Оновлюватися, за потреби. Організація повинна зберігати документовану інформацію щодо цілей інформаційної безпеки
    - - f) Що треба зробити
      - g) Які ресурси будуть потрібні
      - h) Хто буде відповідальним
      - і) Коли процес буде завершено; та
      - j ) Як результати будуть оцінювати
- - - - а) Визначити рівень необхідної компетентності персоналу, який виконує роботи, що впливають на результативність інформаційної безпеки
      - b) Гарантувати, що цей персонал має компетенцію на основі відповідного навчання, тренінгів або досвіду
      - c) За можливості, забезпечувати виконання певних дій для досягнення необхідної компетенції та оцінювати ефективність таких дій; і
      - d) Зберігати відповідну документовану інформацію як доказ компетентності
        Примітка. Можливі дії можуть охоплювати, наприклад: проведення тренінгів, наставництво або перепризначення наявних працівників, або наймання на роботу чи за контрактом компетентних осіб
  - - - a) Політиці інформаційної безпеки
      - b) Його вкладі в ефективність системи управління інформаційною безпекою, враховуючи переваги від вдосконалення результативності інформаційної безпеки; та
      - c) Розумінні невідповідності вимогам системи управління інформаційною безпекою
  - - - a) З яких питань спілкуватися
      - b) Коли спілкуватися
      - c) З ким спілкуватися
      - d) Хто повинен спілкуватися; та
      - е) Процеси, за допомогою яких комунікація повинна відбуватися
  - - - Система управління інформаційною безпекою організації повинна включати
        
        a) Документовану інформацію, визначену цим стандартом; і
        
        b) Документовану інформацію, визначену організацією як необхідну для ефективності системи управління інформаційною безпекою
        
        Примітка. Обсяги документованої інф ормації для системи управління інформаційною безпекою можуть бути різними для різних організацій залежно від
        
        2) Складності процесів та їх взаємодії; і
        
        3) Компетенції персоналу
        
        1) Розміру організації й типу її діяльності, процесів, продуктів і послуг
    - - У разі створення й оновлення документованої інформації організація повинна гарантувати відповідну
        
        a) Ідентифікацію та опис (наприклад, назву, дату, автора чи посилальний номер)
        
        b) Формат (наприклад, мову, версію програмного забезпечення, графіки) та носії (наприклад, папір, електронні); та
        
        c) Перегляд і затвердження для відповідності й адекватності
    - - Задокументована інформація, визначена системою управління інформаційною безпекою та цим стандартом має контролювати для гарантії того, що
        
        a) Вона доступна й придатна для використання, де і коли вона потрібна; і
        
        b) Її належним чином захищено (наприклад, від втрати конфіденційності, помилкового використання або втрати цілісності)
      - Для контролю документованої інформації організація повинна виконувати такі дії відповідним чином
        
        c) Розподіл, доступ, повернення та використання
        
        d) Збереження та консервування, зокрема й консервування чіткості/розбірливості
        
        е) Контроль змін (наприклад, контроль версій); та
        
        f) Утримування й розташування
      - Документована інформація від зовнішнього джерела, визначена організацією як необхідна для планування та функціонування системи управління інформаційною безпекою, має бути ідентифікована відповідних чином і контрольована
      - Примітка. Доступ означає рішення стосовно дозволу лише на перегляд документованої інф ормації чи дозволу та повноважень на перегляд і зміну документованої інформації тощо
- - - - a) Що саме потрібно моніторити й вимірювати, включаючи процеси інформаційної безпеки та заходи безпеки
      - b) Методи моніторингу, вимірювань, аналізу та оцінювання, які може бути застосовано для гарантії обґрунтованих результатів
        Примітка. Обрані методи, які надають порівняні та відтворювані результати, можна розглядати як обґрунтовані
      - c) Коли моніторинг та вимірювання потрібно виконувати
      - d) Хто повинен виконувати моніторинг та вимірювання
      - е) Коли результати моніторингу та вимірювань потрібно аналізувати й оцінювати; та
      - f) Хто повинен аналізувати й оцінювати ці результати.
  - - - ㅤ
        
        a) Відповідають
        
        1) Власним вимогам організації для її системи управління інформаційною безпекою; та
        
        2) Вимогам цього стандарту
      - b) Ефективно впроваджена та підтримується
    - - c) Планувати, розробляти, впроваджувати та підтримувати програму(-и) аудиту, зокрема й частоту, методи, відповідальності, заплановані вимоги та звітність. Програма(-и) аудиту повинна(-і) враховувати аналіз важливості процесів, що їх розглядають, і результати попередніх аудитів
      - d) Визначити критерії аудиту та сферу застосування для кожного аудиту
      - е) Призначити аудиторів і виконати аудити, які гарантують об'єктивність і неупередженість процесу аудиту
      - f ) Гарантувати, що результати аудиту буде доведено до відповідного керівництва; та
      - g) Зберігати документовану інформацію як доказ програми аудиту та результатів аудиту
  - - - a) Статусу дії, що є наслідком попереднього перегляду керівництва
      - b) Зміни в зовнішніх та внутрішніх обставинах, які мають відношення до системи управління інформаційною безпекою
      - c) Зворотного впливу на результативність інформаційної безпеки, охоплюючи тенденції в
        
        1) Невідповідностях та коригувальних діях
        
        2) Результатах моніторингу та вимірювань
        
        3) Результатах аудиту; та
        
        4) Досягненнях цілей інформаційної безпеки
      - d) Зворотного зв’язку від зацікавлених сторін
      - е) Результатів оцінювання ризиків і статусу плану оброблення ризиків; та
      - f) Можливостей для постійного вдосконалення
- - - - a) Реагувати на невідповідності і за можливості
        
        1) Виконувати дії для контролю та їх корекції; та
        
        2) Вживати заходів щодо наслідків
      - b) Оцінювати потреби в діях для усунення причин невідповідностей для запобігання їх повторення чи виникнення будь-де за допомогою
        
        1) Перегляду невідповідностей
        
        2) Визначення причин невідповідностей; і
        
        3) Визначення, чи існують подібні невідповідності або потенційно можуть з’являтися
      - c) Впровадити певні дії, за потреби
      - d) Переглянути ефективність виконаних коригувальних дій; і
      - е) Внести зміни до системи управління інформаційною безпекою, за потреби
    - - f ) Сутності невідповідностей та будь-яких послідовних дій, що були виконані, та
      - g) Результати будь-яких коригувальних дій
- - - - А.5.1.1 Політики інформаційної безпеки
        Набір політик щодо інформаційної безпеки повинен бути визначений, затверджений керівництвом, виданий і доведений до відома всього найманого персоналу та потрібних зовнішніх сторін
      - А.5.1.2 Перегляд політики інформаційної безпеки
        Політики інформаційної безпеки потрібно переглядати в заплановані інтервали часу або за появи істотних змін для забезпечення їх постійної придатності, адекватності й ефективності
  - - - А.6.1.1 Ролі та обов’язки щодо інформаційної безпеки
        Усі обов’язки щодо інформаційної безпеки необхідно чітко визначити та розподілити
      - А.6.1.3 Контакти з повноважними органами
        Необхідно підтримувати належні контакти з відповідними повноважними органами
      - А.6.1.2 Розподіл обов’язків
        Конфліктуючі обов’язки та сфери відповідальності мають бути розподілені для зменшення можливостей неавторизованої чи ненавмисної модифікації або неправильного використання ресурсів СУІБ організації
      - А.6.1.4 Контакти з групами фахівців з певної проблематики
        Необхідно підтримувати належні контакти з групами фахівців з певної проблематики або іншими форумами фахівців з безпеки чи професійними об’єднаннями
      - А.6.1.5 Інформаційна безпека в управлінні проектами
        Інформаційну безпеку потрібно брати до уваги під час управління проектами незалежно від типу проекту
    - - А.6.2.1 Політика щодо мобільного обладнання
        Політика та заходи підтримання безпеки мають бути пристосовані до управління ризиками, які виникають за рахунок використання мобільного обладнання
      - А.6.2.2 Віддалена робота
        Політика та заходи підтримання безпеки мають бути запроваджені для захисту інформації, яка доступна, обробляється чи зберігається в місцях віддаленої роботи
  - - - А.7.1.1 Ретельна перевірка
        Підтверджувальні перевірки біографічних даних усіх кандидатів на найм мають виконуватись згідно з усіма відповідними законами, нормативами та морально-етичними нормами, а також співвідносно до бізнес-вимог, класифікації інформації, до якої потрібен доступ, і усвідомлюваних ризиків
      - А.7.1.2 Терміни та умови найму
        Контрактна угода з найманим персоналом та підрядниками має встановити взаємні відповідальності щодо інформаційної безпеки
    - - А.7.2.1 Відповідальність керівництва
        Керівництво повинно вимагати від найманого персоналу та підрядників застосування заходів безпеки згідно з установленими в організації політиками та процедурами
      - А 7.2.2 Поінформованість, освіта й навчання щодо інформаційної безпеки
        Увесь найманий персонал організації, а там, де це суттєво, і підрядники повинні одержати належне навчання й тренінги для поінформованості та регулярно отримувати оновлені дані щодо політик і процедур організації, суттєвих для їх посадових функцій
      - А.7.2.3 Дисциплінарний процес
        Має існувати формальний та офіційно оформлений дисциплінарний процес щодо найманого персоналу, який порушив інформаційну безпеку
    - - А.7.3.1 Припинення чи зміна відповідальностей
        Має бути чітко визначено, доведено до найманого персоналу чи підрядників і встановлено відповідальності за інформаційну безпеку та обов’язки, які залишаються дійсними після припинення чи зміни умов найму
  - - - А.8.1.1 Інвентаризація ресурсів СУІБ
        Інформація, ресурси СУІБ, пов’язані з інформацією та обладнанням для обробки інформації, мають бути ідентифіковані та має підтримуватися їх актуальний інвентарний опис
      - А.8.1.2 Володіння ресурсами СУІБ
        Ресурси СУІБ, які наявні в інвентарному описі, мають «бути у власності». Н аціональна примітка Термін «власник» ідентифікує особу чи організацію, для якої встановлено затверджену керівництвом відповідальність щодо контролювання виробництва, розвитку, підтримування, використання та безпеки ресурсів СУІБ. Термін «власник» не означає, що особа дійсно має право власності на ресурс СУІБ
      - А.8.1.3 Припустиме використання ресурсів СУІБ
        Правила щодо припустимого використання інформації та ресурсів СУІБ, пов’язаних із засобами оброблення інформації, мають бути ідентифіковані, задокументовані та впроваджені
      - А.8.1.4 Повернення ресурсів СУІБ
        Увесь найманий персонал та користувачі зовнішньої сторони повинні повернути всі ресурси СУІБ організації, що перебувають у їх володінні, після припинення їх найму, контракту чи угоди
    - - А.8.2.1 Класифікація інформації
        Інформація має бути класифікована в термінах правових вимог, її цінності, критичності й чутливості для неавторизованого розкриття чи модифікації
      - А.8.2.2 Маркування інформації
        Має бути розроблено та впроваджено належну множину процедур для маркування й оброблення інформації згідно зі схемою класифікації, прийнятою організацією
      - А.8.2.3 Поводження з ресурсами СУІБ
        Має бути розроблено та впроваджено процедури поводження з ресурсами СУІБ відповідно до схеми класифікації інформації, яку офіційно прийнято в організації
    - - А.8.3.1 Управління змінними носіями
        Має бути впроваджено процедури управління змінними носіями відповідно до схеми класифікації, запровадженої в організації
      - А.8.3.2 Вилучення носіїв
        Коли носії більше не потрібні, їх треба безпечно вилучати із застосуванням офіційно оформлених процедур
      - А.8.3.3 Фізичні носії під час передавання
        Носії, що містять інформацію, має бути захищено від несанкціонованого доступу, зловживання чи руйнування під час транспортування
  - - - А.9.1.1 Політика контролю доступу
        Політика контролю доступу має бути розроблена, задокументована та переглядатися на основі вимог бізнесу та інформаційної безпеки
      - А.9.1.2 Доступ до мереж та послуг мережі
        Користувачі повинні отримувати доступ до мережі та послуг мережі лише тоді, коли вони були спеціально авторизовані для використання
    - - А.9.2.1 Реєстрація та зняття з реєстрації користувача
        Має бути впроваджено процес реєстрації та зняття з реєстрації для того, щоб була можливість управляти правами доступу
      - А.9.2.2 Забезпечення доступу користувачів
        Має бути впроваджено формально затверджений процес забезпечення доступу користувачу для надання або вилучення прав доступу для всіх типів користувачів до всіх систем та послуг
      - А.9.2.3 Управління привілейованими правами доступу
        Призначення та використання привілейованих прав доступу має бути обмежено та контрольовано
      - А.9.2.4 Управління таємною інформацією автентифікації користувачів
        Облік таємної інформації автентифікації користувачів потрібно контролювати за допомогою офіційно оформленого процесу управління
      - А.9.2.5 Перегляд прав доступу користувача
        Власники ресурсів СУІБ повинні переглядати права доступу користувача через регулярні встановлені інтервали
      - А.9.2.6 Вилучення або корекція прав доступу
        Права доступу всього найманого персоналу та користувачів зовнішніх сторін до інформації та засобів оброблення інформації мають вилучатися після припинення найму, контракту чи угоди, або коректуватися після змін
    - - А.9.3.1 Використання таємної інформації автентифікації Заходи безпеки Треба вимагати від користувачів додержання визначених в організації практик у використанні таємної інформації автентифікації
    - - А.9.4.1 Обмеження доступу до інформації
        Доступ до інформації та функцій прикладних систем має бути обмежений відповідно до визначеної політики контролю доступу
      - А.9.4.2 Процедури безпечного підключення (Іоg-оn)
        Доступ до систем та прикладних програм повинен контролювати процедурою безпечного підключення, коли це визначено політикою контролю доступу
      - А.9.4.3 Система управління паролем
        Системи для управління паролями мають бути інтерактивними і забезпечувати якісні паролі
      - А.9.4.4 Використання привілейованих системних утиліт
        Використання програм утиліт, що можуть бути спроможні скасовувати заходи безпеки системи та прикладних програм, має бути обмежено та суворо контрольовано
      - А.9.4.5 Контроль доступу до початкових кодів програм
        Доступ до початкових кодів програм має бути обмежений
  - - - А.10.1.1 Політика використання криптографічних засобів
        Має бути розроблено та впроваджено політику використання криптографічних засобів для захисту інформації
      - А.10.1.2 Управління ключами
        Має бути розроблено та впроваджено політику використання, захисту й часу життя криптографічних ключів для всього їх життєвого циклу
  - - - А.11.1.1 Периметр фізичної безпеки
        Для захисту зон, що містять конфіденційну або критичну інформацію чи засоби оброблення інформації, треба визначити та використовувати периметри безпеки
      - А.11.1.2 Заходи безпеки фізичного прибуття
        Зони безпеки має бути захищено належними заходами безпеки прибуття, щоб гарантувати, що доступ дозволений лише персоналу, який отримав санкцію
      - А.11.1.3 Убезпечення офісів, кімнат та обладнання
        Має бути розроблено й застосовано фізичну безпеку офісів, кімнат та обладнання
      - А.11.14 Захист від зовнішніх та інфраструктурних загроз
        Має бути розроблено й застосовано фізичний захист від пошкодження внаслідок природних катакпізмів, акцій громадської непокори та аварій
      - А.11.1.5 Робота в зонах безпеки
        Має бути розроблено та застосовано процедури роботи в зонах безпеки
      - А.11.1.6 Зони доставки та відвантаження
        Щоб уникнути несанкціонованого доступу, має бути контрольовано й, за можливості, ізольовано від засобів оброблення інформації точки доступу, такі як зони доставки та відвантаження, а також інші точки, через які особи, доступ яких не санкціоновано, можуть увійти до службових приміщень
    - - А.11.2.1 Розміщення та захист обладнання
        Обладнання має бути розміщено чи захищено так, щоб зменшити ризики інфраструктурних загроз і небезпек та можливого несанкціонованого доступу
      - А.11.2.2 Допоміжні комунальні служби
        Обладнання має бути захищено від аварійних відімкнень живлення та інших порушень, внаслідок аварій засобів життєзабезпечення
      - А.11.2.3 Безпека кабельних мереж
        Силові та телекомунікаційні кабельні мережі передачі даних або підтримки інформаційних послуг має бути захищено від перехоплювання, взаємного впливу чи пошкоджень
      - А.11.2.4 Обслуговування обладнання
        Обладнання трібно правильно обслуговувати, щоб забезпечити його постійну доступність і цілісність
      - А.11.2.5 Переміщення майна
        Обладнання, інформацію чи програмне забезпечення не потрібно виносити назовні без попередньої санкції на ці дії
      - А.11.2.6 Безпека обладнання та ресурсів СУІБ поза службовими приміщеннями
        До ресурсів СУІБ поза службовими приміщеннями має бути застосовний захист з урахуванням різних ризиків роботи поза службовими приміщеннями організації
      - А.11.2.7 Безпечне вилучення або повторне використання обладнання
        Всі елементи обладнання, які містять носії пам'яті, має бути перевірено для забезпечення того, що будь-які конфіденційні дані або ліцензійне програмне забезпечення було видалено чи безпечним чином перезаписано до вилучення або повторного використання
      - А. 11.2.8 Обладнання користувачів, залишене без нагляду
        Користувачі мають забезпечити, що залишене без нагляду обладнання, належним чином захищене
      - А.11.2.9 Політика чистого стола та чистого екрана
        Повинні бути ухвалені політика чистого стола щодо паперів і змінних носіїв інформації та політика чистого екрана щодо засобів оброблення інформації
  - - - А.1 2.1.1 Документовані процедури експлуатації
        Процедури експлуатації має бути задокументовано та зроблено доступними для всіх користувачів, що їх потребують
      - А.12.1.2 Управління змінами
        Зміни в організації, бізнес-процесах, засобах оброблення інформації та системах, які впливають на інформаційну безпеку, мають бути контрольованими
      - А.12.1.3 Управління потужністю
        Для забезпечення потрібної продуктивності системи необхідно здійснювати моніторинг та регулювати використання ресурсів і проектувати вимоги до майбутньої потужності
      - А.12.1.4 Відокремлення засобів розробки, тестування та експлуатації
        Засоби розроблення, тестування та експлуатації має бути відокремлено для зменшення ризиків несанкціонованого доступу чи змін в операційному середовищі
    - - А.12.2.1 Заходи безпеки проти зловмисного коду
        Має бути впроваджено заходи безпеки щодо виявлення, запобігання та відновлення для захисту від зловмисного коду і належні процедури поінформування користувачів
    - - А.12.3.1 Резервне копіювання інформації
        Згідно із затвердженою політикою резервного копіювання треба регулярно робити і в подальшому тестувати резервні копії інформації, програмного забезпечення та образів систем
    - - А.12.4.1 Журнал аудиту подій
        Журнал аудиту подій, у якому записується діяльність користувачів, винятки, збої та події інформаційної безпеки, треба вести, зберігати й регулярно переглядати
      - А.12.4.2 Захист інформації журналів реєстрації
        Засоби реєстрування та інформація реєстрації має бути захищено від фальсифікації та несанкціонованого доступу
      - А.12.4.3 Журнали реєстрації адміністратора та оператора
        Діяльність системного адміністратора та системного оператора має реєструватися і журнали аудиту мають бути захищені та регулярно переглядатися
      - А.12.4.4 Синхронізація годинників
        Годинники всіх важливих систем оброблення інформації в організації або домені безпеки має бути синхронізовано з джерелом часу погодженої точності
    - - А.12.5.1 Інсталяція програмного забезпечення в системах, що перебувають в експлуатації
        Мають бути наявними процедури контролю інсталяції програмного забезпечення в системах, що перебувають в експлуатації
    - - А.12.6.1 Управління технічною вразливістю
        Треба отримувати своєчасну інформацію щодо технічних вразливостей інформаційних систем, які використовують, оцінювати підвладність організації таким вразливостям і вживати належних заходів, щоб урахувати пов’язаний з цим ризик
      - А.12.6.2 Обмеження на інсталяцію програмного забезпечення
        Має бути розроблено та впроваджено правила стосовно інсталяції програмного забезпечення користувачами
    - - А .12.7.1 Заходи безпеки аудиту інформаційних систем
        Вимоги аудиту та діяльність, що охоплює перевірки систем, які перебувають в експлуатації, має бути ретельно сплановано та погоджено, щоб мінімізувати ризик порушення бізнес-процесів
  - - - А.13.1.1 Заходи безпеки мережі
        Треба відповідним чином управляти й захищати мережі для захисту інформації в системах і прикладних програмах
      - А.13.1.2 Безпека послуг мережі
        Характеристики безпеки, рівні послуг, а також вимоги управління всіма послугами мережі має бути ідентифіковано і міститися в будь-якій угоді щодо послуг мережі як для послуг, які надає сама організація, так і для аутсорсингових послуг
      - А.13.1.3 Сегментація в мережах
        У мережі мають бути сегментовані групи інформаційних послуг, користувачів, а також інформаційні системи
    - - А. 13.2.1 Політики та процедури обміну інформацією
        Мають бути наявними офіційно оформлені політики, процедури та заходи безпеки для захисту обміну інформацією з використанням усіх видів засобів комунікації
      - А.13.2.2 Угоди щодо обміну інформацією
        Між організацією та зовнішніми сторонами повинні бути укладені угоди щодо безпечного обміну бізнес-інформацією
      - А.13.2.3 Електронний обмін повідомленнями
        Інформація, яка міститься в електронних повідомленнях, має бути захищена належним чином
      - А.13.2.4 Угоди щодо конфіденційності або нерозголошення
        Вимоги до угод щодо конфіденційності або нерозголошення, які відображують потреби організації в захисті інформації, мають бути ідентифіковані, задокументовані та регулярно переглядатися
  - - - А.14.1.1 Аналіз та специфікація вимог інформаційної безпеки
        Вимоги щодо інформаційної безпеки має бути долучено в положення щодо бізнес-вимог до нових інформаційних систем або модернізацій до наявних інформаційних систем
      - А. 14. 1. 2 Безпечні прикладні сервіси в публічних мережах
        Інформація в прикладних сервісах, яку передають через публічні мережі, має бути захищеною від шахрайської діяльності, контрактних суперечок, несанкціонованого розголошення та модифікації
      - А.14.1.3 Захист транзакцій прикладних сервісів
        Інформація, залучена в транзакції прикладних сервісів, має бути захищена для запобігання неповній передачі, неправильній маршрутизації, несанкціонованій зміні повідомлення, несанкціонованому розголошенню, несанкціонованому дублюванню повідомлення чи його повторенню
    - - А.14.2.1 Політика безпечного розроблення
        Потрібно встановлювати та застосовувати до розробників всередині організації правила для розроблення програмного забезпечення та систем
      - А.14 2.2 Процедури контролю змін системи
        Зміни в системах всередині життєвого циклу розроблення мають бути контрольованими за допомогою офіційно оформлених процедур контролю змін
      - А.14.2.3 Технічний перегляд прикладних програм після змін операційної платформи
        Коли операційні платформи змінено, критичні для бізнесу прикладні програми має бути переглянуто й протестовано, щоб забезпечити відсутність негативного впливу на функціонування та безпеку організації
      - А.14.2.4 Обмеження на зміни до пакетів програмного забезпечення
        Модифікації пакетів програмного забезпечення не повинні заохочуватися, бути обмеженими найнеобхіднішими змінами і всі зміни потрібно суворо контролювати
      - А 14.2.5 Принципи проектування безпечної системи
        Принципи проектування безпечних систем потрібно розробити, задокументувати, виконувати та використовувати для будь-яких зусиль щодо реалізації інформаційних систем
      - А.14.2.6 Безпечне середовище розроблення
        Організації повинні запровадити та відповідним чином захистити безпечне середовище проектування для розроблення систем та інтеграції зусиль, що покривають повний життєвий цикл розроблення системи
      - А.14.2.7 Аутсорсингове розроблення
        Організація повинна здійснювати нагляд над аутсорсинговим розробленням систем та його моніторинг
      - А.14.2.8 Тестування безпеки системи
        Тестування функціональності безпеки потрібно виконувати протягом розроблення
      - А.14.2.9 Приймальне тестування системи
        Програми приймального тестування та відповідні критерії має бути визначено для нових інформаційних систем, оновлень та нових версій
    - - А.14.3.1 Захист даних для тестування системи
        Дані для тестування має бути ретельно відібрано, захищено та контрольовано
  - - - А.15.1.1 Політика інформаційної безпеки для взаємовідносин з постачальниками
        Вимоги інформаційної безпеки для послаблення ризиків, пов’язаних із доступом постачальників до ресурсів СУІБ організації має бути погоджено з постачальником та задокументовано
      - А.15.1.2 Врахування безпеки в угодах з постачальниками
        Усі відповідні вимоги щодо інформаційної безпеки має бути встановлено та погоджено з кожним постачальником, який може мати доступ, обробляти, зберігати, передавати чи надавати компоненти ІТ-інфраструктури для інформації організації
      - А.15.1.3 Ланцюг постачання інформаційних та комунікаційних технологій
        Угоди з постачальниками мають містити вимоги стосовно адресації ризиків інформаційної безпеки, пов’язаних з ланцюгом постачання продуктів та послуг інформаційних і комунікаційних технологій
    - - А.15.2.1 Моніторинг та перегляд послуг постачальника
        Заходи безпеки Організація повинна регулярно проводити моніторинг, перегляд та аудит отримання послуг постачальника
      - А .15.2.2 Управління змінами у послугах постачальника
        Зміни в наданні послуг постачальника, зокрема й підтримування та вдосконалювання наявних політик інформаційної безпеки, процедур і заходів безпеки, мають управлятися з урахуванням критичності залучених бізнес-систем і процесів та переоцінки ризиків
  - - - А.16.1.1 Відповідальності та процедури
        Має бути визначено відповідальності керівництва та процедури для забезпечення швидкого, ефективного і правильного реагування на інциденти інформаційної безпеки
      - А.16.1.2 Звітування про події інформаційної безпеки
        Необхідно якнайшвидше звітувати стосовно подій інформаційної безпеки через належні канали управління
      - А.16.1.3 Звітування щодо слабких місць інформаційної безпеки
        Треба вимагати від усього найманого персоналу та підрядників, які користуються інформаційними системами та послугами, звертати увагу та звітувати щодо будь-яких спостережених або очікуваних слабких місць у системах чи послугах
      - А.16.1.4 Оцінювання та прийняття рішення стосовно подій інформаційної безпеки
        Події інформаційної безпеки має бути оцінено та прийнято рішення стосовно віднесення їх до інцидентів інформаційної безпеки
      - А.16.1.5 Реагування на інциденти інформаційної безпеки
        Реагування на інциденти інформаційної безпеки має здійснюватися відповідно до задокументованої процедури
      - А.16.1.6 Знання з вивчення інцидентів інформаційної безпеки
        Знання, отримані з аналізу та розв’язання інцидентів інформаційної безпеки, мають використовуватися для зменшення ймовірності чи впливу майбутніх інцидентів
      - А.16.1.7 Збирання доказів
        Організація повинна визначити і використовувати процедури для ідентифікації, збирання, отримання і зберігання інформації, яку можна використовувати як докази
  - - - А.17.1.1 Планування безперервності інформаційної безпеки
        Організація повинна визначити свої вимоги щодо інформаційної безпеки та безперервності управління інформаційною безпекою в надзвичайних ситуаціях, наприклад під час кризи чи катастрофи
      - А.17.1.2 Реалізація безперервності інформаційної безпеки
        Організація повинна розробити, задокументувати, реалізувати та підтримувати процеси, процедури та заходи безпеки для гарантування необхідного рівня безперервності щодо інформаційної безпеки під час надзвичайної ситуації
      - А.17.1.3 Верифікація, перегляд та оцінювання безперервності інформаційної безпеки
        Організація повинна підтверджувати розроблені та впроваджені заходи безперервності інформаційної безпеки через регулярні інтервали часу для гарантування, що вони дійсні та ефективні протягом надзвичайних ситуацій
    - - А.17.2.1 Доступність обладнання для оброблення інформації
        Обладнання оброблення інформації має бути впроваджено з резервуванням, достатнім для того, щоб відповідати вимогам доступності
  - - - А.18.1.1 Ідентифікація застосовного законодавства та контрактних вимог
        Усі важливі вимоги, що діють на підставі закону, нормативні чи контрактні вимоги та підхід організації до задоволення цих вимог має бути чітко визначено, задокументовано та актуалізовано для кожної інформаційної системи та організації
      - А.18.1.2 Права інтелектуальної власності
        Має бути впроваджено належні процедури забезпечення відповідності законодавчим, нормативним і контрактним вимогам щодо прав інтелектуальної власності та щодо використання запатентованих продуктів програмного забезпечення
      - А.18.1.3 Захист організаційних записів
        Відповідно до законодавчих, регуляторних, контрактних і бізнес-вимог важливі записи має бути захищено від втрати, знищення, фальсифікації, несанкціонованого доступу та несанкціонованого використання
      - А.18.1.4 Захист даних та конфіденційність персональних даних
        Конфіденційність і захист даних, що ідентифікують особу, має бути забезпечено згідно з вимогами відповідного законодавства та регуляторними вимогами, за наявності
      - А.18.1.5 Нормативи щодо криптографічних засобів
        Криптографічні засоби потрібно використовувати відповідно до всіх застосовних угод, законів та регуляторних вимог
    - - А.18.2.1 Незалежні перевірки інформаційної безпеки
        Підходи організації до управління інформаційною безпекою та її впровадження (тобто цілі заходів безпеки, заходи безпеки, політики, процеси й процедури для інформаційної безпеки) мають незалежно перевірятися через заплановані інтервали або коли відбуваються значні зміни
      - А.18.2.2 Відповідність політикам і стандартам безпеки
        Керівники повинні регулярно перевіряти відповідність оброблення інформації та процедур у межах сфери їх відповідальності належним політикам, стандартам та іншим вимогам щодо безпеки
      - А.18.2.3 Перевірка технічної відповідності
        Інформаційні системи потрібно регулярно перевіряти на відповідність політикам і стандартам інформаційної безпеки організації