ГОСТ Р ИСО/МЭК 27010-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности при обмене информацией между отраслями и организациями

12 Безопасность при эксплуатации

 

12.1 Эксплуатационные процедуры и обязанности

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

12.2 Защита от вредоносных программ

12.2.1 Меры обеспечения информационной безопасности в отношении вредоносных программ

Пункт 12.2.1 ИСО/МЭК 27002:2013 дополняется следующим:

Руководство по внедрению

Информацию, полученную от других членов сообщества по обмену информацией, следует сканировать на наличие вредоносных программ, независимо от того, обеспечивает служба связи между членами сообщества сканирование сообщений или не обеспечивает.

12.3 Резервное копирование

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

12.4 Регистрация и мониторинг

12.4.1 Регистрация событий

Подпункт 12.4.1 ИСО/МЭК 27002:2013 дополняется следующим:

Руководство по внедрению

По требованию сообщества по обмену информацией участники должны регистрировать внутреннее распространение совместно с используемой информацией.

12.4.2 Защита информации регистрационных журналов

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

12.4.3 Регистрационные журналы действий администратора и оператора

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

12.4.4 Синхронизация часов

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

12.5 Контроль программного обеспечения, находящегося в эксплуатации

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

12.6 Менеджмент технических уязвимостей

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

12.7 Особенности аудита информационных систем

12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем

Дополнительная информация, характерная для обмена информацией между отраслями и организациями, отсутствует.

12.7.2 Права сообщества на аудит

Подраздел 12.7 ИСО/МЭК 27002:2013 дополняется следующим:

Меры обеспечения ИБ

Каждое сообщество по обмену информацией должно определить права участников и любых доверенных поставщиков услуг на аудит систем других участников.

Руководство по внедрению

Полномочия на аудит систем-участников могут быть ограничены доверенной третьей стороной, такой как TICE (орган доверенных коммуникаций) или WARP (пункт предупреждений, рекомендаций и отчетности).