ГОСТ Р ИСО/МЭК 27001-2021. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
Приложение A
(обязательное)
МЕРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
И ЦЕЛИ ИХ ПРИМЕНЕНИЯ
Перечисленные в таблице A.1 цели, а также меры обеспечения информационной безопасности непосредственно заимствованы и полностью соответствуют целям, мерам и средствам информационной безопасности, приведенным в ИСО/МЭК 27002:2013 [1] (разделы 5 - 18), и должны быть использованы, как определено в 6.1.3.
Таблица A.1
Меры обеспечения информационной безопасности
и цели их применения
A.5 Политики информационной безопасности | ||
A.5.1 Руководящие указания в части информационной безопасности Цель: обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с требованиями бизнеса, соответствующих законов и нормативных актов | ||
A.5.1.1 | Политики информационной безопасности | Мера обеспечения информационной безопасности Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон |
A.5.1.2 | Пересмотр политик информационной безопасности | Мера обеспечения информационной безопасности Политики информационной безопасности должны пересматриваться через запланированные интервалы времени или в случае происходящих существенных изменений для обеспечения уверенности в сохранении их приемлемости, адекватности и результативности |
A.6 Организация деятельности по информационной безопасности | ||
A.6.1 Внутренняя организация деятельности по обеспечению информационной безопасности Цель: создать структуру органов управления для инициирования и контроля внедрения и функционирования информационной безопасности в организации | ||
A.6.1.1 | Роли и обязанности по обеспечению информационной безопасности | Мера обеспечения информационной безопасности Все обязанности по обеспечению информационной безопасности должны быть определены и распределены |
A.6.1.2 | Разделение обязанностей | Мера обеспечения информационной безопасности Пересекающиеся обязанности и зоны ответственности должны быть разделены для уменьшения возможности несанкционированного или непреднамеренного изменения или нецелевого использования активов организации |
A.6.1.3 | Контакт с органами власти | Мера обеспечения информационной безопасности Следует поддерживать соответствующие контакты с уполномоченными органами |
A.6.1.4 | Взаимодействие с заинтересованными профессиональными группами | Мера обеспечения информационной безопасности Следует поддерживать соответствующее взаимодействие с заинтересованными профессиональными группами и ассоциациями или форумами, проводимыми специалистами по безопасности |
A.6.1.5 | Информационная безопасность при управлении проектом | Мера обеспечения информационной безопасности Информационную безопасность следует рассматривать при управлении проектом независимо от типа проекта |
A.6.2 Мобильные устройства и дистанционная работа Цель: обеспечить безопасность при дистанционной работе и использовании мобильных устройств | ||
A.6.2.1 | Политика использования мобильных устройств | Мера обеспечения информационной безопасности Следует определить политику и реализовать поддерживающие меры безопасности для управления рисками информационной безопасности, связанными с использованием мобильных устройств |
A.6.2.2 | Дистанционная работа | Мера обеспечения информационной безопасности Следует определить политику и реализовать поддерживающие меры безопасности для защиты информации, доступ к которой, обработка или хранение осуществляются в местах дистанционной работы |
A.7 Безопасность, связанная с персоналом | ||
A.7.1 При приеме на работу Цель: обеспечить уверенность в том, что работники и подрядчики понимают свои обязанности и подходят для роли, на которую они рассматриваются | ||
A.7.1.1 | Проверка | Мера обеспечения информационной безопасности Проверку всех кандидатов при приеме на работу следует осуществлять согласно соответствующим законам, правилам и этическим нормам. Проверка должна быть соразмерна требованиям бизнеса, категории информации, которая будет доступна, и предполагаемым рискам информационной безопасности |
A.7.1.2 | Правила и условия работы | Мера обеспечения информационной безопасности В договорных соглашениях с работниками и подрядчиками должны быть установлены их обязанности и обязанности организации по обеспечению информационной безопасности |
A.7.2 Во время работы Цель: обеспечить уверенность в том, что работники и подрядчики осведомлены о своих обязанностях в отношении информационной безопасности и выполняют их | ||
A.7.2.1 | Обязанности руководства организации | Мера обеспечения информационной безопасности Руководство организации должно требовать от всех работников и подрядчиков соблюдения информационной безопасности в соответствии с установленными в организации политиками и процедурами |
A.7.2.2 | Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности | Мера обеспечения информационной безопасности Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей |
A.7.2.3 | Дисциплинарный процесс | Мера обеспечения информационной безопасности Должен существовать формализованный и доведенный до персонала дисциплинарный процесс по принятию мер в отношении работников, совершивших нарушение информационной безопасности |
A.7.3 Увольнение и смена места работы Цель: защита интересов организации при смене места работы или увольнении работника | ||
A.7.3.1 | Прекращение или изменение трудовых обязанностей | Мера обеспечения информационной безопасности Ответственность и обязанности, относящиеся к информационной безопасности, которые сохраняются после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и оформлены юридически |
A.8 Менеджмент активов | ||
A.8.1 Ответственность за активы Цель: идентификация активов организации и определение соответствующих обязанностей по их защите | ||
A.8.1.1 | Инвентаризация активов | Мера обеспечения информационной безопасности Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов <1> |
A.8.1.2 | Владение активами | Мера обеспечения информационной безопасности Для каждого актива, включенного в перечень инвентаризации, должен быть определен его владелец |
A.8.1.3 | Допустимое использование активов | Мера обеспечения информационной безопасности Должны быть идентифицированы, документально оформлены и реализованы правила допустимого использования активов, включая информацию и средства ее обработки |
A.8.1.4 | Возврат активов | Мера обеспечения информационной безопасности Все работники и внешние пользователи должны возвратить все активы организации, находящиеся в их пользовании, после увольнения, истечения срока действия договора или соглашения |
A.8.2 Категорирование информации Цель: обеспечить уверенность в том, что в отношении информации обеспечивается надлежащий уровень защиты в соответствии с ее значимостью для организации | ||
A.8.2.1 | Категорирование информации | Мера обеспечения информационной безопасности Информация должна быть категорирована с точки зрения нормативных правовых требований, ценности, критичности и чувствительности к неавторизованному раскрытию или модификации |
A.8.2.2 | Маркировка информации | Мера обеспечения информационной безопасности Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации |
A.8.2.3 | Обращение с активами | Мера обеспечения информационной безопасности Должны быть разработаны и реализованы процедуры обращения с активами в соответствии с принятой в организации системой категорирования информации |
A.8.3 Обращение с носителями информации Цель: предотвратить несанкционированное раскрытие, модификацию, удаление или уничтожение информации, хранящейся на носителях информации | ||
A.8.3.1 | Управление сменными носителями информации | Мера обеспечения информационной безопасности Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации |
A.8.3.2 | Утилизация носителей информации | Мера обеспечения информационной безопасности При выводе из эксплуатации носителей информации требуется их надежно и безопасно утилизировать, используя формализованные процедуры |
A.8.3.3 | Перемещение физических носителей | Мера обеспечения информационной безопасности Во время транспортирования носители информации, содержащие информацию, должны быть защищены от несанкционированного доступа, ненадлежащего использования или повреждения |
A.9 Управление доступом | ||
A.9.1 Требования бизнеса по управлению доступом Цель: ограничить доступ к информации и средствам ее обработки | ||
A.9.1.1 | Политика управления доступом | Мера обеспечения информационной безопасности Политика управления доступом должна быть разработана, документирована и должна пересматриваться с учетом требований бизнеса и информационной безопасности |
A.9.1.2 | Доступ к сетям и сетевым сервисам | Мера обеспечения информационной безопасности Пользователям следует предоставлять доступ только к тем сетям и сетевым сервисам, на использование которых они получили конкретное разрешение |
A.9.2 Процесс управления доступом пользователей Цель: обеспечить предоставление доступа уполномоченным пользователям и предотвратить несанкционированный доступ к системам и сервисам | ||
A.9.2.1 | Регистрация и отмена регистрации пользователей | Мера обеспечения информационной безопасности Для назначения прав доступа должна быть реализована формализованная процедура регистрации и отмены регистрации пользователей |
A.9.2.2 | Предоставление пользователю права доступа | Мера обеспечения информационной безопасности Должен быть реализован формализованный процесс назначения или отмены прав доступа пользователей к системам и сервисам |
A.9.2.3 | Управление привилегированными правами доступа | Мера обеспечения информационной безопасности Распределение и использование привилегированных прав доступа следует ограничивать и контролировать |
A.9.2.4 | Процесс управления секретной аутентификационной информацией пользователей | Мера обеспечения информационной безопасности Предоставление секретной аутентификационной информации должно контролироваться посредством формального процесса управления. |
A.9.2.5 | Пересмотр прав доступа пользователей | Мера обеспечения информационной безопасности Владельцы активов должны регулярно пересматривать права доступа пользователей |
A.9.2.6 | Аннулирование или корректировка прав доступа | Мера обеспечения информационной безопасности Права доступа всех работников и внешних пользователей к информации и средствам ее обработки должны быть аннулированы (после их увольнения, истечения срока действия договора или соглашения) либо скорректированы в случае необходимости |
A.9.3 Ответственность пользователей Цель: установить ответственность пользователей за защиту их аутентификационной информации | ||
A.9.3.1 | Использование секретной аутентификационной информации | Мера обеспечения информационной безопасности При использовании секретной аутентификационной информации пользователи должны выполнять установленные в организации правила |
A.9.4 Управление доступом к системам и приложениям Цель: предотвратить несанкционированный доступ к системам и приложениям. | ||
A.9.4.1 | Ограничение доступа к информации | Мера обеспечения информационной безопасности Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой управления доступом |
A.9.4.2 | Безопасные процедуры входа в систему | Мера обеспечения информационной безопасности Когда этого требует политика управления доступом, доступ к системам и приложениям должен управляться посредством безопасной процедуры входа в систему |
A.9.4.3 | Система управления паролями | Мера обеспечения информационной безопасности Системы управления паролями должны быть интерактивными и должны обеспечивать уверенность в качестве паролей |
A.9.4.4 | Использование привилегированных служебных программ | Мера обеспечения информационной безопасности Использование служебных программ, которые могли бы обойти меры обеспечения информационной безопасности систем и приложений, следует ограничивать и строго контролировать |
A.9.4.5 | Управление доступом к исходному тексту программы | Мера обеспечения информационной безопасности Доступ к исходному тексту программы должен быть ограничен |
A.10 Криптография | ||
A.10.1 Криптографическая защита информации Цель: обеспечить уверенность в надлежащем и эффективном использовании криптографии для защиты конфиденциальности, подлинности (аутентичности) и/или целостности информации | ||
A.10.1.1 | Политика использования криптографических мер и средств защиты информации | Мера обеспечения информационной безопасности Должна быть разработана и внедрена политика использования криптографических мер и средств для обеспечения защиты информации |
A.10.1.2 | Управление ключами | Мера обеспечения информационной безопасности Политика, определяющая использование, защиту и срок службы криптографических ключей, должна быть разработана и применяться на протяжении всего их жизненного цикла |
A.11 Физическая безопасность и защита от воздействия окружающей среды | ||
A.11.1 Зоны безопасности Цель: предотвратить несанкционированный физический доступ, повреждение и воздействие на информацию организации и средства ее обработки | ||
A.11.1.1 | Физический периметр безопасности | Мера обеспечения информационной безопасности Должны быть определены и использованы периметры безопасности для защиты зон, содержащих чувствительную или критическую информацию и средства ее обработки |
A.11.1.2 | Меры и средства контроля и управления физическим доступом | Мера обеспечения информационной безопасности Зоны безопасности должны быть защищены соответствующими мерами и средствами контроля доступа, чтобы обеспечить уверенность в том, что доступ разрешен только уполномоченному персоналу |
A.11.1.3 | Безопасность зданий, помещений и оборудования | Мера обеспечения информационной безопасности Должна быть разработана и реализована физическая защита зданий, помещений и оборудования |
A.11.1.4 | Защита от внешних угроз и угроз со стороны окружающей среды | Мера обеспечения информационной безопасности Должны быть разработаны и реализованы меры физической защиты от стихийных бедствий, злоумышленных атак или аварий |
A.11.1.5 | Работа в зонах безопасности | Мера обеспечения информационной безопасности Должны быть разработаны и применены процедуры для работы в зонах безопасности |
A.11.1.6 | Зоны погрузки и разгрузки | Мера обеспечения информационной безопасности Места доступа, например зоны погрузки и разгрузки, и другие места, где неуполномоченные лица могут проникать в помещения, должны находиться под контролем и, по возможности, должны быть изолированы от средств обработки информации во избежание несанкционированного доступа к ним |
A.11.2 Оборудование Цель: предотвратить потерю, повреждение, хищение или компрометацию активов и прерывание деятельности организации | ||
A.11.2.1 | Размещение и защита оборудования | Мера обеспечения информационной безопасности Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски информационной безопасности от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа |
A.11.2.2 | Вспомогательные услуги | Мера обеспечения информационной безопасности Оборудование должно быть защищено от сбоев электропитания и других сбоев, вызванных отказами в предоставлении вспомогательных услуг |
A.11.2.3 | Безопасность кабельной сети | Мера обеспечения информационной безопасности Кабели питания и телекоммуникационные кабели, используемые для передачи данных или для поддержки информационных сервисов, должны быть защищены от перехвата информации, помех или повреждения |
A.11.2.4 | Техническое обслуживание оборудования | Мера обеспечения информационной безопасности Должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной доступности и целостности |
A.11.2.5 | Перемещение активов | Мера обеспечения информационной безопасности Вынос оборудования, информации или программного обеспечения за пределы площадки эксплуатации без предварительного разрешения необходимо исключить |
A.11.2.6 | Безопасность оборудования и активов вне помещений организации | Мера обеспечения информационной безопасности Следует обеспечивать безопасность активов вне помещений организации, учитывая различные риски информационной безопасности, связанные с работой вне помещений организации |
A.11.2.7 | Безопасная утилизация или повторное использование оборудования | Мера обеспечения информационной безопасности Все компоненты оборудования, содержащие носители данных, необходимо проверять с целью обеспечения уверенности, что вся защищаемая информация и лицензионное программное обеспечение были удалены или перезаписаны безопасным образом до утилизации или повторного использования этих компонентов оборудования |
A.11.2.8 | Оборудование, оставленное пользователем без присмотра | Мера обеспечения информационной безопасности Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра |
A.11.2.9 | Политика "чистого стола" и "чистого экрана" | Мера обеспечения информационной безопасности Должна быть принята политика "чистого стола" в отношении бумажных документов и сменных носителей информации, а также политика "чистого экрана" для средств обработки информации |
A.12 Безопасность при эксплуатации | ||
A.12.1 Эксплуатационные процедуры и обязанности Цель: обеспечить надлежащую и безопасную эксплуатацию средств обработки информации | ||
A.12.1.1 | Документально оформленные эксплуатационные процедуры | Мера обеспечения информационной безопасности Эксплуатационные процедуры должны быть документированы и доступны всем нуждающимся в них пользователям |
A.12.1.2 | Процесс управления изменениями | Мера обеспечения информационной безопасности Необходимо обеспечить управление изменениями в организации, бизнес-процессах, средствах обработки информации и системах, влияющих на информационную безопасность |
A.12.1.3 | Управление производительностью | Мера обеспечения информационной безопасности Необходимо осуществлять мониторинг, корректировку и прогнозирование использования ресурсов, исходя из будущих требований к производительности, для обеспечения требуемой производительности системы |
A.12.1.4 | Разделение сред разработки, тестирования и эксплуатации | Мера обеспечения информационной безопасности Для снижения рисков несанкционированного доступа или изменений среды эксплуатации необходимо обеспечивать разделение сред разработки, тестирования и эксплуатации |
A.12.2 Защита от вредоносных программ Цель: обеспечивать уверенность в защите информации и средств обработки информации от вредоносных программ | ||
A.12.2.1 | Меры обеспечения информационной безопасности в отношении вредоносных программ | Мера обеспечения информационной безопасности Для защиты от вредоносных программ должны быть реализованы меры обеспечения информационной безопасности, связанные с обнаружением, предотвращением и восстановлением, в сочетании с соответствующим информированием пользователей |
A.12.3 Резервное копирование Цель: обеспечить защиту от потери данных | ||
A.12.3.1 | Резервное копирование информации | Мера обеспечения информационной безопасности В соответствии с политикой резервирования следует регулярно создавать и проверять резервные копии информации, программного обеспечения и образов системы |
A.12.4 Регистрация и мониторинг Цель: регистрация событий информационной безопасности и формирование свидетельств | ||
A.12.4.1 | Регистрация событий | Мера обеспечения информационной безопасности Требуется обеспечивать формирование, ведение и регулярный анализ регистрационных журналов, фиксирующих действия пользователей, нештатные ситуации, ошибки и события информационной безопасности |
A.12.4.2 | Защита информации регистрационных журналов | Мера обеспечения информационной безопасности Средства регистрации и информация регистрационных журналов должны быть защищены от фальсификации и несанкционированного доступа |
A.12.4.3 | Регистрационные журналы действий администратора и оператора | Мера обеспечения информационной безопасности Действия системного администратора и оператора системы следует регистрировать, а регистрационные журналы защищать и регулярно анализировать |
A.12.4.4 | Синхронизация часов | Мера обеспечения информационной безопасности Часы всех систем обработки информации в рамках организации или домена безопасности должны быть синхронизированы с единым эталонным источником времени |
A.12.5 Контроль программного обеспечения, находящегося в эксплуатации Цель: обеспечить уверенность в целостности систем, находящихся в эксплуатации | ||
A.12.5.1 | Установка программного обеспечения в эксплуатируемых системах | Мера обеспечения информационной безопасности Должны быть реализованы процедуры контроля установки программного обеспечения в системах, находящихся в эксплуатации |
A.12.6 Менеджмент технических уязвимостей Цель: предотвратить использование технических уязвимостей | ||
A.12.6.1 | Процесс управления техническими уязвимостями | Мера обеспечения информационной безопасности Должна быть своевременно получена информация о технических уязвимостях используемых информационных систем, оценена подверженность организации таким уязвимостям, и должны быть приняты соответствующие меры в отношении связанного с этим риска информационной безопасности |
A.12.6.2 | Ограничения на установку программного обеспечения | Мера обеспечения информационной безопасности Должны быть установлены и реализованы правила, регулирующие установку программного обеспечения пользователями |
A.12.7 Особенности аудита информационных систем Цель: минимизировать влияние аудиторской деятельности на функционирование систем, находящихся в эксплуатации | ||
A.12.7.1 | Меры обеспечения информационной безопасности в отношении аудита информационных систем | Мера обеспечения информационной безопасности Требования к процессу регистрации событий (аудиту) и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах |
A.13 Безопасность системы связи | ||
A.13.1 Менеджмент безопасности сетей Цель: обеспечить защиту информации в сетях и в образующих их средствах обработки информации | ||
A.13.1.1 | Меры обеспечения информационной безопасности для сетей | Мера обеспечения информационной безопасности Сети должны управляться и контролироваться для обеспечения защиты информации систем и приложений |
A.13.1.2 | Безопасность сетевых сервисов | Мера обеспечения информационной безопасности Механизмы обеспечения безопасности, уровни обслуживания и требования к управлению для всех сетевых сервисов должны быть идентифицированы и включены в соглашения по сетевым сервисам независимо от того, будут ли они обеспечиваться силами организации или осуществляться с использованием аутсорсинга |
A.13.1.3 | Разделение в сетях | Мера обеспечения информационной безопасности Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены |
A.13.2 Передача информации Цель: поддерживать безопасность информации, передаваемой как внутри организации, так и при обмене с любым внешним объектом и субъектом | ||
A.13.2.1 | Политики и процедуры передачи информации | Мера обеспечения информационной безопасности Должны существовать формализованные политики и процедуры передачи информации, а также соответствующие меры обеспечения информационной безопасности, обеспечивающие защиту информации, передаваемой с использованием всех видов средств связи |
A.13.2.2 | Соглашения о передаче информации | Мера обеспечения информационной безопасности Безопасная передача деловой информации между организацией и внешними сторонами должна быть определена соглашениями |
A.13.2.3 | Электронный обмен сообщениями | Мера обеспечения информационной безопасности Следует обеспечивать соответствующую защиту информации при электронном обмене сообщениями |
A.13.2.4 | Соглашения о конфиденциальности или неразглашении | Мера обеспечения информационной безопасности Требования в отношении соглашений о конфиденциальности или неразглашении, отражающие потребности организации в обеспечении защиты информации, должны быть идентифицированы, документально оформлены и регулярно пересматриваться |
A.14 Приобретение, разработка и поддержка систем | ||
A.14.1 Требования к безопасности информационных систем Цель: обеспечить уверенность в том, что информационная безопасность является неотъемлемой частью информационных систем на протяжении всего их жизненного цикла. Это также включает требования к информационным системам, предоставляющим услуги с использованием сетей общего пользования | ||
A.14.1.1 | Анализ и спецификация требований информационной безопасности | Мера обеспечения информационной безопасности Требования, относящиеся к информационной безопасности, должны быть включены в перечень требований для новых информационных систем или для усовершенствования существующих информационных систем |
A.14.1.2 | Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования | Мера обеспечения информационной безопасности Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации |
A.14.1.3 | Защита транзакций прикладных сервисов | Мера обеспечения информационной безопасности Информацию, используемую в транзакциях прикладных сервисов, следует защищать для предотвращения неполной передачи, ложной маршрутизации, несанкционированного изменения, раскрытия, дублирования или воспроизведения сообщений |
A.14.2 Безопасность в процессах разработки и поддержки Цель: обеспечить уверенность в том, что меры обеспечения информационной безопасности спроектированы и внедрены на всех стадиях жизненного цикла разработки информационных систем | ||
A.14.2.1 | Политика безопасной разработки | Мера обеспечения информационной безопасности Правила разработки программного обеспечения и систем должны быть установлены и применены к разработкам в рамках организации |
A.14.2.2 | Процедуры управления изменениями системы | Мера обеспечения информационной безопасности Необходимо управлять изменениями в системах в течение жизненного цикла разработки посредством применения формализованных процедур управления изменениями |
A.14.2.3 | Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы | Мера обеспечения информационной безопасности При внесении изменений в операционные платформы критически важные для бизнеса приложения должны быть проверены и протестированы, чтобы обеспечить уверенность в отсутствии неблагоприятного воздействия на деятельность или безопасность организации |
A.14.2.4 | Ограничения на изменения пакетов программ | Мера обеспечения информационной безопасности Следует избегать модификаций пакетов программ, ограничиваясь необходимыми изменениями, и строго контролировать все изменения |
A.14.2.5 | Принципы безопасного проектирования систем | Мера обеспечения информационной безопасности Принципы безопасного проектирования систем должны быть установлены, документированы, поддерживаться и применяться к любым работам по реализации информационной системы |
A.14.2.6 | Безопасная среда разработки | Мера обеспечения информационной безопасности Организация должна установить и надлежащим образом защищать безопасные среды разработки, используемые для разработки и интеграции систем на всех стадиях жизненного цикла разработки системы |
A.14.2.7 | Разработка с использованием аутсорсинга | Мера обеспечения информационной безопасности Организация должна осуществлять надзор и мониторинг разработки систем, выполняемой подрядчиками |
A.14.2.8 | Тестирование безопасности систем | Мера обеспечения информационной безопасности Тестирование функциональных возможностей безопасности должно осуществляться в процессе разработки |
A.14.2.9 | Приемо-сдаточные испытания системы | Мера обеспечения информационной безопасности Для новых информационных систем, обновлений и новых версий должны быть разработаны программы приемо-сдаточных испытаний и установлены связанные с ними критерии |
A.14.3 Тестовые данные Цель: обеспечить защиту данных, используемых для тестирования | ||
A.14.3.1 | Защита тестовых данных | Мера обеспечения информационной безопасности Тестовые данные следует тщательно выбирать, защищать и контролировать |
A.15 Взаимоотношения с поставщиками | ||
A.15.1 Информационная безопасность во взаимоотношениях с поставщиками Цель: обеспечить защиту активов организации, доступных поставщикам | ||
A.15.1.1 | Политика информационной безопасности во взаимоотношениях с поставщиками | Мера обеспечения информационной безопасности Требования информационной безопасности, направленные на снижение рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиком и документированы |
A.15.1.2 | Рассмотрение вопросов безопасности в соглашениях с поставщиками | Мера обеспечения информационной безопасности Все соответствующие требования информационной безопасности должны быть установлены и согласованы с каждым поставщиком, который может получить доступ к информации организации, обрабатывать, хранить, передавать информацию или предоставлять соответствующие компоненты ИТ-инфраструктуры |
A.15.1.3 | Цепочка поставок информационно-коммуникационной технологии | Мера обеспечения информационной безопасности Соглашения с поставщиками должны содержать требования по рассмотрению рисков информационной безопасности, связанных с цепочкой поставок продуктов и услуг информационно-коммуникационных технологий |
A.15.2 Управление услугами, предоставляемыми поставщиком Цель: поддерживать согласованный уровень информационной безопасности и предоставления услуг в соответствующих соглашениях с поставщиками | ||
A.15.2.1 | Мониторинг и анализ услуг поставщика | Мера обеспечения информационной безопасности Организация должна регулярно проводить мониторинг, проверку и аудит деятельности поставщика по предоставлению услуг |
A.15.2.2 | Управление изменениями услуг поставщика | Мера обеспечения информационной безопасности Требуется управлять изменениями в предоставляемых поставщиками услугах, включая поддержку и улучшение существующих политик, процедур, а также мер и средств информационной безопасности, с учетом категории информации бизнеса, задействованных систем и процессов, а также результатов переоценки рисков информационной безопасности |
A.16 Менеджмент инцидентов информационной безопасности | ||
A.16.1 Менеджмент инцидентов информационной безопасности и улучшений Цель: обеспечить последовательный и эффективный подход к менеджменту инцидентов информационной безопасности, включая обмен информацией о событиях безопасности и недостатках | ||
A.16.1.1 | Обязанности и процедуры | Мера обеспечения информационной безопасности Должны быть установлены обязанности и процедуры менеджмента для обеспечения уверенности в быстром, эффективном и надлежащем реагировании на инциденты информационной безопасности |
A.16.1.2 | Сообщения о событиях информационной безопасности | Мера обеспечения информационной безопасности Требуется как можно скорее сообщать о событиях информационной безопасности по соответствующим каналам управления |
A.16.1.3 | Сообщения о недостатках информационной безопасности | Мера обеспечения информационной безопасности Работники и подрядчики, использующие информационные системы и услуги организации, должны обращать внимание на любые замеченные или предполагаемые недостатки информационной безопасности в системах или сервисах и сообщать о них |
A.16.1.4 | Оценка и принятие решений в отношении событий информационной безопасности | Мера обеспечения информационной безопасности Должна быть проведена оценка событий информационной безопасности, и должно быть принято решение, следует ли их классифицировать как инциденты информационной безопасности |
A.16.1.5 | Реагирование на инциденты информационной безопасности | Мера обеспечения информационной безопасности Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документально оформленными процедурами |
A.16.1.6 | Анализ инцидентов информационной безопасности | Мера обеспечения информационной безопасности Знания, приобретенные в результате анализа и урегулирования инцидентов информационной безопасности, должны использоваться для уменьшения вероятности или влияния будущих инцидентов |
A.16.1.7 | Сбор свидетельств | Мера обеспечения информационной безопасности В организациях должны быть определены и применяться процедуры для идентификации, сбора, получения и сохранения информации, которая может использоваться в качестве свидетельств |
A.17 Аспекты информационной безопасности в рамках менеджмента непрерывности деятельности организации | ||
A.17.1 Непрерывность информационной безопасности Цель: непрерывность обеспечения информационной безопасности должна быть неотъемлемой частью систем менеджмента непрерывности деятельности организации | ||
A.17.1.1 | Планирование непрерывности информационной безопасности | Мера обеспечения информационной безопасности Организация должна определить свои требования к информационной безопасности и менеджменту непрерывности информационной безопасности при неблагоприятных ситуациях, например во время кризиса или бедствия |
A.17.1.2 | Реализация непрерывности информационной безопасности | Мера обеспечения информационной безопасности Организация должна устанавливать, документировать, реализовывать и поддерживать процессы, процедуры, а также меры обеспечения требуемого уровня непрерывности информационной безопасности при неблагоприятных ситуациях |
A.17.1.3 | Проверка, анализ и оценивание непрерывности информационной безопасности | Мера обеспечения информационной безопасности Организация должна регулярно проверять установленные и реализованные меры обеспечения непрерывности информационной безопасности, чтобы обеспечить уверенность в их актуальности и эффективности при возникновении неблагоприятных ситуаций |
A.17.2 Резервирование оборудования Цель: обеспечить уверенность в доступности средств обработки информации | ||
A.17.2.1 | Доступность средств обработки информации | Мера обеспечения информационной безопасности Средства обработки информации должны быть внедрены с учетом резервирования, достаточного для выполнения требований доступности |
A.18 Соответствие | ||
A.18.1 Соответствие правовым и договорным требованиям Цель: избежать нарушений правовых и регулятивных требований или договорных обязательств, связанных с информационной безопасностью, и других требований безопасности | ||
A.18.1.1 | Идентификация применимых законодательных и договорных требований | Мера обеспечения информационной безопасности Все значимые для организации и каждой информационной системы правовые, регулятивные и договорные требования, а также подходы организации к выполнению этих требований должны быть четко определены, документированы и поддерживаться в актуальном состоянии как в отношении каждой информационной системы, так и в отношении организации в целом |
A.18.1.2 | Права на интеллектуальную собственность | Мера обеспечения информационной безопасности Должны быть реализованы соответствующие процедуры для обеспечения уверенности в соблюдении правовых, регулятивных и договорных требований, связанных с правами на интеллектуальную собственность и правами использования проприетарных программных продуктов |
A.18.1.3 | Защита записей | Мера обеспечения информационной безопасности Записи должны быть защищены от потери, уничтожения, фальсификации, несанкционированного доступа и разглашения, в соответствии с правовыми, регулятивными, договорными и бизнес-требованиями |
A.18.1.4 | Конфиденциальность и защита персональных данных | Мера обеспечения информационной безопасности Конфиденциальность и защита персональных данных должна обеспечиваться в соответствии с требованиями соответствующего законодательства и правилами там, где это применимо |
A.18.1.5 | Регулирование криптографических мер и средств защиты информации | Мера обеспечения информационной безопасности Криптографические меры обеспечения информационной безопасности должны использоваться с соблюдением требований всех соответствующих соглашений, правовых и регулятивных актов |
A.18.2 Проверки информационной безопасности Цель: обеспечить уверенность в том, что информационная безопасность реализована и эксплуатируется в соответствии с политикой и процедурами организации | ||
A.18.2.1 | Независимая проверка информационной безопасности | Мера обеспечения информационной безопасности Подход организации к менеджменту информационной безопасностью и ее реализация (т.е. цели, меры и средства, политики, процессы и процедуры информационной безопасности) следует проверять независимо друг от друга через запланированные интервалы времени или в случае значительных изменений |
A.18.2.2 | Соответствие политикам и стандартам безопасности | Мера обеспечения информационной безопасности Руководители, в пределах своей зоны ответственности, должны регулярно проверять соответствие процессов и процедур обработки информации соответствующим политикам безопасности, стандартам и другим требованиям безопасности |
A.18.2.3 | Анализ технического соответствия | Мера обеспечения информационной безопасности Информационные системы должны регулярно проверяться на предмет соответствия стандартам и политикам информационной безопасности организации |
--------------------------------
<1> Пункт A.8.1.1 приведен с учетом технической правки 1 к ISO/IEC 27001:2013.
Подписаться на обновления