Содержание
- 2. 1 Эксплуатационные процедуры и обязанности Цель: Обеспечить уверенность в надлежащем и безопасном функционировании средств обработки информации.
- 3. Документальное оформление эксплуатационных процедур Эксплуатационные процедуры следует документально оформлять, соблюдать и делать доступными для всех нуждающихся
- 4. Данные процедуры должны содержать детальные инструкции по выполнению каждой работы, включая: a) обработку и управление информацией;
- 5. f) специальные инструкции по управлению выводом данных и обращению с носителями информации, например использование специальной бумаги
- 6. Эксплуатационные процедуры и документально оформленные процедуры действий системы должны рассматриваться как официальные документы, а изменения в
- 7. Управление изменениями Изменения в конфигурации средств обработки информации и системах должны контролироваться. Эксплуатируемые системы и прикладное
- 8. С целью обеспечения уверенности в надлежащем контроле всех изменений в оборудовании, программном обеспечении или процедурах, должна
- 9. Неадекватный контроль изменений средств и систем обработки информации - распространенная причина системных сбоев и инцидентов безопасности.
- 10. Разделение обязанностей Обязанности и области ответственности должны быть разделены для уменьшения возможностей неавторизованной или непреднамеренной модификации
- 11. Небольшие организации могут признавать разделение обязанностей труднодостижимым, однако, данный принцип должен быть применен насколько это возможно.
- 12. Разделение средств разработки, тестирования и эксплуатации Чтобы снизить риски неавторизованного доступа или изменений эксплуатируемой системы, следует
- 13. Необходимо рассмотреть следующие вопросы: a) правила перевода программного обеспечения из статуса разрабатываемого в статус принятого к
- 14. Деятельность, связанная с разработкой и тестированием, может быть причиной серьезных проблем, например нежелательных изменений файлов или
- 15. Разработчики и специалисты, проводящие тестирование, могут также быть причиной угроз конфиденциальности эксплуатационной информации. Кроме того, если
- 16. 2. Менеджмент оказания услуг третьей стороной Цель: Реализовывать и поддерживать соответствующий уровень информационной безопасности и оказания
- 17. Предоставление услуг Необходимо обеспечивать уверенность в том, что меры и средства контроля и управления безопасности, определение
- 18. Мониторинг и анализ услуг третьей стороны Необходимо регулярно проводить мониторинг и анализ услуг, отчетов и записей,
- 19. Между организацией и третьей стороной должна существовать связь для того, чтобы: a) осуществлять мониторинг уровней предоставления
- 20. Ответственность за управление отношениями с третьей стороной следует возлагать на специально назначенного сотрудника или на группу
- 21. Организация должна поддерживать достаточный общий контроль и прослеживаемость всех аспектов безопасности чувствительной или критической информации, или
- 22. Организация должна быть осведомлена о том, что основная ответственность за информацию, обрабатываемую третьей стороной в рамках
- 23. Управление изменениями услуг третьей стороны Изменения в предоставлении услуг, включая поддержку и улучшение существующих политик, процедур,
- 24. Процесс управления изменениями услуг третьей стороны, должен учитывать: a) изменения, проводимые организацией, для реализации: 1) улучшения
- 25. 3 Планирование и приемка систем Цель: Свести к минимуму риск сбоев в работе систем. Предварительное планирование
- 26. Управление производительностью Использование ресурсов необходимо прогнозировать, исходя из будущих требований к производительности, настраивать и контролировать, чтобы
- 27. Особое внимание необходимо уделять любым ресурсам, требующим длительного времени на закупку или больших расходов, поэтому руководителям
- 28. Приемка систем Должны быть определены критерии приемки для новых информационных систем, обновлений и новых версий, кроме
- 29. До официальной приемки необходимо рассмотреть следующие аспекты: a) требования к мощности и производительности компьютера; b) процедуры
- 30. В отношении новых крупных разработок, службы поддержки и пользователи должны привлекаться для консультации на всех стадиях
- 31. 4 Защита от вредоносной и мобильной программы Цель: Защита целостности программного обеспечения и информации. Необходимо принимать
- 32. Меры и средства контроля и управления против вредоносной программы Необходимо внедрить меры и средства контроля и
- 33. Необходимо рассмотреть следующие рекомендации: a) создать официальную политику, устанавливающую запрет на использование неавторизованного программного обеспечения ;
- 34. d) осуществлять в качестве превентивной меры или обычным порядком инсталляцию и регулярное обновление программного обеспечения по
- 35. f) подготовить соответствующие планы по обеспечению непрерывности бизнеса в части восстановления после атак вредоносной программы, включая
- 36. Использование двух или более программных продуктов, обеспечивающих защиту от вредоносной программы в среде обработки информации, от
- 37. Меры и средства контроля и управления при использовании мобильной программы Там, где разрешено использование мобильной программы,
- 38. c) блокировать прием мобильной программы; d) активизировать технические меры, доступные в отношении определенной системы, чтобы обеспечить
- 39. Мобильная программа представляет собой программный код, который переходит с одного компьютера на другой, а затем исполняется
- 40. 5 Резервирование Цель: Поддерживать целостность и доступность информации и средств обработки информации. Должны быть созданы типовые
- 41. Резервирование информации Резервное копирование информации и программного обеспечения должно выполняться и тестироваться на регулярной основе в
- 42. В отношении резервирования информации необходимо рассматривать следующие вопросы: a) необходимо определить надлежащий уровень резервной информации; b)
- 43. e) в отношении резервной информации должен быть обеспечен соответствующий уровень физической защиты и защиты от воздействий
- 44. Мероприятия по резервированию, применяемые в отношении отдельных систем, должны регулярно тестироваться для обеспечения уверенности в том,
- 45. 6 Менеджмент безопасности сети Цель: Обеспечить уверенность в защите информации в сетях и защите поддерживающей инфраструктуры
- 46. Меры и средства контроля и управления сетями Сети должны адекватно управляться и контролироваться, чтобы быть защищенными
- 47. c) специальные меры и средства контроля и управления следует внедрить для обеспечения конфиденциальности и целостности данных,
- 48. Безопасность сетевых услуг Средства обеспечения безопасности, уровни услуг и требования в отношении менеджмента всех сетевых услуг
- 49. Сетевые услуги включают в себя обеспечение соединений, услуг частных сетей и сетей с дополнительными функциями, а
- 50. 7 Обращение с носителями информации Цель: Предотвратить неавторизованное раскрытие, модификацию, выбытие или уничтожение активов и прерывание
- 51. Менеджмент сменных носителей информации Должны существовать процедуры в отношении менеджмента сменных носителей информации Необходимо рассмотреть следующие
- 52. c) все носители информации должны храниться в надежной, безопасной среде, в соответствии со спецификациями изготовителей; d)
- 53. Утилизация носителей информации Носители информации, когда в них больше нет необходимости, следует надежно и безопасно утилизировать,
- 54. c) может оказаться проще принимать меры по сбору и безопасной утилизации в отношении всех носителей информации,
- 55. Процедуры обработки информации С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить
- 56. e) защиту информации, находящейся в буфере данных и ожидающей вывода, соответствующую степени чувствительности этой информации; f)
- 57. Безопасность системной документации Системная документация должна быть защищена от неавторизованного доступа. Для защиты системной документации необходимо
- 58. 8. Обмен информацией Цель: Поддерживать безопасность информации и программного обеспечения, обмениваемых в пределах организации и с
- 59. Политики и процедуры обмена информацией Должны существовать формальные политики, процедуры и меры и средства контроля и
- 60. e) процедуры использования беспроводной связи, учитывая сопряженные с ней определенные риски; f) обязательство сотрудника, подрядчика и
- 61. j) меры и средства контроля и управления и ограничения, связанные с пересылкой средств связи, например автоматическая
- 62. m) напоминание сотрудникам о проблемах, связанных с использованием факсов, а именно: 1) неавторизованный доступ к встроенной
- 63. Кроме того, необходимо напоминать сотрудникам о том, что не следует вести конфиденциальные беседы в общественных местах
- 64. Следует учитывать подразумеваемые положения бизнеса, законодательства и безопасности, связанные с электронным обменом данными, электронной торговлей и
- 65. Соглашения по обмену информацией Необходимо заключать соглашения по обмену информацией и программным обеспечением между организацией и
- 66. g) ответственность и обязательства в случае инцидентов информационной безопасности, например в случае потери данных; h) использование
- 67. Необходимо создавать и поддерживать политики, процедуры и стандарты в отношении защиты информации и физических носителей информации
- 68. Физические носители информации при транспортировке Носители информации должны быть защищены от неавторизованного доступа, неправильного использования или
- 69. e) меры и средства контроля и управления следует применять, где это необходимо, для защиты чувствительной информации
- 70. Электронный обмен сообщениями Необходимо должным образом защищать информацию, включаемую в электронный обмен сообщениями. В отношении электронного
- 71. Электронный обмен сообщениями, например электронная почта, обмен данными в электронном виде и мгновенный обмен сообщениями, играет
- 72. Информационные системы бизнеса Необходимо разработать и внедрить политики и процедуры защиты информации, связанной с взаимодействием информационных
- 73. e) ограничение доступа к данным личных ежедневников отдельных сотрудников, например работающих над чувствительными проектами; f) определение
- 74. Офисные информационные системы обеспечивают возможность быстрого распространения и совместного использования информации бизнеса и представляют собой комбинацию
- 75. 9. Услуги электронной торговли Цель: Обеспечить уверенность в безопасности услуг электронной торговли и их безопасном использовании.
- 76. Информация, используемая в электронной торговле, проходящая по общедоступным сетям, должна быть защищена от мошенничества, оспаривания договоров,
- 77. e) уровень доверия, вкладываемого в достоверность рекламируемых прайс-листов; f) конфиденциальность любых чувствительных данных или информации; g)
- 78. Многие из вышеупомянутых проблем могут быть решены с использованием криптографических мер и средств контроля и управления
- 79. Необходимо обеспечить устойчивость к компьютерным атакам на основной(ые) сервер(ы) электронной торговли, а также рассмотреть последствия для
- 80. Транзакции в режиме онлайн Информацию, используемую в онлайн транзакциях, следует защищать для предотвращения неполной передачи, неправильной
- 81. e) обеспечение уверенности в том, что хранение деталей транзакции обеспечивается за пределами любой общедоступной среды, например
- 82. Общедоступная информация Целостность информации, которая доступна в общедоступной системе, следует защищать для предотвращения неавторизованной модификации. Программное
- 83. Системы электронной публикации, особенно те, которые предоставляют возможности обратной связи и непосредственного ввода информации, должны находиться
- 84. Информацию, размещенную в общедоступной системе, например на доступном через Интернет Web-сервере, возможно, будет необходимо привести в
- 85. 10 Мониторинг Цель: Обнаружение неавторизованных действий, связанных с обработкой информации. Системы должны контролироваться и события информационной
- 86. Контрольная регистрация Необходимо вести и хранить в течение согласованного периода времени контрольные журналы, регистрирующие действия пользователей,
- 87. f) изменения конфигурации системы; g) использование привилегий; h) использование системных утилит и прикладных программ; i) файлы,
- 88. Контрольные журналы могут содержать данные о вторжениях и конфиденциальные личные данные. Необходимо принимать соответствующие меры для
- 89. Использование системы мониторинга Необходимо создать процедуры для проведения мониторинга использования средств обработки информации и регулярно анализировать
- 90. Необходимо рассмотреть следующие аспекты: a) авторизованный доступ, включая детали, такие как: 1) идентификаторы пользователей; 2) дату
- 91. c) попытки неавторизованного доступа, такие как: 1) неудавшиеся или отклоненные действия пользователей; 2) неудавшиеся или отклоненные
- 92. Как часто следует анализировать результаты мониторинга деятельности, должно зависеть от возможных рисков информационной безопасности. Подлежащие рассмотрению
- 93. Процедуры мониторинга использования систем нужны для обеспечения уверенности в том, что пользователи выполняют только те действия,
- 94. Защита информации журналов регистрации Средства регистрации и информацию журналов регистрации следует защищать от повреждения и неавторизованного
- 95. Архивация некоторых контрольных журналов может требоваться как часть политики хранения записей или вследствие требований собирать и
- 96. Журналы регистрации администратора и оператора Действия системного администратора и системного оператора следует регистрировать. Журналы регистрации должны
- 97. Регистрация неисправностей Неисправности следует регистрировать, анализировать, и предпринимать в их отношении необходимые действия. Неисправности, о которых
- 98. Синхронизация часов Часы во всех соответствующих системах обработки информации в пределах организации или домена безопасности должны
- 100. Скачать презентацию