ГОСТ Р ИСО/МЭК

Внутренние аудиты системы менеджмента информационной безопасности. Анализ системы менеджмента информационной безопасности со стороны руководства.

Входные данные для анализа системы менеджмента информационной безопасности. Выходные данные анализа системы менеджмента информационной безопасности. Улучшение системы менеджмента информационной безопасности. Приложение А рекомендуемое Цели и меры управления. Приложение B справочное Принципы Организации экономического сотрудничества и развития.

Приложение C справочное Сравнение структуры настоящего стандарта со структурами меж-. Приложение D справочное Сведения о соответствии национального стандарта Российской. Федерации ссылочному международному стандарту. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности СМИБ.

Внедрение СМИБ является стратегическим решением организации. На проектирование и внедрение СМИБ организации влияют потребности и цели организации, требования безопасности, используемые процессы, а также масштабы деятельности и структура организации.

Предполагается, что вышеуказанные факторы и поддерживающие их системы будут изменяться во времени. Предполагается также, что СМИБ будет изменяться пропорционально потребностям организации, т.

Положения настоящего стандарта могут быть использованы как внутри организации, так и внешними организациями для оценки соответствия. Настоящий стандарт предполагает использовать процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации.

Для успешного функционирования организация должна определить и осуществить менеджмент многочисленных видов деятельности.

Деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы, может быть рассмотрена как процесс.

Часто выход одного процесса непосредственно формирует вход для следующего процесса. Согласно предлагаемому настоящим стандартом процессному подходу применительно к менеджменту информационной безопасности ИБ особую значимость для пользователей имеют следующие факторы:. На рисунке 1 показано, как СМИБ, используя в качестве входных данных требования ИБ и ожидаемые результаты заинтересованных сторон, с помощью необходимых действий и процессов. Рисунок 1 иллюстрирует также связи между процессами, описанными в разделах 4, 5, 6, 7 и 8.

Принятие модели PDCA также отражает принципы, установленные в Директивах Организации экономического сотрудничества и развития ОЭСР и определяющие безопасность информационных систем и сетей [1]. Настоящий стандарт представляет наглядную модель для реализации на практике указанных принципов, которые позволяют осуществить оценку рисков, проектирование и реализацию системы информационной безопасности, ее менеджмент и переоценку.

Связи между процессами, описанными в разделах 4, 5, 6, 7 и 8, представлены также в таблице 1. Настоящий стандарт согласован со стандартами ИСО Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов. Настоящий стандарт позволяет организации регулировать СМИБ или интегрировать ее с соответствующими требованиями других систем менеджмента.

Information security management systems. Настоящий стандарт предназначен для применения организациями любой формы собственности например, коммерческими, государственными и некоммерческими организациями.

Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности СМИБ среди общих бизнес-рисков организации. Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности ИБ.

Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных. Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности.

Необходимо иметь в наличии формализованную политику для защиты от рисков при использовании переносных устройств. Для работы в дистанционном режиме необходимо разработать и реализовать политику, оперативные планы и процедуры. Обеспечить уверенность в том, что безопасность является неотъемлемым свойством внедряемых информационных систем, и обеспечить выполнение требований безопасности при разработке и эксплуатации систем. В формулировках требований бизнеса для новых информационных систем или совершенствования существующих должны быть детализированы требования безопасности.

Предотвратить ошибки, потерю, несанкционированную модификацию или неправильное использование информации в приложениях.

Входные данные для приложений должны быть подвергнуты процедуре подтверждения с целью установления их достоверности. Для обнаружения искажений ошибок или преднамеренных действий при обработке информации в требования к функциям приложений должны быть включены требования по выполнению контрольных проверок. Должны быть определены требования для обеспечения аутентичности и защиты целостности сообщений в приложениях, а также реализованы соответствующие средства контроля.

Данные, выводимые из приложения, необходимо подвергать проверке на корректность, чтобы обеспечить уверенность в том, что обработка информации выполнена правильно. Защищать конфиденциальность, аутентичность или целостность информации криптографическими средствами. Политика использования криптографических средств защиты. Должны быть разработаны и внедрены правила использования криптографических средств защиты информации. Для реализации организацией криптографических методов защиты должна быть использована система управления ключами.

Обеспечить безопасность системных файлов. Контроль программного обеспечения, находящегося в промышленной эксплуатации. Необходимо обеспечить контроль за процессом внедрения программного обеспечения в промышленную эксплуатацию. Данные тестирования следует тщательно отбирать, защищать и контролировать. Поддерживать безопасность программного обеспечения прикладных систем и содержащейся в них информации.

Внесение изменений должно быть проверено с использованием соответствующих формализованных процедур контроля изменений. Технический анализ прикладных систем после внесения изменений в операционные системы. При внесении изменений в операционные системы необходимо провести анализ и тестирование критичных бизнес-приложений с целью удостовериться в отсутствии негативного влияния на работу и безопасность организации.

Ограничения на внесение изменений в пакеты программ. Необходимо избегать модификаций пакетов программ, а все требуемые изменения должны подлежать строгому контролю. Возможности для утечки информации должны быть предотвращены. Разработка программного обеспечения с привлечением сторонних организаций. Разработка программного обеспечения с привлечением сторонних организаций должна проводиться под контролем и при мониторинге организации.

Снизить риски, являющиеся результатом использования опубликованных технических уязвимостей. Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценивать опасность таких уязвимостей и принимать соответствующие меры по устранению связанного с ними риска. Обеспечить оперативность оповещения о событиях информационной безопасности и нарушениях, связанных с информационными системами, а также своевременность корректирующих действий.

Оповещение о случаях нарушения информационной безопасности. О случаях нарушения информационной безопасности следует сообщать по соответствующим каналам управления незамедлительно, насколько это возможно. Все сотрудники, подрядчики и пользователи сторонних организаций, пользующиеся информационными системами и услугами, должны незамедлительно сообщать о любых замеченных или предполагаемых нарушениях безопасности в системах или услугах.

Обеспечить последовательный и эффективный подход к управлению инцидентами информационной безопасности. Должны быть установлены ответственность руководства и процедуры, позволяющие обеспечить быстрое, эффективное и последовательное реагирование на инциденты информационной безопасности.

Извлечение уроков из инцидентов информационной безопасности. Должны быть определены механизмы, позволяющие вести мониторинг и регистрацию инцидентов информационной безопасности по типам, объемам и стоимостям. На случай, если инцидент информационной безопасности может привести к судебному разбирательству гражданскому или уголовному против лица или организации, информация должна быть собрана, сохранена и представлена согласно правилам оформления доказательств, изложенным в соответствующих документах.

Включение информационной безопасности в процесс управления непрерывностью бизнеса. Должен быть разработан и поддержан управляемый процесс обеспечения непрерывности бизнеса во всей организации с учетом требований информационной безопасности, необходимых для обеспечения непрерывности бизнеса организации.

События, которые могут стать причиной прерывания бизнес-процессов, должны быть связаны с оценками вероятности и степени воздействия таких прерываний, а также с их последствиями для информационной безопасности. Разработка и внедрение планов непрерывности бизнеса, включающих в себя информационную безопасность.

Должны быть разработаны и внедрены планы для поддержки или восстановления работы и обеспечения доступности информации на требуемом уровне и в требуемые сроки после прерывания или отказа критических бизнес-процессов. Структура плана обеспечения непрерывности бизнеса.

Должна быть создана единая структура планов непрерывности бизнеса, позволяющая обеспечить непротиворечивость всех планов для последовательного выполнения всех требований к информационной безопасности и для расстановки приоритетов при тестировании и обслуживании. Тестирование, поддержка и пересмотр планов по обеспечению непрерывности бизнеса. Планы по обеспечению непрерывности бизнеса должны подлежать регулярному пересмотру и обновлению с целью обеспечить их актуальность и эффективность.

Предотвращать любые нарушения норм уголовного и гражданского права, требований, установленных нормативно-правовыми актами, регулирующими органами или договорными обязательствами, а также требований безопасности. Все применимые нормы, установленные законодательством и исполнительными органами власти, требования договорных обязательств и порядок их выполнения следует четко определить, документировать и поддерживать на актуальном уровне для каждой информационной системы и организации.

Должны быть внедрены соответствующие процедуры для применения законодательных, регулирующих и контрактных требований к используемым материалам с учетом прав на интеллектуальную собственность, а также прав на использование программных продуктов, являющихся предметом частной собственности. Важные учетные записи организации должны быть защищены от утраты, разрушения и фальсификации в соответствии с требованиями, установленными законами, документами органов исполнительной власти, контрактами и требованиями бизнеса.

Защита данных и конфиденциальность персональной информации. Защита данных и конфиденциальность персональной информации должны быть обеспечены в соответствии с требованиями законов, нормативных актов и, где это применимо, в соответствии с положениями контрактов.

Предотвращение нецелевого использования средств обработки информации. Должны быть применены меры контроля для предотвращения нецелевого использования средств обработки информации. Регулирование использования средств криптографической защиты.

Средства криптографической защиты должны быть использованы в соответствии с законами, нормативными актами и соответствующими соглашениями. Обеспечить соответствие систем организационным политикам и стандартам безопасности.

Соответствие политикам и стандартам безопасности. Руководители должны обеспечить, чтобы все процедуры безопасности в их сфере ответственности были выполнены правильно и соответствовали политикам и стандартам безопасности.

Проверка технического соответствия требованиям безопасности. Информационные системы следует регулярно проверять на соответствие требованиям стандартов безопасности. Повышение эффективности процесса аудита информационных систем и снижение негативного влияния, связанного с данным процессом. Меры управления аудитом информационных систем. Требования и процедуры аудита, включающие в себя проверки операционных систем, необходимо тщательно планировать и согласовывать, чтобы свести к минимуму риск прерывания бизнес-процессов.

Защита инструментальных средств аудита информационных систем. Доступ к инструментальным средствам аудита информационных систем необходимо защищать для предотвращения любой возможности их неправильного использования или компрометации.

Термин "владелец" не означает, что данное лицо фактически имеет права собственности на этот актив. Принципы, представленные в Руководстве ОЭСР по обеспечению безопасности информационных систем и сетей [1], применимы ко всем уровням политики и эксплуатации, которые определяют безопасность информационных систем и сетей. Настоящий стандарт предлагает концептуальную основу системы менеджмента информационной безопасности для реализации некоторых из принципов ОЭСР с использованием модели PDCA и процессов, описанных в разделах 4, 5, 6 и 8.

Осведомленность Участники должны быть осведомлены о необходимости обеспечения безопасности информационных систем и сетей и о том, что они могут сделать для повышения уровня безопасности. Данные мероприятия являются частью стадии "Осуществление" см. Ответственность Все участники являются ответственными за безопасность информационных систем и сетей.

Реагирование Участники должны действовать совместно и своевременно, чтобы предотвращать, обнаруживать инциденты безопасности и реагировать на них. Является частью стадии "Проверка" деятельности по мониторингу см. Данные мероприятия могут быть также охвачены некоторыми элементами стадий "Планирование" и "Проверка". Оценка риска Участники должны проводить оценку рисков. Этот вид деятельности является частью стадии "Планирование" см.

Разработка и внедрение безопасности Участники должны внедрить безопасность как важный элемент информационных систем и сетей. После выполнения оценки рисков выбирают меры управления для обработки рисков как часть стадии "Планирование" см. Менеджмент безопасности Участники должны применять всесторонний подход к менеджменту безопасности. Менеджмент рисков представляет собой процесс, включающий в себя предотвращение, обнаружение инцидентов и реагирование на них, сопровождение, анализ и аудит.

Все эти вопросы решают на стадиях "Планирование", "Осуществление", "Проверка" и "Действие". Повторная оценка Участники должны анализировать и повторно оценивать состояние безопасности информационных систем и сетей, и вносить соответствующие изменения в политику, практику, меры и процедуры безопасности.

Переоценка повторная оценка информационной безопасности является частью стадии "Проверка" см. Связь с ИСО [9]. Возможность совместного использования с другими системами управления. Приложение А Цели и меры управления. Приложение А Руководство по использованию этого стандарта. Приложение С Сравнение структуры настоящего стандарта со структурами международных стандартов ИСО Соответствие между ИСО Приложение D Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам.

Обозначение ссылочного международного стандарта. Обозначение и наименования соответствующего национального стандарта.

Практические правила управления информационной безопасностью. Руководство по обеспечению безопасности информационных систем и сетей.

Требования Quality management systems - Requirements. Системы управления окружающей средой. Требования и руководство по применению Environmental management systems - Requirements with guidance for use. Управление безопасностью информационных и телекоммуникационных технологий. Концепция и модели управления безопасностью информационных и телекоммуникационных технологий Information technology - Security techniques - Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management.

Управление инцидентами информационной безопасности Information technology - Security techniques - Information security incident management. Руководящие указания по использованию в стандартах Risk management - Vocabulary - Guidelines for use in standards. Рекомендации по управлению безопасностью информационных технологий. Методы управления безопасностью информационных технологий Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT security.

Рекомендации по улучшению деятельности Quality management systems - Guidelines for performance improvements. Электронный текст документа подготовлен АО "Кодекс" и сверен по: Текст документа Статус Сканер копия. Системы менеджмента информационной безопасности требования Название документа: Стандартинформ, год Дата принятия: Данный документ представлен в формате djvu. При применении настоящего стандарта рекомендуется использовать вместо ссылочного международного стандарта соответствующий ему национальный стандарт Российской Федерации, сведения о котором приведены в дополнительном приложении D 5 ВВЕДЕН ВПЕРВЫЕ Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты".

Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет 0 Введение 0 Введение 0. Рисунок 1 Принятие модели PDCA также отражает принципы, установленные в Директивах Организации экономического сотрудничества и развития ОЭСР и определяющие безопасность информационных систем и сетей [1].

Таблица 1 Планирование разработка СМИБ Разработка политики, установление целей, процессов и процедур СМИБ, относящихся к менеджменту риска и улучшению информационной безопасности, для достижения результатов, соответствующих общей политике и целям организации Осуществление внедрение и обеспечение функционирования СМИБ Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур СМИБ Проверка проведение мониторинга и анализа СМИБ Оценка, в том числе, по возможности, количественная, результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования СМИБ и информирование высшего руководства о результатах для последующего анализа Действие поддержка и улучшение СМИБ Проведение корректирующих и превентивных действий, основанных на результатах внутреннего аудита или другой соответствующей информации, и анализа со стороны руководства в целях достижения непрерывного улучшения СМИБ 0.

Практические правила менеджмента информационной безопасности 3 Термины и определения В настоящем стандарте применены следующие термины с соответствующими определениями: Управление системой менеджмента информационной безопасности 4. Эти политики могут быть изложены в одном документе; c определить подход к оценке риска в организации, для чего необходимо: Методы управления безопасностью информационных технологий" [7]; d идентифицировать риски, для чего необходимо: Рекомендуется использовать этот перечень в качестве исходных данных, позволяющих выбрать рациональный вариант мер управления и контроля; h получить утверждение руководством предполагаемых остаточных рисков; i получить разрешение руководства на внедрение и эксплуатацию СМИБ; j подготовить Положение о применимости, которое включает в себя следующее: Примечание - Измерение результативности мер управления позволяет руководителям и персоналу определить, в какой степени меры управления способствуют достижению намеченных целей управления; e реализовать программы по обучению и повышению квалификации сотрудников см.

Примечание - Внутренние аудиты, иногда называемые аудитами первой стороны, проводятся самой организацией или внешней организацией от ее имени для собственных целей; f регулярно проводить руководством организации анализ СМИБ в целях подтверждения адекватности ее функционирования и определения направлений совершенствования см. Цели и меры управления Приложение А рекомендуемое Цели и меры управления, перечисленные в таблице А.

Обеспечить участие высшего руководства организации в решении вопросов, связанных с обеспечением информационной безопасности в соответствии с целями деятельности организации бизнеса , законами и нормативными актами A. Обеспечение управления информационной безопасностью в организации A. Поддерживать безопасность информации и средств обработки информации организации при наличии доступа к ним сторонних организаций в процессах обработки и передачи этой информации A.

Обеспечивать соответствующую защиту активов организации A. Обеспечить уверенность в том, что информация защищена на надлежащем уровне A. Обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осознают свою ответственность и способны выполнять предусмотренные для них функции и снижать риск от воровства, мошенничества и нецелевого использования оборудования, а также от угроз безопасности информации A.

Обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осведомлены об угрозах и проблемах информационной безопасности, об их ответственности и обязательствах, ознакомлены с правилами и обучены процедурам для поддержания мер безопасности организации при выполнении ими своих служебных обязанностей и для снижения риска человеческого фактора для информационной безопасности A. Обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации уведомлены об увольнении или изменении условий трудового договора в соответствии с установленным порядком A.

Предотвращать несанкционированные физический доступ, повреждение и воздействия на помещения и информацию организации A. Предотвращать потерю, повреждение, хищение или компрометацию активов и прекращение деятельности организации A.

Обеспечить надлежащее и безопасное функционирование средств обработки информации A. Свести к минимуму риск сбоев в работе систем A. Защищать целостность программного обеспечения и массивов информации A. Поддерживать целостность и доступность информации и средств обработки информации A. Обеспечить защиту информации в сетях и защиту поддерживающей инфраструктуры A. Предотвратить несанкционированное разглашение, модификацию, удаление или уничтожение активов и прерывание бизнес-процессов A.

Поддерживать безопасность информации и программного обеспечения при обмене внутри организации и со сторонними организациями A. Обеспечить безопасность услуг электронной торговли и их безопасное использование A. Обнаруживать несанкционированные действия, связанные с обработкой информации A. Контролировать доступ к информации A.

Предотвратить несанкционированный доступ пользователей к информационным системам и обеспечить авторизованный доступ пользователей к этим системам A.

Предотвращать несанкционированный доступ пользователей, а также компрометацию или кражу информации и средств обработки информации A.

Предотвратить несанкционированный доступ к сетевым сервисам A. Предотвратить несанкционированный доступ к операционным системам A. Предотвратить несанкционированный доступ к прикладным системам и информации A.

Обеспечить информационную безопасность при использовании переносных устройств и средств, необходимых для работы в дистанционном режиме A. Обеспечить уверенность в том, что безопасность является неотъемлемым свойством внедряемых информационных систем, и обеспечить выполнение требований безопасности при разработке и эксплуатации систем A. Предотвратить ошибки, потерю, несанкционированную модификацию или неправильное использование информации в приложениях A.

Защищать конфиденциальность, аутентичность или целостность информации криптографическими средствами A. Обеспечить безопасность системных файлов A. Поддерживать безопасность программного обеспечения прикладных систем и содержащейся в них информации A.

Снизить риски, являющиеся результатом использования опубликованных технических уязвимостей A. Обеспечить оперативность оповещения о событиях информационной безопасности и нарушениях, связанных с информационными системами, а также своевременность корректирующих действий A. Обеспечить последовательный и эффективный подход к управлению инцидентами информационной безопасности A.

На случай, если инцидент информационной безопасности может привести к судебному разбирательству гражданскому или уголовному против лица или организации, информация должна быть собрана, сохранена и представлена согласно правилам оформления доказательств, изложенным в соответствующих документах A.

Настоящий стандарт предназначен для применения организациями любой формы собственности например, коммерческими, государственными и некоммерческими организациями. Настоящий стандарт устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности СМИБ среди общих бизнес-рисков организации.

Кроме этого, стандарт устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности ИБ. Целью построения СМИБ является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Примечание - Термин "бизнес", в настоящем стандарте понимаемый в широком смысле, обозначает всю ту деятельность, которая является основой для целей существования организации. Требования, устанавливаемые настоящим стандартом, предназначены для применения во всех организациях независимо от типа, масштабов и сферы их деятельности. Любой отказ от применения той или иной меры управления, обусловленный необходимостью удовлетворения критериев принятия рисков, должен быть обоснован.

Необходимо также наличие адекватных доказательств того, что подобные риски были уже приняты ответственными лицами. Примечание - Если организация уже имеет действующую систему менеджмента бизнес-процессов например, в соответствии с ИСО [2] или ИСО [3] , тогда в большинстве случаев предпочтительнее удовлетворить требования настоящего стандарта в рамках этой существующей системы менеджмента.

В настоящем стандарте использованы нормативные ссылки на следующий стандарт: Практические правила менеджмента информационной безопасности.

В настоящем стандарте применены следующие термины с соответствующими определениями:. Все, что имеет ценность для организации. Свойство объекта находиться в состоянии готовности и возможности использования по запросу авторизованного логического объекта. Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса. Свойство информации сохранять конфиденциальность, целостность и доступность.

ISO/IEC Information technology — Security techniques — Information security. management systems — Requirements (IDT). Èçäàíèå îôèöèàëüíîå. Áç 1—/ Ãîñò ð èñî/ìýê — Ïðåäèñëîâèå.  Ãîñò ð èñî/ìýê — Ðèñóíîê 1. Ñâÿçè ìåæäó ïðîöåññàìè, îïèñàííûìè â ðàçäåëàõ 4, 5, 6, 7 è 8, ïðåäñòàâëåíû òàêæå â òàáëèöå 1. Òàáëèöà 1. Ïëàíèðîâàíèå (ðàçðàáîòêà ÑÌÈÁ). Îñóùåñòâëåíèå (âíåäðåíèå è îáåñïå-÷åíèå ôóíêöèîíèðîâàíèÿ ÑÌÈÁ). Ïðîâåðêà (ïðîâåäåíèå ìîíèòîðèíãà è àíàëèçà ÑÌÈÁ). ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования. Название документа: ГОСТ Р ИСО/МЭК Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. Номер документа: ИСО/МЭК Вид документа: ГОСТ Р. ГОСТ Р ИСО/МЭК — Национальный стандарт российской федерации. Информационная технология.  Издание официальное. 1. ГОСТ Р ИСО/МЭК — 2 Нормативные ссылки. В настоящем стандарте использованы нормативные ссылки на следующий стандарт: ИСО/МЭК Информационная технология.

ISO/IEC — Википедия

Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон. Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

Система управления рисками позволяет получать ответы на следующие вопросы:. Первым стандартом по информационной безопасности, является принятый на государственном уровне в году и разработанный Британским институтом стандартов BS - Part 1. В сентябре года в силу вступила вторая часть стандарта BS Part 2 Information Security management — specification for information security management systems Спецификация системы управления информационной безопасностью.

Вторая часть BS пересматривалась в г. Большая часть документации, требуемая по ISO , уже могла быть разработана, и могла использоваться в рамках ISO Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO или ISO , то предпочтительно обеспечивать выполнение требования стандарта ISO в рамках уже существующих систем. Изменения коснулись как структуры стандарта, так и требований.

На русский язык данная версия стандарта еще не переведена, но английский вариант текстового содержания нового стандарта таков:. В приложении "А" количество требований контролей уменьшилось со до Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Скоординированные действия по руководству и управлению организацией в отношении риска. Примечание - Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска и коммуникацию риска.

Процесс выбора и осуществления мер по модификации риска. Документированное предписание, определяющее цели и меры управления, соответствующие и применимые к системе менеджмента информационной безопасности организации.

Примечание - Цели и меры управления основываются на результатах и выводах процессов оценки и обработки рисков, на требованиях законодательных или нормативных актов, на обязательствах по контракту и бизнес-требованиях организации по отношению к информационной безопасности.

Организация должна разработать, внедрить, обеспечить функционирование, вести мониторинг, анализировать, поддерживать и непрерывно улучшать документированную СМИБ применительно ко всей деловой деятельности организации и рискам, с которыми она сталкивается. С учетом целей настоящего стандарта используемый процесс основан на применении модели PDCA, приведенной на рисунке 1.

Эти политики могут быть изложены в одном документе;. Выбранная методология оценки риска должна обеспечивать сравнимые и воспроизводимые результаты.

Примечание - Имеются различные методологии оценки риска. Методы управления безопасностью информационных технологий" [7];. Термин "владелец" не означает, что лицо действительно имеет какие-либо права собственности на актив. Цели и меры управления должны быть выбраны и реализованы так, чтобы удовлетворять требованиям, определенным в процессе оценки и обработки рисков. Этот выбор должен учитывать критерии принятия рисков [см.

Цели и меры управления должны быть выбраны согласно приложению А как часть процесса оценки и обработки рисков и соответствовать требованиям этого процесса. Перечень целей и мер управления, приведенный в приложении А, не является исчерпывающим, а потому могут быть выбраны дополнительные цели и меры управления.

Примечание - Приложение А содержит подробный перечень целей и мер управления, обычно используемых в организациях. Рекомендуется использовать этот перечень в качестве исходных данных, позволяющих выбрать рациональный вариант мер управления и контроля;.

Примечание - Положение о применимости содержит итоговые решения, касающиеся обработки рисков. Обоснование исключений предусматривает перекрестную проверку, позволяющую определить, что ни одна мера управления не была случайно упущена. Примечание - Измерение результативности мер управления позволяет руководителям и персоналу определить, в какой степени меры управления способствуют достижению намеченных целей управления;. Примечание - Внутренние аудиты, иногда называемые аудитами первой стороны, проводятся самой организацией или внешней организацией от ее имени для собственных целей;.

Важно иметь обратную связь выбранных мер управления с результатами процессов оценки и обработки риска, а также последних с политикой СМИБ и целями СМИБ. Документация СМИБ должна включать в себя следующее: Учетные записи необходимо контролировать и защищать. СМИБ должна принимать во внимание все нормативно-правовые требования и договорные обязательства, имеющие отношение к ИБ. Записи должны быть четкими, легкоидентифицируемыми и восстанавливаемыми. Меры управления, требуемые для идентификации, хранения, защиты, поиска, определения сроков хранения и уничтожения записей должны быть документированы и реализованы.

Кроме этого, следует вести и хранить записи о выполнении процессов, описанных в 4. Пример - Примерами записей являются: Руководство организации должно предоставлять доказательства выполнения своих обязательств в отношении разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ путем осуществления следующих мер: Организация должна также обеспечить понимание всеми соответствующими сотрудниками значимости и важности деятельности в области информационной безопасности, и их роли в достижении целей СМИБ.

Организация должна в соответствии с утвержденным графиком проводить внутренние аудиты СМИБ, позволяющие установить, что цели управления, меры управления, процессы и процедуры СМИБ: Программа аудита должна быть спланирована с учетом статуса и важности проверяемых процессов и зон, подлежащих аудиту, а также результатов предыдущих аудитов. Должны быть определены критерии, область, частота и методы аудита. Отбор аудиторов и процедура аудита должны обеспечивать его объективность и беспристрастность.

Аудиторы не должны проводить проверку своей собственной работы. Правила и требования, относящиеся к планированию, проведению аудита, сообщению о его результатах и поддержанию в рабочем состоянии учетных записей см. Руководитель, ответственный за проверяемый участок деятельности организации, должен своевременно и без задержки обеспечить проведение проверки в целях устранения обнаруженных несоответствий и их причин.

Последующие действия должны включать в себя проверку предпринятых действий и сообщение о результатах проверки см. Руководство должно в соответствии с утвержденным графиком периодически не менее одного раза в год проводить анализ СМИБ организации в целях обеспечения ее постоянной пригодности, адекватности и результативности. Результаты анализа должны содержать предложения по изменению СМИБ и оценку их реализации в интересах обеспечения выполнения требований политики и целей информационной безопасности.

Результаты таких проверок должны быть зафиксированы документально, а учетные записи должны быть сохранены см. Входные данные для анализа СМИБ со стороны руководства должны включать в себя следующую информацию: Выходные данные анализа СМИБ со стороны руководства должны включать в себя все решения и действия, направленные: Организация должна постоянно повышать результативность СМИБ посредством уточнения политики ИБ, целей ИБ, использования результатов аудитов, анализа контролируемых событий, корректирующих и предупреждающих действий, а также использования руководством результатов анализа СМИБ см.

Организация должна проводить мероприятия по устранению причин несоответствий требованиям СМИБ с целью предупредить их повторное возникновение. Документированная процедура корректирующего действия должна устанавливать требования по: Организация должна определять действия, необходимые для устранения причин потенциальных несоответствий требованиям СМИБ, с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать последствиям потенциальных проблем.

Документированная процедура предпринятого предупреждающего действия должна устанавливать требования по: Организация должна определить изменения в оценках рисков и установить требования к предупреждающим действиям, при этом обращая особое внимание на существенно измененные количественные показатели рисков. Приоритеты в отношении реализации предупреждающих действий должны быть определены на основе результатов оценки риска. Примечание - Обычно затраты на проведение мероприятий по предотвращению несоответствий более экономичны, чем на корректирующие действия.

Цели и меры управления, перечисленные в таблице А. Перечень мер управления, содержащийся в данной таблице, не является исчерпывающим, и организация может рассмотреть необходимость дополнительных целей и мер управления. Выбор целей и мер управления и контроля, приведенных в таблице, должен быть осуществлен в соответствии с разделом 4.

Обеспечить участие высшего руководства организации в решении вопросов, связанных с обеспечением информационной безопасности в соответствии с целями деятельности организации бизнеса , законами и нормативными актами. Документирование политики информационной безопасности. Политика информационной безопасности должна быть руководством утверждена, издана и доведена до сведения всех сотрудников организации, а также сторонних организаций. Политика информационной безопасности организации должна быть подвергнута анализу и пересмотру через заданные промежутки времени или при появлении существенных изменений характеристик целей безопасности.

Обеспечение управления информационной безопасностью в организации. Обязанности руководства по обеспечению информационной безопасности. Руководство организации должно постоянно поддерживать заданный уровень информационной безопасности путем внедрения системы менеджмента, а также путем распределения обязанностей и ответственности персонала за ее обеспечение.

Координация вопросов обеспечения информационной безопасности. Действия по обеспечению информационной безопасности должны координироваться представителями различных подразделений организации, имеющими соответствующие функции и должностные обязанности. Распределение обязанностей по обеспечению информационной безопасности. Обязанности персонала по обеспечению информационной безопасности должны быть четко определены.

Процедура получения разрешения на использование средств обработки информации. Руководство должно определить и внедрить процедуры получения разрешения на использование новых средств обработки информации.

Руководство организации должно определять условия конфиденциальности или вырабатывать соглашения о неразглашении информации в соответствии с целями защиты информации и регулярно их пересматривать.

Руководство организации должно поддерживать взаимодействие с соответствующими компетентными органами. Взаимодействие с ассоциациями и профессиональными группами. Руководство организации должно поддерживать соответствующее взаимодействие с профессиональными группами, ассоциациями и участвовать организовывать в конференциях форумах специалистов в области информационной безопасности.

Независимая проверка аудит информационной безопасности. Порядок организации и управления информационной безопасностью и ее реализация например, изменение целей и мер управления, политики, процессов и процедур обеспечения информационной безопасности должны быть подвергнуты независимой проверке аудиту через определенные промежутки времени или при появлении существенных изменений в способах реализации мер безопасности. Поддерживать безопасность информации и средств обработки информации организации при наличии доступа к ним сторонних организаций в процессах обработки и передачи этой информации.

Определение рисков, связанных со сторонними организациями. Перед предоставлением доступа сторонним организациям к информации и средствам ее обработки в процессе деятельности организации необходимо определять возможные риски для информации и средств ее обработки и реализовывать соответствующие им меры безопасности. Рассмотрение вопросов безопасности при работе с клиентами. Перед предоставлением клиентам права доступа к информации или активам организации необходимо определить и внедрить меры безопасности.

Рассмотрение требований безопасности в соглашениях со сторонними организациями. Соглашения со сторонними организациями должны содержать все требования безопасности, включающие в себя правила доступа к процессам обработки, передачи информации или к управлению информацией или средствами обработки информации организации, а также и в случае приобретения дополнительных программных продуктов или организации сервисного обслуживания средств обработки информации.

Обеспечивать соответствующую защиту активов организации. Опись всех важных активов организации должна быть составлена и актуализирована. Правила безопасного использования информации и активов, связанных со средствами обработки информации, должны быть определены, документированы и реализованы. Обеспечить уверенность в том, что информация защищена на надлежащем уровне. Информация должна быть классифицирована исходя из правовых требований, ее конфиденциальности, а также ценности и критичности для организации.

В соответствии с принятой в организации системой классификации должна быть разработана и реализована совокупность процедур маркировки и обработки информации. Обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осознают свою ответственность и способны выполнять предусмотренные для них функции и снижать риск от воровства, мошенничества и нецелевого использования оборудования, а также от угроз безопасности информации.

Функции и обязанности персонала по обеспечению безопасности. Функции и обязанности персонала по обеспечению безопасности сотрудников, подрядчиков и пользователей сторонней организации должны быть определены и документированы в соответствии с требованиями информационной безопасности.

Проверка всех кандидатов на постоянную работу, подрядчиков и пользователей сторонней организации должна быть проведена в соответствии с законами, инструкциями и правилами этики, с учетом требований бизнеса, характера информации, к которой будет осуществлен их доступ, и предполагаемых рисков. Сотрудники, подрядчики и пользователи сторонней организации должны согласовать и подписать условия своего трудового договора, в котором установлены их ответственность и ответственность организации относительно информационной безопасности.

Обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации осведомлены об угрозах и проблемах информационной безопасности, об их ответственности и обязательствах, ознакомлены с правилами и обучены процедурам для поддержания мер безопасности организации при выполнении ими своих служебных обязанностей и для снижения риска человеческого фактора для информационной безопасности.

Руководство организации должно требовать, чтобы сотрудники, подрядчики и пользователи сторонней организации были ознакомлены с правилами и процедурами обеспечения мер безопасности в соответствии с установленными требованиями.

Осведомленность, обучение и переподготовка в области информационной безопасности. Все сотрудники организации и, при необходимости, подрядчики и пользователи сторонних организаций должны проходить соответствующее обучение и переподготовку в целях регулярного получения информации о новых требованиях правил и процедур организации безопасности, необходимых для выполнения ими должностных функций. К сотрудникам, совершившим нарушение требований безопасности, должна быть применена дисциплинарная практика, установленная в организации.

Обеспечить уверенность в том, что сотрудники, подрядчики и пользователи сторонней организации уведомлены об увольнении или изменении условий трудового договора в соответствии с установленным порядком. Ответственность по окончании действия трудового договора. Ответственность по окончании действия трудового договора должна быть четко определена и установлена.

Сотрудники, подрядчики и пользователи сторонней организации обязаны вернуть все активы организации, находящиеся в их пользовании владении , по истечении срока действия трудового договора или соглашения увольнение. Права доступа к информации и средствам обработки информации сотрудников, подрядчиков и пользователей сторонней организации должны быть аннулированы или уточнены по окончании действия трудового договора увольнение.

Предотвращать несанкционированные физический доступ, повреждение и воздействия на помещения и информацию организации. Для защиты зон, где имеются информация и средства обработки информации, должны быть использованы периметры охраняемых зон барьеры, такие как стены, проходные, оборудованные средствами контроля входа по идентификационным карточкам, или, где предусмотрен, контроль сотрудника регистрационной стойки. Охраняемая зона должна быть защищена соответствующими средствами контроля входа, предполагающими обеспечить уверенность в том, что только авторизованный персонал может получить доступ в зону.

Обеспечение безопасности зданий, производственных помещений и оборудования. Требования к обеспечению физической безопасности зданий, производственных помещений и оборудования должны быть разработаны и реализованы. Защита от внешних угроз и угроз со стороны окружающей среды. Требования к обеспечению физической защиты зданий, производственных помещений и оборудования от нанесения ущерба в результате пожара, наводнения, землетрясения, взрыва, общественных беспорядков и других природных и антропогенных факторов должны быть разработаны и реализованы.

Требования по физической защите и рекомендации по выполнению работ в охраняемых зонах должны быть разработаны и реализованы в инструкциях. Зоны общественного доступа, приема и отгрузки материальных ценностей. Места доступа, такие как зоны приема, отгрузки материальных ценностей и другие места, где неавторизованные лица могут проникнуть в помещения, должны быть под контролем и, по возможности, должны быть изолированы от средств обработки информации во избежание несанкционированного доступа.

Предотвращать потерю, повреждение, хищение или компрометацию активов и прекращение деятельности организации. Оборудование должно быть размещено и защищено так, чтобы уменьшить риски от воздействия окружающей среды и возможности несанкционированного доступа.

Оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с отказами в обеспечении вспомогательных услуг. Силовые и телекоммуникационные кабельные сети, по которым передаются данные или поддерживаются информационные услуги, необходимо защищать от перехвата информации или повреждения. Должно проводиться надлежащее регулярное техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и сохранности.

Обеспечение безопасности оборудования, используемого вне помещений организации. При обеспечении безопасности оборудования, используемого вне места его постоянной эксплуатации, должны быть учтены различные риски, связанные с работой вне помещений организации. Безопасная утилизация или повторное использование оборудования. Все компоненты оборудования, содержащие носители данных, должны быть проверены с целью удостовериться в том, что любые конфиденциальные данные и лицензионное программное обеспечение были удалены или скопированы безопасным образом до их утилизации списания.

Оборудование, информацию или программное обеспечение допускается выносить из помещения организации только на основании соответствующего разрешения. Обеспечить надлежащее и безопасное функционирование средств обработки информации. Документирование операционных процедур эксплуатации. Операционные процедуры должны документироваться, поддерживаться и быть доступными для всех авторизованных пользователей.

Изменения в конфигурациях средств обработки информации и системах должны быть контролируемыми. Обязанности и области ответственности должны быть разграничены в целях снижения возможностей несанкционированной или непреднамеренной модификации, или нецелевого использования активов организации.

Разграничение средств разработки, тестирования и эксплуатации. Средства разработки, тестирования и эксплуатации должны быть разграничены в целях снижения риска несанкционированного доступа или изменения операционной системы.

Должна быть обеспечена уверенность в том, что меры управления информационной безопасностью, включенные в договор об оказании услуг сторонней организации, реализованы, функционируют и поддерживаются сторонней организацией. Необходимо регулярно проводить мониторинг, аудит и анализ услуг, отчетов и актов, обеспечиваемых сторонней организацией.

Изменения при оказании сторонними организациями услуг по обеспечению безопасности. Изменения при оказании услуг по обеспечению безопасности, включая внедрение и совершенствование существующих требований, процедур и мер обеспечения информационной безопасности, должны быть управляемыми с учетом оценки критичности систем и процессов бизнеса, а также результатов переоценки рисков.

Свести к минимуму риск сбоев в работе систем. Необходимо осуществлять прогнозирование, мониторинг и корректировку потребности мощности системы для обеспечения требуемой ее производительности. Должны быть определены критерии принятия новых и модернизированных информационных систем, новых версий программного обеспечения, а также проведено тестирование систем в процессе их разработки и приемки. Защищать целостность программного обеспечения и массивов информации. Должны быть реализованы меры по обнаружению, предотвращению проникновения и восстановлению после проникновения вредоносного кода, а также должны быть установлены процедуры обеспечения соответствующего оповещения пользователей.

Там, где разрешено использование мобильного кода, конфигурация системы должна обеспечивать уверенность в том, что авторизованный мобильный код функционирует в соответствии с четко определенной политикой безопасности, а исполнение операции с использованием неавторизованного мобильного кода будет предотвращено. Поддерживать целостность и доступность информации и средств обработки информации.

Резервные копии информации и программного обеспечения должны создаваться, проверяться и тестироваться на регулярной основе в соответствии с принятыми требованиями резервирования. Обеспечить защиту информации в сетях и защиту поддерживающей инфраструктуры.

Сети должны быть адекватно управляемыми и контролируемыми в целях защиты от угроз и поддержания безопасности систем и приложений, использующих сеть, включая информацию, передаваемую по сетям.

Меры обеспечения безопасности, уровни обслуживания для всех сетевых услуг и требования управления должны быть определены и включены в любой договор о сетевых услугах независимо от того, предоставляются ли эти услуги своими силами или сторонней организацией. Предотвратить несанкционированное разглашение, модификацию, удаление или уничтожение активов и прерывание бизнес-процессов.

Для управления съемными носителями информации должны существовать соответствующие процедуры. Носители информации, когда в них больше нет необходимости, должны быть надежно и безопасно утилизированы с помощью формализованных процедур. Для обеспечения защиты информации от несанкционированного раскрытия или неправильного использования необходимо установить процедуры обработки и хранения информации.

Системная документация должна быть защищена от несанкционированного доступа. Поддерживать безопасность информации и программного обеспечения при обмене внутри организации и со сторонними организациями.

Должны существовать формализованные процедуры, требования и меры контроля, обеспечивающие защиту обмена информацией при использовании связи всех типов.

Между организацией и сторонними организациями должны быть заключены соглашения по обмену информацией и программным обеспечением. Защита физических носителей информации при транспортировке. Носители информации должны быть защищены от несанкционированного доступа, неправильного использования или повреждения во время их транспортировки за пределами территории организации. Информация, используемая в электронном обмене сообщениями, должна быть защищена надлежащим образом. Требования и процедуры должны быть разработаны и внедрены для защиты информации, связанной с взаимодействием систем бизнес-информации.

Обеспечить безопасность услуг электронной торговли и их безопасное использование. Информация, используемая в электронной торговле, проходящая по общедоступным сетям, должна быть защищена от мошенничества, оспаривания контрактов, а также от несанкционированного разглашения и модификации.

Трансакции в режиме реального времени on-line. Информация, используемая в трансакциях в режиме реального времени on-line , должна быть защищена для предотвращения неполной передачи, неправильной маршрутизации, несанкционированного изменения сообщений, несанкционированного разглашения, несанкционированного копирования или повторного воспроизведения сообщений. Информация, предоставляемая через общедоступную систему, должна быть защищена от несанкционированной модификации.

Обнаруживать несанкционированные действия, связанные с обработкой информации. Должны быть обеспечены ведение и хранение в течение определенного периода времени журналов аудита, регистрирующих действия пользователей, нештатные ситуации и события информационной безопасности, в целях помощи в будущих расследованиях и проведении мониторинга контроля доступа.

Мониторинг использования средств обработки информации. Должны быть установлены процедуры, позволяющие вести мониторинг и регулярный анализ результатов мониторинга использования средств обработки информации.

Средства регистрации и информация журналов регистрации должны быть защищены от вмешательства и несанкционированного доступа. Журналы регистрации действий администратора и оператора. Действия системного администратора и системного оператора должны быть регистрируемыми. Неисправности должны быть зарегистрированы, проанализированы и устранены. Часы всех соответствующих систем обработки информации в пределах организации или охраняемой зоны должны быть синхронизированы с помощью единого источника точного времени.

Контролировать доступ к информации. Политика контроля доступа должна быть установлена и документирована с учетом потребностей бизнеса и безопасности информации. Предотвратить несанкционированный доступ пользователей к информационным системам и обеспечить авторизованный доступ пользователей к этим системам. Должна быть установлена формализованная процедура регистрации и снятия с регистрации пользователей для предоставления и отмены доступа ко всем информационным системам и услугам.

Предоставление и использование привилегий должно быть ограниченным и контролируемым. Предоставление паролей должно быть контролируемым посредством формализованного процесса управления. Руководство должно периодически осуществлять пересмотр прав доступа пользователей, используя формализованный процесс. Предотвращать несанкционированный доступ пользователей, а также компрометацию или кражу информации и средств обработки информации.

Пользователи должны соблюдать правила безопасности при выборе и использовании паролей. Оборудование, оставленное пользователем без присмотра. Пользователи должны обеспечивать соответствующую защиту оборудования, оставленного без присмотра. Правила "чистого стола" и "чистого экрана". Должны быть приняты правила "чистого стола" для документов на бумажных носителях и сменных носителей данных, а также правила "чистого экрана" для средств обработки информации.

Предотвратить несанкционированный доступ к сетевым сервисам. Политика в отношении использования сетевых услуг. Пользователям следует предоставлять доступ только к тем услугам, по отношению к которым они специально были авторизованы.

Аутентификация пользователей для внешних соединений. Для контроля доступа удаленных пользователей должны быть применены соответствующие методы аутентификации.

Автоматическая идентификация оборудования должна рассматриваться как средство аутентификации соединений, осуществляемых с определенных мест и с определенным оборудованием. Защита диагностических и конфигурационных портов при удаленном доступе. Физический и логический доступ к портам конфигурации и диагностики должен быть контролируемым. В сетях должны быть применены принципы разделения групп информационных услуг, пользователей и информационных систем.

Подключение пользователей к совместно используемым сетям, особенно к тем, которые выходят за территорию организации, необходимо ограничивать в соответствии с политикой контроля доступа и требованиями бизнес-приложений см. Должны быть внедрены средства управления и контроля маршрутизации в сети с целью исключить нарушения правил контроля доступа для бизнес-приложений, вызываемые соединениями и потоками информации.

Предотвратить несанкционированный доступ к операционным системам. Контроль доступа к операционным системам должен быть обеспечен безопасной процедурой регистрации. Все пользователи должны иметь уникальные идентификаторы ID только для персонального использования, а для подтверждения заявленной личности пользователя должны быть выбраны подходящие методы аутентификации.

Системы управления паролями должны быть интерактивными и обеспечивать высокое качество паролей. Использование системных утилит, которые могут преодолеть средства контроля операционных систем и приложений, необходимо ограничивать и строго контролировать. Необходимо обеспечить завершение сеансов связи после определенного периода бездействия.

Ограничение времени соединения должно быть использовано для обеспечения дополнительной безопасности. Предотвратить несанкционированный доступ к прикладным системам и информации.

Доступ к информации и функциям прикладных систем пользователей и обслуживающего персонала должен быть предоставлен только в соответствии с определенными политиками контроля доступа. Изоляция систем, обрабатывающих важную информацию. Системы, обрабатывающие важную информацию, должны иметь выделенную изолированную вычислительную среду.

Обеспечить информационную безопасность при использовании переносных устройств и средств, необходимых для работы в дистанционном режиме. Необходимо иметь в наличии формализованную политику для защиты от рисков при использовании переносных устройств.

Для работы в дистанционном режиме необходимо разработать и реализовать политику, оперативные планы и процедуры. Обеспечить уверенность в том, что безопасность является неотъемлемым свойством внедряемых информационных систем, и обеспечить выполнение требований безопасности при разработке и эксплуатации систем. В формулировках требований бизнеса для новых информационных систем или совершенствования существующих должны быть детализированы требования безопасности.

Предотвратить ошибки, потерю, несанкционированную модификацию или неправильное использование информации в приложениях. Входные данные для приложений должны быть подвергнуты процедуре подтверждения с целью установления их достоверности. Для обнаружения искажений ошибок или преднамеренных действий при обработке информации в требования к функциям приложений должны быть включены требования по выполнению контрольных проверок.

Должны быть определены требования для обеспечения аутентичности и защиты целостности сообщений в приложениях, а также реализованы соответствующие средства контроля. Данные, выводимые из приложения, необходимо подвергать проверке на корректность, чтобы обеспечить уверенность в том, что обработка информации выполнена правильно. Защищать конфиденциальность, аутентичность или целостность информации криптографическими средствами. Политика использования криптографических средств защиты.

Должны быть разработаны и внедрены правила использования криптографических средств защиты информации. Для реализации организацией криптографических методов защиты должна быть использована система управления ключами. Обеспечить безопасность системных файлов.

Контроль программного обеспечения, находящегося в промышленной эксплуатации. Необходимо обеспечить контроль за процессом внедрения программного обеспечения в промышленную эксплуатацию. Данные тестирования следует тщательно отбирать, защищать и контролировать. Поддерживать безопасность программного обеспечения прикладных систем и содержащейся в них информации. Внесение изменений должно быть проверено с использованием соответствующих формализованных процедур контроля изменений.

Технический анализ прикладных систем после внесения изменений в операционные системы. При внесении изменений в операционные системы необходимо провести анализ и тестирование критичных бизнес-приложений с целью удостовериться в отсутствии негативного влияния на работу и безопасность организации.

Ограничения на внесение изменений в пакеты программ. Необходимо избегать модификаций пакетов программ, а все требуемые изменения должны подлежать строгому контролю. Возможности для утечки информации должны быть предотвращены. Разработка программного обеспечения с привлечением сторонних организаций. Разработка программного обеспечения с привлечением сторонних организаций должна проводиться под контролем и при мониторинге организации.

Снизить риски, являющиеся результатом использования опубликованных технических уязвимостей. Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценивать опасность таких уязвимостей и принимать соответствующие меры по устранению связанного с ними риска.

Обеспечить оперативность оповещения о событиях информационной безопасности и нарушениях, связанных с информационными системами, а также своевременность корректирующих действий. Оповещение о случаях нарушения информационной безопасности.

"ГОСТ Р ИСО/МЭК Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. ГОСТ Р ИСО/МЭК ISO/IEC — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по.

Найдено :

Случайные запросы