Управление информационной безопасност ью

Скачать 2.74 Mb.

Название	Управление информационной безопасност ью
страница	8/19
Тип	Документы

filling-form.ru > Туризм > Документы

1 ... 4 5 6 7 8 9 10 11 ... 19

2 этап. Реализация (эксплуатация)

Оперативное управление

Организация должна:

- выполнять планы по достижению целей ИБ;

- сохранять документированную информацию в объеме, необходимом для получения уверенности в том, что процессы осуществляются так, как запланировано;

- управлять планируемыми изменениями и рассматривать последствия случайных изменений, принимать меры по смягчению неблагоприятных последствий при необходимости;

- обеспечить, что переданные на аутсорсинг процессы определены и управляются.

Оценка рисков ИБ

Организация должна:

- выполнять оценку рисков ИБ через запланированные интервалы времени, либо в случае предполагающихся или уже происходящих существенных изменений с учетом разработанных критериев;

- сохранять документированную информацию о результатах оценки рисков ИБ.

Обработка рисков ИБ

Организация должна:

- реализовать план обработки рисков ИБ;

- сохранять документированную информацию о результатах обработки рисков ИБ.

3 этап. Контроль (оценка результативности)

Мониторинг, измерение, анализ и оценка

Организация должна оценивать состояние ИБ и результативность СУИБ.

Организация должна определить:

- что необходимо отслеживать и измерять, в том числе процессы информационной безопасности и элементы управления;

- методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях обеспечения достоверных результатов;

- когда должны проводиться действия по мониторингу и измерениям;

- кто должен осуществлять мониторинг и измерения;

- когда результаты мониторинга и измерений должны быть проанализированы и оценены;

- кто должен анализировать и оценивать эти результаты.

Организация должна сохранять соответствующую документированную информацию в качестве подтверждения результатов мониторинга и измерений.

Внутренний аудит

Организация должна проводить внутренние аудиты через запланированные промежутки времени для получения информации о состоянии СУИБ:

- на предмет соответствия собственным требованиям организации для своей системы менеджмента информационной безопасности и требованиям настоящего стандарта;

- с целью оценки результативности внедрения и поддержки.

Организация должна:

- планировать, разработать, внедрить и поддерживать программу аудита, включая методы, распределение ответственности, требования к планированию и отчетности. Программа аудита должна учитывать важность процессов и результаты предыдущих аудитов;

- определить критерии аудита и область применения для каждого аудита;

- определять аудиторов и проводить аудиты, обеспечивая объективность и беспристрастность процесса аудита;

- обеспечить, чтобы результаты аудитов направлялись руководству соответствующего уровня;

- сохранять документированную информацию в качестве свидетельства о программе аудита и результатах аудита.

Анализ со стороны руководства

Высшее руководство должно анализировать СУИБ организации через запланированные интервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности.

Анализ со стороны руководства должен включать следующее:

- статус действий по результатам предыдущих анализов со стороны руководства;

- изменения внешних и внутренних аспектов, которые имеют отношение к СУИБ;

- обратную связь о состоянии ИБ, включая:

• несоответствия и корректирующие действия;

• результаты мониторинга и измерений;

• результаты аудита;

• результат достижения целей ИБ;

- обратную связь от заинтересованных сторон;

- результаты оценки рисков и статус выполнения плана по обработке рисков;

- возможности для постоянного улучшения.

Выводы анализа со стороны руководства должны включать решения, связанные с реализацией возможностей постоянного улучшения, и любые необходимые изменения в СУИБ.

Организация должна сохранять документированную информацию в качестве свидетельства о результатах анализа со стороны руководства.

4 этап. Улучшение

Корректирующие действия

При появлении несоответствия организация должна:

- реагировать на несоответствия, и в зависимости от обстоятельств:

• принять меры по его управлению и исправлению;

• проработать последствия;

- оценить необходимость принятия действий для устранения причин несоответствия с целью предотвращения его повторения или появления в другом месте, для этого:

• изучить несоответствие;

• определить причину несоответствия;

• определить, существуют ли подобные несоответствия или потенциальные возможности их возникновения;

- реализовать любые необходимые корректирующие действия;

- проанализировать результативность выполненных корректирующих действий;

- при необходимости внести изменения в СУИБ.

Корректирующие действия должны быть адекватными последствиям выявленных несоответствий.

Организация должна сохранять документированную информацию в качестве свидетельства о:

- характере несоответствий и любых последующих предпринятых действиях;

- результатах любых корректирующих действий.

Постоянное улучшение

Организация должна постоянно улучшать пригодность, адекватность и результативность СУИБ.
Приложение А. Цели и элементы управления

A.7 Безопасность, связанная с персоналом
A.7.1 Перед приемом на работу
Цель: Гарантировать, что сотрудники и подрядчики понимают свою ответственность и подходят для должностей, на которые они рассматриваются.
A.7.1.1	Проверка благонадежности			Должна проводиться проверка информации по всем кандидатам на должности в организации в соответствии с имеющими отношение к делу законами, нормами и этикой, в соответствии с деловыми требованиями, классификации информации, которая будет доступной, и предполагаемыми рисками
A.7.1.2	Условия трудоустройства			Договорными соглашениями с работниками, и подрядчиками должны определять их ответственность в поле ИБ.
A.7.2 Во время работы
Цель: Гарантировать, что все сотрудники организации и подрядчики осведомлены о своей ответственности и корректно выполняют свои обязательства в поле ИБ
A.7.2.1	Ответственность руководства			Менеджмент должен требовать от всего персонала и подрядчиков соблюдения правил ИБ в соответствии с установленными политиками и процедурами организации.
A.7.2.2	Осведомленность в поле ИБ, обучение и инструктажи			Все сотрудники организации и, где применимо, подрядчики должны принимать участие в соответствующих обучениях по повышению осведомленности и тренингах, а также на постоянной основе знакомиться с политиками и процедурами организации, применимыми к их функциям.
A.7.2.3	Дисциплинарный процесс			Должен существовать формализованный дисциплинарный процесс, известный персоналу, на основании которого предпринимаются меры в отношении сотрудников, совершивших нарушение в поле ИБ
А.7.3 Увольнение или изменение должности
Цель: Защищать интересы организации при увольнении или изменении должности сотрудника
A.7.3.1	Увольнение или изменение профессиональных обязанностей			Ответственность и обязанности в поле ИБ, которые остаются в силе после увольнения или изменения профессиональных обязанностей, должны быть определены, доведены до сведения сотрудника или подрядчика, а также должны быть реализованы меры по их выполнению.
А.8 Управление активами
А.8.1 Ответственность за активы
Цель: Определить активы организации и определить соответствующие ответственности по защите.
A.8.1.1	Инвентаризация активов			Активы, связанные с информацией и средствами для обработки информации, должны быть определены и реестр этих активов должен быть составлен и поддерживаться в рабочем виде.
A.8.1.2	Владельцы активов			Активам, приведенным в реестре активов, должны быть определены владельцы
A.8.1.3	Допустимое использование активов			Правила допустимого использования информации и активов, связанных с информацией и средствами для обработки информации, должны быть определены, документированы и внедрены.
A.8.1.4	Возврат активов			Все сотрудники организации и представители внешних организаций обязаны возвратить все активы организации, которые они имеют, после прекращения работы или окончания контракта.
A.8.2 Классификация информации
Цель: Обеспечить, чтобы различные типы информации были надлежащим образом защищены в соответствии с их значением для организации
A.8.2.1	Классификация информации			Информация должна быть классифицированы с точки зрения правовых требований, ценности, критичности и чувствительности к нарушению конфиденциальности или изменению.
A.8.2.2	Маркировка информации			Соответствующий набор правил для маркировки информации должен быть разработан и внедрен в соответствии со схемой классификации информации, принятой в организации.
A.8.2.3	Использование активов			Процедуры по использованию активов должны быть разработаны и внедрены в соответствии со схемой классификации информации, принятой в организации.
A.8.3 Использование носителей информации
Цель: Предотвратить несанкционированное раскрытие, модификацию, удаление или уничтожение информации, хранящейся на носителях информации.
A.8.3.1	Управление съемными носителями информации			Должны быть внедрены процедуры для управления съемными носителями информации в соответствии со схемой классификации, принятой в организации.
A.8.3.2	Уничтожение носителей информации			Если носитель информации больше не требуется, то он должен быть надежно уничтожен, в соответствии с формализованной процедурой.
A.8.3.3	Транспортировка носителей информации			Носители, содержащие информацию, должны быть защищены от несанкционированного доступа, неправильного использования или повреждения во время транспортировки.
A.9 Управление доступом
A.9.1 Требования по управлению доступом
Цель: Ограничить доступ к информации и средствам обработки информации.
A.9.1.1	Политика управления доступом			Политика управления доступом должна быть разработана, документально оформлена и пересматриваться на основе требований бизнеса и требований ИБ
A.9.1.2	Доступ к сетям и сетевым сервисам			Пользователям должен предоставляться доступ к сетям и сетевым сервисам только в том случае, когда они имеют официальные полномочия на это.
A.9.2 Управление доступом пользователей
Цель: Обеспечить авторизованный доступ пользователей и предотвратить несанкционированный доступ к системам и сервисам.
A.9.2.1	Регистрация пользователя и отмена регистрации пользователя				Формализованный процесс регистрации пользователя и отмены регистрации пользователя должен быть внедрен для того, чтобы управлять правами доступа.
A.9.2.2	Инициализация доступа пользователя				Формализованный процесс инициализации доступа должен быть внедрен для назначения или отмены прав доступа для всех типов пользователей во всех системах и услугах.
A.9.2.3	Управление правами привилегированного доступа				Распределение и использование прав привилегированного доступа должно быть ограничено и контролироваться.
A.9.2.4	Управление аутентификацией пользователей конфиденциальной информации				Аутентификация пользователей для доступа к конфиденциальной информации должна управляться через формализованный процесс управления.
A.9.2.5	Пересмотр прав доступа пользователей				Владельцы активов должны пересматривать права доступа пользователей на регулярной основе.
A.9.2.6	Удаление или изменение прав доступа				Права доступа к информации и средствам обработки информации всех сотрудников и представителей сторонних организаций должны быть удалены или изменены по окончании их трудовых, контрактных, договорных отношений.
A.9.3 Ответственность пользователя
Цель: Обеспечить ответственность и выполнение пользователями выполнение процедуры аутентификации
A.9.3.1	Пользование конфиденциальной информацией			Пользователи должны выполнять процедуры организации по использованию конфиденциальной информации
A.9.4 Управление доступом к системе и приложениям
Цель: Предотвратить неавторизованный доступ к системам и приложениям
A.9.4.1		Ограничение доступа к информации		Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой управления доступом
A.9.4.2		Процедуры защищенного входа		При необходимости, в соответствии с политикой управления доступом, доступ к системам и приложениям должен управляться с помощью процедуры защищенного входа.
A.9.4.3		Система управления паролями		Система управления паролями должна быть интерактивной и обеспечивать качество паролей.
A.9.4.4		Использование системных утилит		Использование утилит, которые могут быть способны управлять системой и приложениями, должно быть ограничено и строго контролироваться.
A.9.4.5		Управление доступом к исходным кодам программ		Доступ к исходным кодам программ должен быть ограничен.
A.10 Криптография
A.10.1 Управление средствами криптографии
Цель: Обеспечить корректное и эффективное использование средств криптографии для защиты конфиденциальности, подлинности и/ или целостности информации
A.10.1.1		Политика использования средств криптографии		Политика использования средств криптографии для защиты информации должна быть разработана и внедрена
A.10.1.2		Управление ключами		Политика по использованию, защите и использованию криптографических ключей должна быть разработана и внедрена в рамках всего их жизненного цикла.
A.11 Физическая безопасность и защита от окружающей среды
A.11.1 Зоны безопасности
Цель: Предотвращение несанкционированного физического доступа, повреждения и вмешательства в информацию организации и в средства обработки информации.
A.11.1.1		Периметр физической безопасности	Периметры физической безопасности должны быть определены и должна быть применена защита зон, которые содержат чувствительную, критическую информацию или средства обработки информации.
A.11.1.2		Управление физическим доступом	Зоны безопасности должны быть защищены соответствующими средствами управления для обеспечения того, чтобы доступ был разрешен только уполномоченному персоналу.

1 ... 4 5 6 7 8 9 10 11 ... 19

	В рамках выполнения работ по развитию инструментальной среды информационной... «Аверс: Управление организацией дополнительного образования», предоставляемой в электронном виде, ООО цит «Аверс» Группы Компаний...		1. Общие сведения Название информационной системы «1С: Зарплата и... Название информационной системы «1С: Зарплата и управление персоналом 8 корп.» В рамках внедрения данной системы необходимо провести...
	Документация о запросе предложений с предварительной квалификацией... Заказчик, указанный в информационной карте (п 27. 4), намерен заключить с победителем запроса предложений договор, предмет которого...		Инструкция по использованию функционала модуля «Управление государственными... Информационное взаимодействие Системы «Парус» с Единой информационной системой в сфере закупок (далее – еис, оос, портал закупок...
	Изменения Настоящий регламент описывает операции по планированию, учету и контролю контингента студентов при работе с модулем «Управление контингентом...		Документация Предмет открытого запроса котировок, указан в пункте 2 информационной карты документации (далее – информационной карты)
	О создании рабочей группы по внедрению и развитию Территориальной информационной системы В целях развития и внедрения Территориальной информационной системы Томской области создать рабочую группу по внедрению и развитию...		Решение об условиях приватизации акций открытого акционерного общества... Территориальное управление Федерального агентства по управление государственным имуществом в Амурской области
	Инструкция по участию в электронном аукционе I. Требования к содержанию и составу Инструкции. Указанные электронные документы подаются одновременно в срок, указанный в информационной карте аукционной заявки (далее...		Программа типовых (рекомендуемых) вопросов для отражения в сми (в... В первой половине информационной кампании упор должен быть сделан на информацию о направлении и получении налогового уведомления....

Управление информационной безопасност ью

Похожие: