Автор работы: Пользователь скрыл имя, 04 Ноября 2011 в 12:47, реферат
МОС (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) формируют специализированную систему стандартизации, распространённую во всём мире. Национальные организации, являющиеся членами МОС и МЭК, участвуют в развитии Международных Стандартов посредством технических комиссий, учреждённых соответствующей организацией, чтобы работать с особыми сферами технической деятельности. Технические комиссии МОС и МЭК сотрудничают в сферах взаимного интереса. Другие международные организации, государственные либо негосударственные, совместно с МОС и МЭК также участвуют в работе. В сфере информационных технологий МОС и МЭК учредили совместную комиссию, МОС/МЭК ОТК.
3) Объяснение:
Термин «владелец» отождествляется с
индивидом или субъектом, которая утверждена
нести ответственность за контроль производства,
развития, технического обслуживания,
применения и безопасности активов. Термин
«владелец» не означает, что персона действительно
имеет какие-либо права собственности
на актив.
4) Объяснение: Термин 'наём' употреблён в смысле: приём на работу сотрудников (на временной или постоянной основе), назначение на должность, перевод на другую должность, приём на работу по договору подряда, а также истечение срока действия этих договорённостей.
| A.8.1.2 | Фильтрация | Средство
управления
Проверка личных данных всех кандидатов на работу в штате, по договору подряда либо в качестве сторонней организации должна проводиться в соответствии с соответствующими законами, положениями и нормами этики, пропорционально бизнес-требованиям, уровню доступа и осознаваемым рискам. |
| A.8.1.3 | Сроки и условия приёма на работу | Средство
управления
Неотъемлемая часть договорного обязательства – принятие условий приёма на работу, и подписание трудового контракта, устанавливающего обязанности сотрудников, работающих в штате, по договору подряда либо в сторонних организациях, а также самой организации по обеспечению информационной безопасности. |
| A.8.2
Непосредственная работа
в организации
Цель: Обеспечить осведомлённость всех штатных сотрудников, подрядных и сторонних организаций об угрозах и уязвимостях безопасности информации, их обязанностях и обязательствах; достаточность знаний для поддержки безопасности и сокращения риска ошибки человека. | ||
| A.8.2.1 | Обязанности руководства | Средство
управления
Руководство должно требовать от штатных сотрудников, подрядных и сторонних организаций осуществления функций защиты в соответствии с политиками и положениями, определёнными в организации. |
| A.8.2.2 | Знание, образованность и обучение | Средство
управления
Все штатные сотрудники организации, а в некоторых случаях и подрядные и сторонние организации должны постоянно повышать свою квалификацию, укреплять знания, иметь возможность своевременно ознакомиться с изменениями в политиках, методах, имеющих непосредственное отношение к их работе. |
| A.8.2.3 | Дисциплинарные процедуры | Средство
управления
Необходимо предусмотреть строгую дисциплинарную процедуру за нарушение сотрудником безопасности. |
| A.8.3
Истечение срока либо
переход на другую должность
Цель: Обеспечить соблюдение определённого порядка при увольнении и переводе на другую должность штатных сотрудников, подрядных и сторонних организаций. | ||
| A.8.3.1 | Обязанности при окончании срока работы по найму | Средство
управления
Должны быть чётко прописаны обязанности сотрудников при окончании срока работы либо при переводе на другую должность. |
| A.8.3.2 | Возврат активов | Средство
управления
После окончания срока действия трудового контракта либо соглашения все штатные сотрудники организации, подрядные и сторонние организации обязаны вернуть все активы организации, находившиеся в их распоряжении. |
| A.8.3.3 | Лишение прав доступа | Средство
управления
После окончания срока действия трудового контракта или соглашения права доступа всех штатных сотрудников, подрядных и сторонних организаций к информации и средствам обработки информации должны быть ликвидированы либо настроены в соответствии с новой должностью. |
| A.9 Защита от несанкционированного физического доступа и природных катастроф | ||
|
A.9.1
Зоны безопасности
Цель: Предотвратить несанкционированный физический доступ, повреждение и проникновение в помещение организации, вмешательство в работу с информацией. | ||
| A.9.1.1 | Периметр физической безопасности | Средство
управления
Для защиты участков хранения информации и средств её обработки необходимо использовать периметры безопасности (барьеры, такие как стены, таблетки, вахта). |
| A.9.1.2 | Контроль проникновения в помещение | Средство
управления
Для защиты зон безопасности необходимо контролировать доступ в помещение, обеспечив свободный вход лишь уполномоченным сотрудникам. |
| A.9.1.3 | Организация защиты офисов, кабинетов и оборудования | Средство
управления
Необходимо разработать и применить план физической защиты офисов, кабинетов, оборудования. |
| A.9.1.4 | Защита от внешних угроз и угроз окружающей среды | Средство
управления
Необходимо разработать и применить план физической защиты от пожара, потопа, землетрясения, взрыва, беспорядков среди граждан и других форм природных и искусственных катастроф. |
| A.9.1.5 | Работа в безопасной зоне | Средство
управления
Необходимо разработать и применить план и принципы физической защиты при работе в зонах безопасности. |
| A.9.1.6 | Зоны общего доступа, доставки и погрузки | Средство
управления
В точках доступа, таких как зона доставки и погрузки и других, куда могут проникнуть посторонние лица, необходимо контролировать помещение, а по возможности и очистить его от средств обработки информации, чтобы предотвратить несанкционированный доступ. |
| A.9.2
Безопасность оборудования
Цель: Предотвратить потерю, повреждение, воровство или рассекречивание активов и задержки в работе организации. | ||
| A.9.2.1 | Размещение оборудования и его защита | Средство
управления
Необходимо так размещать оборудование и организовывать его защиту, чтобы сократить последствия стихийных бедствий, а также предотвратить возможность несанкционированного доступа. |
| A.9.2.2 | Вспомогательные службы | Средство
управления
Оборудование необходимо защищать от сильных повреждений и поломок, обусловленных сбоями в работе коммунальных служб. |
| A.9.2.3 | Безопасность кабельных сетей | Средство
управления
Важные данные, передаваемые по линиям связи или информационные службы поддержки, должны быть защищены от перехвата или повреждения. |
| A.9.2.4 | Тех. обслуживание оборудования | Средство
управления
Для обеспечения пригодности и целостности оборудования необходимо правильно его эксплуатировать. |
| A.9.2.5 | Безопасность выносного оборудования | Средство
управления
Необходимо обеспечить защиту выносного оборудования с учётом различных рисков его эксплуатации вне помещения организации. |
| A.9.2.6 | Передача оборудования или использование б/у оборудования | Средство
управления
Необходимо проверять все комплектующие оборудования, содержащие средства хранения информации, чтобы убедиться в том, что засекреченные данные и лицензионное программное обеспечение были удалены либо безопасным образом переписаны до ликвидации/передачи оборудования. |
| A.9.2.7 | Ликвидация оборудования | Средство
управления
Оборудование, информация или ПО не должно уничтожаться без разрешения руководства. |
| A.10 Менеджмент обмена и оперирования информацией | ||
|
A.10.1
Положения об эксплуатации
и обязанности
Цель: Обеспечить корректное и безопасное использование средств обработки информации. | ||
| A.10.1.1 | Документальное оформление техники эксплуатации | Средство
управления
Техника эксплуатация должна быть документально оформлена, храниться и быть доступна всем нуждающимся в ней пользователям. |
| A.10.1.2 | Менеджмент изменений | Средство
управления
Необходимо контролировать модификации в средствах обработки информации и системах. |
| A.10.1.3 | Разделение обязанностей | Средство
управления
Должны быть разделены
обязанности и сферы |
| A.10.1.4 | Разделение разрабатываемых, тестируемых и рабочих средств | Средство
управления
Необходимо разделять разрабатываемые, тестируемые и рабочие средства, чтобы сократить риски несанкционированного доступа или модификации в рабочей системе. |
| A
10.2 Менеджмент поставки
услуг третьими лицами
Цель: Установить и поддерживать соответствующий уровень информационной безопасности и поставки услуг при заключении договоров об оказании услуг поставки с третьими лицами. | ||
| A.10.2.1 | Поставка услуг | Средство
управления
Необходимо обеспечить достижение, осуществление и поддержку третьими лицами включённых в договор об оказании услуг уровней безопасности средств управления, описания задания и поставки. |
| A.10.2.2 | Мониторинг и проверка работы третьих лиц | Средство
управления
Работы, отчёты и записи, выполняемые третьими лицами должны постоянно контролироваться и проверяться, необходимо регулярно проводить аудиты. |
| A.10.2.3 | Управление изменениями в работе третьих лиц | Средство
управления
Изменениями в условиях работы, включая поддержку и совершенствование существующих политик информационной безопасности, методах и средствах управления, необходимо управлять с учётом критичности вовлечённых в работу бизнес- систем и процессов, а также оценок рисков. |
| A.10.3
Планирование и приёмка
системы
Цель: Минимизировать риск отказа систем. | ||
| A.10.3.1 | Менеджмент способностей | Средство
управления
Необходимо контролировать и регулировать использование ресурсов, оценивать требования будущих способностей, чтобы обеспечить требуемые характеристики системы. |
| A.10.3.2 | Приёмка системы | Средство
управления
Должны быть установлены критерии приёмки новых информационных систем, обновлённых и новых версий, произведены необходимые испытания системы во время её разработки и до прёмки. |
| A.10.4
Защита от умышленных
ошибок и лёгкости изменения
в коде
Цель: Защитить целостность ПО и информации. | ||
| A.10.4.1 | Меры против совершения умышленных ошибок в коде программы | Средство
управления
Необходимо внедрить средства обнаружения, предотвращения и восстановления, чтобы обезопасить код от умышленных ошибок и знания пользователем соответствующих процедур. |
| A.10.4.2 | Меры против лёгкости изменения кода программы | Средство
управления
В случае разрешения использования простого кода необходимо убедиться в том, что разрешённый простой код выполняется в соответствии с чётко определённой политикой безопасности, в противном случае необходимо предотвратить выполнение простого кода. |
| A.10.5
Дублирование
Цель: Поддерживать целостность и доступность информации и средств обработки информации. | ||
| A.10.5.1 | Дублирование информации | Средство
управления
В соответствии с политикой резервного копирования необходимо регулярно делать и тестировать резервные копии информации и ПО. |
| А.10.6
Менеджмент безопасности
сети
Цель: Обеспечить защиту информации в сетях и защиту поддерживающей инфраструктуры. | ||
| A.10.6.1 | Средства управления работы сети | Средство
управления
Необходимо соответствующим образом контролировать и управлять работой сети, чтобы обеспечить защиту от угроз, и поддержать безопасность систем и приложений, использующих сеть, а также безопасность передающейся информации. |
| A.10.6.2 | Безопасность сетевых служб | Средство
управления
Необходимо определить особенности защиты, уровни безопасности и требования менеджмента для всех сетевых служб, а также включать их в любые договоры оказания услуг связи, независимо от того, обеспечена работа этих служб силами организации либо внешними источниками. |
| A.10.7
Обращение с носителями
информации
Цель: Предотвратить несанкционированное раскрытие, изменение, удаление или разрушение активов, предотвратить задержки в работе организации. | ||
| A.10.7.1 | Менеджмент съёмных носителей информации | Средство
управления
Необходимо предусмотреть процедуры работы с данными на съёмных носителях. |
| A.10.7.2 | Уничтожение носителей информации | Средство
управления
Необходимо предусмотреть строгие процедуры проведения безопасного уничтожения данных, когда отпадает в них необходимость. |
| A.10.7.3 | Процедуры обработки информации | Средство
управления
Чтобы защитить информацию от несанкционированного раскрытия или некорректного использования необходимо предусмотреть процедуры работы с данными и их хранения. |
| A.10.7.4 | Безопасность системной документации | Средство
управления
Необходимо обезопасить системную документацию от несанкционированного доступа. |
| A.
10.8 Обмен информацией
Цель: Обеспечить безопасность информации и ПО при обмене ими в пределах организации или со сторонними организациями. | ||
| A.10.8.1 | Политики и процедуры обмена информацией | Средство
управления
Необходимо предусмотреть политики, строгие процедуры и средства управления обменом информации, чтобы защитить данные при использовании различных средств связи. |
| A.10.8.2 | Соглашения по обмену Exchange agreements | Средство
управления
Необходимо заключить договоры по обмену информацией и ПО между организацией и внешними организациями. |
| A.10.8.3 | Передаваемые физические носители информации Physical media in transit | Средство
управления
Необходимо защищать носители информации от несанкционированного доступа, некорректного использования или порчи во время перевозки вне стен организации. |