Автор работы: Пользователь скрыл имя, 04 Ноября 2011 в 12:47, реферат
МОС (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) формируют специализированную систему стандартизации, распространённую во всём мире. Национальные организации, являющиеся членами МОС и МЭК, участвуют в развитии Международных Стандартов посредством технических комиссий, учреждённых соответствующей организацией, чтобы работать с особыми сферами технической деятельности. Технические комиссии МОС и МЭК сотрудничают в сферах взаимного интереса. Другие международные организации, государственные либо негосударственные, совместно с МОС и МЭК также участвуют в работе. В сфере информационных технологий МОС и МЭК учредили совместную комиссию, МОС/МЭК ОТК.
| A.10.8.4 | Электронный обмен сообщениями | Средство
управления
Необходимо соответствующим образом защищать передаваемую в электронных сообщениях информацию. |
| A. 10.8.5 | Информационные бизнес-системы | Средство
управления
Необходимо разработать
и привести в действие политики и
процедуры для обеспечения |
| A.10.9
Электронные коммерческие
услуги
Цель: Обеспечить безопасность электронных коммерческих служб и их безопасного использования. | ||
| A.10.9.1 | Электронная коммерция | Средство
управления
Необходимо защищать связанную с электронной коммерцией информацию, проходящую через сеть общего пользования, от мошенничества, споров по контракту и несанкционированного раскрытия и модификации. |
| A.10.9.2 | Оперативные транзакции | Средство
управления
Необходимо защищать передающуюся в режиме онлайн информацию, чтобы предотвратить незавершённую передачу, неправильное направление, несанкционированное изменение сообщений, раскрытие, копирование или воспроизведение информации. |
| A.10.9.3 | Общественно-доступная информация | Средство
управления
Необходимо защищать
от несанкционированной |
| A.10.10
Мониторинг
Цель: Обнаружить несанкционированные попытки обработки информации. | ||
| A.10.10.1 | Ведение контрольных журналов | Средство
управления
Необходимо вести и хранить до установленного срока контрольные журналы, регистрирующие действия пользователей, исключительные события и инциденты в информационной безопасности, помогающие в будущем при расследованиях и мониторинге доступа. |
| A.10.10.2 | Мониторинг использования системы | Средство
управления
Необходимо разработать процедуры мониторинга использования средств обработки информации, регулярно просматривать результаты мониторинга действий. |
| A.10.10.3 | Защита журналов регистрации | Средство
управления
Средства регистрации и журналы регистрации должны быть защищены от несанкционированного доступа и использования. |
| A.10.10.4 | Регистрация действий администраторов и операторов | Средство
управления
Необходимо регистрировать все действия системного администратора и системных операторов. |
| A.10.10.5 | Регистрация ошибок | Средство
управления
Необходимо регистрировать и анализировать ошибки, предпринимать соответствующие меры. |
| A.10.10.6 | Синхронизация времени | Средство
управления
По установленному источнику точного времени необходимо синхронизировать время всех систем обработки информации в пределах организации либо области безопасности. |
| A.11 Управление доступом | ||
|
A.11.1
Бизнес-требования управления
доступом
Цель: Осуществлять управление доступом к информации. | ||
| A.11.1.1 | Политика управления доступом | Средство
управления
Политика управления доступом должна быть разработана, документирована, и должна пересматриваться исходя из бизнес-требований и требований безопасности для доступа. |
| A.11.2
Управление доступом
пользователей
Цель: Обеспечить доступ авторизованных пользователей и предотвратить неавторизованный доступ к информационным системам. | ||
| A.11.2.1 | Регистрация пользователей | Средство
управления
Должна иметь место формальная процедура регистрации и отмены регистрации пользователей для предоставления и отмены доступа ко всем информационным системам и сервисам. |
| A.11.2.2 | Управление привилегиями | Средство
управления
Необходимо ограничивать и контролировать распределение и использование привилегий. |
| A.11.2.3 | Управление паролями пользователей | Средство
управления
Необходимо предусмотреть строгую процедуру управления назначением паролей. |
| A.11.2.4 | Пересмотр прав доступа пользователей | Средство
управления
Руководство должно регулярно пересматривать права доступа пользователей, следуя формальной процедуре. |
| A.11.3
Обязанности пользователей
Цель: Предотвратить доступ неавторизированных пользователей, а также компрометацию или хищение информации и средств обработки информации. | ||
| A.11.3.1 | Использование паролей | Средство
управления
При выборе и использовании паролей пользователи обязаны следовать инструкциям по безопасности. |
| A.11.3.2 | Пользовательское оборудование, оставленное без присмотра | Средство
управления
Пользователи должны обеспечить соответствующую защиту оборудованию, оставленному без присмотра. |
| A.11.3.3 | Политика чистого экрана и рабочего места | Средство
управления
Должна быть принята политика чистого рабочего места для бумаг и съемных носителей и политика чистого экрана для средств обработки информации. |
| A.11.4
Управление доступом
по сети
Цель: Предотвратить неавторизованный доступ к сетевым сервисам. | ||
| A.11.4.1 | Политика использования сетевых сервисов | Средство
управления
Пользователям должен предоставляться доступ только к тем сервисам, которые им разрешено использовать. |
| A.11.4.2 | Идентификация пользователей для внешних соединений | Средство
управления
Для управления доступом удаленных пользователей должны использоваться соответствующие методы аутентификации. |
| A.11.4.3 | Идентификация оборудования в сетях | Средство
управления
Автоматическая идентификация оборудования должна рассматриваться как средство аутентификации соединений из определенных мест и оборудования. |
| A.11.4.4 | Защита удаленных
диагностических и |
Средство
управления
Необходимо управлять
физическим и логическим доступом к
диагностическим и |
| A.11.4.5 | Сегрегация в сетях | Средство
управления
Группы информационных сервисов, пользователей и информационные системы должны быть сегрегированны в сетях. |
| A.11.4.6 | Управление сетевыми соединениями | Средство
управления
Для общих сетей, особенно тех, которые выходят за границы организации, должны быть ограничены возможности подсоединения пользователей к сети, наряду с политикой контроля доступа и требованиями бизнес-приложений (см. 11.1). |
| A.11.4.7 | Управление сетевой маршрутизацией | Средство
управления
Необходимо внедрять средства управления маршрутизацией в сетях, чтобы обеспечить, что компьютерные соединения и информационные потоки не противоречат политике управления доступом бизнес-приложений. |
|
A.11.5
Управление доступом
к операционным системам
Цель: Предотвратить неавторизованный доступ к операционным системам. | ||
| A.11.5.1 | Процедуры защищенного входа в систему | Средство
управления
Управление доступом к операционным системам должно осуществляться с помощью процедуры защищенного входа в систему. |
| A.11.5.2 | Идентификация и аутентификация пользователей | Средство
управления
Все пользователи должны иметь уникальный идентификатор (ID пользователя) только для их личного пользования, а также должна быть выбрана подходящая техника аутентификации для подтверждения заявленной личности пользователя. |
| A.11.5.3 | Система управления паролями | Средство
управления
Системы управления паролями должны быть интерактивны и должны обеспечивать качество паролей. |
| А.11.5.4 | Использование системных утилит | Средство
управления
Использование утилит, которые могут быть допущены к важнейшим средствам управления системой и приложениями, должно быть ограничено и полностью контролироваться. |
| А.11.5.5 | Блокировка сессий по времени | Средство
управления
Неактивные сессии должны завершаться по прошествии определенного времени бездействия. |
| А.11.5.6 | Ограничение времени соединения | Средство
управления
Необходимо использовать ограничения на время соединения для обеспечения дополнительной защиты для приложений с высоким уровнем риска. |
| А.11.6
Управление доступом
к приложениям и информации
Цель: Предотвратить неавторизованный доступ к информации, содержащейся в системах приложений. | ||
| A.11.6.1 | Ограничение доступа к информации | Средство
управления
Доступ пользователей и обслуживающего персонала к информации и функциям системы приложений должен быть ограничен shall be restricted в соответствии с определенной политикой управления доступом. |
| A.11.6.2 | Изоляция чувствительных участков системы | Средство
управления
Чувствительные участки систем должны иметь выделенную (изолированную) вычислительную среду. |
| A.11.7
Мобильная вычислительная
техника и телефония
Цель: Обеспечить защиту информации во время использования средств мобильной вычислительной техники и телефонии. | ||
| A.11.7.1 | Мобильная вычислительная техника и коммуникации | Средство
управления
Необходимо предусмотреть строгую политику безопасности, а также принять соответствующие мероприятия по безопасности для защиты от рисков, связанных с использованием средств мобильной вычислительной техники и коммуникации. |
| A.11.7.2 | Работа по телефону | Средство
управления
Должны быть разработаны и внедрены политика, операционные планы и процедуры для работы по телефону. |
| A.12 Приобретение, расширение и эксплуатация информационных систем | ||
|
A.12.1
Требования безопасности
информационных систем
Цель: обеспечить, чтобы безопасность являлась важной составляющей частью информационных систем. | ||
| A.12.1.1 | Спецификация и анализ требований безопасности | Средство
управления
Положения бизнес-требований для новых информационных систем или усовершенствований существующих информационных систем должны устанавливать требования для средств управления безопасностью. |
| A.12.2
Правильная обработка
данных в приложении
Цель: Предотвратить ошибки, потери, неавторизованное изменение или неправильное использование информации в приложениях. | ||
| A.12.2.1 | Проверка правильности входных данных | Средство
управления
Необходимо производить проверку достоверности входных данных приложений, чтобы гарантировать правильность и соответствие данных. |
| A.12.2.2 | Контроль внутренней обработки данных | Средство
управления
Проверки правильности должны быть встроены в приложения для обнаружения какого-либо искажения информации из-за ошибок обработки или предумышленных действий. |
| A.12.2.3 | Целостность сообщений | Средство
управления
Необходимо идентифицировать требования для обеспечения достоверности и защиты целостности сообщений в приложениях, а также идентифицировать и внедрить соответствующие средства управления. |
| A.12.2.4 | Проверка правильности выходных данных | Средство
управления
Необходимо производить проверку достоверности входных данных приложений, чтобы гарантировать, что обработка хранимой информации является правильной и соответствующей обстоятельствам. |
| A.12.3
Средства криптографии
Цель: Защитить конфиденциальность, подлинность или целостность информации с помощью криптографических средств. | ||
| A.12.3.1 | Политика использования средств криптографии | Средство
управления
Для защиты информации необходимо разработать и внедрить политику использования средств криптографии. |
| A.12.3.2 | Управление ключами | Средство
управления
Необходимо наличие
управления ключами для поддержки
используемых в организации |
| A.12.4
Защита системных файлов
Цель: Обеспечить защиту системных файлов. | ||
| A.12.4.1 | Управление программным обеспечением | Средство
управления
Должны иметься процедуры для управления установкой программного обеспечения в операционных системах. |
| A.12.4.2 | Защита тестовых данных системы | Средство
управления
Тестовые данные должны быть выбраны тщательным образом, а также защищены и проверены. |
| A.12.4.3 | Управление доступом к исходным кодам программ | Средство
управления
Необходимо ограничить доступ к исходным кодам программ. |