ISMS

© Христо Тужаров,  

април 2009

 

СТАНДАРТ IS0/IЕС 17799 

Цели по контрола и механизми за контрол

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

А.5 Политика по сигурност

 

А.6 Организиране на сигурността на информацията

 

А.7. Управление на активи

 

А.8 Сигурност на човешките ресурси

 

А.9 Физическа сигурност и сигурност на заобикалящата среда

 

А.10  Управление на средствата за информация и операциите

 

А.11 Контрол на достъпа

 

А.12 Придобиване, разработване и поддържане на информационни системи

 

А.13 Управление на инциденти със сигурността на информацията

 

А.14 Управление на непрекъснатостта на дейността

 

А.15 Съответствие

А.5   Политика по сигурност

А.5.1  Политика по сигурност на информацията

Цел:.  Да осигури  насока за управление и  поддържане на сигурността  на  информацията  в съответствие с изискванията за дейността и изискванията на съответните нормативни актове.

А.5.1.1

Документ за политиката по сигурност на информацията

Контрол

Документът за политиката по сигурност на информацията трябва да бъде одобрен от ръководството, разпространен и разгласен на всички служители и съответните външни страни.

А.5.1.2

Преглед на политиката по сигурност на информацията

 

Контрол

Политиката   по  сигурност  на   информацията  трябва  да   бъде преглеждана през планирани интервали или при настъпване на значителни  промени, за да  се  гарантира  постоянно  нейната актуалност, адекватност и ефикасност.

А.6 Организиране на сигурността на информацията

А.6.1    Вътрешна организация

Цел:Да се управлява сигурността на информацията в рамките на организацията.

А.6.1.1

Ангажимент на ръководството за сигурността на информацията

Контрол

Ръководството трябва активно да поддържа сигурността в рамките на   организацията   чрез  ясни   разпоредби,   демонстриране   на ангажираност,     изрично     определяне     и     уведомяване     за отговорностите по сигурността на информацията.

А.6.1.2

Координация   на   действията   по сигурността на информацията

Контрол

Действията по сигурността на информацията трябва да бъдат координирани    от    представители    от    различни    части    на организацията със съответни роли и функции.

А.6.1.3

Разпределяне  на  отговорностите по сигурност на информацията

Контрол

Всички отговорности по сигурността на информацията трябва да бъдат ясно определени.

А.6.1.4

Процес на одобряване на средства за обработка на информацията

Контрол

Трябва да бъде определен и внедрен процес за одобрение от ръководството на нови средства за обработка на информацията.

А.6.1.5

Споразумения за поверителност

Контрол

Трябва да бъдат определени и редовно преглеждани изисквания за споразумения за поверителност или за неразкриване на тайна, отразяващи   потребностите   на   организацията   от   защита   на информацията.

А.6.1.6

Контакт с овластените органи

Контрол

Трябва да се поддържат подходящи контакти със съответните овластени органи.

А.6.1.7

Контакт  с  групи   със  специален интерес

Контрол

Трябва да бъдат поддържани подходящи контакти с групи със специален   интерес   или   други   форуми   на   специалисти   по сигурността и професионални асоциации.

А.6.1.8

Независим преглед на сигурността на информацията

Контрол

През   планирани   интервали   или   при   настъпили   съществени промени   при   осъществяване   на   сигурността   трябва   да   се извършва независим преглед на подхода на организацията за управление   на   сигурността   на   информацията   и    неговото прилагане (т.е. целите по контрола, механизмите за контрол, политиката,    процесите    и    процедурите    за    сигурност    на информацията).

А.6.2    Външни страни

Цел: Да се поддържа сигурността на информацията на организацията и на средствата за обработка на информация, които са достъпни за, обработвани от, съобщавани на или управлявани от външни страни.

А.6.2.1

Идентифициране   на    рисковете, свързани с външни страни

Контрол

Рисковете за информацията на организацията и средствата за обработка на информация от процеси на дейностите, включващи външни страни, трябва да бъдат идентифицирани и да бъдат приложени съответни механизми за контрол преди разрешаване на достъп.

А.6.2.2

Разглеждане на сигурността при работа с клиенти

Контрол

Всички идентифицирани изисквания за сигурност трябва да бъдат разгледани,   преди   да   се   даде   достъп   на   клиентите   до информацията или активите на организацията.

А.6.2.3

Разглеждане   на   сигурността   в споразуменията с трета страна

Контрол Споразуменията с трети страни, включващи достъп, обработка, разпространяване    или    управление    на    информацията    или средствата за обработка на информация на организацията или добавяне на продукти и услуги към   средствата за обработка на информацията,    трябва    да    обхващат    всички    необходими изисквания за сигурност.

А.7    Управление на активи

А.7.1   Отговорност за активите

Цел: Да се постигне и поддържа съответна защита на активите на организацията.

А.7.1.1

Опис на активите

Контрол

Всички активи трябва да бъдат ясно определени и на всички важни активи да бъде съставен и поддържан опис.

А.7.1.2

Притежание на активи

Контрол

Цялата информация и всички активи, свързани със средствата за обработка   на   информация,  трябва  да   са  „собственост"3'  на определена част на организацията.

А.7.1.3

Допустимо използване на активи

Контрол

Трябва да бъдат посочени, документирани и прилагани правила за допустимо използване на информация и активи, свързани със средства за обработка на информацията.

А.7.2 Класифициране на информацията

Цел: Да се гарантира, че информацията получава необходимата степен на защита.

А.7.2.1

Указания за класифициране

Контрол

Информацията трябва да бъде класифицирана според нейната стойност, изискванията на нормативните актове, чувствителност и критичност за организацията.

А.7.2.2

Означаване и работа с информация

Контрол

Трябва да бъде разработен  и  приложен съответен  набор от процедури за означаване и работа с информацията в съответствие с класификационната схема, приета от организацията.

А.8   Сигурност на човешките ресурси

А.8.1 Преди наемане на работа4'

 

Цел: Да се гарантира, че служители, доставчици и потребители от трета страна разбират своите отговорности и са подходящи за задачите, които ще изпълняват, и да се намали рискът от кражба, измама или неправилно използване на средства.

А.8.1.1

Роли и отговорности

Контрол

Свързаните със сигурността роли и отговорности на служителите, доставчиците и потребителите от трета страна, трябва да бъдат определени и документирани в съответствие с политиката на организацията за сигурност на информацията.

А.8.1.2

Подбор на кадри

Контрол

Трябва   да   бъдат   извършвано   проучване   за   проверка   на биографичните данни на всички кандидати за наемане на работа, доставчици и потребители от трета страна в съответствие със съответните закони, нормативни актове и етика, и съобразно изискванията,    свързани    с    дейността,    класификацията    на информацията, до която имат достъп, и поеманите рискове.

А.8.1.3

Срокове и условия за наемане на работа

Контрол

Като   част   от   техните   договорни   задължения   служителите, доставчиците и  потребителите от трета страна трябва да се съгласят и да подпишат сроковете и условията на техния договор за наемане на работа, в който трябва да са изложени техните отговорности и отговорностите на организацията по отношение на сигурността на информацията.

А.8.2 По време на работа

Цел: Да се гарантира, че служителите, доставчиците и потребителите от трета страна са запознати със заплахите и загрижеността за сигурността на информацията, с техните отговорности  и задължения и са подготвени да поддържат политиката за сигурност на организацията в ежедневната си работа, и да намалят риска от човешка грешка.

А.8.2.1

Отговорности на ръководството

Контрол

Ръководството трябва да изисква от служителите, доставчиците и потребителите от трета страна да прилагат мерките за сигурност в съответствие    с    установените    политики    и    процедури    на организацията.

А.8.2.2

Осъзнаване, образование и обучение по сигурност на информацията

Контрол

В съответствие с техните работни функции всички служители на организацията и където е уместно, доставчиците и потребителите от трета страна трябва да получат подходящо обучение с цел осъзнаване и редовно актуализиране на знанията по политиките и процедурите на организацията.

А.8.2.3

Дисциплинарен процес

Контрол

За служители, извършили пробив в сигурността, трябва да има официален дисциплинарен процес.

А.8.3 Прекратяване или промяна на службата

Цел: Да се гарантира, че служителите, доставчиците или потребителите от трета страна напускат организацията или променят службата си по установения начин.

А.8.3.1

Отговорности при прекратяване

Контрол

Отговорностите  при   прекратяване  или   промяна   на  службата трябва да бъдат ясно определени и възложени.

А.8.3.2

Връщане на активи

Контрол

Всички служители, доставчици и потребители от трета страна при прекратяване  на  тяхната  служба,  договор  или   споразумение трябва   да   върнат   всички   притежавани   от   тях   активи   на организацията.

А.8.3.3

Отнемане на права за достъп

Контрол

Правата   за   достъп    на    всички    служители,   доставчици    и потребители  от трета  страна  до  информация  и  средства за обработка    на    информация   трябва   да   бъдат   отнети    при прекратяване на тяхната служба, договор или споразумение или променени при смяна на работата.

А.9   Физическа сигурност и сигурност на заобикалящата среда

А.9.1   Сигурни зони

Цел. Да се предотврати неразрешен физически достъп, вреда и вмешателство в помещенията и информацията на организацията.

А.9.1.1

Граници за физическа сигурност

Контрол

За защита на зони, които съдържат информация и средства за обработка на информация, трябва да се използват граници за сигурност (ограничения като стени, врати с достъп посредством карти или приемни с портиер).

А.9.1.2

Механизми      за       контрол       на физическо влизане

Контрол

Сигурните   зони   трябва   да   бъдат   защитени   със   съответни механизми за контрол на входа, за да се гарантира, че само упълномощеният персонал има разрешен достъп.

А.9.1.3

Осигуряване на офиси, зали и съоръжения

Контрол

Трябва да бъде проектирана и приложена физическа защита за офиси, зали и съоръжения.

А.9.1.4

Защита от външни заплахи и заплахи от околната среда

Контрол

Трябва да бъде проектирана и приложена физическа защита от пожар,    наводнение,    земетресение,    експлозия,    граждански вълнения и други форми на  природни или  предизвикани от човека бедствия.

А.9.1.5

Работа в сигурни зони

Контрол

Трябва да бъдат проектирани и приложени физическа защита и указания за работа в сигурни зони.

А.9.1.6

Зони за обществен достъп, доставки и зареждане

Контрол

Местата за достъп като зони за доставки и зареждане и други места,   където   неупълномощени   лица   могат   да   влязат   в помещенията, трябва да бъдат контролирани и ако е възможно, изолирани от средствата за обработка на информация, за да се избегне неразрешен достъп.

А.9.2    Сигурност на устройствата

Це/г. Да се предотвратят загуби, повреди, кражби или излагане на риск на активите и прекъсване на дейностите на организацията.

А.9.2.1

Разполагане и защита на устройствата

Контрол

Устройствата трябва да бъдат поставени или защитени, така че да се намалят рисковете от заплахи и опасности от околната среда и възможности за неразрешен достъп.

А.9.2.2

Поддържащи комунални услуги

Контрол

Устройствата    трябва   да    бъдат   защитени    от   повреди    в електрозахранването и други пробиви, предизвикани от откази в поддържащите комунални услуги.

А.9.2.3

Сигурност на окабеляването

Механизъм за контрол

Окабеляването за електрозахранване и телекомуникации, носещо данни или поддържащо информационни услуги, трябва да бъде защитено от подслушване или повреда.

А.9.2.4

Поддръжка на устройствата

Контрол

Устройствата трябва да бъдат правилно поддържани, за да се осигури тяхната непрекъсната работа и цялостност.

А.9.2.5

Сигурност  на  устройствата   извън помещенията

Контрол

Сигурността трябва да бъде прилагана и към устройства, които са извън организацията, като се отчитат различните рискове при работа извън помещенията на организацията.

А.9.2.6

Сигурно унищожаване или повторно използване на устройствата

Контрол

Всички   елементи   на   устройство,   съдържащо   запаметяващи носители, трябва да бъдат проверявани, за да се гарантира, че всякакви чувствителни данни и лицензиран софтуер са били премахнати или сигурно презаписани преди унищожаването.

А.9.2.7

Изнасяне на собственост

Контрол

Устройствата, информацията или софтуерът не трябва да бъдат изнасяни извън организацията без предварително разрешение.

А.10  Управление на средствата за информация и операциите

А. 10.1    Процедури за работа и отговорности

Цел:. Да се осигури правилна и безопасна работа на средствата за обработка на информацията.

А.10.1.1

Документирани      процедури      за работа

Контрол

Процедурите   за   работа   трябва   да   бъдат   документирани, поддържани и достъпни за всички потребители, които се нуждаят от тях.

А.10.1.2

Управление на измененията

Механизъм за контрол

Измененията   в   средствата   и   системите   за   обработка   на информация трябва да бъдат контролирани.

А.10.1.3

Разделяне на задълженията

Контрол

Задълженията   и   зоните   на   отговорност   трябва   да   бъдат разделени, за да се намали възможността за неразрешени или неочаквани изменения, или неправилно използване на активите на организацията.

А.10.1.4

Отделяне на средствата за разработване, изпитване и експлоатация

Контрол

Средствата за разработване, изпитване и експлоатация трябва да бъдат отделени, за да се намалят рисковете от неразрешен достъп или изменения в системата на работа.

А.10.2 Управление на предоставянето на услуги от трета страна

Це/т. Да се постигне и поддържа необходимото ниво на сигурност на информацията и предоставянето на услуги в съответствие със споразуменията за доставка на услуги от трети страни.

А.10.2.1

Предоставяне на услуги

Контрол

Трябва   да   се   гарантира,   че   механизмите   за   контрол   на сигурността,   видовете   услуги   и   степента   на   предоставяне, включени  в споразумението за доставка  на услуги от трета страна, са изпълнени, действат и се поддържат от третата страна.

А.10.2.2

Наблюдение и преглед на услуги, предоставяни от трета страна

Контрол

Услугите, докладите и записите, предоставяни от трета страна, трябва редовно да се наблюдават и преглеждат и да се извършва редовно одит.

А.10.2.3

Управление   на    измененията    на услугите,   предоставяни   от   трета страна

Контрол

Измененията    на    предоставянето    на    услуги,    съдържащи поддържане   и   усъвършенстване   на   съществуващи   политики, процедури    и    механизми    за    контрол    за    сигурност    на информацията, трябва да бъдат управлявани, като се отчита критичността на свързаните с това системи за дейностите и процеси и повторно оценяване на рисковете.

А. 10.3    Планиране и приемане на системата

Це/т. Да се намали до минимум рискът от срив в системата.

А.10.3.1

Планиране на капацитета

Контрол

Използването   на   ресурсите   трябва   да   бъде   наблюдавано, регулирано   и   да   се   предвиждат   бъдещи   изисквания   за капацитета, за да се гарантира изискваната производителност на системата.

А.10.3.2

Приемане на системата

Контрол

Трябва да бъдат изработени критерии за приемане на нови информационни системи, обновяване и нови версии и да бъдат проведени подходящи изпитвания на системата по време на разработката и преди приемането.

А. 10.4    Защита от злонамерен и мобилен софтуер

Цел. Да се защити целостта на софтуера и информацията.

А.10.4.1

Механизми за контрол срещу злонамерен софтуер

Контрол

За да се осъществи защита от злонамерен софтуер, трябва да бъдат прилагани различни механизми за контрол за откриване, предпазване и възстановяване и трябва да бъдат приложени съответни процедури за осведомяване на потребителите.

А.10.4.2

Механизми за контрол срещу мобилен софтуер

Контрол

Където   е   разрешено   използването   на    мобилен   софтуер, конфигурацията трябва да гарантира, че разрешеният мобилен софтуер функционира съгласно ясно определената политика за сигурност   и   трябва   да   се   предотврати   изпълняването   на неразрешен мобилен софтуер.

А. 10.5    Резервиране

Цел. Да се поддържат целостта и достъпността на информацията и средствата за обработка на информация.

А.10.5.1

Резервиране на информация

Контрол

Трябва да бъдат направени и редовно проверявани резервни копия на информация и софтуер в съответствие с договорената политика за резервиране.

А.10.6    Управление на сигурността на мрежите

Цел. Да се осигури защита на информацията в мрежите и да се защити поддържащата инфраструктура.

А.10.6.1

Механизми за контрол на мрежи

Контрол

Мрежите    трябва    да    бъдат    подходящо    управлявани    и контролирани,   за  да   бъдат  защитени   от  заплахи   и   за  да поддържат сигурност на системата и приложенията, използващи мрежата, включително транзитната информация.

А10.6.2

Сигурност на мрежови услуги

Контрол

Характеристиките    на    сигурността,    нивата    на    услугата    и изискванията за управление на всички мрежови услуги трябва да бъдат   определени   и   включени   във   всяко   споразумение   за мрежови   услуги,   независимо  от  това   дали   тези   услуги   се предоставят от самата организация или от външна организация.

А.1О.7    Работа с информационните носители

Цел. Да се предотврати неразрешено разкриване, изменение, изнасяне или разрушаване на активи и прекъсване на дейностите на организацията.

А.10.7.1

Управление на сменяеми носители

Контрол

Трябва да има внедрени процедури за управлението на сменяеми информационни носители.

А.10.7.2

Унищожаване на носители

Контрол

Ненужните носители трябва да се унищожават по сигурен и безопасен начин, като се използват официални процедури.

А.10.7.3

Процедури за работа с информацията

Контрол

Трябва да се създадат процедури за работа и съхраняване на информацията, за да се предпази от неразрешено разкриване или неправилно използване.

А10.7.4

Сигурност на документацията на системата

Контрол

Документацията   на   системата  трябва  да   бъде  защитена   от неразрешен достъп.

А. 10.8    Обмен на информация

Це/г. Да се поддържа сигурността на информацията и програмите, обменяни вътре в организацията или с външни обекти.

А.10.8.1

Политики и процедури за обмен на информация

Контрол

Трябва да бъдат внедрени официални политики, процедури и механизми за контрол, за да се защити обменът на информация чрез всички средства за комуникация.

А.10.8.2

Споразумения за обмен

Контрол

При обмен на информация и софтуер между организацията и външни страни трябва да бъдат сключвани споразумения.

А.10.8.3

Физически носители при транспортиране

Контрол

Носителите, съдържащи информация, трябва да бъдат защитени от неразрешен достъп, неправилно използване или повреда по време   на   транспортиране   извън   физическите   граници   на организацията.

А.10.8.4

Електронен обмен на съобщения

Контрол

Информацията, съдържаща се в електронните съобщения, трябва да бъде подходящо защитена.

А.10.8.5

информационни системи, свързани с дейността

Контрол

Трябва да се изготвят и внедрят политика и процедури за защита на   информацията   по   отношение   на   взаимосвързването   на информационните системи, свързани с дейностите.

А. 10.9    Услуги за електронна търговия

Це/г. Да се гарантира сигурност на услугите за електронна търговия и сигурност при тяхното използване.

А.10.9.1

Електронна търговия

Контрол

Информацията,   включена   в   електронната   търговия,   която преминава през обществени мрежи, трябва да бъде защитена от измами, оспорване на договорни задължения  и  неразрешено разкриване и изменение.

А.10.9.2

Оп-Нпе транзакции

Контрол

Информацията, включена в оп-Нпе транзакции, трябва да бъде защитена, за да се предотврати непълно предаване, погрешно насочване, непозволено изменение на съобщението, неразрешено разкриване, непозволено дублиране на съобщение или атака чрез възпроизвеждане.

А.10.9.3

Обществено достъпна информация

Контрол

Целостта на обществено предоставената информация в системите за обществен достъп трябва да бъде защитена от неразрешена промяна.

А. 10.10    Наблюдение

Цел:. Да бъдат открити неразрешени действия при обработката на информация.

А.10.10.1

Регистриране на одита

Контрол

Регистрите   за   одит,   съдържащи   записи   за   действията   на потребителите, изключенията и пробивите в сигурността, трябва да  се  попълват и  съхраняват за договорен  период, за да послужат като доказателство при евентуално разследване и наблюдение на контрола за достъп.

А.10.10.2

Наблюдение   на   използването  на системата

Контрол

Трябва  да  бъдат установени   процедури  за   наблюдение  на използването на средствата за обработка на информация и резултатите   от   дейностите    по    наблюдението   да    бъдат преглеждани редовно.

А.10.10.3

Защита на регистрираната информация

Контрол

Средствата за регистрация и регистрираната информация трябва да бъдат защитени от подправяне и неразрешен достъп.

А.10.10.4

Дневник на действията на системния администратор и оператора

Контрол

Действията на системния администратор и оператора трябва да бъдат записвани

А.10.10.5

Регистриране на грешките

Контрол

Грешките трябва да бъдат записвани, анализирани и да се предприемат действия за отстраняването им.

А.10.10.6

Синхронизация на часовниците

Контрол

Часовниците на всички системи за обработка на информация в организацията   или   зоната   за   сигурност   трябва   да   бъдат синхронизирани с договорен източник на точно време.

А.11 Контрол на достъпа

А. 11.1     Изисквания за дейността за контрол на достъпа

Цел. Да се контролира достъпът до информация.

А.11.1.1

Политика по контрол на достъпа

Контрол

Трябва  да   бъде  създадена,  документирана   и   преглеждана политика за контрол на достъпа, основана на изискванията за дейността и изискванията за сигурност за достъпа.

А. 11.2     Управление на достъпа на потребителите

Це/г.   Да  се  гарантира   разрешен  достъп   на   потребителите   и  да  се  предотврати   неразрешен  достъп  до информационните системи.

А.11.2.1

Регистрация на потребителите

Контрол

Трябва   да   има   официална   процедура   за   регистрация   и дерегистрация на потребителите за разрешаване и анулиране на достъп до всички информационни системи и услуги.

А.11.2.2

Управление на привилегиите

Контрол

Предоставянето и използването на привилегии трябва да бъде ограничено и контролирано.

А.11.2.3

Управление на паролите на потребителите

Контрол

Предоставянето на  пароли  трябва  бъде контролирано чрез официален процес на управление.

А.11.2.4

Преглед на правата за достъп на потребителите

Контрол

Ръководството трябва да  извършва  преглед на  правата за достъп на потребителите през редовни интервали, използвайки официални процедури.

А.11.3     Отговорности на потребителите

Це/г. Да се предотврати неразрешен достъп на потребители и излагането на риск или кражба на информация и средства за обработка на информация.

А.11.3.1

Използване на пароли

Контрол

Трябва да се изисква от потребителите да следват добрите практики за сигурност при избора и използването на пароли.

А.11.3.2

Ненадзиравани потребителски устройства

Контрол

Потребителите трябва да се уверят, че оставените без надзор устройства са подходящо защитени.

А.11.3.3

Политика за чисто бюро и чист екран

Контрол

Трябва да бъде приета политика за чисто бюро за документи и преносими информационни носители и политика за чист екран за средствата за обработка на информация.

А. 11.4    Контрол на достъпа до мрежата

Це/т. Да се предотврати неразрешен достъп до мрежови услуги.

А.11.4.1

Политика за използване на мрежовите услуги

Контрол

На потребителите трябва да се осигури достъп само до услугите, за които са специално упълномощени да използват.

А.11.4.2

Автентификация на потребителите при външни връзки

Контрол

Трябва да се използват подходящи методи за автентификация при отдалечено свързване на потребители.

А.11.4.3

Идентификация на устройствата в мрежите

Контрол

Автоматичната идентификация на устройствата трябва да бъде разглеждана като средство за автентификация на връзки от определени места и устройства.

А.11.4.4

Защита    на   отдалечен    порт   за диагностика и конфигуриране

Контрол

Физическият и логическият достъп до портове за диагностика и конфигуриране трябва да бъде контролиран.

А.11.4.5

Разделяне в мрежите

Контрол

Вътре в мрежите групите информационни услуги, потребители и информационни системи трябва да бъдат разделени.

А.11.4.6

Контрол на мрежовите връзки

Контрол

При   разпределени   мрежи,   особено   при   такива,   които   се простират извън границите на организацията, възможността на потребители  да  се свързват трябва да  бъде ограничена  в съответствие с политиката за контрол на достъпа и изискванията за дейността за приложенията (виж точка 11.1).

А.11.4.7

Контрол   на   маршрутизирането   в мрежа

Контрол

Трябва да  се прилагат различни  механизми за  контрол  на маршрутизацията, за да се гарантира, че компютърните връзки и информационните   потоци   няма   да   нарушат   политиката   за контрол на достъпа до дейностите за приложенията.

А. 11.5    Контрол на достъпа до операционната система

Цел: Да се предотврати неразрешен достъп до операционни системи.

А.11.5.1

Процедури за сигурно влизане в системата

Контрол

Достъпът до операционни системи трябва да бъде контролиран посредством процедури за сигурно влизане в системата.

А.11.5.2

Идентификация и автентификация на потребителя

Контрол

Всички потребители трябва да имат уникален идентификатор (потребителски ГО) само за лична употреба и трябва да бъдат избрани   подходящи   техники   за   автентификация,  за   да   се потвърди заявената идентичност на потребителя.

А.11.5.3

Система за управление на пароли

Контрол

Системите   за   управление    на    пароли    трябва   да    бъдат интерактивни и да осигуряват качество на паролите.

А.11.5.4

Използване на системни средства

Контрол

Използването на обслужващи програми, които биха могли да преодолеят    механизмите    за    контрол    на    системата    и приложенията,    трябва    да    бъде    ограничено    и    строго контролирано.

А.11.5.5

Изчакване на сесия

Контрол

Неактивните работни сесии трябва да изключват след определен период на бездействие.

А.11.5.6

Ограничаване     на     времето     за свързване

Контрол

Трябва да се използват ограничения на времената за свързване, за постигане на допълнителна сигурност за приложения с висок риск.

А.11.6    Контрол на достъпа до приложенията и информацията

Цел: Да се предотврати неразрешен достъп до информация, съдържаща се в приложни системи.

А.11.6.1

Ограничаване на достъпа до информация

Контрол

Достъпът   на   потребителите   и   поддържащия   персонал   до информация и функции на приложни системи трябва да бъде ограничен в съответствие с определената политика за контрол на достъпа.

А.11.6.2

Изолиране на чувствителни системи

Контрол

За   чувствителните  системи   трябва  да   има   специализирана (изолирана) компютърна среда.

А. 11.7    Работа с мобилни компютри и работа от разстояние

Цел: Да се гарантира информационна сигурност при използване на преносими компютри и средства за работа от разстояние.

А.11.7.1

Работа с мобилни компютри и комуникации

Контрол

Трябва да има официална политика и да бъдат приети съответни мерки за сигурност, за да се осигури защита от рискове при използването   на   мобилни   компютърни   и   комуникационни средства.

А.11.7.2

Работа от разстояние

Контрол

При  работа  от разстояние трябва да  бъдат разработени  и приложени политика, оперативни планове и процедури.

А.12     Придобиване, разработване и поддържане на информационни системи

А. 12.1    Изисквания за сигурност на информационните системи

Цел: Да се гарантира, че сигурността е неразделна част от информационните системи.

А.12.1.1

Анализ и спецификация на изискванията за сигурност

Контрол

Декларираните изисквания за дейността за нови информационни системи или усъвършенстване на съществуващи информационни системи трябва да определят изискванията относно механизмите за контрол.

А.12.2    Правилна обработка на информацията в приложните системи

Цел: Предотвратяване на грешки, загуба, неразрешено изменение или неправилно използване на информацията в приложните системи.

А.12.2.1

Потвърждаване на входните данни

Контрол

Трябва да бъдат потвърдени данните на входа на приложни системи,  за  да  е  сигурно,  че  тези  данни   са   правилни   и подходящи.

А.12.2.2

Контрол на вътрешната обработка на информацията

Контрол

В   приложенията   трябва   да   бъдат   включени   проверки   за потвърждаване,   за   да   се   засече   всяко   повреждане   на информация   при   грешки   в  обработката   или   предумишлени действия.

А.12.2.3

Цялостност на съобщенията

Контрол

Трябва   да   бъдат   посочени   изисквания   за   осигуряване   на автентичност   и   защита   на   целостта   на   съобщението   в приложенията и да бъдат определени и приложени съответни механизми за контрол.

А.12.2.4

Потвърждаване на изходните данни

Контрол

Изходните  данни   от  приложната   система  трябва  да  бъдат потвърдени, за да е сигурно, че обработката на запомнената информация е правилна и съобразена с обстоятелствата.

А. 12.3    Криптографски механизми за контрол

Цел: Да се защити поверителността, достоверността или целостта на информацията чрез криптографски средства.

А.12.3.1

Политика     по     използване     на криптографски      механизми      за контрол

Контрол

Трябва   да   бъде   разработена   и   провеждана   политика   по използването на криптографски механизми за контрол за защита на информацията.

А.12.3.2

Управление на ключове

Контрол

За да се поддържа използването на криптографски техники от организацията, трябва да се внедри управление на ключовете.

А.12.4   Сигурност на системните файлове

Цел: Да се гарантира сигурността на системните файлове.

 

А.12.4.1

Контрол на операционния софтуер

Контрол

Трябва     да     има     внедрени     процедури,     контролиращи инсталирането на софтуер върху операционните системи.

А.12.4.2

Защита на данните при изпитване на системата

Контрол

Данните за изпитването трябва да бъдат внимателно подбрани, защитени и контролирани.

А.12.4.3

Контрол на достъпа до изходен код на програмите

Контрол

Достъпът до  изходния   код  на   програмите  трябва  да  бъде ограничен.

А.12.5    Сигурност при процесите на разработване и поддържане

Цел: Да се поддържа сигурността на информацията и софтуера на приложните системи.

А.12.5.1

Процедури за контрол на измененията

Контрол

Извършването на изменения трябва да бъде контролирано чрез използване    на    официални    процедури    за    контрол    на измененията.

А.12.5.2

Технически преглед на приложенията след промени в операционната система

Контрол

При     изменения     в     операционните    системи     критичните приложения на дейностите трябва да бъдат преглеждани и изпитвани, за да се гарантира, че няма неблагоприятно влияние върху работата или сигурността на организацията.

А.12.5.3

Ограничения върху измененията на софтуерните пакети

Контрол

Трябва да се избягват изменения в софтуерните пакети, тези изменения да бъдат ограничени до необходимата  степен  и всички изменения трябва да бъдат строго контролирани.

А.12.5.4

Изтичане на информация

Контрол

Трябва  да  се  предотвратят  възможностите за  изтичане  на информация.

А.12.5.5

Разработка на софтуер от външни страни

Контрол

Разработката на софтуер от външни страни трябва да бъде следена и наблюдавана от организацията.

А.12.6  Управление на техническата уязвимост

Цел: Да се намалят рисковете, произтичащи от използването на оповестена техническа уязвимост.

А.12.6.1

Контрол на техническата уязвимост

Контрол

Трябва да бъде получена навременна информация за техническа уязвимост на използваните информационни системи, излагането на организацията на такава уязвимост трябва да бъде оценено и трябва да бъдат предприети мерки, за да се разгледа свързаният с това риск.

 

А.13 Управление на инциденти със сигурността на информацията

А.13.1   Докладване за пробиви и слабости в сигурността на информацията

Цел: Да се гарантира, че пробивите и слабостите в сигурността на информацията, свързани с   информационни системи, са съобщени по начин, който позволява да бъдат предприети своевременно коригиращи действия.

А.13.1.1

Докладване за пробиви в сигурността на информацията

Контрол

Пробивите в сигурността на информацията трябва да бъдат докладвани по съответни управленски канали възможно най-бързо.

А.13.1.2

Докладване за слабости в сигурността

Контрол

Трябва   да   се   изисква   от   служителите,   доставчиците   и потребителите от трета страна да отбелязват и докладват всяка наблюдавана   или   предполагаема   слабост   в   сигурността   в системите или услугите.

А.13.2     Управление на инциденти и подобряване на сигурността на информацията

Цел:   Да се осигури, че се прилага ефикасен и последователен подход към управление на инцидентите със сигурността на информацията.

А.13.2.1

Отговорности и процедури

Контрол

Трябва  да  бъдат установени  отговорности   и   процедури  за управление, за да  се осигури  бърза, ефикасна  и  системна реакция на инцидентите със сигурността на информацията.

А.13.2.2

Извличане на поуки от инцидентите със сигурността на информацията

Контрол

Трябва   да   има   внедрени   механизми   за   определяне   на количеството   и   наблюдаване   на   видовете,   размерите   и разходите по инцидентите със сигурността на информацията.

А.13.2.3

Събиране на доказателства

Контрол

Когато последващите действия срещу лице или организация след инцидент със сигурността на информацията включват правни действия (граждански или наказателни), трябва да се събират, съхраняват   и   представят   доказателства   за   потвърждение съгласно правилата за представяне на доказателства, залегнали в съответното законодателство(а).

А.14    Управление на непрекъснатостта на дейността

А. 14.1     Аспекти на сигурността на информацията при управление на непрекъснатостта на дейността

Цел:  Да се осуетят прекъсванията на дейностите и да се защитят критични процеси, свързани с дейността, от влиянието на значителни неизправности в информационни системи или злополуки и да се осигури тяхното своевременно възобновяване.

А. 14.1.1

Включване    на    сигурността    на информацията     в     процеса     на управление на непрекъснатостта на дейността

Контрол

Трябва да се разработи  и  поддържа управляван  процес за непрекъснатост   на   дейността,    който   да    взема    предвид изискванията на организацията за сигурност на информацията.

А.14.1.2

Непрекъснатост на дейността и преценяване на риска

Контрол

Трябва да се идентифицират събитията, които могат да причинят прекъсване на процесите на дейността, заедно с вероятността и въздействието   от   такива   прекъсвания   и   последствията   за сигурността на информацията.

А.14.1.3

Изготвяне и изпълнение на планове за непрекъснатост, включващи сигурност на информацията

Контрол

Трябва   да   бъдат   разработени   и   изпълнявани   планове   за операциите по поддържане или възстановяване и да се осигури наличието на информация на изискваното ниво и в изискваното време след прекъсване или неизправност в критични   процеси, свързани с дейността.

А. 14.1.4

Рамка за планиране на непрекъснатостта на дейността

Контрол

Трябва   да   се   поддържа   отделна   рамка   за   плановете   за непрекъснатост на дейността, за да се гарантира, че всички планове   са   съвместими,   за   да   се   гарантират   постоянно изискванията   за   сигурност   на   информацията   и   за   да   се определят приоритетите за изпитване и поддържане.

А.14.1.5

Проверяване, поддържане и повторно оценяване на плановете за непрекъснатост на дейността

Контрол

Плановете   за   непрекъснатост   на   дейността   трябва   да   се проверяват и актуализират редовно, за да се гарантира тяхната актуалност и ефикасност.

 

 

А.15.1     Съответствие със законовите изисквания

Цел: Да се избегнат нарушения на изискванията на нормативните актове или на договорните задължения и на други изисквания за сигурност.

А.15.1.1

Идентифициране  на   приложимото законодателство

Контрол

Всички   съответни   изисквания   на   нормативните   актове   и договорни    изисквания    и    подходът   на   организацията   за удовлетворяване на тези изисквания трябва да бъдат изрично определяни,    документирани    и    актуализирани    за    всяка информационна система и за организацията.

А.15.1.2

Права на интелектуална собственост (1РК)

Контрол

Трябва да бъдат изпълнени съответни  процедури, за да се осигури съответствие с изискванията на нормативните актове и договорните   изисквания   за   използване   на   материали,   по отношение  на  които може да  има  права  на  интелектуална собственост, и върху използването на патентовани софтуерни продукти.

А.15.1.3

Защита на записите на организацията

Контрол

Важните   записи   трябва   да   бъдат  защитени   от   изгубване, разрушаване и фалшификация в съответствие с изискванията на нормативните актове, договорните изисквания и изискванията за работа.

А.15.1.4

Защита на данните и тайната на личната информация

Контрол

Трябва да бъде осигурена защита на данните и на тайната на личната    информация,    както    се    изисква    в    съответните нормативни актове и ако е приложимо, точки в договора.

А.15.1.5

Предотвратяване на неправилно използване на средства за обработка на информация

Контрол

Потребителите трябва да бъдат възпирани от използване на средства за обработка на информация за неразрешени цели.

А.15.1.6

Регламентиране на криптографските механизми за контрол

Контрол

Криптографските механизми за контрол трябва да се използват в съответствие с действащите закони или нормативни актове.

А.15.2    Съответствие с политиката и стандартите за сигурност и техническо съответствие

Цел: Да се осигури съгласуваност на системите с политиките за сигурност на организацията и стандартите.

 

А.15.2.1

Съответствие с политиката и стандартите за сигурността

Контрол

Ръководителите трябва да гарантират, че всички процедури за сигурност в тяхната област на отговорност се прилагат правилно, за да се осигури съответствие с политиката и стандартите за сигурност.

А.15.2.2

Проверка на техническото съответствие

Контрол

Информационните системи трябва редовно да се проверяват за съответствие със стандартите за сигурност.

А.15.3   Разглеждане на одита на информационни системи

Цел:   Максимизиране   на   ефикасността   и   минимизиране   на   въздействието   към/от   процеса   на   одит   на информационните системи.

А.15.3.1

Механизми за контрол при одит на информационни системи

Контрол

Изискванията за одит и действията, включващи проверки на системи за работа, трябва да бъдат внимателно планирани и съгласувани, за да се минимизира рискът от нарушаване на процесите за дейността.

А.15.3.2

Защита на средствата за одит на информационни системи

Контрол

Достъпът до средствата за одит на информационни системи трябва да бъде защитен, за да се предотврати   всяко възможно неправилно използване или излагане на риск.