ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.03.2024
Просмотров: 16
Скачиваний: 0
ISO/IEC 27001:2022
5 Организационные средства управления
|
|
Средство управления |
|
|
Законодательные, |
Законодательные, нормативные и контрактные |
|
|
требования, значимые для информационной |
||
|
нормативные и |
||
5.31 |
безопасности, а также подход организации к |
||
контрактные |
|||
|
удовлетворению этих требований должны быть |
||
|
требования |
||
|
определены, документированы и сохраняться |
||
|
|
||
|
|
актуальными. |
|
|
|
|
|
|
Права |
Средство управления |
|
|
Организация должна осуществлять соответствующие |
||
5.32 |
интеллектуальной |
||
процедуры для защиты прав интеллектуальной |
|||
|
собственности |
||
|
собственности. |
||
|
|
||
|
|
|
|
|
|
Средство управления |
|
5.33 |
Защита записей |
Записи должны быть защищены от потери, повреждения, |
|
фальсификации, несанкционированного доступа и |
|||
|
|
||
|
|
несанкционированной публикации. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Организация должна установить и выполнять |
|
5.34 |
Приватность и защита |
требования, связанные с сохранением приватности и |
|
персональных данных |
защитой персональных данных (ПД) в соответствии с |
||
|
|||
|
|
действующими законодательными, нормативными и |
|
|
|
контрактными требованиями. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Подход организации к управлению информационной |
|
|
Независимый анализ |
безопасностью и его реализация, в том числе. люди, |
|
5.35 |
информационной |
процессы и технологии, должны подвергаться |
|
|
безопасности |
независимому анализу через запланированные |
|
|
|
интервалы времени или в тех случаях, когда происходят |
|
|
|
существенные изменения. |
|
|
|
|
|
|
Соответствие |
Средство управления |
|
|
политикам, правилам и |
Соответствие политике информационной безопасности, |
|
5.36 |
стандартам |
||
политикам в других областях, правилам и стандартам |
|||
|
информационной |
||
|
должно регулярно анализироваться. |
||
|
безопасности |
||
|
|
||
|
|
|
|
|
Документированные |
Средство управления |
|
|
Операционные процедуры для устройств обработки |
||
5.37 |
операционные |
||
информации должны быть документированы и доступны |
|||
|
процедуры |
||
|
персоналу, которому они требуются. |
||
|
|
||
|
|
|
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
16 |
ISO/IEC 27001:2022
6 |
Средства управления, связанные с персоналом |
||
|
|
|
|
|
|
Средство управления |
|
|
|
Проверка при приеме на работу, осуществляемая для всех |
|
|
|
кандидатов, должна проводиться в рамках |
|
6.1 |
Предварительная |
соответствующих законодательных актов, регламентов и |
|
проверка |
этических норм, а также должна быть соразмерна |
||
|
|||
|
|
бизнес-требованиям, категории информации по |
|
|
|
классификации, к которой предполагается доступ, и |
|
|
|
предполагаемым рискам. |
|
|
|
|
|
|
|
Средство управления |
|
6.2 |
Условия трудового |
Трудовые соглашения с сотрудниками должны |
|
соглашения |
устанавливать их и организации ответственность в части |
||
|
|||
|
|
информационной безопасности. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Сотрудники организации и значимые заинтересованные |
|
|
Осведомленность, |
стороны должны быть соответствующим образом |
|
|
образование и |
информированы, иметь соответствующее образование и |
|
6.3 |
подготовка в сфере |
подготовку, а также регулярно извещаться об изменениях |
|
|
информационной |
в политике информационной безопасности организации, |
|
|
безопасности |
политиках по другим направлениям, в той мере, |
|
|
|
насколько это важно для исполнения их служебных |
|
|
|
обязанностей. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Должен быть разработан и доведен до сведения |
6.4Дисциплинарные меры персонала процесс для принятия мер к тем сотрудникам и
|
|
иным заинтересованным сторонам, которые допустили |
|
|
|
нарушение требований информационной безопасности. |
|
|
|
|
|
|
|
Средство управления |
|
|
Обязанности после |
Ответственность и обязанности по соблюдению |
|
|
информационной безопасности, которые остаются в силе |
||
|
прекращения или |
||
6.5 |
после прекращения или изменения трудовых отношений, |
||
изменения трудовых |
|||
|
должны быть определены и сообщены соответствующему |
||
|
отношений |
||
|
персоналу и иным заинтересованным сторонам, а также |
||
|
|
||
|
|
обеспечено их выполнение. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Соглашения о конфиденциальности или неразглашении, |
|
|
Соглашения о |
отражающие потребности организации в защите |
|
6.6 |
конфиденциальности |
информации, должны быть определены, |
|
|
или неразглашении |
документированы, регулярно пересматриваться и быть |
|
|
|
подписанными персоналом и иными заинтересованными |
|
|
|
сторонами. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
17 |
ISO/IEC 27001:2022
6
6.7
6.8
Средства управления, связанные с персоналом
|
Средство управления |
|
|
Должны осуществляться меры по обеспечению |
|
Удаленная работа |
безопасности в тех случаях, когда персонал работает |
|
удаленно, чтобы обеспечить защиту информации, к |
||
|
||
|
которой есть доступ, которая обрабатывается или |
|
|
хранится в местах за пределами организации. |
|
|
Средство управления |
|
Отчетность о событиях |
Организация должна иметь процедуру для персонала для |
|
информационной |
своевременного информирования о выявленных или |
|
безопасности |
предполагаемых событиях информационный |
|
|
безопасности посредством соответствующих каналов. |
|
|
|
7 |
Средства управления, связанные с физическим доступом |
Средство управления
7.1Физические периметры Периметры безопасности должны быть определены и безопасности использоваться для защиты зон нахождения информации
|
|
и иных, связанной с ней, активов. |
|
|
|
|
|
|
|
Средство управления |
|
7.2 |
Физический вход |
Зоны безопасности должны быть защищены выделением |
|
мест прохода и соответствующими средствами контроля |
|||
|
|
||
|
|
прохода . |
|
|
|
|
|
|
Защита офисов, |
Средство управления |
|
|
Меры физической защиты безопасности для офисов, |
||
7.3 |
помещений и |
||
помещений и оборудования должны быть разработаны и |
|||
|
устройств |
||
|
применяться. |
||
|
|
||
|
|
|
|
|
Мониторинг |
Средство управления |
|
7.4 |
Помещения должны находиться под постоянным |
||
физической защиты |
|||
|
контролем неавторизованного доступа. |
||
|
|
||
|
|
|
|
|
|
Средство управления |
|
|
|
Должны быть разработаны и внедрены меры по защите |
|
7.5 |
Защита от физических |
от физических и природных угроз, таких как стихийные |
|
и природных угроз |
бедствия, а также иные намеренные или |
||
|
|||
|
|
непреднамеренные физические угрозы для |
|
|
|
инфраструктуры. |
|
|
|
|
|
|
Работа в защищенных |
Средство управления |
|
7.6 |
Должны быть разработаны и применяться процедуры для |
||
зонах |
|||
|
работы в защищенных зонах. |
||
|
|
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
18 |
ISO/IEC 27001:2022
7 |
Средства управления, связанные с физическим доступом |
||
|
|
|
|
|
|
Средство управления |
|
7.7 |
Чистый стол и чистый |
Должны быть установлены и обеспечено выполнение |
|
экран |
правил чистого стола для бумажных документов, |
||
|
переносных устройств хранения информации и правил |
||
|
|
||
|
|
чистого экрана для устройств обработки информации. |
|
|
|
|
|
|
Размещение и защита |
Средство управления |
|
7.8 |
Оборудование должно быть размещено в безопасном |
||
оборудования |
|||
|
месте и защищено. |
||
|
|
||
|
|
|
|
|
Защита активов вне |
Средство управления |
|
7.9 |
Активы, находящиеся вне территории организации, |
||
территории |
|||
|
должны быть защищены. |
||
|
|
Средство управления
Управление устройствами хранения должно
осуществляться на всем протяжении их жизненного 7.10 Устройства хранения цикла, включающего приобретение, использование,
транспортировку и уничтожение, в соответствии с классификационной схемой организации и требованиями к обращению.
Средство управления
Устройства обработки информации должны быть 7.11 Службы обеспечения защищены от перебоев в электроснабжении и других
сбоев, вызываемых перебоями в работе служб обеспечения.
|
|
Средство управления |
|
|
Защита кабельных |
Питающие кабели и кабели, передающие данные или |
|
7.12 |
обеспечивающие работу информационных сервисов, |
||
сетей |
|||
|
должны быть защищены от перехвата, помех или |
||
|
|
||
|
|
повреждения. |
|
|
|
|
|
|
|
Средство управления |
|
7.13 |
Обслуживание |
Оборудование должно обслуживаться надлежащим |
|
оборудования |
образом, чтобы гарантировать конфиденциальность, |
||
|
|||
|
|
целостность и доступность информации. |
|
|
|
|
|
|
|
Средство управления |
|
|
Безопасная утилизация Элементы оборудования, содержащие накопители, |
||
|
или повторное |
должны быть проверены, чтобы гарантировать, что |
|
7.14 |
любые ценные данные и лицензионное программное |
||
использование |
|||
|
обеспечение удалены или надежным образом затерты |
||
|
оборудования |
||
|
новой информацией до утилизации или повторного |
||
|
|
||
|
|
использования. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
19 |
ISO/IEC 27001:2022
8 |
Технологические средства управления |
Средство управления
8.1Оконечные устройства Информация сохраняемая, обрабатываемая или к которой пользователя имеется доступ через оконечные устройства
пользователя, должна быть защищена.
|
|
Средство управления |
|
8.2 |
Привилегированные |
Предоставление и использование привилегированных |
|
права доступа |
прав доступа должно быть ограничено и находиться под |
||
|
|||
|
|
контролем. |
|
|
|
|
|
|
|
Средство управления |
|
8.3 |
Ограничение доступа к |
Доступ к информации и иным, связанным с нею активам, |
|
информации |
должен быть ограничен в соответствии установленными |
||
|
|||
|
|
политиками по контролю доступа. |
|
|
|
|
|
|
|
Средство управления |
|
8.4 |
Доступ к исходному коду |
Должно быть обеспечено соответствующее управление |
|
доступом на чтение и запись к исходному коду, |
|||
|
|
инструментам разработки и библиотекам. |
|
|
|
|
|
|
|
Средство управления |
|
|
Безопасная |
Должны быть внедрены технологии и процедуры |
|
8.5 |
безопасной аутентификации, основанные на |
||
аутентификация |
|||
|
ограничениях доступа к информации и политиках по |
||
|
|
||
|
|
контролю доступа. |
|
|
|
|
|
|
|
Средство управления |
|
8.6 |
Управление |
Использования ресурсов должно быть под контролем и |
|
производительностью |
настроено в соответствии с текущими и перспективными |
||
|
|||
|
|
требованиями к производительности. |
|
|
|
|
|
|
Защита от вредоносного |
Средство управления |
|
|
Должна быть внедрена защита от вредоносного |
||
8.7 |
программного |
||
программного обеспечения и сопровождаться |
|||
|
обеспечения |
||
|
соответствующим информированием пользователей. |
||
|
|
||
|
|
|
|
|
|
Средство управления |
|
|
Управление |
Должна получаться информация о технических |
|
8.8 |
техническими |
уязвимостях в используемых информационных системах, |
|
|
уязвимостями |
оцениваться возможное влияние на организацию таких |
|
|
|
уязвимостей и приниматься соответствующие меры. |
|
|
|
|
|
|
|
Средство управления |
|
|
Менеджмент |
Конфигурации, включая те, что связаны с безопасностью, |
|
8.9 |
оборудования, программного обеспечения, сервисов и |
||
конфигураций |
|||
|
сетей должны быть определены, документированы, |
||
|
|
||
|
|
внедрены, вестись их мониторинг и анализ. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
20 |