ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.03.2024
Просмотров: 18
Скачиваний: 0
ISO/IEC 27001:2022
8 |
Технологические средства управления |
||
|
|
|
|
|
|
Средство управления |
|
8.10 |
Удаление информации |
Информация, хранящаяся в информационных системах, на |
|
устройствах или любых иных носителей данных, должна |
|||
|
|
||
|
|
быть удалена, если она больше не требуется. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Должно использоваться маскирование данных в |
|
8.11 |
Маскирование данных |
соответствии с политиками организации по контролю |
|
доступа и иными специализированными политиками, а |
|||
|
|
||
|
|
также требованиями бизнеса, с учетом применимого |
|
|
|
законодательства. |
|
|
|
|
|
|
|
Средство управления |
|
|
Предупреждение утечки |
Должны применяться меры по предупреждению утечки |
|
8.12 |
данных в системах, сетях и иных устройствах для |
||
данных |
|||
|
обработки, хранения и передачи конфиденциальной |
||
|
|
||
|
|
информации. |
|
|
|
|
|
|
|
Средство управления |
|
|
Резервное копирование |
Должно выполняться и регулярно тестироваться |
|
8.13 |
резервное копирование информации, программного |
||
информации |
|||
|
обеспечения и систем в соответствии с принятой |
||
|
|
||
|
|
политикой резервного копирования. |
|
Средство управления
8.14Избыточность устройств Устройства обработки информации должны применяться обработки информации с избыточностью, достаточной для выполнения
|
|
требований по доступности. |
|
|
|
|
|
|
|
Средство управления |
|
8.15 |
Ведение журналов |
Журналы (логи), фиксирующие действия, исключения, |
|
(логов) |
сбои и иные значимые события должны вестись, |
||
|
|||
|
|
сохраняться, быть защищенными и анализироваться. |
|
|
Средство управления |
|
|
|
Должен осуществляться мониторинг сетей, систем и |
|
8.16 |
Мониторинг действий |
приложений с целью выявления отклонений от |
|
нормального поведения и принятие соответствующих |
|||
|
|
||
|
|
мер для оценки возможных инцидентов информационной |
|
|
|
безопасности. |
|
|
|
|
|
|
|
Средство управления |
|
8.17 |
Синхронизация часов |
Время у информационных систем, используемых |
|
организацией, должно быть синхронизировано с |
|||
|
|
||
|
|
одобренными источниками точного времени. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
21 |
ISO/IEC 27001:2022
8 |
Технологические средства управления |
||
|
|
|
|
|
Использование утилит с |
Средство управления |
|
|
Применение утилит, которые могли бы обходить средства |
||
8.18 |
привилегированными |
||
контроля системы и приложений, должно быть |
|||
|
правами |
||
|
ограничено и строго контролироваться. |
||
|
|
||
Средство управления
8.19Установка приложений в Должны быть внедрены процедуры и меры для операционной системе безопасного управления установкой программного
обеспечения в операционной системе.
|
|
Средство управления |
|
8.20 |
Безопасность сетей |
Сети и сетевые устройства должны быть защищены, |
|
управляться и контролироваться с целью защиты |
|||
|
|
||
|
|
информации в системах и приложениях. |
|
|
|
|
|
|
|
Средство управления |
|
8.21 |
Безопасность сетевых |
Должны быть определены, внедрены и контролироваться |
|
сервисов |
механизмы обеспечения безопасности, уровни сервиса и |
||
|
|||
|
|
требования к обслуживанию сетевых служб. |
|
|
|
|
|
|
|
Средство управления |
|
8.22 |
Разделение сетей |
Группы информационных сервисов, пользователей и |
|
информационных систем должны быть разделены в сетях |
|||
|
|
||
|
|
организации. |
|
|
|
|
|
|
|
Средство управления |
|
8.23 |
Веб-фильтрация |
Доступ к внешним веб-сайтам должен находиться под |
|
управлением для снижения подверженности влиянию |
|||
|
|
||
|
|
вредоносного содержания. |
|
|
|
|
|
|
|
Средство управления |
|
8.24 |
Использование |
Должны быть определены и внедрены правила |
|
криптографии |
результативного использования криптографии, включая |
||
|
|||
|
|
управление криптографическими ключами. |
|
|
|
|
|
|
Жизненный цикл |
Средство управления |
|
8.25 |
разработки безопасного |
Должны быть установлены и применяться правила |
|
программного |
разработки безопасного программного обеспечения и |
||
|
|||
|
обеспечения |
систем. |
|
|
|
||
|
|
|
|
|
|
Средство управления |
|
8.26 |
Применение требований |
Должны быть выявлены, установлены и утверждены |
|
по безопасности |
требования по информационной безопасности для |
||
|
|||
|
|
разработки или приобретения приложений. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
22 |
ISO/IEC 27001:2022
8 |
Технологические средства управления |
||
|
|
|
|
|
|
Средство управления |
|
|
Безопасная архитектура |
Принципы разработки безопасных систем должны быть |
|
8.27 |
систем и принципы |
установлены, документированы, поддерживаться в |
|
|
разработки |
актуальном состоянии и применяться к любым действиям |
|
|
|
в рамках разработки информационных систем. |
|
|
|
|
|
|
|
Средство управления |
|
8.28 |
Безопасное кодирование |
Принципы создания безопасного кода должны |
|
применяться в ходе разработки программного |
|||
|
|
обеспечения. |
|
|
|
|
|
|
Тестирование |
Средство управления |
|
8.29 |
обеспечения |
Процессы тестирования обеспечения безопасности |
|
безопасности при |
должны быть определены и внедрены в рамках |
||
|
|||
|
разработке и приемке |
жизненного цикла разработки. |
|
|
|
||
|
|
|
|
|
|
Средство управления |
|
8.30 |
Разработка, переданная |
Организация должна управлять, осуществлять |
|
на аутсорсинг |
мониторинг и анализ деятельности, связанной с |
||
|
|||
|
|
разработкой систем, переданной на аутсорсинг. |
|
|
|
|
|
|
Разделение среды |
Средство управления |
|
8.31 |
разработки, |
Среда разработки, тестирования и рабочая среда должны |
|
тестирования и |
|||
|
быть отделены друг от друга и обеспечена безопасность. |
||
|
эксплуатации |
||
|
|
||
Средство управления
8.32 Управление изменениями Должны быть предусмотрены процедуры управления изменениями в средствах обработки информации и
информационных системах.
|
|
Средство управления |
|
8.33 |
Данные для |
Данные для тестирования должны быть |
|
тестирования |
соответствующим образом отобраны, обеспечена их |
||
|
|||
|
|
защищенность и управление. |
|
|
|
|
|
|
|
Средство управления |
|
|
Защита информационных |
Аудиты и иные действия, направленные на обеспечение |
|
8.34 |
гарантий, включающие оценку операционных систем, |
||
систем в ходе аудита |
|||
|
должны быть спланированы и согласованы проводящим |
||
|
|
||
|
|
тестирование и соответствующим руководством. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
23 |
ISO/IEC 27001:2022
Библиография
[1]ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection — Information security controls
[2]ISO/IEC 27003, Information technology — Security techniques — Information security management systems — Guidance
[3]ISO/IEC 27004, Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation
[4]ISO/IEC 27005, Information security, cybersecurity and privacy protection — Guidance on managing Information security risks
[5]ISO 31000:2018, Risk management —Guidelines
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
24 |
