Читайте также:
|
|
Согласно ГОСТ Р ИСО/МЭК ТО 19791-2008 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем» ИБ должна быть обеспечена на различных уровнях информационного взаимодействия. Исходя из характеристик объекта защиты, необходимости соблюдения статей и пунктов нормативно-правового обеспечения, анализа угроз и рисков для реализации ИБ должны быть выполнены следующие мероприятия по пунктам стандарта:
Класс FOD: администрирование политик
FOD_POL Администрирование политик
FOD_POL. Политика безопасности
FOD_POL.1.2 Определение политики информационной безопасности, включая задачи, цели, область применения, соответствие законодательству, требования договора и стандартов, оценку риска и менеджмент риска, обучение безопасности, подготовку и требования к осведомленности, управление непрерывностью бизнес процессов, последствия нарушения информационной безопасности, обязательства организации и ее подход к менеджменту информационной безопасности.
FOD_POL.2 Политика защиты данных и приватности
FOD_POL.2.1 Разработка и реализация политики защиты данных и приватности.
FOD_PSN Администрирование по отношению к персоналу
FOD_PSN.1 1 Должности и обязанности персонала
FOD_PSN.2 Обеспечение осведомленности об информационной безопасности, обучения и профессиональной подготовки
FOD_PSN.1.1 разработка и документирование должности и обязанности служащих, подрядчиков и пользователя третьей стороны в соответствии с политикой безопасности организации.
FOD_PSN.1.4 определение требований безопасности для персонала, работающего на охраняемых участках
FOD_PSN.1.14 определение правил предотвращения допуска к оборудованию организации любых несанкционированных лиц.
Класс FOS: Системы ИТ
FOS_POL Политика для систем ИТ
FOS_POL.1 Определены процедуры управления обновлением и идентификацией изменений, управления изменениями и введения измененной системы.
FOS_POL.1.1 определение процедур процесса управления обновлением программного обеспечения для обеспечения установки самых современных утвержденных патчей и приложений в санкционированное программное обеспечение.
FOS_POL.1.2 определение процедур идентификации изменений в средствах обработки информации и системах и оценки потенциальных воздействий.
FOS_POL.1.7 определение процедур управления установкой программного обеспечения в автоматизированные системы.
FOS_POL.1.10 документирование, сохранение и предоставление процедур всем нуждающимся в них пользователям.
FOS_POL.2 Политика защиты от вредоносных кодов
FOS_POL.2.1 определение процедур управления защитой систем от вредоносных кодов, сообщения об их восстановлении после атак вредоносных кодов.
FOS_POL.2.2 определение процедур обнаружения и защиты от вредоносных кодов, которые могут быть переданы посредством средств связи.
FOS_POL.5 Общественные системы
FOS_POL.5.1 обеспечение мер безопасности для защиты программного обеспечения, данных и другой информации, требующей высокого уровня целостности при предоставлении в общедоступной системе.
FOS_POL.5.2 обеспечение требований безопасности по тестированию общедоступной системы на предмет наличия слабых мест и отказов перед предоставлением информации.
FOS_CNF Конфигурация систем ИТ
FOS_CNF.2.1 определение правил разделения групп информационных услуг, пользователей и информационных систем на сети.
FOS_CNF.2.3 определять правила владения конфиденциальной системой специализированной (изолированной) вычислительной среды.
FOS_NET Сетевая безопасность систем ИТ
FOS_NET.1 Сетевые услуги
FOS_NET.1.1 определение правил для сетей и сетевых услуг, к которым разрешен доступ, и правила процедур авторизации для определения, кому и к каким сетям и сетевым услугам разрешен доступ.
FOS_NET.2 Безопасность сетей
FOS_NET.2.3 обеспечение мер обеспечения безопасности для наложения ограничений на время соединения с целью дополнительной защиты приложений с высокой степенью риска.
FOS_NET.2.5 обеспечение мер обеспечения безопасности для разделения групп информационных услуг, пользователей и информационных систем в сетях.
FOS_PSN Управление персоналом системам ИТ
FOS_PSN.1 описание регистрации пользователя, аутентификации пользователя и правил хранения конфиденциальной информации об аутентификации с конкретными действиями, спецификациями и записей об осуществлении контроля.
FOS_PSN.2.2 определение процедур отключения универсальных ЭВМ, серверов или офисных ПК по завершении сеанса работы.
FOS_PSN.2.4 определение правил, предписывающие не оставлять персональные компьютеры, компьютерные терминалы и принтеры, подсоединенные к сети, без присмотра и защищать их при помощи фиксаторов клавиш, паролей или других средств защиты во время простоя этих устройств.
Класс FOA: Активы пользователя
FOA_INF Защита информации в активах пользователей
FOA_INF.1 Защита данных
FOA_INF.1.1 определение руководства по удержанию, сохранению, обработке и ликвидации записей и информации.
FOA_INF.1.5 обеспечение мер обеспечения электронной связи путем защиты сообщений от несанкционированного доступа, модификации или отказа в обслуживании, обеспечения правильной адресации и передачи сообщения, надежности и доступности услуг и юридической консультации.
FOA_INF.1.9 определение требований безопасности по защите информации, задействованной в электронной коммерции, проходящей по общественным сетям, от мошенничества, споров по контракту, а также от несанкционированного раскрытия и модифицирования.
Класс FOP: оборудование и аппаратура
FOP_RMM Съемное оборудование
FOP_RMM.1 описание процедур управления сменными компьютерными носителями, процедур авторизации для носителей, удаленных из организации, и процедур стирания содержимого любых повторно используемых носителей с конкретными действиями и спецификациями и записями о проведении контроля.
FOP_RMM.1.1 определение процедуры управления сменными компьютерными носителями.
FOP_RMM.1.3 определение процедур минимизации рисков, связанных с утечкой секретной информации несанкционированным лицам, установления формальных процедур безопасной ликвидации носителей.
FOP_RMM.1.4 определение процедур стирания, включая любые секретные данные и лицензионное программное обеспечение, любых повторно используемых носителей и оборудования, содержащего носители информации, которые должны быть удалены из организации в случае их ненадобности и проверены на выполнение стирания.
FOP_SYS Системное оборудование
FOP_SYS.1 Управление системным оборудованием. Определены запасное оборудование и резервные носители, правила хранения опасных и воспламеняющихся материалов. Процедуры проверки поступающего материала и защиты сетевой проводки с конкретными действиями и спецификациями.
FOP_SYS.1.2 определение правил хранения опасных и воспламеняющихся материалов безопасным образом на безопасном расстоянии на защищенном участке.
FOP_SYS.1.4 определение процедур проверки поступающего материала на наличие потенциальных угроз перед его перемещением от района доставки и разгрузки к месту использования.
FOP_SYS.1.5 обеспечение мер защиты сетевой проводки от несанкционированного прослушивания или повреждения при ее прокладке через площади общественного пользования.
FOP_SYS.1.7 определение правил проведения ремонта или обслуживания оборудования только санкционированным обслуживающим персоналом.
FOP_SYS.1.9 определение правил хранения всех носителей в безопасной и защищенной среде в соответствии со спецификацией изготовителей.
FOP_SYS.1.12 обеспечение мер обеспечения безопасности для носителей, содержащих информацию, которая должна быть защищена от несанкционированного доступа, неправильного использования или искажения во время транспортирования за пределами организации.
FOP_MNG Управление аппаратурой.
FOP_MNG.1 Физическая защита. Описание физической защиты офисов, помещений и аппаратуры, разделения аппаратуры, используемой для разработки, испытания и эксплуатации, адекватной резервной аппаратуры и защиты средств обработки информации с конкретными действиями и спецификациями.
FOP_MNG.1.2 определение требований безопасности разделения аппаратуры разработки, испытания и эксплуатации с целью снижения рисков несанкционированного доступа или внесения изменений в автоматизированную систему.
FOP_MNG.1.3 определение требований безопасности для адекватной резервной аппаратуры в целях обеспечения возможности восстановления всей значимой информации и программного обеспечения после какого-либо бедствия или неисправности носителей информации.
FOP_MNG.1.4 определение требований безопасности для защиты оборудования обработки информации с целью избежания несанкционированного доступа или раскрытия информации, хранящейся в этом оборудовании и обрабатываемой им.
FOP_MNG.2 Силовое вспомогательное оборудование
FOP_MNG.2.1 обеспечение мер обеспечения безопасности для защиты оборудования от перебоев в питании и других сбоев, вызванных неисправностями во вспомогательном оборудовании.
Класс FOM: управление
FOM_ORG Управление организацией безопасности
Дата добавления: 2015-10-13; просмотров: 135 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Анализ угроз и рисков. | | | Расчет количества кабеля, расходных материалов и комплектующих |