Полезное:
Как сделать разговор полезным и приятным
Как сделать объемную звезду своими руками
Как сделать то, что делать не хочется?
Как сделать погремушку
Как сделать так чтобы женщины сами знакомились с вами
Как сделать идею коммерческой
Как сделать хорошую растяжку ног?
Как сделать наш разум здоровым?
Как сделать, чтобы люди обманывали меньше
Вопрос 4. Как сделать так, чтобы вас уважали и ценили?
Как сделать лучше себе и другим людям
Как сделать свидание интересным?
Категории:
АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника
Приклади контрольних питань згідно стандарту BS 7799-2 для за дання правил безпеки
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управлінь ІБ | Питання аудиту безпеки | |||
| Політика інформаційної безпеки | ||||
| 1.1 | 3.1 | Політика інформаційної безпеки | ||
| 1.1.1 | 3.1.1 | Політика інформаційної безпеки | Чи існує політика інформаційної безпеки, яка підписана керівництвом, чи видана во-на і мають всі співробітники доступ до неї | |
| 1.1.2 | 3.1.2 | Переогляд і оцінка | Чи має політика інформаційної безпеки власника, який несе відповідальність за підтримання політика інформаційної безпеки в актуальному стані. Чи гарантує процес, що перегляд буде здійснено у відповідь на любу зміну, яка впливає на первісну оцінку, наприклад, інциденти безпеки, нові вразливості, зміни органі-заційної або технічної інфраструктури | |
| Організація безпеки | ||||
| 2.1 | 4.1 | Інфраструктура інформаційної безпеки | ||
| 2.1.1 | 4.1.1 | Відділ безпеки | Чи може відділ безпеки та експертна комісія гарантувати, що існує чітке керування і підтримка керівництва інформаційної безпеки в організації | |
| 2.1.2 | 4.1.2 | Координація зусиль по інформаційній безпеки | Чи існує комітет з представників керівництва по різним напрямкам по координації виконання вимог інформаційної безпеки |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 2.1.3 | 4.1.3 | Визначення відповідаль-ності | Чи призначені відповідальні за безпеку кожного активу та чи виконуються по відношенні до них спеціальні процедури безпеки | |
| 2.1.4 | 4.1.4 | Процес автори-зації засобів обробки інформації | Чи існують процеси авторизації для любих нових засобів обробки інформації. Вони повинні включати усі нові засоби програмного забезпечення | |
| 2.1.5 | 4.1.5 | Консультації з питань інформаційної безпеки | Чи доступен консультант з інформаційної безпеки, коли необхідно дати каліфіковану пораду. Чи може бути задіяний зовнішній консультант для надання допомоги з питань інформаційної безпеки | |
| 2.1.6 | 4.1.6 | Співпраця між організаціями | Чи були відповідні контакти з представ-никами влади, постачальники інформацій-них сервісів і телекомунікаційними операторами для гарантії того, що у випадку виникнення інциденту безпеки відповідні дії можуть бути швидко виконані та отримані консультації | |
| 2.1.7 | 4.1.7 | Незалежний аудит інформаційної безпеки | Чи проводиться незалежний аудит політики інформаційної безпеки. Для гарантії того, що практика організації повинна належним чином відображати політику, що вона реальна та ефективна | |
| 2.2 | 4.2 | Захист доступу сторонніх організацій | ||
| 2.2.1 | 4.2.1 | Ідентифікація ризиків досту-пу сторонніх організацій | Чи ідентифіковані ризики, пов’язані з доступом сторонніх організацій і реалізовані відповідні засоби безпеки. Чи можуть бути типи доступу ідентифіковані і класифіковані, чи доказана необхідність доступу. Чи |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| можуть ризики працівників сторонніх організацій, працюючих за контрактом на території організації, бути ідентифіковані та чи реалізовані відповідні засоби безпеки | ||||
| 2.2.2 | 4.2.2. | Вимоги безпеки у контрактах із сторонніми організаціями | Чи мають контракти (або посилання) вимоги для забезпечення безпеки у відповідності з політикою інформаційної безпеки та інструкціями організації | |
| 2.3 | 4.3 | Аутсорсінг | ||
| 2.3.1 | 4.3.1 | Вимоги безпеки у контрактах по аутсорсінгу | Чи внесені вимоги по безпеці у контракти з сторони організації, коли у організації є ресурси, керування і контроль над якими здійснюють сторонні організації | |
| Класифікація і управління активами | ||||
| 3.1 | 5.1 | Можливості ідентифікації активів | ||
| 3.1.1 | 5.1.1 | Ідентифікація активів | Чи підтримується база інвентаризації або реєстр важливих активів, асоційованих з інформаційною системою | |
| 3.2 | 5.2 | Класифікація інформації | ||
| 3.2.1 | 5.2.1 | Керівництво по класифікації | Чи існує схема або керівництво по класи-фікації інформації, яке допоможе виз-начити, яка інформація повинна мати гриф обмеження доступу та підлягає безпеці | |
| 3.2.2 | 5.2.2 | Гриф обме-ження доступу і обробка інформації | Чи визначено набір процедур по грифу обмеження доступу і обробці інформації у відповідностью з схемою класифікації, яка прийнята в організації | |
| Захист персоналу | ||||
| 4.1 | 6.1 | Обов’язки по захисту інформації у посадових інструкціях |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 4.1.1 | 6.1.1 | Включення обв’язків по захисту інформації у посадові інструкції | Чи визначені у політиці інформаційної безпеки ролі по забезпеченню безпеки і відповідальність. Політика інформаційної безпеки повинна включати загальні обов’я-зки по забезпеченню і підтриманню політи-ки інформаційної безпеки і специфічні обов’язки по безпеці конкретних активів | |
| 4.1.2 | 6.1.2 | Перевірка персоналу і кадрова політика | Чи здійснюється перевірка працівників у процесі приймання на роботу. Вона повин-на включати підтвердження професійної кваліфікації, реальності представленого резюме і незалежну перевірку особистості | |
| 4.1.3 | 6.1.3 | Угода про конфіденцій-ність | Чи вимагають від працівників підписати угоду про нерозголошення або про конфіденційність інформації як обов’язкову умову при прийманні їх на роботу. Чи охоплює ця угода захист інформації, засоби її обробки та активи організації | |
| 4.1.4 | 6.1.4 | Строки і умови наймання | Чи передбачують строки і умови найму відповідальність працівників по безпеки. Ці обов’язки можуть бути продовжені на визначений строк після звільнення | |
| 4.2 | 6.2 | Навчання з інформаційної безпеки | ||
| 4.2.1 | 6.2.1 | Навчання і тре-нінг з питань інформаційної безпеки | Чи навчаються усі працівники організації та сторонні працівники питанням інформацій-ної безпеки та чи отримують вони регулярне обновлення політики і процедур організації | |
| 4.3 | 6.3 | Реагування на інциденти безпеки | ||
| 4.3.1 | 6.3.1 | Звіт по інци-дентам безпеки | Чи існує формальна процедура повідомлен-ня керівництва про інциденти безпеки |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 4.3.2 | 6.3.2 | Звіт про слабкі місця у безпеці | Чи існує формалізована процедура або керівництво для користувачів по діям у випадку виявлення слабких місць у безпеці системи або сервісів | |
| 4.3.3 | 6.3.3 | Реагування на збої ПЗ | Чи введене процедура звітності про збої програмного забезпечення | |
| 4.3.4 | 6.3.4 | Аналіз інцидентів | Чи існує механізм виміру і аналізу типів, масштабів і вартості інцидентів і збоїв | |
| 4.3.5 | 6.3.5 | Процес дис-циплінарних покарань | Чи існує формалізована процедура покарань працівників, які порушили політику інфор-маційної безпеки і процедури безпеки. Такий процес може виконувати стримуючу функцію для працівників, що схильні до порушення політики інформаційної безпеки | |
| Фізичний захист і захист середовища | ||||
| 5.1 | 7.1 | Захист приміщень | ||
| 5.1.1 | 7.1.1 | Фізичний захист периметра | Які фізичні пристрої, безпеки периметра, здійснюють безпеку заходів обробки інформації. Приклади таких пристроїв безпеки – шлюзи, стіни, охорона тощо | |
| 5.1.2 | 7.1.2 | Фізичні засоби контролю доступу | Які фізичні засоби контролю доступу дозволяють тільки авторизованому персоналу перебувати всередині організації | |
| 5.1.3 | 7.1.3 | Захист офісів, кімнат, будівель | Чи зачинена кімната, у якій розміщені засоби обробки інформації, чи мають вони шафи і сейфи які зачиняються на ключ. Чи мають засоби обробки інформації безпеки від природних і штучних лих. Чи існують загрози, що виходять із суміжних приміщень |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 5.1.4 | 7.1.4 | Робота у захищених приміщеннях | Чи існують засоби захисту від дій працівників сторонніх організацій, які працюють на захищених територіях | |
| 5.1.5 | 7.1.5 | Ізолювання приміщень для доставки від приміщень для загрузки | Чи ізольовані області доставки та області обробки і загрузки інформації один від одного з метою виключення несанкціоно-ваних дій. Чи введена оцінка ризиків для визначення безпеки таких приміщень | |
| 5.2 | 7.2 | Безпека обладнання | ||
| 5.2.1 | 7.2.1 | Захист приміщень з обладнанням | Чи знаходиться обладнання у приміщеннях з обмеженим доступом. Чи ізольовано обладнання, яке вимогає спеціальної безпеки, виведення в окрему зону, з метою зниження загального рівня вимог по безпеці. Чи застосовані засоби безпеки для мінімізації ризиків від таких потенційних загроз, як крадіжка, пожежа, вибух, дим, вода, вібрація, хімічні елементи, електромагнітні випромінювання, повені тощо. Чи існує політика, яка забороняє приймання їжі, пити та курити поряд з засобами обробки інформації. Чи аналізуються умови навколишнього середовища, які негативно впливають на засоби обробки інформації | |
| 5.2.2 | 7.2.2 | Джерело живлення | Чи захищене обладнання від аварій за допомогою джерел безперебійного живлення, запасних генераторів тощо | |
| 5.2.3 | 7.2.3 | Захист кабелів | Чи захищені кабелі телекомунікацій і жив-лення, по яких передаються дані та до-поміжна інформація від перехвату і пошко- |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| дження. Чи існують додаткові засоби безпеки для важливої інформації | ||||
| 5.2.4 | 7.2.4 | Технічна підтримка обладнання | Чи проводиться профілактичне обслугову-вання обладнання через рекомендовані виробником інтервали часу та відповідно специфікаціям. Чи здійснюється поточне обслуговування тільки авторизованим персоналом. Чи існує система обліку усіх, які можуть бути і існуючих збоїв та усіх реалізованих коректуючих засобів. Чи використовуються адекватні засоби безпеки при відправці обладнання за межі організації. Якщо обладнання за страховане, чи виконуються вимоги страхувальників | |
| 5.2.5 | 7.2.5 | Захист обладнання за межами організації | Чи необхідно отримувати дозвіл керівництва для використання обладнання за межами організації. Чи повинен бути рівень безпеки обладнання, яке використовується за межами організації, вищим ніж рівень безпеки всередині приміщення організації | |
| 5.2.6 | 7.2.6 | Вимоги при знищенні обладнання | Чи ліквідовується фізично та надійно знищується інформація з обмеженим доступом і критична інформація | |
| 5.3 | 7.3 | Загальні засоби безпеки | ||
| 5.3.1 | 7.3.1 | Вимоги «чистого столу» та «чистого екрану» | Чи активізована функція автоматичного блокування екрану. Вона повинна блок-увати екран, коли інформаційна система залишена без нагляду. Чи знають працівники про вимоги зберігати конфіден- |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| ційну інформацію в сейфі або шафі, коли їм необхідно покинути своє робоче місце | ||||
| 5.3.2 | 7.3.2 | Переміщен-ня власності організації за її межі | Чи може хтось винести обладнання, інформацію або програмне забезпечення за межі організації без отримання дозволу. Чи проводиться регулярний аудит по виявленню спроб несанкціонованого виносу власності організації. Чи знають працівники про проведення такого аудиту | |
| Управління діяльністю | ||||
| 6.1 | 8.1 | Операційні процедури та відповідальність | ||
| 6.1.1 | 8.1.1 | Документовані операційні процедури | Чи визначені у політики інформаційної безпеки такі операційні процедури, як резервування, обслуговування обладнання тощо. Чи оформлені такі процедури у виг-ляді документів та чи користуються ними | |
| 6.1.2 | 8.1.2 | Управління змінами | Чи проходять усі програми, що запущені у систему, суворий контроль змін, усі зміни в цих програмах повинні пройти через авторизацію управління змінами. Чи ведуться журнали змін у програмах | |
| 6.1.3 | 8.1.3 | Процедури управління інцидентами | Чи існує процедура управління інцидентами для обробки інцидентів безпеки. Чи мають процедури опис обов’язків по управлінню інцидентами, порядок і швидкість реакції на інциденти безпеки. Чи визначені в проце-дурі різні типи інцидентів, починаючи від відмови в обслуговувані до порушення кон-фіденційності і засоби реагування на них. |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| Чи обробляються журнали аудиту і обліку інцидентів та чи здійснюється профілактика повторення інциденту | ||||
| 6.1.4 | 8.1.4 | Розподіл обов’язків | Чи існує розподіл обов’язків з метою, щоб скоротити можливості несанкціонованої модифікації та зловживання по відношенню до інформації і сервісам | |
| 6.1.5 | 8.1.5 | Поділ областей розробки і виробництва | Чи ізольовані області тестування і виробництва один від одного. Наприклад, тестування програмного забезпечення не повинно знаходитися на тій же інформацій-ній системі, що і програмне забезпечення виробництва. Необхідно, щоб мережі тестування і виробництва були розділені | |
| 6.2 | 8.2 | Планування потужності і приймання систем | ||
| 6.2.1 | 8.2.1 | Планування потужності | Чи аналізуються вимоги по необхідним ресурсам та чи створюються проекти по збільшенню потужностей. Це гарантує адекватну потужність по обробці і збері-ганю інформації. Наприклад, моніторинг місця на жорсткому диску, оперативній пам’яті, процесора у критичних сервісах | |
| 6.2.2 | 8.2.2 | Система приймання | Чи введені критерії для впровадження нових інформаційних систем, обновлення і нових версій. Чи проводяться відповідні тести до прийманням систем | |
| 6.3 | 8.3 | Захист від зловмисного коду | ||
| 6.3.1 | 8.3.1 | Захист від зловмисного коду | Чи існують засоби безпеки від зловмисного коду. Чи має політика інформаційної безпеки вимоги по використанні тільки ліцензованого програмного забезпечення і |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| забороні використання неавторизованого програмного забезпечення. Чи існує процедура для перевірки того, наскільки усе оповіщення акуратне і інформоване по відношенню використання зловмисного коду. Чи встановлені антивірусні програми на інформаційних системах для перевірки, ізолювання або видалення вірусів. Чи здій-снюється регулярне обновлення вірусних баз. Чи перевіряється весь трафік організ-ції. Наприклад, чи проводиться перевірка на віруси електронної пошти, прикріплених файлів електронної пошти і мережі | ||||
| 6.4 | 8.4 | Робота поза офісу | ||
| 6.4.1 | 8.4.1 | Резервування інформації | Чи регулярно здійснюється резервування важливої інформації. Чи регулярно тестуються резервні копії, щоб перекона-тися, що вони можуть бути відновлені на протязі виділеного інтервалу часу з використанням процедури відновлення | |
| 6.4.2 | 8.4.2 | Журнали операцій | Чи зберігають працівники оперативний журнал своїх дій, у якому зафіксовано і’мя користувача, помилки, дії по корекції. Чи перевіряються такі журнали на регулярній основ і у відповідності з операційними процедурами | |
| 6.4.3 | 8.4.3 | Журнал збоїв | Чи описані і контролюються збої. Це включає контрольні дії, аудит збоїв і перевірку прийнятих дій |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 6.5 | 8.5 | Управління мережею | ||
| 6.5.1 | 8.5.1 | Управління мережею | Чи здійснюється ефективне операційне управління, таке, як створення виділених мереж і пристроїв системного адміністрування, там, де це необхідне. Чи визначені обов’язки і процедури управління для обладнання, яке знаходиться за межами території організації, включаючи обладнання користувачів системи. Чи існу-ють спеціальні засоби захисту, що гаран-тують конфіденційність і цілісність даних при їх передачі через зовнішні мережі, захист систем, що підключаються. Наприклад, VPN, шифрування і механізми хешурування | |
| 6.6 | 8.6 | Маркування і безпека носіїв інформації | ||
| 6.6.1 | 8.6.1 | Управління переміщеними носіями інформації | Чи існує процедура управління переміщу-ними носіями інформації, такими, як магнітні стрічки, жорсткі диски, касети, карти пам’яті і звіти | |
| 6.6.2 | 8.6.2 | Знищення носіїв інформації | Чи здійснюється знищення носіїв інформації, при виникненні необхідності, надійним засобом. Чи обліковуються знищені матеріальні носії інформації, при виникненні не обхідності, з метою забезпечення можливості проведення аудиту | |
| 6.6.3 | 8.6.3 | Процедура маркування інформації | Чи існує процедура маркування інформації. Чи освітлені у цій процедурі питання захисту інформації від несанкціонованого розголошення або невірного використання |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 6.6.4 | 8.6.4 | Безпека системної документації | Чи захищена системна документація від несанкціонованого доступу. Чи має список доступу до системної документації міні-мальне число працівників та затверджено | |
| 6.7 | 8.7 | Обмін інформацією і програмним забезпеченням | ||
| 6.7.1 | 8.7.1 | Угода про обмін інформацією і програмним забезпеченням | Чи існує формальна або неформальна угода між організаціями при обміні інформацією і програмним забезпеченням. Чи посилається угода на вимоги безпеки, базуючись на критичності інформації | |
| 6.7.2 | 8.7.2 | Безпека інформації під час транс-портування | Чи здійснюється безпека матеріальних носіїв інформації під час транспортування. Чи достатньо захищені носії інформації від несанкціонованого доступу, невірного використання | |
| 6.7.3 | 8.7.3 | Безпека електронної комерції | Чи захищена електронна комерція від шахрайства, сумнівних контрактів, розголошення або модифікації інформації. Чи включає електронна комерція такі засоби забезпечення безпеки, як аутентифікація і авторизація. Чи урегульовані питання з торговими партнерами, включаючи угоди, які описують торгові операції між ними, у тому числі вимоги по безпеці | |
| 6.7.4 | 8.7.4 | Безпека електронної пошти | Чи існує політика, дозволу використовувати електронну пошту і звернена увага у політи-ки інформаційної безпеки використанню електронної пошти. Чи реалізовані такі засоби безпеки, як антивірусна перевірка, ізолювання потенційно загрозливих перекривлень файлів |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 6.7.5 | 8.7.5 | Безпека системи електронного офісу | Чи визначена політика допустимого використання системи електронного офісу. Чи існує керівництво по ефективної безпеці від ризиків, пов’язаних з використанням системи електронного офісу | |
| 6.7.6 | 8.7.6 | Загально доступні системи | Чи існує формалізований процес авторизації для інформації, яку необхідно зробити доступною суспільству. Чи існують засоби безпеки для забезпечення цілісності інформації, призначеної для загального використання, від несанкціонованого доступу Вони можуть включати такі засоби безпеки, як міжмережеві екрани, засоби виявлення вторгнення тощо | |
| 6.7.7 | 8.7.7 | Інші форми обміну інформацією | Чи існує політика, процедури або засоби захисту безпеки інформації під час передачі за допомогою голосу, факсу і відео. Чи ознайомлені працівники про необхідність безпеки конфіденційної інформації | |
| Управління доступом | ||||
| 7.1 | 9.1 | Бізнес-вимоги по управлінню доступом | ||
| 7.1.1 | 9.1.1 | Політика управління доступом | Чи визначені і задокументовані бізнес-вимоги по управлінню доступом. Чи має політика управління доступом розроблені правила і права для кожного користувача або групи користувачів. Чи мають користувачі і постачальники сервісів чітке розуміння бізнес-вимог | |
| 7.2 | 9.2 | Управління доступом працівників |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 7.2.1 | 9.2.1 | Реєстрація працівників | Чи існує формальна процедура обліку і відміни обліку працівників, враховуючи багато користувачеві інформаційні системи і сервіси | |
| 7.2.2 | 9.2.2 | Управління привілеями | Чи обмежено і контрольовані виділення та використання привілей у богатокористову-ючих інформаційних систем, чи виділені привілеї тільки на основі принципу «необхідності використання» або тільки після формалізованого процесу авторизаціі | |
| 7.2.3 | 9.2.3 | Управління паролями | Розміщення і видалення паролів повинно контролюватися формальним процесам управління. Чи знають користувачі про необхідність збереження пароля у тайні | |
| 7.2.4 | 9.2.4 | Аудит прав доступу | Чи існує процес аудиту прав доступу користувачів через визначений час. Наприклад, спеціальні привілеї переглядаються один раз у три місяці, звичайні – кожні шість місяців | |
| 7.3 | 9.3 | Відповідальність працівників | ||
| 7.3.1 | 9.3.1 | Використання паролів | Чи існує керівництво користувача по вибору і зберіганню паролів | |
| 7.3.2 | 9.3.2 | Обладнання, яке працює у автономному режимі | Чи знають працівники і сумісники вимоги і процедури по захисту обладнання, яке працює в автономному режимі то відповідальності за забезпеченням безпеки. Наприклад, автономний вихід з системи | |
| 7.4 | 9.4 | Управління мереженим доступом | ||
| 7.4.1 | 9.4.1 | Політика використання | Чи існує політика, яка висвітлює проблеми, пов’язані з мережею і мереженими сервіса- |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| мережених сервісов | ми, такими як: частини мережі, дозволу для доступу; сервіси авторизації, визначаючі, хто і що може робити; процедури безпеки доступу до мережених підключень і мереженим сервісам | |||
| 7.4.2 | 9.4.2 | Обов’язковий маршрут | Чи існують який-небудь засоби безпеки, обмежуючи маршрут між терміналом користувачів і визначеними сервісами на інформаційній системі, до якої необхідно отримати доступ, наприклад, обов’язковий маршрут для зменшення ризику | |
| 7.4.3 | 9.4.3 | Аудентифіка-ція працівників для доступу за межами мережі організації | Чи існує якийсь механізм аутентифікації для доступу за межами мережі організації. Наприклад: техніка заснована на крипто-графії, апаратні засоби ідентифікації, програмні засоби ідентифікації | |
| 7.4.4 | 9.4.4 | Аудетифікація вузлів | Чи аудентифіковані підключення до від-далених інформаційних систем, які знахо-дяться за межами управління безпекою організації. Аудентифікація вузлів може служити альтернативним засобом аутенти-фікації груп віддалених користувачів, коли вони підключаються до захищених інформаційних систем | |
| 7.4.5 | 9.4.5 | Безпека портів віддаленої діагностики | Чи контролюється доступ до портів віддаленої діагностики, чи захищені вони засобами безпеки | |
| 7.4.6 | 9.4.6 | Поділ мереж | Чи поділені мережі до яких потрібен доступ партнерів і сторонніх організацій, з викори-станням таких механізмів безпеки, як між- мереживі екрани |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 7.4.7 | 9.4.7 | Протоколи мережених з’єднань | Чи існують якісь засоби управління мереженими з’єднанями для загальної мережі, які знаходяться за межами організації. Наприклад, електронна пошта, Web-доступ, FTP-доступ | |
| 7.4.8 | 9.4.8 | Управління мереженою маршрутиза-ціею | Чи існують засоби захисту мережі, які гарантують, що з’єднання і інформаційні потоки не порушують політику контролю доступу бізнес-додатків. Це часто необхідно для мереж, які використовуються декель-кома організаціями одночасно. Чи базується керування маршрутизацією на механізму ідентифікації джерела і відправника. | |
| 7.4.9 | 9.4.9 | Безпека мережених сервісов | Чи впевнена організація, яка використовує загальні або часткові мереживі сервіси, що забезпечена чітким описом вимог безпеки до усіх сервісів | |
| 7.5 | 9.5 | Управління доступом у операційній системі | ||
| 7.5.1 | 9.5.1 | Автоматична ідентифікація терміналів | Чи використовується автоматичний механізм ідентифікації терміналів для аудентифікації з’єднань | |
| 7.5.2 | 9.5.2 | Процедури реєстрації на терміналі | Чи можливий доступ до інформаційних систем тільки через захищений процес обліку. Чи існує процедура обліку в інформаційній системі. Необхідно для мінімізації можливості несанкціонованого доступу | |
| 7.5.3 | 9.5.3 | Ідентифікація і авторизація користувача | Чи представлені унікальні ідентифікатори усім користувачам, таким, як оператори та іншим допущеним працівникам. |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| Загально обліковий запис може бути використано тільки у випадку виключних обставин, коли це є бізнес-перевагою. Додаткові засоби захисту можуть бути необхідними для забезпечення можливості ведення журналу. Чи реалізує використання методу аудентифікації, що необхідний для ідентифікації користувача. Загальний метод, яким користуються: пароль, який знає тільки користувач | ||||
| 7.5.4 | 9.5.4 | Система управління паролями | Чи існує система управління паролями, котра приводить в дію різні засоби управління паролями, такі, як індивідуаль-ний пароль, примусова зміна пароля, збері-гання пароля у зашифрованому вигляді, відключення показу пароля на екрані | |
| 7.5.5 | 9.5.5 | Використання системних утиліт | Чи контролюється доступ до системним утилітам, які поставляються з операційною системою і мають можливість зміни системи і додатків | |
| 7.5.6 | 9.5.6 | Аварійна система | Чи розглянуто забезпечення аварійного сигналу для користувачів | |
| 7.5.7 | 9.5.7 | Тайм-аут для терміналу | Чи сконфігурован термінал для очистки екрану або автоматичного закриття після визначеного періоду без дії | |
| 7.5.8 | 9.5.8 | Обмеження часу з’єднання | Чи існує обмеження часу з’єднання на критичних додатках. Ця установка повинна бути розглянута для використання у критичних додатках | |
| 7.6 | 9.6 | Управління доступу до додатків |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 7.6.1 | 9.6.1 | Обмеження доступу до інформації | Чи визначено доступ до додатків для різних груп і індивідуальних користувачів організації у політиці управління доступом згідно вимог конкретного бізнес-додатку і не порушують чи вони вимог політики доступу до інформації | |
| 7.6.2 | 9.6.2 | Ізолювання критичних систем | Чи забезпечені критичні системи виділеними обладнанням, таким, як спеціа-льний сервір | |
| 7.7 | 9.7 | Моніторинг доступу до систем і використання систем | ||
| 7.7.1 | 9.7.1 | Журнал повідомлення | Чи відбувається журнал важливих подій, у тому числі і по безпеки, з метою забезпечення проведення розслідувань і для моніторингу контролю доступу | |
| 7.7.2 | 9.7.2 | Моніторинг використання системи | Чи встановлена процедура по моніторингу використання інформаційних систем, Процедури повинні гарантувати, що користувачі використовують тільки ті дії, які авторизовані. Чи перевіряються результати моніторингу регулярно | |
| 7.7.3 | 9.7.3 | Синхронізація часу | Чи погоджено час інформаційної системи або пристрою з єдиним зовнішнім або внутрішнім джерелом часу. Вірне установ-леня часу важливо для забезпечення вірного аудиту журналів | |
| 7.8 | 9.8 | Праці поза офісу і мобільні користувачі | ||
| 7.8.1 | 9.8.1 | Ноутбуки | Чи враховується политика ризику, пов’яза-ною з роботою на ноутбуках, персональних цифрових системах, особливо у незахи- щених областях. Чи проводиться навчання |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| працівників по використанню ноутбуків з метою підвищення усвідомленості про додаткові ризики, які пов’язані з такою роботою і засоби захисту, котрі необхідно реалізувати для зменшення ризику | ||||
| 7.8.2 | 9.8.2 | Робота поза офісу | Чи існує політика, процедура або стандарт який регулює порядок роботи поза офісу і погоджен чи він з політикою інформаційної безпеки організації. Чи передбачені відповідні засоби захисту від таких загроз, як крадіжка обладнання, несанкціоноване розголошення інформації | |
| Розробка і підтримання системи | ||||
| 8.1 | 10.1 | Вимоги безпеки по відношенню систем | ||
| 8.1.1 | 10.1.1 | Аналіз і специфікація вимог по безпеки | Чи оформлені вимоги безпеки так бізнес-вимоги для нових систем або при розширенні маючих систем. Вимоги і засоби безпеки повинні відображати цінність для бізнес інформаційних активів і наслідок недотримання вимог безпеки. Чи була проведена оцінка ризиків до прийняття рішення о розробці системи | |
| 8.2 | 10.2 | Безпека у додатках | ||
| 8.2.1 | 10.2.1 | Перевірка введеної інформації | Чи здійснюється перевірка введеної інформації на предмет коректності і достовірності. Чи реалізовані такі засоби безпеки, як різні види перевірок для аналізу повідомлень про помилки, процедури |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| обліку на помилки, визначення обов’язків усіх працівників, пов’язаних з процесом введення даних | ||||
| 8.2.2 | 10.2.2 | Засоби захисту при обробки інформації | Чи визначини ризики, що відносяться до циклу обробки інформації і перевірки помилок. У деяких випадках, які були коректно введені, можуть бути викривлення у результаті помилок при обробки або навмисні дії. Чи визначені відповідні засоби захисту для додатків по зменшенню ризиків, пов’язаних з внутрішню обробкою інформації. Засоби захисту будуть залежати від природи додатку і бізнес-впливі у випадку пошкодження інформації | |
| 8.2.3 | 10.2.3 | Аудентифі-кація повідомлень | Чи була виконана оцінка ризиків безпеки по визначенню необхідності аудентифікації повідомлень: по визначені найбільш підходящого метода реалізації. Аудентифікація повідомлень – техніка, що використовується для визначення несакціо-нованих змін або викривлення змісту електронних повідомлень, що передаються | |
| 8.2.4 | 10.2.4 | Перевірка вихідних даних | Чи перевіряються результати роботи додатку для забезпечення корективності і відповідності обставин процесу обробки інформації | |
| 8.3 | 10.3 | Криптографічні засоби | ||
| 8.3.1 | 10.3.1 | Політика використання криптонрафіч- | Чи існує політика використання крипто-графічних засобів захисту для забезпечен-ня безпеки інформації. Чи виконана оцінка |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | ||
| Область управління ІБ | Питання аудиту безпеки | ||||
| них засобів захисту | ризиків для визначення вимогаємого рівня безпеки інформації | ||||
| 8.3.2 | 10.3.1 | Шифрування | Чи використовується технологія шифру-вання для забезпечення безпеки інформації. Чи проведен аналіз критичної інформації та визначені вимоги до рівня безпеки | ||
| 8.3.3 | 10.3.3 | Електронно цифровий підпис | Чи використовується електронно цифровий підпис для безпеки аудентичності і цілісності електронного документа | ||
| 8.3.4 | 10.3.4 | Сервіси невідмовно-сті | Чи використовуються там, де це потріб-ною, сервіси невідновності для вирішення конфліктних ситуацій по визначенню, була чи дія або ні. Приклад: конфліктна ситуа-ція, що включає використання електрон-ного підпису у контрактах | ||
| 8.3.5 | 10.3.5 | Управління ключами | Чи існує в організації система управління по підтримці симетричного і асиметричного шифрування. Чи базується система управління ключами на погоджених стандартах, процедурах і методах безпеки | ||
| 8.4 | 10.4 | Захист системних файлів | |||
| 8.4.1 | 10.4.1 | Безпека операційної системи | Чи існують засоби безпеки на рівні операційної системи. Це мінімізує ризик порушення роботи інформаційних систем | ||
| 8.4.2 | 10.4.2 | Безпека текстової системної документації | Чи захищена і контрольована текстова системна документація. Забороняється використання бази даних, що має персо-нальні дані, для мети тестування. Якщо таку інформацію потрібно використо-вувати, дані повинні бути обезлічені | ||
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 8.4.3 | 10.4.3 | Доступом до бібліотек завершених кодів програм | Чи існує строгий контроль доступу до бібліотек завершених кодів програм. Це зменшує ризики викривлення програм | |
| 8.5 | 10.5 | Захист процесів розробки і підтримки | ||
| 8.5.1 | 10.5.1 | Процедури управління змінами | Чи існують процедури строгого контролю за змінами в інформаційних системах. Це мінімізує ризики по викривленню інформаційної системи | |
| 8.5.2 | 10.5.2 | Технічний аудит змін у операційній системі | Чи існує процес або процедура, яка гарантує, що додатки перевірені і проте-стовані після змін у операційній системі. Необхідно періодично обновляти опера-ційну систему, інстоллірувати службові програми, обновлення для додатків | |
| 8.5.3 | 10.5.3 | Обмеження на зміни у програмних пакетах | Чи існує обмеження по зміні пакетів програмного забезпечення. Наскільки це можливо, пакет програмного забезпечен-ня повинен використовуватися без внесення змін. Якщо задумані зміни суттєві, оригінальне програмне забезпе-чення повинно бути збережено і зміни повинні застосовуватися тільки до ідентичної копії. Усі зміни повинні бути протестовані і задокументовані | |
| 8.5.4 | 10.5.4 | Чорні ходи і програми типу «Троянський кінь» | Чи існують засоби безпеки, для перевірки відсутності чорних ходів, не декларованих можливостей і програми типу «Троянський кінь» у новому програмному забезпеченню та обновлених. |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| Чорний хід може впливати на інформацію прихованими методами. | ||||
| 8.5.5 | 10.5.5 | Розробка програмного забезпечення сторонніми організаціями | Чи існують засоби безпеки при розробці програмного забезпечення сторонніми організаціями. Моменти які необхідно враховувати: ліцензійну угоду, вимоги по гарантії якості, тестування перед інстоляціею на відсутність чорних ходів | |
| Управління безперервністю бізнесу | ||||
| 9.1 | 11.1 | Аспекти управління безперервністю бізнесу | ||
| 9.1.1 | 11.1.1 | Процес управління безперервністю бізнесу | Чи існує процес по розвитку і підтримці безперервності бізнесу організації. Він повинен включати: план забезпечення неперервності бізнесу організації, регулярну перевірку і обновлення плану, формулювання і документування стратегії неперервності бізнесу | |
| 9.1.2 | 11.1.2 | Безперервність бізнесу і аналіз шкоди | Чи визначені дії, які можуть бути причиною порушення бізнес-процесів, наприклад, аварії обладнання, повені, пожари. Чи проведено аналіз ризиків для визначення шкоди таких дій. Чи розроблено стратегічний план, оснований на проведеному аналізі ризиків і визначаючий загальний підхід до забезпечення безперервності бізнесу | |
| 9.1.3 | 11.1.3 | Створення і реалізація плану безперервності бізнесу | Чи розроблено плани по відновленню бізнес-операцій у випадку аварій. Чи регулярно обновлюється і тестується плану безперервності бізнесу |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| 9.1.4 | 11.1.4 | Розробка плану безперервності бізнесу | Чи існує єдиний підхід по розробці плану безперервності бізнесу. Підтримується чи ця інфраструктура для гарантії того, що усі плани погоджені і визначені пріоритети по тестуванню і підтримці. Чи визначені умови активації і персональна відповідальність по виконанню кожного компоненту плану | |
| 9.1.5 | 11.1.5 | Тестування, підтримка і переоцінка планів безперервності бізнесу | Чи регулярно тестується план безперервності бізнесу для гарантії того, що він актуален і ефективен. Чи існують процедури, у яких визначне порядок аудиту плану неперервності бізнесу по оцінці його ефективності. Чи включена процедура у програму управління змінами для відповідності плану неперервності бізнесу | |
| Відповідність | ||||
| 10.1 | 12.1 | Відповідність вимогам законодавства | ||
| 10.1 | 12.1.1 | Застосування вимог законодавства | Чи визначені і задокументовані для кожної інформаційної системи усі вимоги законодавства, нормативних актів і дого-вірних обов’язків. Чи визначений задоку-ментовані засоби безпеки і персональна відповідальність за дотримання цих вимог | |
| 10.1.2 | 12.1.2 | Право інтелекту-альної власності | Чи існують процедури, гарантуючи відпо-відно до вимог законодавства по використанню матеріалів, у відношенні яких може бути встановлені права на за-хист інтелектуальної власності, як автор-ське право, конструкторське право, торго- |
Продовження таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| ва марка. Чи вірно здійснюються проце-дури. Чи поставляється програмне забезпечення, що має ліцензійну угоду, яка обмежує використання продукту деякими інформаційними системами. | ||||
| 10.1.3 | 12.1.3 | Безпека документів | Чи захищені важливі документи організації від знищення та фальсифікації | |
| 10.1.4 | 12.1.4 | Безпека персональних даних | Чи існує структура управління і засобів безпеки персональних даних і права на часне життя | |
| 10.1.5 | 12.1.5 | Запобігання неправомірного використання засобів обробки інформації | Чи розглядається використання засобів обробки інформації для любого нецільового або несанкціонованого призначення без одобрення керівництвом як неналежне використання засобів. Чи появляється під час обліку попереджуюче повідомлення на моніторі інформаційної системи про те, що система, у яку здійснено вхід, є частною власністю і несанкціонований доступ заборонено | |
| 10.1.6 | 12.1.6 | Вимоги по використанню шифрування | Чи існують і враховані вимоги вітчизняного законодавства по викорис-танню шифрування | |
| 10.1.7 | 12.1.7 | Збір доказів | Чи проведен процес, пов’язаний із збором доказів, у відповідності до вимог законодавства | |
| 10.2 | 12.2 | Аудит політики інформаційної безпеки і технічної відповідності | ||
| 10.2.1 | 12.2.1 | Відповідність | Чи регулярно проводиться аудит усіх |
Закінчення таблиці 6.1
| Вимо-ги | Пункт стан-дарту | Область аудиту, мета і питання | Шкала 1 … 5 | |
| Область управління ІБ | Питання аудиту безпеки | |||
| Політики | областей організації на відповідність політики інформаційної безпеки, стандартам і процедурам | |||
| 10.2.2 | 12.2.2 | Перевірка технічної відповідності | Чи регулярно перевіряються інформаційні системи на відповідність технічним стандартам безпеки. Чи здійснюється перевірка технічного стану компетентними і авторизованими працівниками або під їх наглядом | |
| 10.3 | 12.3 | Рекомендації по аудиту систем | ||
| 10.3.1 | 12.3.1 | Засоби аудиту системи | Чи дуже пильно сплановані та погоджені вимоги аудиту і перевірка роботи операційної системи для мінімізації риску порушення системи | |
| 10.3.2 | 12.3.2 | Захист засобів аудиту системи | Чи захищено доступ до засобів аудиту, таким, як програмне забезпечення або файлів даних, з метою попередження усякої можливості зловживання або компрометації |
Запитання для самоконтролю
1. Які питання забезпечення інформаційної безпеки організації розглядає стандарту ISO/IEC 17799:2005 (BS 7799-1:2002)?
2. Наведіть контрольні питання політики інформаційної безпеки?
3. Наведіть контрольні питання організації безпеки?
4. Наведіть контрольні питання з захист доступу сторонніх організацій?
5. Наведіть контрольні питання класифікації і управління активами?
6. Наведіть контрольні питання класифікації інформації?
7. Наведіть контрольні питання захисту персоналу?
8. Наведіть контрольні питання реагування на інциденти безпеки?
9. Наведіть контрольні питання фізичного захисту і захисту середовища?
10. Наведіть контрольні питання з безпеки обладнання?
11. Наведіть контрольні питання загальних засобів безпеки?
12. Наведіть контрольні питання управління діяльністю?
13. Наведіть контрольні питання операційних процедур та відповідальність?
14. Наведіть контрольні питання планування потужності і приймання систем?
15. Наведіть контрольні питання з захисту від зловмисного коду?
16. Наведіть контрольні питання роботи поза офісу?
17. Наведіть контрольні питання управління мережею?
18. Наведіть контрольні питання управління доступом?
19. Наведіть контрольні питання у правління доступом працівників?
20. Наведіть контрольні питання управління доступом у операційній системі?
21. Наведіть контрольні питання з маркування і безпеки носіїв інформації?
22. Наведіть контрольні питання з обміну інформацією і програмним забезпеченням?
23. Наведіть контрольні питання розробки і підтримання системи?
24. Наведіть контрольні питання управління безперервністю бізнесу?
25. Наведіть контрольні питання відповідальності?
26. Наведіть контрольні питання аудиту політики інформаційної безпеки і технічної відповідності?
27. Наведіть контрольні питання рекомендацій по аудиту систем?
28. Наведіть контрольні питання з захисту системних файлів?
Date: 2015-06-11; view: 463; Нарушение авторских прав; Помощь в написании работы --> СЮДА... |