iso-mek-27001-2022
.pdf
ISO/IEC 27001:2022
5 Организационные средства управления
|
|
Средство управления |
|
|
Законодательные, |
Законодательные, нормативные и контрактные |
|
|
требования, значимые для информационной |
||
|
нормативные и |
||
5.31 |
безопасности, а также подход организации к |
||
контрактные |
|||
|
удовлетворению этих требований должны быть |
||
|
требования |
||
|
определены, документированы и сохраняться |
||
|
|
||
|
|
актуальными. |
|
|
|
|
|
|
Права |
Средство управления |
|
|
Организация должна осуществлять соответствующие |
||
5.32 |
интеллектуальной |
||
процедуры для защиты прав интеллектуальной |
|||
|
собственности |
||
|
собственности. |
||
|
|
||
|
|
|
|
|
|
Средство управления |
|
5.33 |
Защита записей |
Записи должны быть защищены от потери, повреждения, |
|
фальсификации, несанкционированного доступа и |
|||
|
|
||
|
|
несанкционированной публикации. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Организация должна установить и выполнять |
|
5.34 |
Приватность и защита |
требования, связанные с сохранением приватности и |
|
персональных данных |
защитой персональных данных (ПД) в соответствии с |
||
|
|||
|
|
действующими законодательными, нормативными и |
|
|
|
контрактными требованиями. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Подход организации к управлению информационной |
|
|
Независимый анализ |
безопасностью и его реализация, в том числе. люди, |
|
5.35 |
информационной |
процессы и технологии, должны подвергаться |
|
|
безопасности |
независимому анализу через запланированные |
|
|
|
интервалы времени или в тех случаях, когда происходят |
|
|
|
существенные изменения. |
|
|
|
|
|
|
Соответствие |
Средство управления |
|
|
политикам, правилам и |
Соответствие политике информационной безопасности, |
|
5.36 |
стандартам |
||
политикам в других областях, правилам и стандартам |
|||
|
информационной |
||
|
должно регулярно анализироваться. |
||
|
безопасности |
||
|
|
||
|
|
|
|
|
Документированные |
Средство управления |
|
|
Операционные процедуры для устройств обработки |
||
5.37 |
операционные |
||
информации должны быть документированы и доступны |
|||
|
процедуры |
||
|
персоналу, которому они требуются. |
||
|
|
||
|
|
|
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
16 |
ISO/IEC 27001:2022
6 |
Средства управления, связанные с персоналом |
||
|
|
|
|
|
|
Средство управления |
|
|
|
Проверка при приеме на работу, осуществляемая для всех |
|
|
|
кандидатов, должна проводиться в рамках |
|
6.1 |
Предварительная |
соответствующих законодательных актов, регламентов и |
|
проверка |
этических норм, а также должна быть соразмерна |
||
|
|||
|
|
бизнес-требованиям, категории информации по |
|
|
|
классификации, к которой предполагается доступ, и |
|
|
|
предполагаемым рискам. |
|
|
|
|
|
|
|
Средство управления |
|
6.2 |
Условия трудового |
Трудовые соглашения с сотрудниками должны |
|
соглашения |
устанавливать их и организации ответственность в части |
||
|
|||
|
|
информационной безопасности. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Сотрудники организации и значимые заинтересованные |
|
|
Осведомленность, |
стороны должны быть соответствующим образом |
|
|
образование и |
информированы, иметь соответствующее образование и |
|
6.3 |
подготовка в сфере |
подготовку, а также регулярно извещаться об изменениях |
|
|
информационной |
в политике информационной безопасности организации, |
|
|
безопасности |
политиках по другим направлениям, в той мере, |
|
|
|
насколько это важно для исполнения их служебных |
|
|
|
обязанностей. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Должен быть разработан и доведен до сведения |
|
6.4Дисциплинарные меры персонала процесс для принятия мер к тем сотрудникам и
|
|
иным заинтересованным сторонам, которые допустили |
|
|
|
нарушение требований информационной безопасности. |
|
|
|
|
|
|
|
Средство управления |
|
|
Обязанности после |
Ответственность и обязанности по соблюдению |
|
|
информационной безопасности, которые остаются в силе |
||
|
прекращения или |
||
6.5 |
после прекращения или изменения трудовых отношений, |
||
изменения трудовых |
|||
|
должны быть определены и сообщены соответствующему |
||
|
отношений |
||
|
персоналу и иным заинтересованным сторонам, а также |
||
|
|
||
|
|
обеспечено их выполнение. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Соглашения о конфиденциальности или неразглашении, |
|
|
Соглашения о |
отражающие потребности организации в защите |
|
6.6 |
конфиденциальности |
информации, должны быть определены, |
|
|
или неразглашении |
документированы, регулярно пересматриваться и быть |
|
|
|
подписанными персоналом и иными заинтересованными |
|
|
|
сторонами. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
17 |
ISO/IEC 27001:2022
6
6.7
6.8
Средства управления, связанные с персоналом
|
Средство управления |
|
|
Должны осуществляться меры по обеспечению |
|
Удаленная работа |
безопасности в тех случаях, когда персонал работает |
|
удаленно, чтобы обеспечить защиту информации, к |
||
|
||
|
которой есть доступ, которая обрабатывается или |
|
|
хранится в местах за пределами организации. |
|
|
Средство управления |
|
Отчетность о событиях |
Организация должна иметь процедуру для персонала для |
|
информационной |
своевременного информирования о выявленных или |
|
безопасности |
предполагаемых событиях информационный |
|
|
безопасности посредством соответствующих каналов. |
|
|
|
7 |
Средства управления, связанные с физическим доступом |
Средство управления
7.1Физические периметры Периметры безопасности должны быть определены и безопасности использоваться для защиты зон нахождения информации
|
|
и иных, связанной с ней, активов. |
|
|
|
|
|
|
|
Средство управления |
|
7.2 |
Физический вход |
Зоны безопасности должны быть защищены выделением |
|
мест прохода и соответствующими средствами контроля |
|||
|
|
||
|
|
прохода . |
|
|
|
|
|
|
Защита офисов, |
Средство управления |
|
|
Меры физической защиты безопасности для офисов, |
||
7.3 |
помещений и |
||
помещений и оборудования должны быть разработаны и |
|||
|
устройств |
||
|
применяться. |
||
|
|
||
|
|
|
|
|
Мониторинг |
Средство управления |
|
7.4 |
Помещения должны находиться под постоянным |
||
физической защиты |
|||
|
контролем неавторизованного доступа. |
||
|
|
||
|
|
|
|
|
|
Средство управления |
|
|
|
Должны быть разработаны и внедрены меры по защите |
|
7.5 |
Защита от физических |
от физических и природных угроз, таких как стихийные |
|
и природных угроз |
бедствия, а также иные намеренные или |
||
|
|||
|
|
непреднамеренные физические угрозы для |
|
|
|
инфраструктуры. |
|
|
|
|
|
|
Работа в защищенных |
Средство управления |
|
7.6 |
Должны быть разработаны и применяться процедуры для |
||
зонах |
|||
|
работы в защищенных зонах. |
||
|
|
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
18 |
ISO/IEC 27001:2022
7 |
Средства управления, связанные с физическим доступом |
||
|
|
|
|
|
|
Средство управления |
|
7.7 |
Чистый стол и чистый |
Должны быть установлены и обеспечено выполнение |
|
экран |
правил чистого стола для бумажных документов, |
||
|
переносных устройств хранения информации и правил |
||
|
|
||
|
|
чистого экрана для устройств обработки информации. |
|
|
|
|
|
|
Размещение и защита |
Средство управления |
|
7.8 |
Оборудование должно быть размещено в безопасном |
||
оборудования |
|||
|
месте и защищено. |
||
|
|
||
|
|
|
|
|
Защита активов вне |
Средство управления |
|
7.9 |
Активы, находящиеся вне территории организации, |
||
территории |
|||
|
должны быть защищены. |
||
|
|
||
Средство управления
Управление устройствами хранения должно
осуществляться на всем протяжении их жизненного 7.10 Устройства хранения цикла, включающего приобретение, использование,
транспортировку и уничтожение, в соответствии с классификационной схемой организации и требованиями к обращению.
Средство управления
Устройства обработки информации должны быть 7.11 Службы обеспечения защищены от перебоев в электроснабжении и других
сбоев, вызываемых перебоями в работе служб обеспечения.
|
|
Средство управления |
|
|
Защита кабельных |
Питающие кабели и кабели, передающие данные или |
|
7.12 |
обеспечивающие работу информационных сервисов, |
||
сетей |
|||
|
должны быть защищены от перехвата, помех или |
||
|
|
||
|
|
повреждения. |
|
|
|
|
|
|
|
Средство управления |
|
7.13 |
Обслуживание |
Оборудование должно обслуживаться надлежащим |
|
оборудования |
образом, чтобы гарантировать конфиденциальность, |
||
|
|||
|
|
целостность и доступность информации. |
|
|
|
|
|
|
|
Средство управления |
|
|
Безопасная утилизация Элементы оборудования, содержащие накопители, |
||
|
или повторное |
должны быть проверены, чтобы гарантировать, что |
|
7.14 |
любые ценные данные и лицензионное программное |
||
использование |
|||
|
обеспечение удалены или надежным образом затерты |
||
|
оборудования |
||
|
новой информацией до утилизации или повторного |
||
|
|
||
|
|
использования. |
|
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
19 |
ISO/IEC 27001:2022
8 |
Технологические средства управления |
Средство управления
8.1Оконечные устройства Информация сохраняемая, обрабатываемая или к которой пользователя имеется доступ через оконечные устройства
пользователя, должна быть защищена.
|
|
Средство управления |
|
8.2 |
Привилегированные |
Предоставление и использование привилегированных |
|
права доступа |
прав доступа должно быть ограничено и находиться под |
||
|
|||
|
|
контролем. |
|
|
|
|
|
|
|
Средство управления |
|
8.3 |
Ограничение доступа к |
Доступ к информации и иным, связанным с нею активам, |
|
информации |
должен быть ограничен в соответствии установленными |
||
|
|||
|
|
политиками по контролю доступа. |
|
|
|
|
|
|
|
Средство управления |
|
8.4 |
Доступ к исходному коду |
Должно быть обеспечено соответствующее управление |
|
доступом на чтение и запись к исходному коду, |
|||
|
|
инструментам разработки и библиотекам. |
|
|
|
|
|
|
|
Средство управления |
|
|
Безопасная |
Должны быть внедрены технологии и процедуры |
|
8.5 |
безопасной аутентификации, основанные на |
||
аутентификация |
|||
|
ограничениях доступа к информации и политиках по |
||
|
|
||
|
|
контролю доступа. |
|
|
|
|
|
|
|
Средство управления |
|
8.6 |
Управление |
Использования ресурсов должно быть под контролем и |
|
производительностью |
настроено в соответствии с текущими и перспективными |
||
|
|||
|
|
требованиями к производительности. |
|
|
|
|
|
|
Защита от вредоносного |
Средство управления |
|
|
Должна быть внедрена защита от вредоносного |
||
8.7 |
программного |
||
программного обеспечения и сопровождаться |
|||
|
обеспечения |
||
|
соответствующим информированием пользователей. |
||
|
|
||
|
|
|
|
|
|
Средство управления |
|
|
Управление |
Должна получаться информация о технических |
|
8.8 |
техническими |
уязвимостях в используемых информационных системах, |
|
|
уязвимостями |
оцениваться возможное влияние на организацию таких |
|
|
|
уязвимостей и приниматься соответствующие меры. |
|
|
|
|
|
|
|
Средство управления |
|
|
Менеджмент |
Конфигурации, включая те, что связаны с безопасностью, |
|
8.9 |
оборудования, программного обеспечения, сервисов и |
||
конфигураций |
|||
|
сетей должны быть определены, документированы, |
||
|
|
||
|
|
внедрены, вестись их мониторинг и анализ. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
20 |
ISO/IEC 27001:2022
8 |
Технологические средства управления |
||
|
|
|
|
|
|
Средство управления |
|
8.10 |
Удаление информации |
Информация, хранящаяся в информационных системах, на |
|
устройствах или любых иных носителей данных, должна |
|||
|
|
||
|
|
быть удалена, если она больше не требуется. |
|
|
|
|
|
|
|
Средство управления |
|
|
|
Должно использоваться маскирование данных в |
|
8.11 |
Маскирование данных |
соответствии с политиками организации по контролю |
|
доступа и иными специализированными политиками, а |
|||
|
|
||
|
|
также требованиями бизнеса, с учетом применимого |
|
|
|
законодательства. |
|
|
|
|
|
|
|
Средство управления |
|
|
Предупреждение утечки |
Должны применяться меры по предупреждению утечки |
|
8.12 |
данных в системах, сетях и иных устройствах для |
||
данных |
|||
|
обработки, хранения и передачи конфиденциальной |
||
|
|
||
|
|
информации. |
|
|
|
|
|
|
|
Средство управления |
|
|
Резервное копирование |
Должно выполняться и регулярно тестироваться |
|
8.13 |
резервное копирование информации, программного |
||
информации |
|||
|
обеспечения и систем в соответствии с принятой |
||
|
|
||
|
|
политикой резервного копирования. |
|
Средство управления
8.14Избыточность устройств Устройства обработки информации должны применяться обработки информации с избыточностью, достаточной для выполнения
|
|
требований по доступности. |
|
|
|
|
|
|
|
Средство управления |
|
8.15 |
Ведение журналов |
Журналы (логи), фиксирующие действия, исключения, |
|
(логов) |
сбои и иные значимые события должны вестись, |
||
|
|||
|
|
сохраняться, быть защищенными и анализироваться. |
|
|
Средство управления |
|
|
|
Должен осуществляться мониторинг сетей, систем и |
|
8.16 |
Мониторинг действий |
приложений с целью выявления отклонений от |
|
нормального поведения и принятие соответствующих |
|||
|
|
||
|
|
мер для оценки возможных инцидентов информационной |
|
|
|
безопасности. |
|
|
|
|
|
|
|
Средство управления |
|
8.17 |
Синхронизация часов |
Время у информационных систем, используемых |
|
организацией, должно быть синхронизировано с |
|||
|
|
||
|
|
одобренными источниками точного времени. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
21 |
ISO/IEC 27001:2022
8 |
Технологические средства управления |
||
|
|
|
|
|
Использование утилит с |
Средство управления |
|
|
Применение утилит, которые могли бы обходить средства |
||
8.18 |
привилегированными |
||
контроля системы и приложений, должно быть |
|||
|
правами |
||
|
ограничено и строго контролироваться. |
||
|
|
||
Средство управления
8.19Установка приложений в Должны быть внедрены процедуры и меры для операционной системе безопасного управления установкой программного
обеспечения в операционной системе.
|
|
Средство управления |
|
8.20 |
Безопасность сетей |
Сети и сетевые устройства должны быть защищены, |
|
управляться и контролироваться с целью защиты |
|||
|
|
||
|
|
информации в системах и приложениях. |
|
|
|
|
|
|
|
Средство управления |
|
8.21 |
Безопасность сетевых |
Должны быть определены, внедрены и контролироваться |
|
сервисов |
механизмы обеспечения безопасности, уровни сервиса и |
||
|
|||
|
|
требования к обслуживанию сетевых служб. |
|
|
|
|
|
|
|
Средство управления |
|
8.22 |
Разделение сетей |
Группы информационных сервисов, пользователей и |
|
информационных систем должны быть разделены в сетях |
|||
|
|
||
|
|
организации. |
|
|
|
|
|
|
|
Средство управления |
|
8.23 |
Веб-фильтрация |
Доступ к внешним веб-сайтам должен находиться под |
|
управлением для снижения подверженности влиянию |
|||
|
|
||
|
|
вредоносного содержания. |
|
|
|
|
|
|
|
Средство управления |
|
8.24 |
Использование |
Должны быть определены и внедрены правила |
|
криптографии |
результативного использования криптографии, включая |
||
|
|||
|
|
управление криптографическими ключами. |
|
|
|
|
|
|
Жизненный цикл |
Средство управления |
|
8.25 |
разработки безопасного |
Должны быть установлены и применяться правила |
|
программного |
разработки безопасного программного обеспечения и |
||
|
|||
|
обеспечения |
систем. |
|
|
|
||
|
|
|
|
|
|
Средство управления |
|
8.26 |
Применение требований |
Должны быть выявлены, установлены и утверждены |
|
по безопасности |
требования по информационной безопасности для |
||
|
|||
|
|
разработки или приобретения приложений. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
22 |
ISO/IEC 27001:2022
8 |
Технологические средства управления |
||
|
|
|
|
|
|
Средство управления |
|
|
Безопасная архитектура |
Принципы разработки безопасных систем должны быть |
|
8.27 |
систем и принципы |
установлены, документированы, поддерживаться в |
|
|
разработки |
актуальном состоянии и применяться к любым действиям |
|
|
|
в рамках разработки информационных систем. |
|
|
|
|
|
|
|
Средство управления |
|
8.28 |
Безопасное кодирование |
Принципы создания безопасного кода должны |
|
применяться в ходе разработки программного |
|||
|
|
обеспечения. |
|
|
|
|
|
|
Тестирование |
Средство управления |
|
8.29 |
обеспечения |
Процессы тестирования обеспечения безопасности |
|
безопасности при |
должны быть определены и внедрены в рамках |
||
|
|||
|
разработке и приемке |
жизненного цикла разработки. |
|
|
|
||
|
|
|
|
|
|
Средство управления |
|
8.30 |
Разработка, переданная |
Организация должна управлять, осуществлять |
|
на аутсорсинг |
мониторинг и анализ деятельности, связанной с |
||
|
|||
|
|
разработкой систем, переданной на аутсорсинг. |
|
|
|
|
|
|
Разделение среды |
Средство управления |
|
8.31 |
разработки, |
Среда разработки, тестирования и рабочая среда должны |
|
тестирования и |
|||
|
быть отделены друг от друга и обеспечена безопасность. |
||
|
эксплуатации |
||
|
|
||
Средство управления
8.32 Управление изменениями Должны быть предусмотрены процедуры управления изменениями в средствах обработки информации и
информационных системах.
|
|
Средство управления |
|
8.33 |
Данные для |
Данные для тестирования должны быть |
|
тестирования |
соответствующим образом отобраны, обеспечена их |
||
|
|||
|
|
защищенность и управление. |
|
|
|
|
|
|
|
Средство управления |
|
|
Защита информационных |
Аудиты и иные действия, направленные на обеспечение |
|
8.34 |
гарантий, включающие оценку операционных систем, |
||
систем в ходе аудита |
|||
|
должны быть спланированы и согласованы проводящим |
||
|
|
||
|
|
тестирование и соответствующим руководством. |
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
23 |
ISO/IEC 27001:2022
Библиография
[1]ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection — Information security controls
[2]ISO/IEC 27003, Information technology — Security techniques — Information security management systems — Guidance
[3]ISO/IEC 27004, Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation
[4]ISO/IEC 27005, Information security, cybersecurity and privacy protection — Guidance on managing Information security risks
[5]ISO 31000:2018, Risk management —Guidelines
А. Горбунов |
http://pqm-online.com/ |
Не является официальным переводом! |
Ред. 07.09.2023 |
|
24 |