A.12 Приобретение, разработка и поддержание в рабочем состоянии информационных систем
A.12.1Требования защиты информационных систем
Цель: Гарантировать, что защита является неотъемлемой частью информационных систем.
A.12.1.1 Анализ и спецификация требований защиты
A.12.2 Правильная обработка в приложениях
Цель: Предотвращать ошибки, потерю, неразрешенное изменение или неправильное использование информации в приложениях.
A.12.2.1 Валидация вводимых данных
Управление Должна осуществляться валидация данных, вводимых в приложения, с целью гарантировать, что эти данные правильные и подходящие.
A.12.2.2 Управление внутренней обработкой
A.12.2.3 Целостность сообщений
A.12.3 Управление доступом с использованием криптографии
Цель: Защитить конфиденциальность, аутентичность или целостность информации криптографическими средствами.
A.12.3.1-2 Политика по использованию криптографических средств. Распределение ключей
A.12.4 Защита системных файлов
Цель: Гарантировать защиту системных файлов.
A.12.4.1-3 Управление системным программным обеспечением. Защита данных системного теста. Управление доступом к программе
A.12.5 Защита в разработке и вспомогательных процессах
Цель: Поддерживать защиту прикладного системного программного обеспечения
и информации.
A.12.5.1-5 Процедуры управления изменениями. Технический анализ приложений после изменений операционной системы. Ограничения на изменения в пакете программ. Утечка информации. Разработка программного обеспечения, приобретаемого на стороне. (Разработка программного обеспечения, приобретаемого на стороне, должна быть под надзором и постоянным контролем организации.)
A.12.6 Менеджмент технической уязвимости
Цель: Снизить риски, проистекающие из эксплуатации опубликованной технической уязвимости.
A.13 Менеджмент инцидентов в системе защиты информации
A.13.1 Сообщение о событиях и слабостях в системе защиты информации
Цель: Гарантировать, что о событиях и слабостях в системе защиты информации, связанных с информационными системами, сообщается способом, дающим возможность произвести своевременное корректирующее действие.
A.13.2 Менеджмент инцидентов в системе защиты информации и улучшения
Цель: Гарантировать применение последовательного и результативного подхода
к менеджменту инцидентов в системе защиты информации.
A.13.2.1-3 Ответственность и процедуры. (Должны быть установлены ответственность руководства и процедуры, чтобы гарантировать быструю, результативную и упорядоченную реакцию на инциденты в системе защиты информации.) Извлечение уроков из инцидентов в системе защиты информации. Сбор свидетельств
A.14 Менеджмент непрерывности бизнеса
A.14.1 Аспекты защиты информации менеджмента непрерывности бизнеса
Цель: Противодействовать прерываниям в деловых операциях, защитить критичные деловые процессы от влияния существенных сбоев информационных систем или бедствий, а также гарантировать своевременное возобновление деловых операций.
A.14.1.1-5 Включение защиты информации в процесс менеджмента непрерывности бизнеса. Непрерывность бизнеса и оценка риска. Разработка и внедрение планов обеспечения непрерывности бизнеса, включающих защиту информации. Структура планирования обеспечения непрерывности бизнеса. Тестирование, постоянный контроль и переоценка планов обеспечения непрерывности бизнеса.
A.15 Соответствие
A.15.1 Соответствие законодательным требованиям
Цель: Избегать нарушений любых законодательных, уставных, нормативных или
договорных обязательств, и любых требований защиты.
A.15.1.1 -6 Выявление применимых законов. Права на интеллектуальную собственность (IPR). Защита записей организации (Важные записи должны быть защищены от потери, уничтожения и фальсификации в соответствии с требованиями закона, нормативными, договорными и деловыми требованиями). Защита данных и секретность личной информации. Предотвращение неправильного использования средств, обрабатывающих информацию. Регулирование средств управления доступом с использованием криптографии.
A.15.2 Соответствие политике и стандартам защиты, а также техническое соответствие
Цель: Гарантировать соответствие систем организационной политике и стандартам защиты.
A.15.2.1 Соответствие политике и стандартам защиты
A.15.2.2 Проверка технического соответствия
A.15.3 Обдумывание аудита информационных систем
Цель: Максимизировать результативность и минимизировать помехи для/от процесса аудита информационных систем.
A.15.3.1 Средства управления аудитом информационных систем
A.15.3.2 Защита информации
Управление. Доступ к инструментальным средствам аудита информационных систем должен быть защищен, чтобы предотвратить любое возможное неправильное употребление или компрометацию.
ISO/IEC 17799:2000