A.10 Менеджмент средств связи и эксплуатации

A.10.1 Процедуры эксплуатации и ответственность

Цель: Гарантировать правильную и безопасную работу средств, обрабатывающих информацию.

A.10.1.1-4 Документированные процедуры эксплуатации. Менеджмент изменений. Разделение обязанностей. Разделение средств разработки, испытания и эксплуатации

A.10.2 Менеджмент предоставления услуг третьей стороны

Цель: Реализовать и поддерживать подходящий уровень защиты информации и

предоставления услуг в соответствии с соглашениями о предоставлении услуг третьей стороны.

A.10.2.1-3 Предоставление услуг. Постоянный контроль и анализ услуг третьей стороны. Менеджмент изменений в услугах третьей стороны

A.10.3 Планирование и приемка систем

Цель: Минимизировать риск системных сбоев.

A.10.3.1-2 Менеджмент производительности. Приемка системы. (Должны быть созданы критерии приемки новых информационных систем, совершенствований и новых версий, и должны быть выполнены подходящие испытания системы(систем) в ходе разработки и перед приемкой.)

A.10.4 Защита от злонамеренного и мобильного кодирования

Цель: Защитить целостность программного обеспечения и информации.

A.10.5 Резервное копирование

A.10.6 Менеджмент защиты сети

Цель: Гарантировать защиту информации в сетях и защиту вспомогательной инфраструктуры.

A.10.6.1 Средства управления сетью

A.10.6.2 Защита сетевых служб

A.10.7 Обработка носителей информации

Цель: Предотвращать неразрешенное разглашение, изменение, удаление или

уничтожение активов, а также прерывание деловых операций.

A.10.7.1-4 Менеджмент съемных носителей информации. Ликвидация носителей. Процедуры обработки информации. Защита систем

A.10.8 Обмен информацией

Цель: Поддерживать защиту информации и программного обеспечения, выменянного в организации и в каком-либо внешнем объекте.

A.10.8.1-5 Политика и процедуры обмена информацией. Соглашения по обмену. Физические носители в процессе перемещения. Электронный обмен сообщениями. Системы деловой информации.

A.10.9 Услуги электронной торговли

Цель: Гарантировать защиту услуг электронной торговли, а также их безопасное

использование.

A.10.10 Постоянный контроль

Цель: Обнаруживать неразрешенную деятельность по обработке информации.

A.10.10.1-6 Ведение контрольного журнала. Использование систем постоянного контроля. Защита данных журнала. Журнал администратора и оператора. Журнал неисправностей. Синхронизация часов

A.11 Управление доступом

A.11.1 Деловые требования к управлению доступом

Цель: Управлять доступом к информации.

A.11.1.1 Политика управления доступом

A.11.2 Менеджмент доступа пользователей

A.11.2.1-4 Регистрация пользователей. Менеджмент привилегий. Менеджмент паролей пользователей. Анализ прав доступа пользователей

A.11.3 Ответственность пользователя

Цель: Предотвращать неразрешенный доступ пользователей, а также компрометацию или кражу информации и средств, обрабатывающих информацию.

A.11.3.1-3 Использование пароля. Оборудование пользователя, работающее в автоматическом режиме. Политика чистого стола и чистого экрана

A.11.4 Управление доступом к сети

Цель: Предотвращать неразрешенный доступ к сетевым услугам.

A.11.4.1-7 Политика по использованию сетевых услуг (Пользователям должен предоставляться доступом только к тем услугам, которые им конкретно было разрешено использовать.). Аутентификация пользователя для внешних соединений. Идентификация оборудования в сетях. Защита удаленных диагностического и конфигурационного портов. Разделение в сетях. Управление подключением к сети. Управление сетевой маршрутизацией

A.11.5 Управление доступом к операционной системе

Цель: Предотвращать неразрешенный доступ к операционным системам.

A.11.5.1-6 Процедуры защищенного входа в систему. Идентификация и аутентификация пользователя. Система менеджмента паролей. Использование системных утилит (Использование утилит, которые могут быть способны блокировать средства управления системы и приложений, должны быть ограничены и должны надежно управляться.) Тайм-аут сессии (Неактивные сеансы должны быть закрыты по истечении определенного периода бездействия.) Ограничения времени соединения

A.11.6 Управление доступом к приложениям и информации

Цель: Предотвращать неразрешенный доступ к информации, содержащейся в прикладных системах.

A.11.6.1 Ограничение доступа к информации

A.11.6.2 Изоляция уязвимых систем

A.11.7 Мобильная обработка и телеобработка

Цель: Гарантировать защиту информации при использовании средств мобильной обработки и телеобработки.

A.11.7.1 Мобильная обработка и средства связи

Управление Должна быть принята официальная политика и должны быть приняты надлежащие меры защиты, чтобы защититься от рисков использования средств мобильной обработки и

средств связи.

A.11.7.2 Телеобработка

Управление Должны быть разработаны и внедрены политика, оперативные планы и процедуры для

деятельности по телеобработке.

Наши рекомендации