A.10 Менеджмент средств связи и эксплуатации
A.10.1 Процедуры эксплуатации и ответственность
Цель: Гарантировать правильную и безопасную работу средств, обрабатывающих информацию.
A.10.1.1-4 Документированные процедуры эксплуатации. Менеджмент изменений. Разделение обязанностей. Разделение средств разработки, испытания и эксплуатации
A.10.2 Менеджмент предоставления услуг третьей стороны
Цель: Реализовать и поддерживать подходящий уровень защиты информации и
предоставления услуг в соответствии с соглашениями о предоставлении услуг третьей стороны.
A.10.2.1-3 Предоставление услуг. Постоянный контроль и анализ услуг третьей стороны. Менеджмент изменений в услугах третьей стороны
A.10.3 Планирование и приемка систем
Цель: Минимизировать риск системных сбоев.
A.10.3.1-2 Менеджмент производительности. Приемка системы. (Должны быть созданы критерии приемки новых информационных систем, совершенствований и новых версий, и должны быть выполнены подходящие испытания системы(систем) в ходе разработки и перед приемкой.)
A.10.4 Защита от злонамеренного и мобильного кодирования
Цель: Защитить целостность программного обеспечения и информации.
A.10.5 Резервное копирование
A.10.6 Менеджмент защиты сети
Цель: Гарантировать защиту информации в сетях и защиту вспомогательной инфраструктуры.
A.10.6.1 Средства управления сетью
A.10.6.2 Защита сетевых служб
A.10.7 Обработка носителей информации
Цель: Предотвращать неразрешенное разглашение, изменение, удаление или
уничтожение активов, а также прерывание деловых операций.
A.10.7.1-4 Менеджмент съемных носителей информации. Ликвидация носителей. Процедуры обработки информации. Защита систем
A.10.8 Обмен информацией
Цель: Поддерживать защиту информации и программного обеспечения, выменянного в организации и в каком-либо внешнем объекте.
A.10.8.1-5 Политика и процедуры обмена информацией. Соглашения по обмену. Физические носители в процессе перемещения. Электронный обмен сообщениями. Системы деловой информации.
A.10.9 Услуги электронной торговли
Цель: Гарантировать защиту услуг электронной торговли, а также их безопасное
использование.
A.10.10 Постоянный контроль
Цель: Обнаруживать неразрешенную деятельность по обработке информации.
A.10.10.1-6 Ведение контрольного журнала. Использование систем постоянного контроля. Защита данных журнала. Журнал администратора и оператора. Журнал неисправностей. Синхронизация часов
A.11 Управление доступом
A.11.1 Деловые требования к управлению доступом
Цель: Управлять доступом к информации.
A.11.1.1 Политика управления доступом
A.11.2 Менеджмент доступа пользователей
A.11.2.1-4 Регистрация пользователей. Менеджмент привилегий. Менеджмент паролей пользователей. Анализ прав доступа пользователей
A.11.3 Ответственность пользователя
Цель: Предотвращать неразрешенный доступ пользователей, а также компрометацию или кражу информации и средств, обрабатывающих информацию.
A.11.3.1-3 Использование пароля. Оборудование пользователя, работающее в автоматическом режиме. Политика чистого стола и чистого экрана
A.11.4 Управление доступом к сети
Цель: Предотвращать неразрешенный доступ к сетевым услугам.
A.11.4.1-7 Политика по использованию сетевых услуг (Пользователям должен предоставляться доступом только к тем услугам, которые им конкретно было разрешено использовать.). Аутентификация пользователя для внешних соединений. Идентификация оборудования в сетях. Защита удаленных диагностического и конфигурационного портов. Разделение в сетях. Управление подключением к сети. Управление сетевой маршрутизацией
A.11.5 Управление доступом к операционной системе
Цель: Предотвращать неразрешенный доступ к операционным системам.
A.11.5.1-6 Процедуры защищенного входа в систему. Идентификация и аутентификация пользователя. Система менеджмента паролей. Использование системных утилит (Использование утилит, которые могут быть способны блокировать средства управления системы и приложений, должны быть ограничены и должны надежно управляться.) Тайм-аут сессии (Неактивные сеансы должны быть закрыты по истечении определенного периода бездействия.) Ограничения времени соединения
A.11.6 Управление доступом к приложениям и информации
Цель: Предотвращать неразрешенный доступ к информации, содержащейся в прикладных системах.
A.11.6.1 Ограничение доступа к информации
A.11.6.2 Изоляция уязвимых систем
A.11.7 Мобильная обработка и телеобработка
Цель: Гарантировать защиту информации при использовании средств мобильной обработки и телеобработки.
A.11.7.1 Мобильная обработка и средства связи
Управление Должна быть принята официальная политика и должны быть приняты надлежащие меры защиты, чтобы защититься от рисков использования средств мобильной обработки и
средств связи.
A.11.7.2 Телеобработка
Управление Должны быть разработаны и внедрены политика, оперативные планы и процедуры для
деятельности по телеобработке.