0.1 Общие положения

0.2 Требования информационной безопасности

0.3 Выбор мер обеспечения информационной безопасности

0.4 Разработка собственных рекомендаций

0.5 Вопросы жизненного цикла

0.6 Связанные стандарты

1. Область применения

2. Нормативные ссылки

3. Термины и определения

• a) бизнес-стратегией;
• b) нормативными актами, требованиями регуляторов, договорами;
• c) текущей и прогнозируемой средой угроз ИБ.

• a) определения ИБ, целей и принципов, которыми необходимо руководствоваться в рамках деятельности, связанной с ИБ;
• b) определения ролей по менеджменту ИБ и распределения общих и конкретных обязанностей;
• c) процессов обработки отклонений и исключений;
• d) лиц, несущих ответственность за неисполнение политик ИБ.

• a) управление доступом (раздел 9);
• b) категорирование и обработка информации (см. 8.2);
• c) физическая безопасность и защита от воздействия окружающей среды (раздел 11);
• d) области, ориентированные на конечного пользователя:
  • допустимое использование активов (см. 8.1.3);
  • "чистый стол" и "чистый экран" (см. 11.2.9);
  • передача информации (см. 13.2.1);
  • мобильные устройства и дистанционная работа (см. 6.2);
  • ограничения на установку и использование программного обеспечения (см. 12.6.2);
• e) резервное копирование (см. 12.3);
• f) передача информации (см. 13.2);
• g) защита от вредоносных программ (см. 12.2);
• h) управление техническими уязвимостями (см. 12.6.1);
• i) криптография (раздел 10);
• j) безопасность коммуникаций (раздел 13);
• k) конфиденциальность и защита персональных данных (см. 18.1.4);
• l) взаимоотношения с поставщиками (раздел 15).

• a) активы и процессы ИБ должны быть идентифицированы и описаны;
• b) для каждого актива или процесса ИБ следует назначить ответственное лицо, при этом следует детально задокументировать возложенную ответственность;
• c) должны быть определены и задокументированы уровни полномочий;
• d) чтобы иметь возможность выполнять возложенные обязанности, назначенные лица должны быть компетентны в области ИБ и им должна быть предоставлена возможность поддержания своих компетенций на должном уровне;
• e) должны быть определены и задокументированы аспекты взаимодействия и контроля ИБ при взаимодействии с поставщиками.

• a) получения актуальной информации о происходящем в сфере ИБ и расширения знаний о лучших практиках;
• b) обеспечения актуальности и полноты понимания среды ИБ;
• c) получения заблаговременных оповещений об опасностях, рекомендациях и исправлениях, касающихся атак и уязвимостей;
• d) получения консультаций у специалистов по ИБ;
• e) всестороннего обмена информацией о новых технологиях, продуктах, угрозах и уязвимостях;
• f) обеспечения подходящих точек взаимодействия при обработке инцидентов ИБ (раздел 16).

• a) цели ИБ включены в цели проекта;
• b) оценку риска ИБ проводят на ранней стадии проекта для определения необходимых вариантов его обработки;
• c) ИБ является частью всех этапов применяемой методологии проекта.

• a) регистрацию мобильных устройств;
• b) требования к физической защите;
• c) ограничения на установку программного обеспечения;
• d) требования к версиям программного обеспечения мобильного устройства и применению исправлений;
• e) ограничение подключения к информационным сервисам;
• f) управление доступом;
• g) криптографические методы обеспечения ИБ;
• h) защиту от вредоносного программного обеспечения;
• i) возможности дистанционного отключения, стирания или блокировки;
• j) резервное копирование;
• k) использование веб-сервисов и веб-приложений;
• l) контроль получения прав "root" на устройстве.

• a) разделение использования устройств в личных и рабочих целях, включая использование программного обеспечения для обеспечения такого разделения и защиты информации ограниченного доступа на личном устройстве;
• b) предоставление доступа к информации ограниченного доступа только после того, как пользователи подпишут соглашение, признающее их обязанности (физическая защита, обновление программного обеспечения и т.д.), отказ от владения информацией ограниченного доступа, позволяющее организации дистанционно удалять данные в случае кражи или утери устройства, или когда пользователь больше не авторизован на использование. Политика должна учитывать особенности законодательства по защите конфиденциальной информации.

• a) некоторые беспроводные протоколы, обеспечивающие безопасность, недостаточно развиты и имеют известные недостатки;
• b) информация, хранящаяся на мобильных устройствах, может быть не скопирована из-за ограниченной пропускной способности сети или из-за того, что мобильные устройства могут оказаться не подключены к сети во время запланированного резервного копирования.

• a) существующая физическая защита удаленного места работы с учетом физической безопасности здания и местности;
• b) предлагаемая физическая среда дистанционной работы;
• c) требования к безопасности связи с учетом необходимости удаленного доступа к внутренним системам организации, чувствительности этих систем, а также с учетом информации ограниченного доступа, к которой будут осуществлять доступ и которую будут передавать по линиям связи;
• d) предоставление доступа к виртуальному рабочему столу, который предотвращает обработку и хранение информации на личном оборудовании;
• e) угроза несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в этом же помещении, например членов семьи или друзей;
• f) использование домашних сетей и установление требований или ограничений на конфигурацию сервисов беспроводных сетей;
• g) политики и процедуры для предотвращения споров, касающихся прав на интеллектуальную собственность, разработанную на личном оборудовании;
• h) доступ к личному оборудованию (для проверки его безопасности или в ходе расследования) может быть запрещен законодательством;
• i) лицензионные соглашения на программное обеспечение, в соответствии с которыми организация может нести ответственность за лицензирование клиентского программного обеспечения на личных рабочих станциях работников или внешних пользователей;
• j) требования к защите от вредоносных программ и межсетевым экранам.

• a) предоставление подходящего оборудования для дистанционной работы и устройств хранения в тех случаях, когда использование личного оборудования, не находящегося под контролем организации, не допускается;
• b) определение разрешенных работ, часов работы, категорий информации, которую можно обрабатывать, а также определение внутренних систем и сервисов, к которым разрешен доступ дистанционному работнику;
• c) предоставление соответствующего коммуникационного оборудования, включая способы обеспечения безопасного удаленного доступа;
• d) физическую безопасность;
• e) правила и рекомендации по доступу членов семьи и посетителей к оборудованию и информации;
• f) предоставление технической и программной поддержки и обслуживания;
• g) страхование;
• h) процедуры резервного копирования и обеспечения непрерывности бизнеса;
• i) аудит и мониторинг безопасности;
• j) аннулирование полномочий и прав доступа, а также возврат оборудования по окончании дистанционной работы;
• k) предоставление доступа к корпоративной информации.

• a) наличие удовлетворительных характеристик, например одной от организации и одной от физического лица;
• b) проверку (на полноту и точность) биографии заявителя;
• c) подтверждение заявленного образования и профессиональной квалификации;
• d) независимую проверку личности (паспорт или иной подобный документ);
• e) более детальную проверку, такую как обзор кредитной истории или проверку судимостей.

• a) обладает необходимыми компетенциями для этой роли;
• b) имеет высокий уровень доверия, особенно если роль имеет важное значение для организации.

• a) что все работники и подрядчики, которым предоставляется доступ к конфиденциальной информации, должны подписать соглашение о конфиденциальности или неразглашении до получения доступа к средствам обработки информации (см. 13.2.4);
• b) юридическую ответственность и права работника или подрядчика, например в отношении законов об авторском праве или защите данных (см. 18.1.2 и 18.1.4);
• c) обязанности по категорированию информации и управлению информацией организации, иными активами, связанными с информацией, средствами ее обработки и информационными системами, используемыми работником или подрядчиком (раздел 8). (Внесена техническая поправка Cor.1:2014);
• d) ответственность работника или подрядчика за обработку информации, полученной от других компаний или внешних сторон;
• e) действия, которые необходимо предпринять, если работник или подрядчик не соблюдает требования безопасности организации (см. 7.2.3).

• a) были надлежащим образом проинформированы об их ролях и обязанностях в области ИБ до предоставления доступа к конфиденциальной информации или информационным системам;
• b) были обеспечены рекомендациями, которые устанавливают ожидания по ИБ для их роли в организации;
• c) были мотивированы выполнять политики ИБ организации;
• d) были осведомлены об ИБ настолько, насколько это предполагают их роли и обязанности в организации (см. 7.2.2);
• e) соблюдали правила и условия работы, в том числе политику ИБ организации и соответствующие методы работы;
• f) поддерживали соответствующий уровень навыков и квалификацию, а также регулярно проходили обучение;
• g) имели канал для анонимного сообщения о нарушениях политик или процедур ИБ ("информирование о нарушениях").

• a) заявление руководства о приверженности ИБ во всей организации;
• b) необходимость ознакомления с правилами и обязательствами, применяемыми в области ИБ, определенными в политиках, стандартах, законах, положениях, договорах и соглашениях;
• c) персональная ответственность за свои действия и бездействие, а также общая ответственность за обеспечение безопасности или защиту информации, принадлежащей организации и внешним сторонам;
• d) базовые процедуры ИБ (такие как сообщение об инцидентах ИБ) и базовые меры обеспечения ИБ (такие как парольная защита, защита от вредоносного программного обеспечения или "чистый стол");
• e) контакты и ресурсы для получения дополнительной информации и консультаций по вопросам ИБ, включая дополнительные материалы по обучению и подготовке в области ИБ.

• a) обеспечить проведение инвентаризации активов;
• b) обеспечить, чтобы активы были должным образом категорированы и защищены;
• c) определять и периодически пересматривать ограничения доступа и категорирование важных активов с учетом действующих политик управления доступом;
• d) обеспечить надлежащие действия с активом, когда он удаляется или уничтожается.

• a) раскрытие информации не приведет к ущербу;
• b) раскрытие информации приведет к незначительным затруднениям или незначительным неудобствам в операционной деятельности;
• c) раскрытие информации оказывает значительное кратковременное влияние на операционную деятельность или достижение тактических целей;
• d) раскрытие информации оказывает серьезное влияние на достижение долгосрочных стратегических целей или подвергает риску само существование организации.

• a) ограничение доступа, обеспечивающее выполнение требований по защите для каждой категории;
• b) ведение официального учета уполномоченных обладателей активов;
• c) защита временных или постоянных копий информации на уровне, соответствующем уровню защиты оригиналов информации;
• d) хранение ИТ-активов в соответствии с инструкциями производителей;
• e) четкая маркировка всех копий носителей для информирования уполномоченного обладателя.

• a) содержимое, в котором отпала необходимость, на любых перезаписываемых носителях, которые могут быть вынесены из организации, должно быть удалено без возможности восстановления;
• b) где это необходимо и целесообразно, должно требоваться разрешение на вынос носителей информации из организации, а записи о выносе следует хранить как контрольную запись для аудита;
• c) все носители следует хранить в безопасном, надежном месте в соответствии с инструкциями производителей;
• d) если конфиденциальность или целостность данных являются важными факторами, следует использовать криптографические методы для защиты данных на съемных носителях;
• e) для снижения риска деградации носителей, когда сохраняемые данные все еще необходимы, данные должны быть перенесены на новые носители, прежде чем прежние станут нечитаемыми;
• f) несколько копий ценных данных следует хранить на отдельных носителях для снижения риска случайного повреждения или потери данных;
• g) для уменьшения возможности потери данных должна быть предусмотрена регистрация съемных носителей информации;
• h) съемные диски разрешается использовать только в случаях, обусловленных потребностями бизнеса;
• i) в случае необходимости использования съемных носителей перенос информации на них необходимо контролировать.

• a) носители, содержащие конфиденциальную информацию, следует хранить и надежно утилизировать, например посредством сжигания или измельчения, или же стирания информации, если носители планируют использовать для другого приложения в пределах организации;
• b) должны существовать процедуры по выявлению элементов, для которых может потребоваться надежная утилизация;
• c) может оказаться проще организовать сбор и надежную утилизацию в отношении всех носителей информации, чем пытаться выделить носители с информацией ограниченного доступа;
• d) многие организации предлагают услуги по сбору и утилизации носителей; следует уделять особое внимание выбору подходящего подрядчика с учетом имеющегося у него опыта и применяемых адекватных мер обеспечения безопасности;
• e) утилизацию носителей, содержащих информацию ограниченного доступа, следует фиксировать как контрольную запись для аудита.

• a) должен использоваться надежный транспорт или курьеры;
• b) перечень авторизованных курьеров должен быть согласован с руководством;
• c) должны быть разработаны процедуры для идентификации курьеров;
• d) упаковка должна обеспечивать защиту содержимого от любых физических повреждений, которые могут возникнуть в ходе транспортировки, и соответствовать требованиям производителей, например обеспечивать защиту от воздействия любых факторов окружающей среды, которые могут снизить возможность восстановления носителей, таких как тепло, влага или электромагнитные поля;
• e) должны регистрироваться записи о содержании носителей, применяемых мерах обеспечения ИБ, а также о времени передачи курьеру для транспортировки и времени получения в пункте назначения.

• a) требования безопасности бизнес-приложений;
• b) политики распространения информации и авторизации, например принцип "необходимого знания", уровни ИБ и категорирование информации (см. 8.2);
• c) соответствие между правами доступа и политиками категорирования информации для систем и сетей;
• d) соответствующие законодательные и любые договорные обязательства, касающиеся ограничения доступа к данным или сервисам (см. 18.1);
• e) управление правами доступа в распределенных средах и сетях, которые допускают все типы соединений;
• f) разделение ролей по управлению доступом, например запрос доступа, авторизация доступа, администрирование доступа;
• g) требования к формальной авторизации запросов доступа (см. 9.2.1 и 9.2.2);
• h) требования к периодическому пересмотру прав доступа (см. 9.2.6);
• i) аннулирование прав доступа (см. 9.2.6);
• j) архивирование записей всех значимых событий, касающихся использования и управления идентификаторами пользователей и секретной аутентификационной информацией;
• k) роли с привилегированным доступом (см. 9.2.3).

• a) установление правил, основанных на утверждении "Все в общем случае запрещено, пока явно не разрешено", а не на более слабом принципе "Все в общем случае разрешено, пока явно не запрещено";
• b) изменения маркировки информации (см. 8.2.2), которые инициируются автоматически средствами обработки информации и которые инициируются пользователями;
• c) изменения в правах пользователей, которые инициируются автоматически информационной системой, и те, которые инициируются администратором;
• d) правила, которые требуют определенной процедуры утверждения до вступления в силу, и те, которые этого не требуют.

• e) принцип "необходимого знания": вам предоставляется доступ только к той информации, которая вам необходима для выполнения ваших задач (различные задачи/роли подразумевают различные "необходимые знания" и следовательно различные профили доступа);
• f) принцип "необходимого использования": вам предоставляется доступ только к тем средствам обработки информации (ИТ-оборудование, приложения, процедуры, помещения), которые необходимы для выполнения задачи/работы/роли.

• a) сети и сетевые сервисы, к которым разрешен доступ;
• b) процедуры авторизации для определения того, кому к каким сетям и сетевым сервисам разрешен доступ;
• c) меры управления и процедуры для защиты доступа к сетевым соединениям и сетевым сервисам;
• d) средства, используемые для доступа к сетям и сетевым сервисам (например, использование VPN или беспроводной сети);
• e) требования к аутентификации пользователя для доступа к различным сетевым сервисам;
• f) мониторинг использования сетевых сервисов.

• a) использование уникальных идентификаторов пользователей, позволяющих отследить действия пользователей, чтобы они несли ответственность за свои действия; использование групповых идентификаторов должно быть разрешено только в тех случаях, когда это необходимо для бизнеса или в силу операционных причин и должно быть утверждено и документировано;
• b) немедленное отключение или удаление идентификаторов пользователей, покинувших организацию (см. 9.2.6);
• c) периодическое выявление и удаление или отключение избыточных идентификаторов пользователей;
• d) обеспечение того, чтобы избыточные идентификаторы пользователей не были переданы другим пользователям.

• a) назначение и активация или аннулирование идентификатора пользователя;
• b) предоставление или аннулирование прав доступа для этого идентификатора пользователя (см. 9.2.2).

• a) получение разрешения от владельца информационной системы или сервиса на использование этой информационной системы или сервиса (см. 8.1.2); также может быть целесообразным разделение подтверждения прав доступа от управления;
• b) проверку того, что предоставляемый уровень доступа соответствует политикам доступа (см. 9.1) и согласуется с другими требованиями, такими как разделение обязанностей (см. 6.1.2);
• c) обеспечение того, что права доступа не будут активированы (например, поставщиками услуг) до завершения процедур аутентификации;
• d) ведение централизованной регистрации прав доступа, связываемых с идентификатором пользователя, к информационным системам и сервисам;
• e) корректировку прав доступа пользователей, у которых поменялись роли или задачи, а также немедленное удаление или блокирование прав доступа пользователей, покинувших организацию;
• f) периодический пересмотр права доступа совместно с владельцами информационных систем или сервисов (см. 9.2.5).

• a) идентификация привилегированных прав доступа, связанных с каждой системой или процессом, например операционной системой, системой управления базами данных, каждым приложением и пользователями, которым требуется назначение таких прав;
• b) привилегированные права доступа должны назначаться пользователям исходя из принципов "необходимого использования" и "предоставления доступа по событию" в соответствии с политикой управления доступом (см. 9.1.1), то есть по минимуму для их функциональных ролей;
• c) все процессы аутентификации и назначения привилегий должны регистрироваться. Привилегированные права доступа не должны предоставляться до завершения процесса аутентификации;
• d) должны быть определены требования для установления срока действия привилегированных прав доступа;
• e) привилегированные права доступа должны быть связаны с идентификатором пользователя, отличным от того, что используется для исполнения повседневных должностных обязанностей. Эти обязанности не должны выполняться под привилегированным идентификатором;
• f) полномочия пользователей с привилегированными правами доступа должны регулярно пересматриваться с целью убедиться, что они соответствуют их обязанностям;
• g) должны быть разработаны и поддерживаться специальные процедуры, во избежание несанкционированного использования общих административных идентификаторов в соответствии с возможностями конфигурации системы;
• h) при совместном использовании общих административных идентификаторов должна обеспечиваться конфиденциальность секретной аутентификационной информации (например, частая смена паролей, а также максимально быстрая их смена при увольнении пользователя с привилегированными правами или изменении его обязанностей, передача паролей всем пользователям с привилегированными правами посредством соответствующих механизмов).

• a) пользователи должны подписывать соглашение о сохранении конфиденциальности личной секретной аутентификационной информации и секретной аутентификационной информации группы (то есть совместно используемой информации) исключительно в пределах группы; это подписанное соглашение может быть включено в правила и условия работы (см. 7.1.2);
• b) в тех случаях, когда пользователи должны сами обеспечивать сохранность своей секретной аутентификационной информации, им вначале должна быть выдана временная секретная информация аутентификации, которую они должны изменить при первом использовании;
• c) должны быть установлены процедуры для проверки личности пользователя перед предоставлением новой (в том числе временной) секретной аутентификационной информации или заменой старой информации;
• d) временная секретная аутентификационная информация должна передаваться пользователю безопасным способом; следует избегать использования третьих сторон или незащищенного (открытого) текста сообщений электронной почты;
• e) временная секретная аутентификационная информация должна быть уникальной для конкретного пользователя и не должна быть легко угадываемой;
• f) пользователи должны подтвердить получение секретной аутентификационной информации;
• g) секретная аутентификационная информация, установленная по умолчанию производителем, должна быть изменена после установки системы или программного обеспечения.

• a) права доступа пользователей следует пересматривать как через определенные интервалы времени, так и после любых изменений, таких как повышение или понижение в должности, или увольнение (раздел 7);
• b) права доступа пользователя следует пересматривать и переназначать в случае изменения его роли в организации;
• c) полномочия для привилегированных прав доступа следует пересматривать чаще;
• d) назначенные привилегии необходимо регулярно проверять для обеспечения уверенности в том, что никто не получил привилегий несанкционированным образом;
• e) изменения привилегированных учетных записей необходимо регистрировать для периодического анализа.

• a) кем было инициировано прекращение или изменение трудовых отношений: работником, сторонним пользователем или руководством, а также причина прекращения отношений;
• b) текущие обязанности работника, внешнего пользователя или любого другого пользователя;
• c) ценность активов, находящихся в текущем доступе.

• a) хранить секретную аутентификационную информацию в тайне, гарантируя, что она не будет разглашена никакой другой стороне, в том числе представителям органов власти;
• b) избегать хранения записей секретной аутентификационной информации (например на бумаге, в файле программного обеспечения или на мобильном устройстве), кроме тех случаев, когда эти записи могут быть надежно сохранены, а способ хранения одобрен (например хранилище паролей);
• c) изменять секретную аутентификационную информацию всякий раз, когда есть какие-либо признаки ее возможной компрометации;
• d) когда в качестве секретной аутентификационной информации используются пароли, необходимо выбирать стойкие пароли с достаточной минимальной длиной, которые:

1. легко запомнить;
2. не основаны на том, о чем кто-либо другой может легко догадаться или вычислить на основе личной информации, например имена, номера телефонов и даты рождения и т.д.;
3. неуязвимы к атакам по словарю (т.е. не состоят из слов, включенных в словари);
4. не содержат последовательности идентичных символов, не являются полностью цифровыми или буквенными;
5. если являются временными, изменяются при первом входе в систему;
6. не делятся секретной аутентификационной информацией;
7. помогают обеспечить надлежащую защиту в тех случаях, когда пароли используются в качестве секретной аутентификационной информации в процедурах автоматического входа и хранятся в системе;

• e) не используют одну и ту же секретную аутентификационную информацию для деловых и частных целей.

• a) предоставление меню для управления доступом к функциям прикладных систем;
• b) управление тем, какие данные могут быть доступны конкретному пользователю;
• c) управление правами доступа пользователей, например чтение, запись, удаление и выполнение;
• d) управление правами доступа других приложений;
• e) ограничение информации, содержащейся в выходных данных;
• f) обеспечение физических или логических мер управления доступом для изоляции чувствительных приложений, данных или систем.

• a) не отображать идентификаторы системы или приложения до тех пор, пока процесс входа успешно не завершен;
• b) выводить общее предупреждение, что доступ к компьютеру предоставляется только авторизованным пользователям;
• c) не предоставлять подсказок во время процедуры входа, которые могли бы помочь неавторизованному пользователю;
• d) осуществлять подтверждение информации для входа только после завершения ввода всех данных. Если возникает ошибка, система не должна указывать, какая часть данных для входа является правильной или неправильной;
• e) защищать от попыток входа в систему методом полного перебора (грубой силы);
• f) регистрировать неуспешные и успешные попытки входа;
• g) фиксировать событие безопасности при обнаружении попыток или фактов успешного нарушения процедуры входа;
• h) отображать следующую информацию по завершении успешного входа в систему:

1. - дата и время предыдущего успешного входа;
2. - сведения всех неудачных попыток входа с момента последнего успешного входа;

• i) не отображать вводимый пароль;
• j) не передавать пароли в открытом виде по сети;
• k) завершать неактивные сессии после определенного периода бездействия, особенно в местах повышенного риска, таких как общественные места или точки за пределами организации, которые не попадают под контроль системы менеджмента информационной безопасности организации, или на мобильных устройствах;
• l) ограничивать время соединения для обеспечения дополнительной защиты приложений с высоким риском и снижения возможности несанкционированного доступа.

• a) обеспечить использование индивидуальных пользовательских идентификаторов и паролей для обеспечения отслеживаемости;
• b) позволять пользователям выбирать и изменять свои собственные пароли и включать процедуру подтверждения для обеспечения возможности исправления ошибок ввода;
• c) обеспечивать выбор качественных паролей;
• d) заставлять пользователей изменять свои пароли при первом входе в систему;
• e) агитировать регулярно или по мере необходимости менять пароли;
• f) вести учет ранее использованных паролей и предотвращать их повторное использование;
• g) не отображать пароли на экране при их вводе;
• h) хранить файлы с паролями отдельно от данных прикладных систем;
• i) хранить и передавать пароли в защищенном виде.

• a) использовать процедуры идентификации, аутентификации и авторизации для служебных программ;
• b) отделять служебные программы от прикладного программного обеспечения;
• c) ограничивать использование служебных программ минимально возможным числом доверенных, авторизованных пользователей (см. 9.2.3);
• d) предъявлять требования по авторизации на использование специальных служебных программ;
• e) ограничивать доступность системных служебных программ, например на время внесения авторизованных изменений;
• f) регистрировать все случаи использования служебных программ;
• g) определять и документировать уровни авторизации для служебных программ;
• h) удалять или отключать все ненужные служебные программы;
• i) не делать служебные программы доступными тем пользователям, которые имеют доступ к прикладным программам в системах, где требуется разделение обязанностей.

• a) где это возможно, библиотеки исходных кодов программ не должны содержаться в эксплуатируемых системах;
• b) исходный код программы и библиотеки исходных кодов программы должны управляться в соответствии с установленными процедурами;
• c) вспомогательный персонал не должен иметь неограниченный доступ к библиотекам исходных кодов программы;
• d) обновление библиотек исходных кодов программ и связанных с ними элементов, а также выдача исходного кода программистам должна выполняться только после прохождения соответствующей авторизации;
• e) листинги программ должны храниться в безопасной среде;
• f) должны сохраняться записи всех обращений к библиотекам исходных кодов;
• g) обслуживание и копирование библиотек исходных кодов должно проводиться по строгим процедурам контроля изменений (см. 14.2.2).

• a) подход к управлению применением средств криптографической защиты информации в организации, включая главные принципы, на которых должна быть основана защита коммерческой информации;
• b) определенный на основе оценки риска требуемый уровень защиты с учетом типа, стойкости и качества требуемого алгоритма шифрования;
• c) использование шифрования для защиты информации, передаваемой с помощью мобильных или съемных носителей, или по линиям связи;
• d) подход к управлению ключами, в том числе методы по защите криптографических ключей и восстановлению зашифрованной информации в случае утери, компрометации или повреждения ключей;
• e) роли и обязанности, например, кто несет ответственность за:

1. внедрение политики;
2. управление ключами, включая их генерацию (см. 10.1.2);

• f) стандарты, которые должны быть приняты для эффективной реализации во всей организации (какое решение используется и для каких бизнес-процессов);
• g) влияние использования зашифрованной информации на меры обеспечения ИБ, которые базируются на проверке содержимого (например, обнаружение вредоносного ПО).

• a) обеспечение конфиденциальности: использование шифрования для защиты информации ограниченного доступа как при хранении, так и при передаче;
• b) обеспечение целостности и аутентичности: использование электронных подписей или кодов аутентификации сообщений для проверки подлинности или целостности информации ограниченного доступа при ее передаче и хранении;
• c) обеспечение неотказуемости: использование криптографических методов для подтверждения наличия или отсутствия события или действия;
• d) аутентификация: использование криптографических методов для аутентификации пользователей и других системных объектов, запрашивающих доступ к пользователям, объектам и ресурсам системы или осуществляющих операции с ними.

• a) генерации ключей для различных криптографических систем и приложений;
• b) выдачи и получения сертификатов открытого ключа;
• c) распределения ключей тем, кому они предназначены, в том числе порядок активации ключей при получении;
• d) хранения ключей, в том числе того, как авторизованные пользователи получают доступ к ключам;
• e) смены или обновления ключей, включая руководство о том, когда следует менять ключи и как это сделать;
• f) действий со скомпрометированными ключами;
• g) отзыва ключей, в том числе того, как ключи должны быть аннулированы или деактивированы, например, когда ключи были скомпрометированы, или когда пользователь покидает организацию (в этом случае ключи также должны быть архивированы);
• h) восстановления поврежденных и утерянных ключей;
• i) резервного копирования или архивирования ключей;
• j) уничтожения ключей;
• k) регистрации и аудита действий по управлению ключами.

• a) периметры безопасности должны быть четко определены, а расположение и степень защиты каждого из них должны зависеть от требований безопасности активов в пределах периметра и результатов оценки риска;
• b) периметры здания или помещения, где расположены средства обработки информации, должны быть физически прочными (то есть не должно быть пробелов по периметру или участков, где можно легко проникнуть); внешняя крыша, стены и полы помещений должны быть надлежащим образом защищены от несанкционированного доступа с помощью соответствующих механизмов (например, решеток, сигнализации, замков); двери и окна должна быть заперты, когда они находятся без присмотра, и следует рассмотреть вопрос внешней защиты окон, особенно если они находятся на уровне земли;
• c) для контроля физического доступа в здание или помещение должна быть выделена и укомплектована персоналом зона приема посетителей или предусмотрены другие меры контроля; доступ в помещения и здания должен быть предоставлен только авторизованному персоналу;
• d) где это применимо, должны быть установлены физические барьеры для предотвращения несанкционированного доступа и воздействия окружающей среды;
• e) все пожарные выходы по периметру безопасности должны безотказно функционировать в соответствии с местными правилами пожарной безопасности, быть оборудованы аварийной сигнализацией, находиться под наблюдением и проверены в местах соединения со стенами для установления необходимого уровня защищенности в соответствии с действующими региональными, национальными и международными стандартами;
• f) следует установить подходящие системы обнаружения вторжений в соответствии с национальными, региональными или международными стандартами, а также регулярно их проверять, покрывая при этом все доступные снаружи двери и окна; незанятые площади должны быть поставлены на постоянную сигнализацию; аналогично следует оборудовать и другие зоны, например серверную или кроссовую;
• g) средства обработки информации, которыми управляет организация, должны быть физически отделены от средств, управляемых сторонними организациями.

• a) регистрировать дату и время въезда и выезда посетителей, а также брать под сопровождение всех, чье право доступа не было предварительно согласовано; доступ посетителям следует предоставлять только для выполнения определенных, авторизованных целей и следует начинать с проведения инструктажа по требованиям безопасности и действий в аварийных ситуациях. Личность посетителей должна подтверждаться соответствующими средствами;
• b) доступ в зоны обработки или хранения конфиденциальной информации следует контролировать и предоставлять только авторизованным лицам путем применения соответствующих мер, например реализацией механизма двухфакторной аутентификации, такой, как карты доступа или секретным ПИН-кодом;
• c) рукописный или электронный журнал регистрации посещений нужно надежным образом вести и проверять;
• d) все работники, подрядчики и представители внешней стороны должны носить ту или иную форму визуального идентификатора и должны немедленно уведомлять персонал службы безопасности, если они встречают посетителей без сопровождения или без визуальных идентификаторов;
• e) персоналу службы поддержки сторонних организаций следует выдавать ограниченный доступ к зонам и средствам обработки конфиденциальной информации только при необходимости; такой доступ должен быть санкционирован и сопровождаться соответствующим контролем;
• f) права доступа к зонам безопасности следует регулярно пересматривать и обновлять, а при необходимости отменять (см. 9.25, 9.2.6).

• a) ключевое оборудование должно быть расположено таким образом, чтобы исключить доступ посторонних лиц;
• b) где это применимо, здания должны быть неприметными и давать минимальную информацию о своем назначении, без каких-либо явных признаков, как снаружи, так и внутри, определяющих наличие действий по обработке информации;
• c) оборудование должно быть настроено так, чтобы конфиденциальная информация или действия по обработке информации не были видны и слышны извне. В отдельных случаях следует рассмотреть электромагнитное экранирование;
• d) справочники и внутренние телефонные книги, определяющие местонахождение средств обработки конфиденциальной информации, не должны быть легко доступны для посторонних лиц.

• a) о существовании зоны безопасности и деятельности в ней персонал должен быть осведомлен по "принципу необходимого знания";
• b) следует избегать работ без надлежащего контроля в зонах безопасности, как по соображениям безопасности, так и для предотвращения возможности совершения злонамеренных действий;
• c) незанятые зоны безопасности должны быть физически заперты и периодически проверяться;
• d) использование фото-, видео-, аудио- и другого записывающего оборудования, такого как камеры в мобильных устройствах, должно быть запрещено без соответствующего на то разрешения.

• a) доступ к зоне погрузки и разгрузки снаружи здания разрешен только идентифицированному и авторизованному персоналу;
• b) зона погрузки и разгрузки должна быть спроектирована таким образом, чтобы можно было загружать и выгружать материальные ценности так, чтобы занимающийся этим персонал не имел доступа к другим частям здания;
• c) внешние двери зоны погрузки и разгрузки должны быть закрыты в то время, когда внутренние открыты;
• d) поступающие материальные ценности должны быть осмотрены и проверены на наличие взрывчатых веществ, химикатов или других опасных материалов, прежде чем они будут перемещены из зоны погрузки и разгрузки;
• e) при поступлении материальные ценности должны быть зарегистрированы в соответствии с процедурами управления активами (раздел 8);
• f) где это возможно, получаемые и отправляемые грузы должны быть физически разделены;
• g) полученные материальные ценности должны быть осмотрены на предмет наличия следов вскрытия и порчи в пути и, если такое вмешательство было обнаружено, об этом следует немедленно сообщить персоналу службы безопасности.

• a) оборудование следует размещать таким образом, чтобы свести к минимуму излишний доступ в рабочие зоны;
• b) средства обработки информации, обрабатывающие информацию ограниченного доступа, должны располагаться так, чтобы снизить риск просмотра информации посторонними лицами во время их использования;
• c) оборудование для хранения информации следует защищать от несанкционированного доступа;
• d) отдельные элементы оборудования, требующие специальной защиты, следует охранять для снижения общего уровня требуемой защиты;
• e) должны быть предприняты меры по снижению риска потенциальных физических и природных угроз, например краж, пожаров, взрывов, задымления, затопления (или сбоя в водоснабжении), пыли, вибраций, химических воздействий, перебоев в электроснабжении и связи, электромагнитного излучения и вандализма;
• f) должны быть установлены правила по приему пищи, питью и курению вблизи средств обработки информации;
• g) следует проводить мониторинг условий окружающей среды, которые могут отрицательно повлиять на работу средств обработки информации, например температура и влажность;
• h) внешняя молниезащита должна быть установлена на всех зданиях, а фильтры молниезащиты должны ставиться на всех входящих силовых и коммуникационных линиях;
• i) в отношении оборудования, расположенного в промышленных условиях, следует использовать специальные методы защиты, такие как защитные пленки для клавиатуры;
• j) оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено соответствующим образом для минимизации риска утечки информации из-за электромагнитного излучения.

• a) соответствовать спецификациям производителя оборудования и местным законодательным требованиям;
• b) регулярно оцениваться на предмет способности соответствовать развитию бизнеса и взаимодействию с другими вспомогательными услугами;
• c) регулярно осматриваться и проверяться для обеспечения гарантии их надлежащего функционирования;
• d) при необходимости быть оборудованы сигнализацией для выявления неисправностей;
• e) при необходимости иметь несколько каналов, физически отделенных друг от друга.

• a) телекоммуникационные линии и линии питания средств обработки информации, где это возможно, должны находиться под землей или же иметь адекватную альтернативную защиту;
• b) силовые кабели должны быть проложены отдельно от телекоммуникационных для предотвращения помех;
• c) для информации ограниченного доступа следует рассмотреть дополнительные меры обеспечения ИБ, а именно:

1. использование защищенных кабель-каналов, а также закрываемых помещений или шкафов в точках входа/выхода и коммутации кабелей;
2. использование электромагнитной защиты кабелей;
3. проведение технической экспертизы и физического осмотра несанкционированно подключенных к кабелям устройств;
4. контроль доступа к коммутационным панелям и кабельным помещениям.

• a) оборудование следует обслуживать в соответствии с рекомендованной поставщиком периодичностью и спецификациями;
• b) техническое обслуживание и ремонт оборудования должен проводить только авторизованный персонал;
• c) следует хранить записи обо всех предполагаемых или фактических неисправностях и всех видах профилактического обслуживания;
• d) если запланировано техническое обслуживание оборудования, следует принимать соответствующие меры и средства контроля и управления, при этом необходимо учитывать, будет ли техническое обслуживание проводиться персоналом организации или за ее пределами; при необходимости конфиденциальная информация должна быть удалена с оборудования или специалисты по техническому обслуживанию и ремонту должны иметь соответствующий допуск;
• e) должны соблюдаться все требования к техническому обслуживанию, установленные страховыми полисами;
• f) перед возвращением оборудования в эксплуатацию после технического обслуживания необходимо осмотреть его, чтобы убедиться, что оборудование не повреждено и нормально функционирует.

• a) должны быть идентифицированы работники и внешние пользователи, которые имеют полномочия разрешать вынос активов за пределы организации;
• b) должны быть установлены сроки возврата активов, а после возвращения проверено их соблюдение;
• c) когда это необходимо и целесообразно, следует регистрировать вынос и возврат активов;
• d) личность, должность и принадлежность лица, которое обрабатывает или использует активы, должны быть задокументированы, и эта документация должна быть возвращена вместе с оборудованием, информацией или программным обеспечением.

• a) оборудование и носители, вынесенные за пределы помещений организации, не следует оставлять без присмотра в общественных местах;
• b) инструкции производителя по защите оборудования должны всегда соблюдаться, например по защите от воздействия сильных электромагнитных полей;
• c) меры обеспечения информационной безопасности для работы за пределами организации, например для работы дома, удаленной работы и работы на временных точках, должны определяться на основе оценки риска и применяться в зависимости от ситуации, например запираемые шкафы для документов, политика чистого стола, управление доступом к компьютерам и защищенная связь с офисом (см. также ИСО/МЭК 27033 [15], [16], [17], [18], [19]);
• d) когда оборудование, эксплуатируемое за пределами организации, передается между разными лицами или внешними сторонами, следует вести журнал, в котором необходимо фиксировать всю цепочку передачи для оборудования, включая, как минимум, ФИО лица и наименование организации, ответственных за оборудование.

• a) шифрование достаточно стойкое и охватывает весь диск (включая свободное место, файлы подкачки и т.д.);
• b) ключи шифрования достаточно длинные, чтобы противостоять атакам методом полного перебора (грубой силы);
• c) сами ключи шифрования хранятся в секрете (например, никогда не хранятся на том же диске).

• a) прерывать активные сессии после завершения работы, если только они не могут быть защищены соответствующим механизмом блокировки, например защищенной паролем заставкой;
• b) выходить из приложений или сетевых сервисов, когда в них больше нет необходимости;
• c) защищать компьютеры или мобильные устройства от несанкционированного использования с помощью запирания на ключ или с помощью аналогичной меры, например защита устройства паролем, когда оно не используется.

• a) информация ограниченного доступа для бизнеса, например информация на бумажных или электронных носителях, должна быть заперта (в идеале, в сейфе, шкафу или другой мебели, обеспечивающей безопасность), пока она не используется, особенно когда в офисе никого нет;
• b) компьютеры и терминалы, оставленные без присмотра, следует оставлять в состоянии выполненного выхода из системы или защиты механизмом блокировки экрана и клавиатуры, управляемым паролем, аппаратным ключом или подобным средством аутентификации пользователя, и они должны быть заперты на ключ, защищены паролем или иными мерами, когда не используются;
• c) следует предотвращать несанкционированное использование копировальных аппаратов и других воспроизводящих устройств (например, сканеров, цифровых камер);
• d) носители, содержащие информацию ограниченного доступа, следует забирать из принтеров немедленно.

• a) по установке и настройке систем;
• b) по обработке информации как в автоматизированном, так и в ручном режиме;
• c) по резервному копированию (см. 12.3);
• d) по требованиям к графику работы, включая взаимосвязь между системами, самое раннее время начала работы и самое позднее время завершения работы;
• e) инструкции по обработке ошибок или других исключительных ситуаций, которые могут возникнуть в процессе работы, включая ограничения на использование системных служебных программ (см. 9.4.4);
• f) контакты поддержки (включая внешнюю) и эскалации на случай непредвиденных эксплуатационных или технических трудностей;
• g) инструкции по обращению с особыми носителями и выводом данных, такие как использование специальной бумаги или управление выводом конфиденциальной информации, включая процедуры по безопасному удалению результатов вывода в случае сбоя в работе (см. 8.3 и 11.2.7);
• h) процедуры перезапуска и восстановления системы в случае сбоя;
• i) управления информацией системных журналов и журналов аудита (см. 12.4);
• j) процедуры мониторинга.

• a) идентификацию и регистрацию существенных изменений;
• b) планирование и тестирование изменений;
• c) оценку потенциального влияния от реализации существенных изменений, включая влияние на ИБ;
• d) процедуры утверждения предлагаемых изменений;
• e) подтверждение того, что выполняются требования по ИБ;
• f) информирование об изменении всех заинтересованных лиц;
• g) процедуры по возврату в исходное состояние, включая процедуры и обязанности по прерыванию процесса и последующего восстановления после неудачных изменений и непредвиденных событий;
• h) установление процесса экстренного изменения для обеспечения быстрой и управляемой реализации изменений, необходимых для разрешения инцидента (см. 16.1).

• a) удаление устаревших данных (дисковое пространство);
• b) вывод из эксплуатации приложений, систем, баз данных или сред;
• c) оптимизацию пакетных заданий и расписаний;
• d) оптимизацию логики приложения или запросов к базе данных;
• e) запрет или ограничение полосы пропускания для ресурсоемких сервисов, если они не являются критически важными для бизнеса (например, потоковое видео).

• a) правила перевода программного обеспечения из состояния разработки в состояние эксплуатации должны быть определены и задокументированы;
• b) программное обеспечение для разработки и эксплуатации должно быть развернуто на разных системах или компьютерах и в разных доменах или каталогах;
• c) изменения в эксплуатируемых системах и приложениях должны быть протестированы в тестовой или промежуточной среде перед их применением;
• d) кроме как при возникновении исключительных ситуаций, тестирование не должно проводиться на эксплуатируемой среде;
• e) компиляторы, редакторы и другие средства разработки или системные служебные программы не должны быть доступны из среды эксплуатации без необходимости;
• f) пользователи должны использовать разные профили для сред эксплуатации и тестирования, а на экране должны отображаться соответствующие предупреждающие сообщения, чтобы снизить риск ошибки;
• g) конфиденциальные данные не должны копироваться в среду системы тестирования, если для системы тестирования не предусмотрены эквивалентные меры обеспечения ИБ (см. 14.3).

• a) установление формальной политики, запрещающей использование неавторизованного программного обеспечения (см. 12.6.2 и 14.2);
• b) реализация мер обеспечения ИБ, которые предотвращают или обнаруживают использование неавторизованного программного обеспечения (например, белый список приложений);
• c) внедрение мер обеспечения ИБ, которые предотвращают или обнаруживают обращение к известным или предполагаемым вредоносным веб-сайтам (например, ведение черного списка);
• d) установление формальной политики для защиты от рисков, связанных с получением файлов и программного обеспечения из внешних сетей или через них, либо с помощью других способов, с указанием мер по защите;
• e) снижение числа уязвимостей, которые могут быть использованы вредоносными программами, например через менеджмент технических уязвимостей (см. 12.6);
• f) проведение регулярных проверок программного обеспечения и содержимого систем, поддерживающих критические бизнес-процессы; наличие любых несанкционированных файлов или неавторизованных изменений должно быть официально расследовано;
• g) установка и регулярное обновление программного обеспечения для обнаружения вредоносных программ и восстановления, предназначенного для сканирования компьютеров и носителей в качестве предупреждающей меры или на регулярной основе; проводимое сканирование должно включать в себя:

1. проверку любых файлов, полученных по сети или через любой другой носитель, на наличие вредоносных программ перед использованием;
2. проверку вложений и загружаемых файлов электронной почты на наличие вредоносных программ перед использованием; такое сканирование должно проводиться в разных местах, например на серверах электронной почты, настольных компьютерах и на первой линии сети организации;
3. проверку веб-страницы на наличие вредоносных программ;

• h) определение процедур и обязанностей по обеспечению защиты от вредоносных программ в системах, обучению их использованию, составлению отчетов и восстановлению после атак с применением вредоносных программ;
• i) подготовка соответствующих планов обеспечения непрерывности бизнеса для восстановления после атак с применением вредоносных программ, включая все необходимые меры по резервному копированию и восстановлению данных и программного обеспечения (см. 12.3);
• j) внедрение процедур регулярного сбора информации, таких как подписка на списки рассылки или посещение веб-сайтов, предоставляющих информацию о новых вредоносных программах;
• k) внедрение процедур для проверки информации, относящейся к вредоносным программам, и обеспечения уверенности в том, что предупреждающие бюллетени точны и информативны; руководители должны гарантировать, что для дифференциации между реальными вредоносными программами и ложными используются квалифицированные источники, например авторитетные журналы, надежные веб-сайты или поставщики программного обеспечения по защите от вредоносных программ; все пользователи должны быть осведомлены о проблеме ложных вредоносных программ и о том, что необходимо делать при их получении;
• l) изолирование сред, где могут возникнуть катастрофические последствия.

• a) необходимо вести точный и полный учет резервных копий, а также документировать процедуры восстановления;
• b) объем (например, полное или дифференциальное резервное копирование) и частота резервного копирования должны соответствовать бизнес-требованиям организации, требованиям безопасности, а также важности информации для непрерывной работы организации;
• c) резервные копии должны храниться в удаленном месте на достаточном расстоянии, чтобы избежать какого-либо ущерба от аварии на основной площадке организации;
• d) резервированная информация должна иметь соответствующий уровень защиты, как физической, так и от угроз окружающей среды (раздел 11) в соответствии со стандартами, применяемыми на основной площадке;
• e) носители резервных копий следует регулярно проверять, чтобы гарантировать, что их можно использовать в случае экстренной необходимости; это должно совмещаться с проверкой процедур восстановления и затрачиваемого при этом времени. Тестирование возможности восстановления данных из резервной копии следует выполнять на выделенных для этого носителях, а не перезаписыванием информации на оригинальном носителе, поскольку в случае сбоя процесса резервного копирования или восстановления возможны необратимые повреждения или потеря данных;
• f) в ситуациях, когда важна конфиденциальность, резервные копии следует защищать с помощью шифрования.

• a) пользовательские идентификаторы;
• b) действия в системе;
• c) дату, время и детали ключевых событий, например вход и выход из системы;
• d) идентификатор устройства или местоположения, если возможно, и системный идентификатор;
• e) записи об успешных и отклоненных попытках доступа к системе;
• f) записи об успешных или отклоненных попытках доступа к данным и иным ресурсам;
• g) изменения конфигурации системы;
• h) использование привилегий;
• i) использование системных служебных программ и приложений;
• j) файлы, к которым был запрошен доступ, а также вид доступа;
• k) сетевые адреса и протоколы;
• l) сигналы тревоги от системы контроля управления доступом;
• m) события активации и деактивации систем защиты, таких как антивирусные средства и системы обнаружения вторжений;
• n) записи транзакций, выполненных пользователями в приложениях.

• a) изменение типов сообщений, которые были записаны;
• b) удаление или изменение журнала;
• c) превышение емкости хранилища файлов журнала, что приводит к невозможности записи событий или перезаписи информации о прошлых событиях.

• a) обновление эксплуатируемого программного обеспечения, приложений и программных библиотек должны выполнять только обученные администраторы при наличии соответствующего разрешения руководства (см. 9.4.5);
• b) эксплуатируемые системы должны содержать только утвержденный исполняемый код и не должны содержать разрабатываемые коды или компиляторы;
• c) программное обеспечение и приложения следует внедрять в эксплуатируемую систему только после обширного и успешного тестирования; тесты должны охватывать удобство использования, безопасность, влияние на другие системы, дружелюбность интерфейса и должны проводиться на выделенных для этого системах (см. 12.1.4); следует убедиться, что все соответствующие исходные программные библиотеки были обновлены;
• d) должна использоваться система управления конфигурацией для контроля над всем внедренным программным обеспечением и системной документацией;
• e) перед внедрением изменений должна быть разработана стратегия возврата в исходное состояние;
• f) следует вести журнал всех обновлений действующих программных библиотек;
• g) предыдущие версии прикладного программного обеспечения следует сохранять в качестве меры на случай непредвиденных обстоятельств;
• h) старые версии программного обеспечения должны быть заархивированы вместе со всей необходимой информацией и параметрами, процедурами, деталями настройки и вспомогательным программным обеспечением на тот же срок, что и данные.

• a) организация должна определить и установить роли и обязанности, связанные с управлением техническими уязвимостями, включая их мониторинг, оценку риска, исправление ошибок, отслеживание активов и любые необходимые обязанности по координации процесса;
• b) для программного обеспечения и других технологий (на основе перечня активов, см. 8.1.1) следует идентифицировать информационные ресурсы, которые будут использоваться для выявления соответствующих технических уязвимостей и поддержания осведомленности о них; эти информационные ресурсы должны обновляться в соответствии с изменениями в перечне активов или при обнаружении новых и полезных ресурсов;
• c) следует определить сроки реагирования на уведомления о потенциально значимых технических уязвимостях;
• d) после выявления потенциальной технической уязвимости организация должна определить связанные с ней риски и действия, которые необходимо предпринять; такие действия могут включать применение пакетов исправлений к уязвимым системам или применение компенсирующих мер обеспечения ИБ;
• e) в зависимости от того, насколько срочно необходимо устранить техническую уязвимость, предпринимаемые действия должны проводиться в соответствии с мерами по управлению изменениями (см. 12.1.2) или в соответствии с процедурами реагирования на инциденты ИБ (см. 16.1.5);
• f) если доступно официальное исправление, следует оценить риски, связанные с его установкой (риски, связанные с уязвимостью, следует сравнить с рисками, которые могут возникнуть вследствие установки исправления);
• g) пакеты исправлений должны быть проверены и оценены до их установки, чтобы быть уверенным в том, что они не приведут к недопустимым побочным эффектам; если исправлений не выпущено, следует рассмотреть иные меры обеспечения информационной безопасности, такие как:

1. отключение сервисов и возможностей, связанных с уязвимостью;
2. настройка или добавление мер контроля доступа, например межсетевые экраны на границах сети (см. 13.1);
3. усиление мониторинга для выявления реальных атак;
4. повышение осведомленности об уязвимостях;

• h) следует вести журнал всех предпринятых действий;
• i) процесс управления техническими уязвимостями следует регулярно контролировать и оценивать для обеспечения его эффективности и результативности;
• j) в первую очередь следует обращать внимание на системы с высоким уровнем риска;
• k) эффективный процесс управления техническими уязвимостями должен быть согласован с действиями по управлению инцидентами, что позволит передавать данные об уязвимостях группе реагирования на инциденты и дополнит процесс техническими процедурами, которые должны быть выполнены в случае инцидента;
• l) необходимо определить процедуру для решения ситуации, когда уязвимость была выявлена, но подходящих мер еще не существует. В этой ситуации организация должна оценить риски, связанные с известной уязвимостью, и определить соответствующие действия по обнаружению и корректировке.

• a) требования доступа к системам и данным для проведения аудита должны быть согласованы с соответствующим руководством;
• b) область действия технического аудита должна быть согласована и проконтролирована;
• c) аудиторские тесты должны быть ограничены доступом уровня "только на чтение" в отношении программного обеспечения и данных;
• d) доступ, отличный от режима "только на чтение", должен быть разрешен только для изолированных копий системных файлов, которые должны быть уничтожены по завершении аудита или обеспечены соответствующей защитой, если существует необходимость сохранять такие файлы в соответствии с требованиями документации по аудиту;
• e) требования к специальной и дополнительной обработке должны быть идентифицированы и согласованы;
• f) аудиторские тесты, которые могут повлиять на доступность системы, следует проводить в нерабочее время;
• g) любой доступ должен контролироваться и регистрироваться для создания прослеживаемости.

• a) должны быть установлены обязанности и процедуры для управления сетевым оборудованием;
• b) там, где это применимо, обязанности по эксплуатации сетей должны быть отделены от обязанностей по эксплуатации компьютеров (см. 6.1.2);
• c) должны быть установлены специальные меры обеспечения ИБ для защиты конфиденциальности и целостности данных, передаваемых по сетям общего пользования или беспроводным сетям, и для защиты подключенных систем и приложений (раздел 10 и 13.2); могут потребоваться специальные меры для обеспечения доступности сетевых сервисов и подключенных компьютеров;
• d) должна вестись соответствующая регистрация и мониторинг с целью фиксации и обнаружения действий, которые могут повлиять на ИБ или имеют отношение к ней;
• e) действия по управлению должны быть тесно координированы как для того, чтобы оптимизировать обслуживание организации, так и для обеспечения того, чтобы меры обеспечения безопасности применялись согласованно в рамках всей инфраструктуры обработки информации;
• f) системы в сетях должны проходить процедуру аутентификации;
• g) подключение систем к сети должно быть ограничено.

• a) технологии, применяемые для обеспечения безопасности сетевых сервисов, например аутентификация, шифрование и контроль сетевых подключений;
• b) технические параметры, необходимые для безопасного подключения к сетевым сервисам в соответствии с правилами безопасности сетевых соединений;
• c) процедуры использования сетевых сервисов, применяемые с целью ограничения доступа к сетевым сервисам или приложениям, где это необходимо.

• a) процедуры, предназначенные для защиты передаваемой информации от перехвата, копирования, модификации, перенаправления и уничтожения;
• b) процедуры обнаружения и защиты от вредоносных программ, которые могут передаваться с использованием электронных средств связи (см. 12.2.1);
• c) процедуры для защиты информации ограниченного доступа в электронном виде, передаваемой в форме вложения;
• d) политику или руководства, определяющие допустимое использование средств связи (см. 8.1.3);
• e) обязанности персонала, внешних сторон и любых иных пользователей не предпринимать действий, ставящих под угрозу организацию, например посредством клеветы, домогательств, неправомерного представления себя от лица организации, рассылки писем по цепочке, неавторизованных закупок и т.д.;
• f) использование криптографических методов, например для защиты конфиденциальности, целостности и аутентичности информации (раздел 10);
• g) руководства по срокам хранения и утилизации всей деловой переписки, включая сообщения, соответствующие национальному и местному законодательству и нормативным документам;
• h) меры обеспечения ИБ и ограничения, связанные с использованием средств связи, например автоматическая пересылка электронной почты на внешние почтовые адреса;
• i) рекомендации персоналу предпринимать меры предосторожности во избежание раскрытия конфиденциальной информации;
• j) не оставлять сообщения, содержащие конфиденциальную информацию на автоответчиках, так как они могут быть прослушаны неавторизованными лицами, сохранены в системах общего пользования или некорректно записаны в результате ошибочного набора номера;
• k) консультирование персонала о проблемах, связанных с использованием факсов и соответствующих услуг, а именно:

1. неавторизованный доступ к встроенным хранилищам сообщений для извлечения сообщений;
2. преднамеренное или случайное программирование машин на отправку сообщений на определенные номера;
3. отсылка документов и сообщений на неверный номер в результате ошибочного набора либо вызова сохраненного неверного номера.

• a) обязанности руководства по контролю и уведомлению о передаче, отправке и получении;
• b) процедуры для обеспечения прослеживаемости и неотказуемости;
• c) минимальные требования технических стандартов для упаковки и передачи;
• d) соглашения условного депонирования (эскроу);
• e) стандарты по идентификации курьеров;
• f) ответственность и обязательства в случае инцидентов ИБ, таких как потеря данных;
• g) использование согласованной системы маркирования для информации ограниченного доступа, гарантирующей, что значение этой маркировки будет сразу же понято и что информация будет соответствующим образом защищена (см. 8.2);
• h) технические стандарты для записи и чтения информации и программного обеспечения;
• i) любые специальные меры обеспечения ИБ, которые требуются для защиты чувствительных элементов, например криптография (раздел 10);
• j) поддержание цепочки сохранности информации в процессе передачи;
• k) приемлемые уровни управления доступом.

• a) защиту сообщений от несанкционированного доступа, изменения или отказа в обслуживании в соответствии с системой категорирования, принятой в организации;
• b) обеспечение правильной адресации и передачи сообщения;
• c) надежность и доступность сервиса;
• d) правовые аспекты, например требования к электронным подписям;
• e) получение одобрения до использования внешних общедоступных сервисов, например сервисов мгновенных сообщений, социальных сетей или сервисов обмена файлами;
• f) более высокий уровень аутентификации при контроле доступа из общедоступных сетей.

• a) определение информации, подлежащей защите (например, конфиденциальной информации);
• b) ожидаемый срок действия соглашения, включая случаи, когда конфиденциальность должна обеспечиваться в течение неопределенного времени;
• c) действия, необходимые при расторжении соглашения;
• d) обязанности и действия лиц, подписавших соглашение, во избежание несанкционированного раскрытия информации;
• e) право собственности на информацию, коммерческую тайну и интеллектуальную собственность и то, как это связано с защитой конфиденциальной информации;
• f) разрешенное использование конфиденциальной информации и права лиц, подписавших соглашение, в отношении использования информации;
• g) право на аудит и мониторинг деятельности, связанной с конфиденциальной информацией;
• h) процесс уведомления и сообщения о несанкционированном раскрытии или утечке конфиденциальной информации;
• i) условия, при которых информация должна быть возвращена или уничтожена в случае прекращения действия соглашения;
• j) предполагаемые действия, которые должны быть предприняты в случае нарушения соглашения.

• a) требуемый уровень доверия в отношении идентификационной информации пользователей для установления требований к аутентификации пользователей;
• b) процессы предоставления доступа как для пользователей, так и для привилегированных или технических пользователей;
• c) информирование пользователей и операторов об их обязанностях и ответственности;
• d) необходимый уровень защиты в отношении затронутых активов, в частности в отношении доступности, конфиденциальности и целостности;
• e) требования, вытекающие из бизнес-процессов, такие как ведение журнала и мониторинг транзакций, требования по обеспечению неотказуемости;
• f) требования, предписанные другими мерами обеспечения ИБ, например интерфейсы для систем регистрации, мониторинга или обнаружения утечки данных.

• a) уровень доверия, который требует каждая сторона в отношении друг друга, например посредством аутентификации;
• b) процессы авторизации, связанные с тем, кто может утверждать содержание, выпускать или подписывать ключевые деловые документы;
• c) обеспечение того, чтобы взаимодействующие стороны были полностью проинформированы о своих правах на предоставление и использование сервиса;
• d) определение и соблюдение требований в отношении конфиденциальности, целостности, подтверждения отправки и получения ключевых документов, а также невозможности отказа от совершенных сделок, например связанных с процессами заключения контрактов и проведения тендеров;
• e) уровень доверия, необходимый для целостности ключевых документов;
• f) требования по защите любой конфиденциальной информации;
• g) конфиденциальность и целостность любых операций с заказом, платежной информации, адреса доставки и подтверждения получения;
• h) степень проверки платежной информации, предоставленной клиентом;
• i) выбор наиболее подходящей формы расчета для защиты от мошенничества;
• j) уровень защиты, необходимый для сохранения конфиденциальности и целостности информации о заказе;
• k) предотвращение потери или дублирования информации об операции;
• l) ответственность за мошеннические операции;
• m) страховые требования.

• a) использование электронных подписей каждой из сторон, участвующих в транзакции;
• b) все аспекты транзакции, то есть обеспечение того, что:

1. секретная аутентификационная информация пользователей с каждой стороны проверена и действительна;
2. транзакция остается конфиденциальной;
3. сохраняется конфиденциальность всех вовлеченных сторон;

• c) канал связи между всеми вовлеченными сторонами защищен;
• d) протоколы, используемые для связи между всеми вовлеченными сторонами, защищены;
• e) обеспечение того, чтобы хранение деталей транзакции находилось за пределами какой-либо общедоступной среды, например в хранилище интрасети организации, которое не доступно непосредственно из сети Интернет;
• f) если используется доверенный орган (например, для целей выдачи и поддержки электронных подписей или цифровых сертификатов), обеспечение безопасности интегрируется и становится частью процесса управления сертификатами/подписями на протяжении всего жизненного цикла такого процесса.

• a) безопасность среды разработки;
• b) руководство по безопасности в жизненном цикле разработки программного обеспечения:

1. безопасность в методологии разработки программного обеспечения;
2. правила по безопасному программированию для каждого используемого языка программирования;

• c) требования безопасности на этапе проектирования;
• d) контрольные точки по проверке безопасности в рамках основных этапов проекта;
• e) безопасные репозитории;
• f) безопасность в управлении версиями;
• g) необходимые знания по безопасности приложений;
• h) способность разработчиков избегать, находить и исправлять уязвимости.

• a) ведение учета согласованных уровней разрешений;
• b) обеспечение внесения изменений авторизованными пользователями;
• c) пересмотр процедур управления и целостности для гарантии того, что они не будут нарушены изменениями;
• d) идентификация всего программного обеспечения, информации, объектов базы данных и аппаратного обеспечения, которые требуют изменений;
• e) выявление и проверка критического с точки зрения безопасности кода для минимизации вероятности реализации известных ошибок программирования;
• f) получение официального одобрения на предлагаемые изменения до начала работ;
• g) обеспечение того, чтобы авторизованные пользователи одобрили все изменения до их реализации;
• h) обеспечение того, чтобы набор системной документации был обновлен по завершении каждого изменения, а старая документация архивировалась или удалялась;
• i) поддержание контроля версий всех обновлений программного обеспечения;
• j) ведение записей всех запросов на изменение;
• k) обеспечение того, чтобы эксплуатационная документация (см. 12.1.1) и пользовательские процедуры подвергались изменениям по мере необходимости и оставались актуальными;
• l) обеспечение того, чтобы внедрение изменений происходило в согласованное время и не нарушало вовлеченные бизнес-процессы.

• a) пересмотр мер защиты приложения и процедур целостности для гарантии того, что они не будут нарушены изменениями в эксплуатируемой среде;
• b) обеспечение своевременного уведомления об изменениях эксплуатируемой платформы с учетом времени проведения соответствующих тестов и проверки перед внедрением;
• c) обеспечение внесения соответствующих изменений в планы обеспечения непрерывности бизнеса (раздел 17).

• a) возможен риск нарушения встроенных средств контроля целостности;
• b) должно ли быть получено согласие поставщика;
• c) возможность получения необходимых изменений от поставщика в виде стандартных обновлений программы;
• d) возможные последствия в случае, если организация станет ответственной за последующее сопровождение программного обеспечения в результате внесенных изменений;
• e) совместимость с другим используемым программным обеспечением.

• a) информацию ограниченного доступа, подлежащую обработке, хранению и передаче системой;
• b) применимые внешние и внутренние требования, например из нормативных актов или политик;
• c) меры обеспечения ИБ, уже внедренные организацией для обеспечения разработки систем;
• d) надежность персонала, работающего в среде (см. 7.1.1);
• e) степень аутсорсинга работ, связанных с разработкой систем;
• f) необходимость разделения различных сред разработки;
• g) меры разграничения доступа к среде разработки;
• h) мониторинг изменений среды и хранимого в ней кода;
• i) резервные копии хранятся в безопасных удаленных местах;
• j) контроль за перемещением данных из и в среду разработки.

• a) лицензионные соглашения, права на код и интеллектуальную собственность, связанные с находящимися на аутсорсинге разработками (см. 18.1.2);
• b) договорные требования к безопасным методам проектирования, программирования и тестирования (см. 14.2.1);
• c) предоставление утвержденной модели угроз внешнему разработчику;
• d) приемочные испытания на качество и точность результатов;
• e) предоставление доказательств того, что были применены пороговые критерии безопасности для установления минимально приемлемых уровней защищенности и конфиденциальности;
• f) предоставление доказательств того, что было выполнено тестирование в достаточном объеме, чтобы подтвердить отсутствие преднамеренного или непреднамеренного вредоносного содержимого в поставляемых продуктах;
• g) предоставление доказательств того, что было проведено достаточное тестирование для защиты от известных уязвимостей;
• h) механизмы условного депонирования, например, если исходный код больше недоступен;
• i) закрепленное в договоре право на аудит процессов и мер разработки;
• j) действующая документация среды сборки, используемая для создания конечных продуктов;
• k) организация несет ответственность за соблюдение действующего законодательства и проверку эффективности мер обеспечения ИБ.

• a) процедуры контроля доступа, которые применяются к эксплуатируемым прикладным системам, должны также применяться к тестовым прикладным системам;
• b) необходимо запрашивать разрешение каждый раз, когда эксплуатируемые данные копируются в тестовую среду;
• c) информация из эксплуатируемой среды должна быть удалена из тестовой среды сразу после завершения тестирования;
• d) копирование и использование информации из эксплуатируемой среды должно регистрироваться для обеспечения аудита.

• a) определение и документирование типов поставщиков, например ИТ-услуги, логистические услуги, финансовые услуги, компоненты ИТ-инфраструктуры, которым организация будет предоставлять доступ к своей информации;
• b) стандартизированный процесс и жизненный цикл для управления отношениями с поставщиками;
• c) определение типов доступа к информации, которые будут предоставлены различным типам поставщиков, а также мониторинг и контроль доступа;
• d) минимальные требования по ИБ для каждой категории информации и типа доступа, учитывающие деловые потребности и требования организации, а также ее профиль рисков, которые будут служить основой для соглашений уже с конкретным поставщиком;
• e) процессы и процедуры для контроля соблюдения установленных требований по ИБ для каждого типа поставщика и типа доступа, включая проверку третьей стороной и проверку продукта;
• f) правильность и полноту мер обеспечения ИБ для обеспечения целостности информации или обработки информации, проводимой любой из сторон;
• g) виды обязательств, применимых к поставщикам для защиты информации организации;
• h) обработку инцидентов и непредвиденных обстоятельств, связанных с доступом поставщиков, включая обязанности как организации, так и поставщиков;
• i) способность к восстановлению и, если необходимо, меры по восстановлению и устранению непредвиденных обстоятельств для обеспечения доступности информации или обработки информации, предпринимаемые любой из сторон;
• j) обучение персонала организации, участвующего в закупках, действующим политикам, процессам и процедурам;
• k) обучение персонала организации, взаимодействующего с персоналом поставщика, относительно соответствующих правил взаимодействия и поведения в зависимости от типа поставщика и уровня доступа поставщика к системам и информации организации;
• l) условия, при которых требования и меры обеспечения ИБ будут включены в соглашение, подписанное обеими сторонами;
• m) управление необходимой передачей информации, устройств обработки информации и чем-либо еще, нуждающимся в передаче, и гарантию того, что безопасность обеспечивается в течение всего периода передачи.

• a) описание предоставляемой информации или информации, к которой предоставляется доступ, а также методов предоставления информации или получения доступа к ней;
• b) категории информации в соответствии с системой категорирования организации (см. 8.2); сопоставление, при необходимости, системы категорирования организации с системой категорирования поставщика;
• c) законодательные и нормативные требования, включая требования по защите данных, прав на интеллектуальную собственность и авторских прав, а также описание того, как будет обеспечено их соблюдение;
• d) обязательства каждой стороны договора по осуществлению согласованного набора мер обеспечения ИБ, включая управление доступом, анализ производительности, мониторинг, отчетность и аудит;
• e) правила приемлемого использования информации, включая неприемлемое использование, в случае необходимости;
• f) точный перечень персонала поставщика, который авторизован на доступ к информации или получение информации организации, либо процедуры или условия для назначения и аннулирования прав на доступ к информации или получение информации организации персоналом поставщика;
• g) политики ИБ, относящиеся к конкретному договору;
• h) требования и процедуры по управлению инцидентами (особенно уведомление и совместная работа по устранению последствий инцидентов);
• i) требования к обучению и осведомленности о конкретных процедурах и требования к ИБ, например для реагирования на инциденты, процедуры авторизации;
• j) соответствующие регламенты для субподряда, включая меры обеспечения ИБ, которые должны выполняться;
• k) соответствующие партнеры по соглашению, включая контактное лицо по вопросам ИБ;
• l) требования к предварительной проверке персонала поставщика, если таковые установлены, включая обязанности по проведению процедур предварительной проверки и информирования в случае, когда проверка не была завершена или ее результаты дают основания для сомнений или опасений;
• m) право на аудит процессов поставщика и осуществление мер обеспечения ИБ, связанных с соглашением;
• n) процессы устранения дефектов и разрешения конфликтов;
• o) обязательство поставщика по периодическому предоставлению независимого отчета об эффективности мер обеспечения ИБ и соглашения о своевременном решении соответствующих проблем, упомянутых в отчете;
• p) обязательства поставщика по соблюдению требований безопасности организации.

• a) определение требований ИБ, применимых к закупкам продуктов или услуг в области информационно-коммуникационных технологий, в дополнение к общим требованиям ИБ, относящимся к отношениям с поставщиками;
• b) для услуг в области информационно-коммуникационных технологий требуется, чтобы поставщики распространяли требования безопасности организации на всю цепочку поставки, если поставщик привлекает подрядчиков для выполнения части услуг в области информационно-коммуникационных технологий, оказываемых организации;
• c) для продуктов в области информационно-коммуникационных технологий требуется, чтобы поставщики распространяли соответствующие процедуры, связанные с безопасностью, на всю цепочку поставки, если эти продукты включают в себя компоненты, закупаемые у других поставщиков;
• d) выполнение процесса мониторинга и подходящих методов для подтверждения того, что поставляемые продукты и услуги в области информационно-коммуникационных технологий соответствуют заявленным требованиям безопасности;
• e) выполнение процесса определения компонентов продукта или услуги, которые являются критически важными для поддержания функциональности и следовательно требуют повышенного внимания и изучения, если произведены за пределами организации, особенно если первичный поставщик передает на аутсорсинг производство каких-то элементов продукта или услуги другим поставщикам;
• f) получение уверенности в том, что критически важные компоненты и их происхождение могут быть прослежены по всей цепочке поставки;
• g) получение уверенности в том, что поставляемые продукты в области информационно-коммуникационных технологий функционируют должным образом без каких-либо непредусмотренных или нежелательных функций;
• h) определение правил обмена информацией, касающихся цепочки поставки и любых потенциальных проблем и компромиссов между организацией и поставщиками;
• i) выполнение конкретных процессов управления жизненным циклом и доступностью компонентов информационно-коммуникационных технологий и связанными с ними рисками безопасности. Это включает в себя управление рисками, связанными с тем, что компоненты более не доступны в силу того, что их поставщики прекратили свою деятельность или прекратили поставку этих компонентов по причине развития технологий.

• a) осуществлять мониторинг уровней предоставления услуг с целью проверки соблюдения условий соглашений;
• b) анализировать отчеты об услугах, подготовленные поставщиком, и организовывать регулярные рабочие встречи, как это определено соглашениями;
• c) проводить аудиты поставщиков вместе с анализом отчетов независимых аудиторов, если они есть, и осуществлять последующие действия по выявленным проблемам;
• d) предоставлять информацию об инцидентах ИБ и анализировать эту информацию в соответствии с требованиями соглашений и любых вспомогательных методических рекомендаций и процедур;
• e) анализировать контрольные записи поставщиков и записи о событиях безопасности, эксплуатационных проблемах, сбоях, обнаруженных ошибках и нарушениях, связанных с поставляемой услугой;
• f) решать любые выявленные проблемы и управлять ими;
• g) анализировать в разрезе аспектов ИБ отношения поставщика с его подрядчиками;
• h) гарантировать, что поставщик сохраняет достаточную способность обслуживания согласно работоспособным планам, разработанным для обеспечения согласованных уровней непрерывности обслуживания при значительных сбоях и аварийных ситуациях (раздел 17).

• a) изменения в соглашениях с поставщиками;
• b) изменения, проводимые организацией, для реализации:

1. улучшения текущих предлагаемых услуг;
2. разработки любых новых прикладных программ и систем;
3. изменения или обновления политик и процедур организации;
4. новых или измененных мер для устранения инцидентов ИБ и повышения безопасности;

• c) изменения в услугах поставщика для реализации:

1. изменения и усовершенствования сетей;
2. использования новых технологий;
3. использования новых продуктов или новых версий/выпусков;
4. использования новых инструментов и сред разработки;
5. изменения физического расположения средств обслуживания;
6. смены поставщиков;
7. заключения контракта с другим субподрядчиком.

• a) должны быть установлены обязанности по управлению, чтобы гарантировать, что следующие процедуры разработаны и должным образом доведены до сведения внутри организации:

1. процедуры планирования и подготовки реагирования на инциденты;
2. процедуры мониторинга, обнаружения, анализа и информирования о событиях и инцидентах безопасности;
3. процедуры регистрации действий по управлению инцидентами;
4. процедуры обращения с криминалистическими свидетельствами;
5. оценка недостатков ИБ;
6. процедуры реагирования, включая процедуры эскалации, контролируемого восстановления после инцидента и информирования персонала внутри организации, лиц за ее пределами, а также организаций;

• b) установленные процедуры должны обеспечивать, что:

1. вопросы, связанные с инцидентами ИБ в организации, решает компетентный персонал;
2. существуют контактные лица по вопросам обнаружения и информирования об инцидентах безопасности;
3. поддерживаются соответствующие контакты с органами власти, внешними заинтересованными группами или форумами, которые занимаются вопросами, связанными с инцидентами ИБ;

• c) процедуры оповещения должны включать в себя:

1. подготовку форм оповещения о событиях безопасности для обеспечения действий по оповещению и для того, чтобы лица, сообщающие о нарушениях, могли запомнить все необходимые действия в случае, если произошло событие безопасности;
2. процедуру, которая должна быть предпринята в случае, если произошло событие ИБ, например немедленное фиксирование всех деталей, таких как вид несоответствия или нарушения, произошедший отказ, сообщения на экране и незамедлительное оповещение контактных лиц, а также принятие скоординированных действий;
3. ссылку на установленный формальный процесс принятия дисциплинарных мер к работникам, которые совершают нарушения безопасности;
4. соответствующие процессы обратной связи для обеспечения того, чтобы лица, сообщающие о событиях безопасности, были уведомлены о результатах после решения и закрытия проблемы.

• a) неэффективный контроль ИБ;
• b) нарушение ожидаемого уровня целостности, конфиденциальности или доступности информации;
• c) человеческие ошибки;
• d) несоответствия политикам или руководствам;
• e) нарушения мер физической безопасности;
• f) неконтролируемые системные изменения;
• g) неисправности программного или аппаратного обеспечения;
• h) нарушения доступа.

• a) как можно более быстрый сбор свидетельств произошедшего;
• b) проведение криминалистического анализа ИБ по мере необходимости (см. 16.1.7);
• c) эскалация, если требуется;
• d) обеспечение того, что все выполняемые действия по реагированию соответствующим образом зарегистрированы для дальнейшего анализа;
• e) информирование о факте инцидента ИБ или любых существенных деталях о нем других лиц из числа самой организации или сторонних организаций в соответствии с принципом "необходимого знания";
• f) устранение недостатка(ов) ИБ, которые могут стать причиной или способствовать возникновению инцидента;
• g) после того, как инцидент успешно отработан, необходимо формально закрыть и записать его.

• a) цепочку поставок;
• b) безопасность свидетельств;
• c) безопасность персонала;
• d) роли и обязанности задействованного персонала;
• e) компетентность персонала;
• f) документацию;
• g) инструктаж.

• a) наличие адекватной структуры управления по подготовке, реагированию и снижению последствий от неблагоприятных событий, включающей персонал, обладающий необходимым опытом, компетенциями и полномочиями;
• b) утверждение ответственного персонала по реагированию на инциденты, обладающего необходимыми полномочиями и компетенциями, для управления инцидентами и обеспечения ИБ;
• c) разработку и утверждение документированных планов, процедур реагирования и восстановления, подробно описывающих, как организация будет справляться с неблагоприятным событием и будет поддерживать ИБ на заранее определенном уровне, основанном на утвержденных руководством целях обеспечения непрерывности ИБ (см. 17.1.1).

• a) меры обеспечения ИБ в процессах обеспечения непрерывности бизнеса или восстановления после аварийных ситуаций, процедуры, вспомогательные системы и инструменты;
• b) процессы, процедуры и изменения для поддержания существующих мер обеспечения ИБ во время неблагоприятных ситуаций;
• c) компенсирующие меры для тех мер обеспечения ИБ, которые не могут поддерживаться во время неблагоприятной ситуации.

• a) осуществления и тестирования функциональности процессов, процедур и мер непрерывности ИБ для гарантии их соответствия целям обеспечения непрерывности ИБ;
• b) осуществления и тестирования осведомленности и порядка управления процессами, процедурами и мерами непрерывности ИБ для гарантии того, что их выполнение соответствует целям обеспечения непрерывности ИБ;
• c) анализа пригодности и эффективности мер непрерывности ИБ при изменении информационных систем, процессов, процедур и мер обеспечения ИБ или процессов и решений менеджмента непрерывности бизнеса/восстановления после аварий.

• a) выпуск политики соблюдения прав на интеллектуальную собственность, которая определяет законное использование программного обеспечения и информационных продуктов;
• b) приобретение программного обеспечения только у известных и доверенных источников для гарантии того, что авторское право не нарушается;
• c) поддержание осведомленности о политике защиты прав интеллектуальной собственности и уведомление о намерении принять дисциплинарные меры в отношении нарушителей;
• d) ведение соответствующих реестров активов и идентификация всех активов с требованиями по защите прав интеллектуальной собственности;
• e) сохранение подтверждений и свидетельств прав собственности на лицензии, диски с дистрибутивами, руководства и т.д.;
• f) внедрение мер обеспечения ИБ для гарантии того, чтобы не было превышено максимальное количество пользователей, установленное в рамках лицензии;
• g) проведение проверок на предмет того, что установлено только авторизованное программное обеспечение и лицензионные продукты;
• h) предоставление политики по поддержке соответствующих лицензионных соглашений;
• i) предоставление политики по утилизации или передаче программного обеспечения другим лицам;
• j) соблюдение условий использования программного обеспечения и информации, полученных из общедоступных сетей;
• k) не дублировать, конвертировать и извлекать информацию из коммерческих записей (видео, аудио), если это нарушает законы об авторском праве;
• l) не копировать полностью или частично книги, статьи, отчеты и другие документы, кроме разрешенных законом об авторском праве.

• a) должны быть выпущены руководящие принципы по срокам, хранению, обработке и утилизации записей и информации;
• b) должен быть составлен график хранения с указанием записей и периода времени, в течение которого они должны храниться;
• c) следует вести перечень источников ключевой информации.

• a) ограничения на импорт или экспорт компьютерного оборудования и программного обеспечения, выполняющего криптографические функции;
• b) ограничения на импорт или экспорт компьютерного оборудования и программного обеспечения, спроектированного с учетом того, что в них могут быть добавлены криптографические функции;
• c) ограничения на использование шифрования;
• d) обязательные или добровольные методы доступа государственных органов к информации, зашифрованной с использованием аппаратного или программного обеспечения для обеспечения конфиденциальности информации.

• a) выявить причины несоответствия;
• b) оценить необходимость выполнения действий для обеспечения соответствия;
• c) принять соответствующие корректирующие меры;
• d) проверить эффективность предпринятых корректирующих действий и выявить любые недостатки или слабости.