Document Outline - Предисловие
- Введение
- Что такое информационная безопасность?
- Зачем нужна информационная безопасность
- Определение требований к безопасности
- Оценка рисков, связанных с информационной безопасностью
- Выбор средств защиты
- Основа информационной безопасности
- Ключевые факторы успеха
- Разработка собственных правил
- 1 Область применения
- 2 Термины и определения
- 2.1 Информационная безопасность
- 2.2 Оценка рисков
- 2.3 Управление рисками
- 3 Политика безопасности
- 3.1 Политика информационной безопасности
- 3.1.1 Описание политики информационной безопасности
- 3.1.2 Обновление и оценка
- 4 Организационная безопасность
- 4.1 Инфраструктура информационной безопасности
- 4.1.1 Совет по управлению информационной безопасностью
- 4.1.2 Координация в области информационной безопасности
- 4.1.3 Распределение обязанностей, связанных с информационной
- 4.1.4 Процесс утверждения средств обработки информации
- 4.1.5 Консультации специалистов по информационной безопаснос
- 4.1.6 Сотрудничество между организациями
- 4.1.7 Независимая оценка информационной безопасности
- 4.2 Безопасность доступа со стороны внешних пользователей
- 4.2.1 Определение рисков, связанных с доступом со стороны вн
- 4.2.2 Требования к безопасности при контрактах со сторонними
- 4.3 Контракты на аутсорсинг
- 4.3.1 Требования к безопасности в контрактах на аутсорсинг
- 5 Классификация и контроль ресурсов
- 5.1 Ответственность за ресурсы
- 5.2 Классификация информации по уровню конфиденциальности
- 5.2.1 Принципы классификации
- 5.2.2. Маркирование информации и обращение с маркированой ин
- 6 Вопросы безопасности, связанные с персоналом
- 6.1 Безопасность при формулировке заданий и наборе сотрудник
- 6.1.1 Включение безопасности в круг должностных обязанностей
- 6.1.2 Отбор персонала и политика приема на работу
- 6.1.3 Соглашения о конфиденциальности
- 6.1.4 Договор о приеме на работу
- 6.2 Обучение пользователей
- 6.2.1 Обучение и подготовка в области информационной безопас
- 6.3 Реакция на инциденты и сбои в работе
- 6.3.1 Уведомление об инцидентах
- 6.3.2 Уведомление недостатках в системе безопасности
- 6.3.3 Уведомление о сбоях в программном обеспечении
- 6.3.4 Изучение инцидентов
- 6.3.5 Дисциплинарные взыскания
- 7 Физическая безопасность и защита территорий
- 7.1 Защищенные территории
- 7.1.1 Физический периметр безопасности
- 7.1.2 Управление физическим доступом
- 7.1.3 Защита зданий, помещений и оборудования
- 7.1.4 Работа на защищенных территориях
- 7.1.5 Изолированные площадки для погрузоразгрузочных работ
- 7.2 Безопасность оборудования
- 7.2.1 Установка и защита оборудования
- 7.2.2 Источники питания
- 7.2.3 Защита кабельной системы
- 7.2.4 Профилактическое обслуживание оборудования
- 7.2.5 Безопасность оборудования за пределами организации
- 7.2.6 Безопасная утилизация и повторное использование оборуд
- 7.3 Общие меры
- 7.3.1 Удаление лишних документов со столов и экранов
- 7.3.2 Вывоз имущества
- 8 Обеспечение безопасности при эксплуатации
- 8.1 Правила работы и обязанности
- 8.1.1 Документированные правила работы
- 8.1.2 Контроль внесения изменений в эксплуатацию
- 8.1.3 Действия в случае инцидентов
- 8.1.4 Разделение полномочий
- 8.1.5 Разделение областей разработки и эксплуатации
- 8.1.6 Внешнее управление средствами обработки информации
- 8.2 Планирование разработки и приемка системы
- 8.3 Защита от злонамеренного программного обеспечения
- 8.3.1 Средства борьбы со злонамеренными программами
- 8.4 Служебные процедуры
- 8.4.1 Резервное копирование информации
- 8.4.2 Журналы операторов
- 8.4.3 Регистрация сбоев
- 8.5 Управление вычислительными сетями
- 8.5.1 Средства обеспечения безопасности сетей
- 8.6 Обращение с носителями и их безопасность
- 8.6.1 Обращение со съемными компьютерными носителями
- 8.6.2 Утилизация носителей
- 8.6.3 Правила обращения с информацией
- 8.6.4 Безопасность системной документации
- 8.7 Обмен информацией и программным обеспечением
- 8.7.1 Соглашения по обмену информацией и программным обеспеч
- 8.7.2 Безопасность носителей при передаче
- 8.7.3 Безопасность электронной коммерции
- 8.7.4 Безопасность электронной почты
- 8.7.5 Безопасность электронных офисных систем
- 8.7.6 Общедоступные системы
- 8.7.7 Другие формы обмена информацией
- 9 Контроль доступа
- 9.1 Требования к контролю доступа в организации
- 9.1.1 Политика контроля доступа
- 9.2 Управление доступом пользователей
- 9.2.1 Регистрация пользователей
- 9.2.2 Управление привилегиями
- 9.2.3 Управление паролями пользователей
- 9.2.4 Проверка прав доступа пользователей
- 9.3 Обязанности пользователей
- 9.3.1 Использование паролей
- 9.3.2 Оборудование, остающееся без присмотра
- 9.4 Контроль доступа к вычислительной сети
- 9.4.1 Политика использования сетевых сервисов
- 9.4.2 Фиксированные (enforced) маршруты
- 9.4.3 Аутентификация пользователей для внешних подключений
- 9.4.4 Аутентификация узлов
- 9.4.5 Защита удаленных диагностических портов
- 9.4.6 Разделение вычислительных сетей
- 9.4.7 Контроль сетевых подключений
- 9.4.8 Контроль сетевой маршрутизации
- 9.4.9 Безопасность сетевых сервисов
- 9.5 Контроль доступа к операционным системам
- 9.5.1 Автоматическая идентификация терминалов
- 9.5.2 Процедуры входа в систему с помощью терминала
- 9.5.3 Идентификация и аутентификация пользователей
- 9.5.4 Система управления паролями
- 9.5.5 Использование системных утилит
- 9.5.6 Сигнал тревоги для защиты пользователей
- 9.5.7 Отключение терминалов по тайм-ауту
- 9.5.8 Ограничение времени соединения
- 9.6 Контроль доступа к приложениям
- 9.6.1 Ограничение доступа к информации
- 9.6.2 Изоляция конфиденциальных систем
- 9.7 Мониторинг доступа и использования системы
- 9.8 Мобильные компьютеры и средства удаленной работы
- 9.8.1 Мобильные компьютеры
- 9.8.2 Средства удаленной работы
- 10 Разработка и обслуживание систем
- 10.1 Требования к безопасности систем
- 10.1.1 Анализ и определение требований к безопасности
- 10.2 Безопасность в прикладных системах
- 10.2.1 Проверка вводимых данных
- 10.2.2 Контроль обработки информации
- 10.2.3 Аутентификация сообщений
- 10.2.4 Проверка результатов работы
- 10.3 Криптографические средства
- 10.3.1 Политика использования криптографических средств
- 10.3.2 Шифрование
- 10.3.3 Цифровые подписи
- 10.3.4 Обеспечение неотказуемости
- 10.3.5 Управление ключами
- 10.4 Безопасность системных файлов
- 10.4.1 Контроль используемого программного обеспечения
- 10.4.2 Защита данных, используемых для тестирования
- 10.4.3 Контроль доступа к библиотекам исходного кода програм
- 10.5 Безопасность при разработке и поддержке
- 10.5.1 Правила управления внесением изменений
- 10.5.2 Техническая проверка изменений в операционной системе
- 10.5.3 Ограничения на изменения в программных пакетах
- 10.5.4 «Черные ходы» и троянский код
- 10.5.5 Разработка программ внешним разработчиком
- 11 Обеспечение непрерывности бизнеса
- 11.1 Аспекты обеспечения непрерывности бизнеса
- 11.1.1 Процесс обеспечения непрерывности бизнеса
- 11.1.2 Непрерывность бизнеса и анализ ущерба
- 11.1.3 Разработка и внедрение планов обеспечения непрерывнос
- 11.1.4 Структура планирования обеспечения непрерывности бизн
- 11.1.5 Тестирование, поддержка и повторная оценка планов обе
- 12 Соответствие требованиям
- 12.1 Соответствие требованиям законодательства
- 12.1.1 Определение применяемого законодательства
- 12.1.2 Права интеллектуальной собственности
- 12.1.3 Защита документов организации
- 12.1.4 Защита данных и сохранение тайны персональных данных
- 12.1.5 Предотвращение неправомерного использования средств о
- 12.1.6 Ограничения на использование криптографических средст
- 12.1.7 Сбор улик
- 12.2 Проверка политики безопасности и соответствие техническ
- 12.2.1 Соответствие политике безопасности
- 12.2.2 Проверка соответствия техническим требованиям
- 12.3 Рекомендации по аудиту систем
- 12.3.1 Средства аудита систем
- 12.3.2 Защита средств аудита систем
Достарыңызбен бөлісу: |
