Международный стандарт iso 17799
жүктеу/скачать 0.79 Mb. Pdf көрінісі
|
| ISO/EIC 17799:2000
© ISO/EIC 2000 © Перевод компании Информзащита 2004 20 1) процедуры защиты ресурсов организации, в том числе информации и программного обеспечения; 2) процедуры, позволяющие определить факты компрометации ресурсов, например, потерю или модификацию данных; 3) средства, гарантирующие возврат или уничтожение информации и ресурсов по истечении срока контракта или на оговоренном этапе; 4) целостность и доступность; 5) ограничения на копирование и раскрытие информации; c) описание всех предоставляемых услуг; d) целевой уровень услуг и неприемлемые уровни услуг; e) порядок допуска персонала поставщика к информации и ресурсам; f) е) соответствующие обязательства сторон, заключающих договор; g) ж) ответственность, связанная с требованиями законодательства, например, законов о защите данных; в том случае, если контракт подразумевает сотрудничество с организациями в других странах, необходимо уделить особое внимание законодательным системам других стран (см. также раздел 12.1); h) з) права на интеллектуальную собственность, присвоение авторских прав (см. раздел 12.1.2) и защита совместной работы (см. также раздел 6.1.3). i) и) соглашения по контролю доступа, включая: 1) разрешенные методы доступа, а также контроль и использование уникальных идентификаторов, например, пользовательских идентификаторов и паролей; 2) процесс авторизации для получения пользовательского доступа и привилегий; 3) необходимость обязательной поддержки списка лиц, имеющих полномочия на использование предоставленных услуг, с указанием их прав и привилегий в отношении такого использования; j) к) определение поддающихся проверке критериев эффективности, методов их мониторинга и отчетности; k) л) право на мониторинг деятельности пользователей и прекращение доступа; l) м) право на аудит обязанностей по контракту или выполнение этого аудита сторонней организацией; m) н) установление процесса эскалации для решения проблем; при необходимости следует также предусмотреть возможность возникновения нештатных ситуаций; n) о) обязанности по установке и обслуживанию оборудования и программного обеспечения; o) п) четкая структура отчетности и согласованные форматы отчетов; p) р) четкий и определенный процесс организации внесения изменений; q) с) все необходимые средства физической защиты и механизмы, обеспечивающие соблюдение принятых мер; r) т) подготовка пользователей и администраторов в области методов, процедур и безопасности; s) у) средства защиты от злонамеренного программного обеспечения (см. раздел 8.3). |