Информационная безопасность



     объем закупок |          

Регуляторы безопасности для минимального уровня ИБ - часть 2


В него вносятся изменения, отражающие изменения в компании и в ее информационной системе либо проблемы, выявленные при реализации плана или при оценке регуляторов безопасности.
  • Планирование безопасности: правила поведения. В организации устанавливается и доводится до сведения пользователей ИС набор правил, описывающих обязанности и ожидаемое поведение по отношению к использованию информации и информационной системы. Прежде чем получить доступ к ИС и ее информационным ресурсам, пользователи подписывают подтверждение того, что они прочитали, поняли и согласны выполнять предписанные правила поведения.
  • Планирование безопасности: оценка приватности. В компании проводится оценка выполнения в ИС требований приватности.
  • Закупка систем и сервисов: политика и процедуры. Разрабатываются, распространяются, периодически пересматриваются и изменяются:

    • официальная документированная политика закупки систем и сервисов, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальные документированные процедуры, способствующие проведению в жизнь политики и ассоциированных регуляторов закупки систем и сервисов.
  • Закупка систем и сервисов: выделение ресурсов. Определение, документирование и выделение ресурсов, необходимых для адекватной защиты информационной системы в компании, являются частью процессов капитального планирования и управления инвестициями.
  • Закупка систем и сервисов: поддержка жизненного цикла. Организация управляет информационной системой, применяя методологию поддержки жизненного цикла с учетом аспектов информационной безопасности.
  • Закупка систем и сервисов: закупки. В контракты на закупку включаются требования и/или спецификации безопасности, основанные на результатах оценки рисков.
  • Закупка систем и сервисов: документация. Необходимо обеспечить наличие, защиту и распределение авторизованным должностным лицам компании адекватной документации на информационную систему и ее составные части.
  • Закупка систем и сервисов: ограничения на использование программного обеспечения. Организация обеспечивает выполнение существующих ограничений на использование программного обеспечения.
  • Закупка систем и сервисов: программное обеспечение, устанавливаемое пользователями. Необходимо проводить в жизнь явно сформулированные правила, касающиеся загрузки и установки пользователями программного обеспечения.
  • Закупка систем и сервисов: аутсорсинг информационных сервисов. Необходимо следить, чтобы внешние организации, предоставляющие информационные сервисы, применяли адекватные регуляторы безопасности, соответствующие действующему законодательству и условиям контракта, а также отслеживать адекватность регуляторов безопасности.
  • Сертификация, аккредитация и оценка безопасности: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:




    Содержание  Назад  Вперед