Раскройте весь потенциал своих проектов.
Показать всю карту
Копировать/изменить Копировать

ISO 27002:Информационные технологии - Методы защиты – Свод рекомендуемых правил для управления ...

Другое
Евгений Верещагин
Начать. Это бесплатно
или регистрация c помощью Вашего email-адреса
Похожие Интеллект-Карты План Интеллект-Карты
ISO 27002:Информационные технологии - Методы защиты – Свод рекомендуемых правил для управления информационной безопасностью создатель Mind Map: ISO 27002:Информационные технологии - Методы защиты – Свод рекомендуемых правил для управления информационной безопасностью

1. 0.Введение

2. 1. Область применения

3. 2.Нормативные ссылки

4. 3. Термины и определения

5. 14 Приобретение, разработка и обслуживание систем

5.1. 14.1 Требования по безопасности информационных систем

5.1.1. 14.1.1Анализ и установление требований по информационной безопасности

5.1.2. 14.1.2Защита прикладных услуг в сетях общего пользования

5.1.3. 14.1.3Защита операций прикладных услуг

5.2. 14.2 Безопасность в процессах разработки и поддержки

5.2.1. 14.2.1Политика безопасности при разработке

5.2.2. 14.2.2Процедуры управления системными изменениями

5.2.3. 14.2.3Технический анализ приложений после изменения операционной платформы

5.2.4. 14.2.4Ограничения на изменения в пакетах программ

5.2.5. 14.2.5Принципы разработки защищенных систем

5.2.6. 14.2.6Безопасная среда разработки

5.2.7. 14.2.7Разработка, переданная на аутсорсинг

5.2.8. 14.2.8Тестирование защищенности системы

5.2.9. 14.2.9Приемочное тестирование системы

5.3. 14.3 Данные для тестирования

5.3.1. 14.3.1Защита данных для тестирования

6. 16 Управление инцидентами информационной безопасности

6.1. 16.1 Управление инцидентами информационной безопасности и улучшения

6.1.1. 16.1.1Обязанности и процедуры

6.1.2. 16.1.2Оповещение о событиях, связанных с информационной безопасностью

6.1.3. 16.1.3Оповещение об уязвимостях в информационной безопасности

6.1.4. 16.1.4Оценка и решение по событиям информационной безопасности

6.1.5. 16.1.5Ответные меры на инциденты информационной безопасности

6.1.6. 16.1.6Излечение уроков из инцидентов информационной безопасности

6.1.7. 16.1.7Сбор свидетельств

7. 18 Соответствие

7.1. 18.1 Соответствие законодательным и контрактным требованиям

7.1.1. 18.1.1Определение действующих законодательных и контрактных требований

7.1.2. 18.1.2Права интеллектуальной собственности

7.1.3. 18.1.3Защита записей

7.1.4. 18.1.4Конфиденциальность и защита персональных данных

7.1.5. 18.1.5Регламентация применения криптографических средств

7.2. 18.2 Анализ информационной безопасности

7.2.1. 18.2.1Независимый анализ информационной безопасности

7.2.2. 18.2.2Соответствие политикам безопасности и стандартам

7.2.3. 18.2.3Анализ технического соответствия

8. 4.Структура данного стандарта

8.1. 4.1 Разделы

8.2. 4.2 Категории средств реализации

9. 5 Политики информационной безопасности

9.1. 5.1 Ориентация менеджмента на информационную безопасность

9.1.1. 5.1.1 Политики информационной безопасности

9.1.2. 5.1.2 Пересмотр политик информационной безопасности

10. 6 Организация информационной безопасности

10.1. 6.1 Внутренняя организация

10.1.1. 6.1.1 Должностные функции и обязанности, связанные с информационной безопасностью

10.1.2. 6.1.2 Разделение обязанностей

10.1.3. 6.1.3 Контакты с полномочными органами

10.1.4. 6.1.4 Контакты с профессиональными сообществами

10.1.5. 6.1.5 Информационная безопасность в управлении проектами

10.2. 6.2 Мобильные устройства и удаленная работа

10.2.1. 6.2.1 Политика в отношении мобильных устройств

10.2.2. 6.2.2 Удаленная работа

11. 7 Безопасность персонала

11.1. 7.1 До приема на работу

11.1.1. 7.1.1 Предварительная проверка

11.1.2. 7.1.2 Условия трудового соглашения

11.2. 7.2 В период занятости

11.2.1. 7.2.1 Ответственность руководства

11.2.2. 7.2.3 Дисциплинарные меры

11.2.3. 7.2.2 Осведомленность, образование и обучение в сфере информационной безопасности

11.3. 7.3 Прекращение и изменение трудовых отношений

11.3.1. 7.3.1 Освобождение от обязанностей или их изменение

12. 8 Управление активами

12.1. 8.1 Ответственность за активы

12.1.1. 8.1.1 Инвентаризация активов

12.1.2. 8.1.2 Владение активами

12.1.3. 8.1.3 Надлежащее использование активов

12.2. 8.2 Классификация информации

12.2.1. 8.2.1 Классификация информации

12.2.2. 8.2.2 Маркировка информации

12.2.3. 8.2.3 Обращение с активами

12.3. 8.3 Обращение с носителями информации

12.3.1. 8.3.1 Управление съемными носителями информации

12.3.2. 8.3.2 Утилизация носителей информации

12.3.3. 8.3.3 Физическое перемещение носителей информации

13. 9 Контроль доступа

13.1. 9.1 Диктуемые бизнесом требования к контролю доступа

13.1.1. 9.1.1 Политика контроля доступа

13.1.2. 9.1.2 Доступ к сетям и сетевым службам

13.2. 9.2 Управление доступом пользователей

13.2.1. 9.2.1 Регистрация и отмена регистрации пользователя

13.2.2. 9.2.2 Предоставление доступа пользователю

13.2.3. 9.2.3 Управление привилегированными правами доступа

13.2.4. 9.2.4 Управление секретной информацией аутентификации пользователей

13.2.5. 9.2.5 Пересмотр прав доступа пользователей

13.2.6. 9.2.6 Отмена или изменение прав доступа

13.3. 9.3 Обязанности пользователей

13.3.1. 9.3.1 Использование секретной информации аутентификации

13.4. 9.4 Контроль доступа к системе и приложениям

13.4.1. 9.4.1 Ограничения доступа к информации

13.4.2. 9.4.2 Безопасные процедуры входа в систему

13.4.3. 9.4.3 Система управления паролями

13.4.4. 9.4.4 Использование утилит с привилегированными правами

13.4.5. 9.4.5 Контроль доступа к исходным кодам

14. 10 Криптография

14.1. 10.1 Криптографические методы защиты

14.1.1. 10.1.2Управление ключами

15. 11 Физическая защита и защита от внешних воздействий

15.1. 11.1 Охраняемые зоны

15.1.1. 11.1.1 Физический периметр безопасности

15.1.2. 11.1.2 Средства контроля прохода

15.1.3. 11.1.3 Защита офисов, помещений и оборудования

15.1.4. 11.1.4 Защита от внешних угроз и угроз природного характера

15.1.5. 15.1.1Политика информационной безопасности в отношениях с поставщиками

15.1.6. 11.1.5 Работа в охраняемых зонах

15.1.7. 11.1.6 Зоны доставки и отгрузки

15.2. 11.2 Оборудование

15.2.1. 11.2.1 Размещение и защита оборудования

15.2.2. 11.2.2 Службы обеспечения

15.2.3. 11.2.3 Защита кабельных сетей

15.2.4. 11.2.5 Вынос активов

15.2.5. 11.2.6 Защита оборудования и активов вне территории

15.2.6. 11.2.7 Безопасная утилизация или повторное использование оборудования

15.2.7. 11.2.8 Оборудование пользователя, оставленное без присмотра

16. 12 Безопасность производственной деятельности

16.1. 12.1 Рабочие процедуры и обязанности

16.1.1. 12.1.1Документированные рабочие процедуры

16.1.2. 12.1.2Управление изменениями

16.1.3. 12.1.3Управление производительностью

16.1.4. 12.1.4Разделение среды разработки, тестирования и эксплуатации

16.2. 12.2 Защита от вредоносного кода

16.2.1. 12.2.1Меры защиты от вредоносного кода

16.2.1.1. 10.1.1Политика использования криптографических методов защиты

16.3. 12.3 Резервное копирование

16.3.1. 12.3.1Резервное копирование информации

16.4. 12.4 Ведение журналов и мониторинг

16.4.1. 12.4.1 Регистрация событий

16.4.2. 12.4.2 Защита информации в журналах

16.4.3. 12.4.3 Журналы действий администратора и оператора

16.4.4. 12.4.4Синхронизация часов

16.5. 12.5 Контроль эксплуатируемого программного обеспечения

16.5.1. 12.5.1Установка программ в эксплуатируемых системах

16.6. 12.6 Управление техническими уязвимостями

16.6.1. 12.6.1Управление техническими уязвимостями

16.6.2. 12.6.2Ограничения на установку программного обеспечения

16.7. 12.7 Ограничения на аудит информационных систем

16.7.1. 12.7.1Средства управления аудитом информационных систем

17. 13 Безопасность обмена информацией

17.1. 13.1 Управление сетевой безопасностью

17.1.1. 13.1.1 Средства управления сетями

17.1.2. 13.1.2 Безопасность сетевых сервисов

17.1.3. 13.1.3 Разделение в сетях

17.2. 13.2 Передача информации

17.2.1. 13.2.1Политики и процедуры передачи информации

17.2.2. 13.2.2Соглашения по передаче информации

17.2.3. 13.2.3Электронные сообщения

18. 15 Отношения с поставщиками

18.1. 15.1 Информационная безопасность в отношениях с поставщиками

18.1.1. 15.1.2 Решение вопросов безопасности в соглашениях с поставщиками

18.1.2. 15.1.3Цепочка поставок информационно-коммуникационных технологий

18.2. 15.2 Управление предоставлением услуги поставщиком

18.2.1. 15.2.1Мониторинг и анализ услуг поставщика

18.2.2. 15.2.2Управление изменениями в услугах поставщика

19. 17 Аспекты информационной безопасности в менеджменте непрерывности бизнеса

19.1. 17.1 Непрерывность информационной безопасности

19.1.1. 17.1.1Планирование непрерывности информационной безопасности

19.1.2. 17.1.2Обеспечение непрерывности информационной безопасности

19.1.3. 17.1.3Проверка, анализ и оценка непрерывности информационной безопасности

19.2. 17.2 Резервирование

19.2.1. 17.2.1Возможность применения средств обработки информации