фізична та екологічна безпека

класифікація активів

управління доступом

передача інформації

контакт зі спеціальними групами

визначення відповідальності різних ролей з урахуванням специфіки управління ІБ

контрольовану зону розповсюдження сигналу

особистої відповідальність за кожен мобільний пристрій

захист від технічних каналів витоку інформації мобільних пристроїв

вимоги до версій ПЗ мобільних пристроїв і застосування патчів

необхідно уникати неконтрольованої роботи в зонах безпеки з міркувань безпеки і запобігання можливості зловмисних дій

використання фото-, відео-, аудіо- та іншого обладнання для запису, такого як камери мобільних пристроїв, має бути заборонено, якщо тільки на це не отримано спеціальний дозвіл

необхідно фізично ізолювати засоби обробки інформації, керовані організацією, від таких же засобів, керованих сторонніми організаціями

про існування зон безпеки і проводимих там роботах персонал повинен бути обізнаний тільки в разі потреби

порожні зони безпеки необхідно фізично замикати і періодично переглядати

мати захист від шкідливого ПЗ

обмежувати час з'єднання для забезпечення додаткової безпеки для прикладних програм підвищеного ризику і зменшення тимчасових можливостей неавторизованого користувача

забезпечувати резервне копіювання

використовувати веб-сервіси і веб-додатки

використовувати дистанційне виключення, видалення або блокування

обмеження доступу відповідно до вимог захисту для кожного рівня класифікації

чітке маркування всіх копій носіїв інформації для авторизованого одержувача

анулювання користувача, його прав доступу і повернення обладнання після завершення віддаленої роботи

ведення формальних записів авторизованих одержувачів активів

відповідність захисту будь-яких копій інформації рівню захисту вихідної інформації

паролі постачальника, встановлені за замовчуванням, необхідно змінити після інсталяції систем або ПО

пароль не містить того, що можна легко вгадати, чи будь-яку персональну інформацію (наприклад, імена, номери телефонів, дати народження і т.д.)

пароль невразливий для словникових атак (тобто не містить слів, включених в словники)

пароль не містить поспіль однакових символів, тільки цифрових або тільки буквених

пароль можна легко запам'ятати

вимоги до періодичного перегляду управління доступом

поділ ролей розмежування доступу, наприклад, запит доступу, авторизація доступу, адміністрування доступу

анулювання прав доступу

ведення централізованих записів прав доступу, наданих кодів користувача для доступу до ІС і сервісів

вимоги до формальної авторизації прав доступу

носії видаються уповноваженимии особами лише на час обробки інформації, яка на них зберігається

вимоги щодо управління носіями в стандарті відсутні

вся інформація в обов'язковому порядку копіюється на два незалежних носії

якщо конфіденційність і цілісність даних вважається важливим, для їх захисту на носії повинні використовуватися засоби криптографії

після обробки інформація на носіях знищується

ISO/IEC 27002:2013

ISO/IEC 17065:201

ISO/IEC 27005: 2010

ISO/IEC 27001:2018

ISO/IEC 15408-1:2009

що необхідно відстежувати і вимірювати, в тому числі процеси ІБ і елементи управління

загрози ІБ

критерії ІБ

цілі ІБ

ризики ІБ