обмеження доступу відповідно до вимог захисту для кожного рівня класифікації

чітке маркування всіх копій носіїв інформації для авторизованого одержувача

анулювання користувача, його прав доступу і повернення обладнання після завершення віддаленої роботи

ведення формальних записів авторизованих одержувачів активів

відповідність захисту будь-яких копій інформації рівню захисту вихідної інформації

паролі постачальника, встановлені за замовчуванням, необхідно змінити після інсталяції систем або ПО

пароль не містить того, що можна легко вгадати, чи будь-яку персональну інформацію (наприклад, імена, номери телефонів, дати народження і т.д.)

пароль невразливий для словникових атак (тобто не містить слів, включених в словники)

пароль не містить поспіль однакових символів, тільки цифрових або тільки буквених

пароль можна легко запам'ятати

вимоги до періодичного перегляду управління доступом

поділ ролей розмежування доступу, наприклад, запит доступу, авторизація доступу, адміністрування доступу

анулювання прав доступу

ведення централізованих записів прав доступу, наданих кодів користувача для доступу до ІС і сервісів

вимоги до формальної авторизації прав доступу

носії видаються уповноваженимии особами лише на час обробки інформації, яка на них зберігається

вимоги щодо управління носіями в стандарті відсутні

вся інформація в обов'язковому порядку копіюється на два незалежних носії

якщо конфіденційність і цілісність даних вважається важливим, для їх захисту на носії повинні використовуватися засоби криптографії

після обробки інформація на носіях знищується

ISO/IEC 27002:2013

ISO/IEC 17065:201

ISO/IEC 27005: 2010

ISO/IEC 27001:2018

ISO/IEC 15408-1:2009

що необхідно відстежувати і вимірювати, в тому числі процеси ІБ і елементи управління

загрози ІБ

критерії ІБ

цілі ІБ

ризики ІБ

встановлює вимоги, яким повинна задовольнити послуга, щоб забезпечити свою відповідність призначенню

встановлює вимоги, яким має задовольняти виріб (група виробів), щоб забезпечити свою відповідність призначенню

встановлює вимоги, яким повинен задовольняти процес, щоб забезпечити свою відповідність призначенню

має широку сферу поширення або містить загальні положення для певної області (організаційно-методичні, загальнотехнічні і термінологічні)

встановлює методи випробування, наприклад, використання статистичних методів і порядок проведення випробувань регіональні

Нормативні посилання

Терміни та визначення

Сфера застосування

Вимоги до засобів захисту

Контекст організації

застосування відповідних заходів захисту для зниження ризиків

усвідомлене і об'єктивне прийняття ризиків в суворій відповідності з політикою організації і критерієм прийняття ризику

запобігання ризикам шляхом виключення дій, що призводять до появи ризиків

обмін пов'язаними ризиками з іншими сторонами, наприклад, страховиками або постачальниками

процес осмислення природи ризику та визначення рівня ризику

в даний час не використовується. Має історичне значення, як перший стандарт ІБ

використовується в Міністерстві оборони США

використовується як первинний документ для стандарту ISO/IEC 17799 СУІБ. Звід практичних правил УІБ

використовується як первинний документ для стандарту ISO/IEC 27002 СУІБ. Звід норм і правил УІБ

використовується як первинний документ для стандарту ISO/IEC 27001 СУІБ. Вимоги