27001 vs ОАЦ - 2021

Приложение A ISO/IEC 27001:2013
A.5 Политики в области безопасности

A.5.1 Направляющая роль руководства в сфере информационной безопасности
A.5.1.1 Политики информационной безопасности
А.5.1.2 Пересмотр политик информационной безопасности

A.6 Организация информационной безопасности
A.6.1 Внутренняя организация
A.6.1.1 Роли и ответственность в области Информационной безопасности
A.6.1.2 Разделение обязанностей
A.6.1.3 Взаимодействие с органами власти

A.6.1.4 Взаимодействие со специальными заинтересованными группами
A.6.1.5 Информационная безопасность при управлении проектами
A.6.2 Мобильные устройства и удаленная работа
A.6.2.1 Политика в отношении мобильных устройств
A.6.2.2 Удаленная работа

A.7 Безопасность, связанная с персоналом
A.7.1 До приема на работу
A.7.1.1 Отбор
A.7.1.2 Сроки и условия найма
A.7.2 Во время работы
A.7.2.1 Ответственность руководства
A.7.2.2 Осведомленность в сфере информационной безопасности, обучение и тренинги
A.7.2.3 Дисциплинарный процесс

A.7.3 Увольнение и изменение должности
A.7.3.1 Увольнение или изменение должностных обязанностей
A.8 Управление активами
A.8.1 Ответственность за активы
A.8.1.1 Инвентаризация активов
A.8.1.2 Владение активами

A.8.1.3 Допустимое использование активов
A.8.1.4 Возврат активов

A.8.2 Классификация информации
A.8.2.1 Классификация информации
A.8.2.2 Маркировка информации
A.8.2.3 Обращение с активами
A.8.3 Обращение с носителями информации
A.8.3.1 Управление съемными носителями
A.8.3.2 Утилизация носителей информации
A.8.3.3 Физическое перемещение носителей информации
A.9 Управление доступом

A.9.1 Бизнес-требования к управлению доступом
A.9.1.1 Политика управления доступом
A.9.1.2 Доступ к сетям и сетевым сервисам
A.9.2 Управление доступом пользователей

A.9.2.1 Регистрация пользователя и отмена регистрации
A.9.2.2 Предоставление доступа пользователям
A.9.2.3 Управление правами привилегированного доступа
A.9.2.4 Управление секретной информацией аутентификации пользователей
A.9.2.5 Пересмотр прав доступа пользователей
A.9.2.6 Удаление или изменение прав доступа
A.9.3 Ответственность пользователя

A.9.3.1 Использование секретной аутентификационной информации
A.9.4 Управление доступом к системам и приложениям
A.9.4.1 Ограничение доступа к информации
A.9.4.2 Процедуры безопасного входа

A.9.4.3 Система управления паролями
A.9.4.4 Использование привилегированных программных утилит
A.9.4.5 Управление доступом к исходному коду программы

A.10 Криптография
A.10.1 Криптографические средства управления
A.10.1.1 Политика использования криптографических средств управления
A.10.1.2 Управление ключами
A.11 Физическая безопасность и защита от окружающей среды

A.11.1 Зоны безопасности
A.11.1.1 Периметр физической безопасности
A.11.1.2 Средства управления физическим доступом
A.11.1.3 Безопасность офисов, помещений и оборудования
A.11.1.4 Защита от внешних угроз и угроз окружающей среды

A.11.1.5 Работа в зонах безопасности
A.11.1.6 Зоны погрузки и разгрузки
A.11.2 Оборудование
A.11.2.1 Размещение и защита оборудования
A.11.2.2 Службы обеспечения
A.11.2.3 Безопасность кабельных сетей
A.11.2.4 Техническое обслуживание оборудования
A.11.2.5 Перемещение активов
A.11.2.6 Безопасность оборудования и активов вне территории
A.11.2.7 Безопасная утилизация или повторное использование оборудования
A.11.2.8 Оборудование, оставленное без присмотра пользователя
A.11.2.9 Политика чистого стола и экрана
A.12 Операционная деятельность по обеспечению безопасности
A.12.1 Рабочие процедуры и ответственность
A.12.1.1 Документированные рабочие процедуры
A.12.1.2 Управление изменениями
A.12.1.3 Управление производительностью

A.12.1.4 Разделение среды разработки, тестирования и эксплуатации
A.12.2 Защита от вредоносных программ
A.12.2.1 Средства защиты от вредоносных программ
A.12.3 Резервное копирование

A.12.3.1 Резервное копирование информации
A.12.4 Регистрация и мониторинг
A.12.4.1 Регистрация событий

A.12.4.2 Защита зарегистрированной информации
A.12.4.3 Регистрация действий администратора и оператора
A.12.4.4 Синхронизация часов
A.12.5 Управление операционным программным обеспечением

A.12.5.1 Установка программного обеспечения в используемых операционных сист
A.12.6 Управление технической уязвимостью

A.12.6.1 Управление техническими уязвимостями
A.12.6.2 Ограничение на установку программного обеспечения
A.12.7 Аспекты аудита информационных систем

A.12.7.1 Управление аудитом информационных систем
A.13 Безопасность сети
A.13.1 Управление безопасностью сети
A.13.1.1 Средства управления сетями
A.13.1.2 Безопасность сетевых сервисов

A.13.1.3 Разделение в сетях
A.13.2 Передача информации

A.13.2.1 Политика и процедуры передачи информации
A.13.2.2 Соглашения о передаче информации

A.13.2.3 Передача электронных сообщений
A.13.2.4 Соглашения о конфиденциальности
A.14 Приобретение, разработка и сопровождение систем
A.14.1 Требования безопасности информационных систем
A.14.1.1 Анализ требований и спецификаций по информационной безопасности
A.14.1.2 Безопасность прикладных сервисов в общедоступных сетях
A.14.1.3 Защита транзакций прикладных сервисов
A.14.2 Безопасность процессов разработки и поддержки
A.14.2.1 Политика безопасности при разработке
A.14.2.2 Процедуры управления изменениями в системе
A.14.2.3 Технический анализ приложений после изменений в операционной платформе
A.14.2.4 Ограничения на изменения пакетов программ
A.14.2.5 Принципы разработки безопасных систем
A.14.2.6 Безопасная среда разработки
A.14.2.7 Аутсорсинговая разработка
A.14.2.8 Тестирование безопасности системы
A.14.2.9 Приемочное тестирование системы
A.14.3 Данные для тестирования
A.14.3.1 Защита данных для тестирования
A.15 Взаимоотношения с поставщиками
A.15.1 Информационная безопасность при взаимоотношениях с поставщиками
A.15.1.1 Политика информационной безопасности при взаимоотношениях с поставщиками
A.15.1.2 Поддержка безопасности в рамках соглашений с поставщиками
A.15.1.3 Цепочка поставок информационных и коммуникационных технологий
A.15.2 Управление предоставлением услуг поставщиком
A.15.2.1 Мониторинг и анализ услуг, оказываемых поставщиком
A.15.2.2 Управление изменениями услуг, оказываемых поставщиком
A.16 Управление инцидентами в области информационной безопасности
A.16.1 Управление инцидентами в области информационной безопасности и улучшения
A.16.1.1 Ответственность и процедуры
A.16.1.2 Сообщение о событиях информационной безопасности

A.16.1.3 Сообщение об уязвимостях в информационной безопасности
A.16.1.4 Оценка и решение по событиям информационной безопасности
A.16.1.5 Реагирование на инциденты информационной безопасности
A.16.1.6 Учет опыта инцидентов информационной безопасности
A.16.1.7 Сбор доказательств

A.17 Аспекты информационной безопасности при управлении непрерывностью бизнеса
A.17.1 Непрерывность информационной безопасности
A.17.1.1 Планирование непрерывности информационной безопасности
A.17.1.2 Внедрение непрерывности информационной безопасности

A.17.1.3 Проверка, анализ и оценка непрерывности информационной безопасности
A.17.2 Избыточность
A.17.2.1 Доступность средств обработки информации
A.18 Соответствие
A.18.1 Соответствие законодательным и договорным требованиям
A.18.1.1 Определение применимых законодательных и договорных требований
A.18.1.2 Права интеллектуальной собственности
A.18.1.3 Защита записей
A.18.1.4 Конфиденциальность и защита персональных данных
A.18.1.5 Регулирование криптографических средств
A.18.2 Анализ информационной безопасности
A.18.2.1 Независимый анализ информационной безопасности
A.18.2.2 Соответствие политикам и стандартам в области безопасности
A.18.2.3 Анализ технического соответствия
Положение о порядке технической и криптографической защиты информации в информационных системах,
предназначенных для обработки информации, распространение и (или) предоставление которой ограничено
2.1 Регламентация порядка использования в информационной системе съемных носителей информации, мобильны
технических средств и контроля за таким использованием
ение и тренинги
7.2 Обеспечение контроля за составом объектов информационной системы
7.3 Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования
2.2 Обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования

средств вычислительной техники, сетевого оборудования, системного программного обеспечения и средств защиты
информации
2.1 Регламентация порядка использования в информационной системе съемных носителей информации, мобильны
технических средств и контроля за таким использованием
2.3 Обеспечение защиты от несанкционированного доступа к резервным копиям, параметрам настройки сетевого
оборудования, системного программного обеспечения, средств защиты информации и событиям безопасности
3.1 Обеспечение разграничения доступа пользователей к средствам вычислительной техники, сетевому
оборудованию, системному программному обеспечению и средствам защиты информации
3.4 Обеспечение полномочного управления (создание, активация, блокировка и уничтожение) учетными записями
пользователей информационной системы
3.6 Обеспечение централизованного управления учетными записями пользователей информационной системы и
контроль за соблюдением правил генерации и смены паролей пользователей информационной системы
2.3 Обеспечение защиты от несанкционированного доступа к резервным копиям, параметрам настройки сетевого
оборудования, системного программного обеспечения, средств защиты информации и событиям безопасности
7.4 Использование объектов информационной системы под пользовательскими учетными записями (использовани
административных учетных записей только в случае настройки объектов информационной системы или особеннос
объектов информационной системы)
3.3 Обеспечение защиты обратной связи при вводе аутентификационной информации

3.5 Обеспечение контроля за соблюдением правил генерации и смены паролей пользователей информационной
системы
3.2 Обеспечение идентификации и аутентификации пользователей информационной системы
3.5 Обеспечение контроля за соблюдением правил генерации и смены паролей пользователей информационной
системы
7.4 Использование объектов информационной системы под пользовательскими учетными записями (использовани
административных учетных записей только в случае настройки объектов информационной системы или особеннос
объектов информационной системы)
5.1 Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей
электросвязи общего пользования (средства линейного или предварительного шифрования)
5.2 Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной
системе (средства предварительного шифрования)
5.3 Обеспечение подлинности и контроля целостности электронных документов в информационной системе
(средства выработки электронной цифровой подписи, средства проверки электронной цифровой подписи, средства
выработки личного ключа или открытого ключа электронной цифровой подписи)
5.4 Обеспечение контроля целостности данных в информационной системе (средства контроля целостности)
5.6 Обеспечение идентификации и аутентификации в информационной системе (криптографические токены)
5.5 Обеспечение конфиденциальности и контроля целостности личных ключей, используемых при выработке
электронной цифровой подписи (криптографические токены)
4.3 Обеспечение контроля и управления физическим доступом в помещения, в которых постоянно размещаются
объекты информационной системы
3.7 Обеспечение блокировки доступа к объектам информационной системы после истечения установленного
времени бездействия (неактивности) пользователя информационной системы или по его запросу
7.10 Обеспечение защиты средств вычислительной техники от вредоносных программ

7.11 Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов
данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ
7.12 Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по
почтовым протоколам, и обезвреживание обнаруженных вредоносных программ
6.4 Обеспечение резервного копирования пользовательских виртуальных машин

7.5 Определение состава и содержания информации, подлежащей резервированию
7.6 Обеспечение резервирования информации, подлежащей резервированию
7.7 Обеспечение резервирования конфигурационных файлов сетевого оборудования
1.1 Определение состава информации о событиях информационной безопасности, подлежащих регистрации

(идентификация и аутентификация пользователей, нарушения прав доступа пользователей, выявленные нарушени
информационной безопасности и другое)
1.4 Определение способа и периодичности мониторинга (просмотра, анализа) событий информационной
безопасности уполномоченными на это пользователями информационной системы
1.5 Обеспечение сбора и хранения информации о функционировании средств вычислительной техники, сетевого
оборудования и средств защиты информации в течение установленного срока хранения, но не менее одного года
1.2 Обеспечение сбора и хранения информации о событиях информационной безопасности в течение установленн
срока хранения, но не менее одного года
1.3 Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности в
течение установленного срока хранения, но не менее одного года
1.5 Обеспечение сбора и хранения информации о функционировании средств вычислительной техники, сетевого
оборудования и средств защиты информации в течение установленного срока хранения, но не менее одного года
1.1 Определение состава информации о событиях информационной безопасности, подлежащих регистрации

(идентификация и аутентификация пользователей, нарушения прав доступа пользователей, выявленные нарушени
информационной безопасности и другое)
4.4 Обеспечение синхронизации временных меток и (или) системного времени в информационной системе и систе
защиты информации
4.1 Обеспечение изменения атрибутов безопасности сетевого оборудования, системного программного обеспечен
и средств защиты информации, установленных по умолчанию
7.1 Определение перечня разрешенного программного обеспечения и регламентация порядка его установки и
использования
4.2 Обеспечение обновления объектов информационной системы

7.8 Обеспечение обновления программного обеспечения объектов информационной системы и контроля за
своевременностью такого обновления
7.21 Ежегодное проведение внешней и внутренней проверки отсутствия либо невозможности использования
нарушителем свойств программных, программно-аппаратных и аппаратных средств, которые могут быть случайно
инициированы (активированы) или умышленно использованы для нарушения информационной безопасности
системы и сведения о которых подтверждены изготовителями (разработчиками) этих объектов информационной
системы
7.1 Определение перечня разрешенного программного обеспечения и регламентация порядка его установки и
использования
6.2 Обеспечение защиты виртуальной инфраструктуры от несанкционированного доступа и сетевых атак из
виртуальной и физической сети, а также виртуальных машин
6.3 Обеспечение безопасного перемещения виртуальных машин и обрабатываемых на них данных
7.13 Обеспечение управления внешними информационными потоками (маршрутизация) между информационным
системами. Использование маршрутизатора (коммутатора маршрутизирующего)
7.14 Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только
необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, и (или)
сетевом, и (или) транспортном, и (или) сеансовом, и (или) прикладном уровнях
необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, сетевом и
прикладном уровнях
7.16 Обеспечение обнаружения и предотвращения вторжений в информационной системе. Использование сетевых
(или) поведенческих, и (или) узловых систем обнаружения и предотвращения вторжений
7.17 Обеспечение обнаружения и предотвращения вторжений в информационной системе при использовании в не
беспроводных каналов передачи данных (Wi-Fi и тому подобное). Использование беспроводных систем обнаружен
и предотвращения вторжений
7.19 Определение перечня внешних подключений к информационной системе и порядка такого подключения
7.20 Обеспечение контроля за внешними подключениями к информационной системе
6.2 Обеспечение защиты виртуальной инфраструктуры от несанкционированного доступа и сетевых атак из

виртуальной и физической сети, а также виртуальных машин
7.11 Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов
данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ
7.16 Обеспечение обнаружения и предотвращения вторжений в информационной системе. Использование сетевых
(или) поведенческих, и (или) узловых систем обнаружения и предотвращения вторжений
7.17 Обеспечение обнаружения и предотвращения вторжений в информационной системе при использовании в не
беспроводных каналов передачи данных (Wi-Fi и тому подобное). Использование беспроводных систем обнаружен
и предотвращения вторжений
7.19 Определение перечня внешних подключений к информационной системе и порядка такого подключения
7.20 Обеспечение контроля за внешними подключениями к информационной системе
6.6 Физическая изоляция сегмента виртуальной инфраструктуры (системы хранения и обработки данных),
предназначенного для обработки информации, распространение и (или) предоставление которой
ограничено, не отнесенной к государственным секретам
7.9 Обеспечение сегментирования (изоляции) сети управления объектами информационной системы от сети
передачи данных

7.18 Обеспечение обнаружения и предотвращения утечек информации из информационной системы. Использован
системы обнаружения и предотвращения утечек информации из информационной системы
ной платформе
ях с поставщиками
и улучшения
стью бизнеса
6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями усл
зопасности
6.5 Обеспечение резервирования сетевого оборудования по схеме N+1
7.2 Обеспечение контроля за составом объектов информационной системы
7.3 Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования
Положение о порядке технической и криптографической защиты информации,
обрабатываемой на критически важных объектах информатизации
20.7. обеспечение информационной безопасности критически важного объекта

информатизации и его элементов:
определение политик и процедур защиты информационной (автоматизированной)
системы и ее элементов;
20.2. управление доступом к активам критически важного объекта информатизации:

разделение прав доступа пользователей;
разделение функций по управлению активами критически важного объекта
информатизации с другими функциями;

ограничение использования мобильных устройств;
20.12. информирование и обучение персонала:

определение политик и процедур информирования и обучения персонала,
ответственности за нарушение требований по информационной безопасности критически
важного объекта информатизации;
информирование персонала об угрозах информационной безопасности критически
важного объекта информатизации, правилах безопасной работы с активами критически
проведение практических занятий с персоналом по правилам безопасной работы;
контроль осведомленности персонала об угрозах информационной безопасности
критически важного объекта информатизации и о правилах безопасной работы.
20.1. идентификация и аутентификация:
инвентаризация и контроль за активами критически важного объекта информатизации;
20.3. обращение с носителями информации:

определение политик и процедур обращения со съемными носителями информации;
учет съемных носителей информации;
управление физическим доступом к съемным носителям информации;
ограничение ввода (вывода) информации на периферийные устройства, в том числе
съемные носители информации;
регистрация и контроль за подключением съемных носителей информации;

уничтожение (удаление) информации со съемных носителей информации;
контроль за перемещением съемных носителей информации за пределы
контролируемой зоны;

определение политик и процедур идентификации и аутентификации;
определение политик и процедур управления доступом;

управление учетными записями и паролями пользователей;
разделение прав доступа пользователей;
управление привилегированными правами доступа;
использование выделенного автоматизированного рабочего места для
администрирования, требующего привилегированного доступа, не имеющего доступа к
внешним информационным сетям;

ограничение неуспешных попыток доступа к активам критически важного объекта
информатизации;
оповещение пользователя при входе о предыдущем доступе к активам критически
ограничение числа параллельных сеансов доступа;
блокирование сеанса доступа пользователя при неактивности;
ограничение защищенного удаленного доступа к активам критически важного объекта
информатизации;
контроль доступа из внешних информационных (автоматизированных) систем;
идентификация и аутентификация пользователей и инициируемых ими процессов;

управление привилегированными правами доступа;
20.8. управление конфигурацией:
определение политик и процедур управления конфигурацией информационной
(автоматизированной) системы;
идентификация объектов управления конфигурацией;
управление изменениями конфигурации;

управление запуском, установкой (инсталляцией) компонентов программного
обеспечения (приложений);
определение политик и процедур управления конфигурацией информационной
(автоматизированной) системы;
идентификация объектов управления конфигурацией;
управление изменениями конфигурации;
20.5. защита от вредоносного программного обеспечения:

определение политик и процедур защиты от вредоносного программного обеспечения;
реализация защиты от вредоносного программного обеспечения;
обновление механизмов сканирования и базы данных сигнатур вредоносного
программного обеспечения;
регистрация событий обнаружения вредоносных программ;
20.4. аудит информационной безопасности:

хранение результатов аудита безопасности;
20.6. управление процедурами резервирования:
резервное копирование информации, программного обеспечения и обеспечение
возможности восстановления из резервных копий;
резервное копирование конфигурационных файлов и журналов аудита;
обеспечение защиты резервных копий;
21. В целях постоянного мониторинга угроз безопасности критически важного объекта

информатизации владелец этого объекта:
осуществляет постоянный контроль за состоянием активов критически важного объекта
информатизации для выявления потенциальных событий информационной безопасности
критически важного объекта информатизации;

определение политик и процедур аудита информационной безопасности;
регистрация и мониторинг событий информационной безопасности;
20.5. защита от вредоносного программного обеспечения:
регистрация событий обнаружения вредоносных программ;
защита информации о событиях информационной безопасности;

аудит информации о действиях пользователей;

генерирование временных меток и (или) синхронизация системного времени;

управление запуском, установкой (инсталляцией) компонентов программного
обеспечения (приложений);

поиск уязвимостей активов критически важного объекта информатизации и их
устранение;
20.9. обновление программного обеспечения:
определение политик и процедур управления обновлениями программного обеспечения;
обновление программного обеспечения из доверенного источника;

установка (инсталляция) только разрешенного к использованию программного
обеспечения;
20.9. обновление программного обеспечения:
определение политик и процедур управления обновлениями программного обеспечения;
обновление программного обеспечения из доверенного источника;
управление сетевыми потоками;
использование межсетевых экранов;
сокрытие архитектуры и конфигурации критически важного объекта информатизации;
управление безопасной настройкой сетевых устройств (средств защиты информации);
отключение беспроводных соединений и интерфейсов;
исключение доступа через общие ресурсы;
защита от угроз отказа в обслуживании;
управление перемещением виртуальных машин и обрабатываемых на них данных;

управление безопасной настройкой сетевых устройств (средств защиты информации);
отключение беспроводных соединений и интерфейсов;
управление перемещением виртуальных машин и обрабатываемых на них данных;
сегментирование сети критически важного объекта информатизации;
проводит анализ и оценку угроз информационной безопасности критически важного
объекта информатизации;
20.11. реагирование на события информационной безопасности критически важного

объекта информатизации и управление ими:
разработка плана реагирования на события информационной безопасности и его
актуализация не реже одного раза в год;
разработка и внедрение методологии реагирования на события информационной
безопасности, обеспечивающей реагирование в сроки, определенные эксплуатационной
документацией на критически важный объект информатизации и локальными правовыми
актами, в целях исключения (снижения до приемлемого уровня) вероятного ущерба;

анализ возникших событий информационной безопасности и принятие мер по
недопущению их повторного возникновения;

разрабатывает план восстановления критически важного объекта информатизации,
учитывающий события информационной безопасности.

определение политик и процедур резервирования;
резервирование программных и программно-аппаратных средств и систем;
разработка плана реагирования на события информационной безопасности и его
актуализация не реже одного раза в год;
разработка и внедрение методологии реагирования на события информационной
безопасности, обеспечивающей реагирование в сроки, определенные эксплуатационной
документацией на критически важный объект информатизации и локальными правовыми
актами, в целях исключения (снижения до приемлемого уровня) вероятного ущерба;
создание альтернативных мест хранения и обработки информации в случае
возникновения событий информационной безопасности;
определение периодичности проведения мероприятий по оповещению и отработке
действий работников в случае реализации угроз информационной безопасности
критически важного объекта информатизации в соответствии с планом реагирования;
обучение и отработка действий персонала при возникновении событий информационной
безопасности;

определение политик и процедур резервирования;
резервирование программных и программно-аппаратных средств и систем;
22. В целях определения соответствия системы информационной безопасности

требованиям законодательства, в том числе обязательных для соблюдения требований
технических нормативных правовых актов в сфере технической и криптографической
защиты информации, проводится ее аудит.
Аудит системы информационной безопасности проводится владельцем критически
важного объекта информатизации не позднее чем через год после завершения
мероприятий по созданию системы информационной безопасности и далее ежегодно.
23. Аудит системы информационной безопасности включает следующие этапы:
анализ и оценку соответствия системы информационной безопасности требованиям
настоящего Положения;
проведение контроля эффективности защищенности системы информационной
безопасности;
формирование замечаний (недостатков), выявленных в процессе аудита, и предложений
по их устранению;
составление акта по форме согласно приложению и рекомендаций по результатам
аудита.
24. Акт аудита системы информационной безопасности утверждается:
руководителем владельца критически важного объекта информатизации – в случае
проведения аудита системы информационной безопасности подразделением защиты
информации (должностным лицом);
руководителем организации, имеющей специальное разрешение (лицензию) на
деятельность по технической и (или) криптографической защите информации в части
соответствующих составляющих данный вид деятельности работ, – в случае проведения
аудита данной организацией.
контроль за действиями по изменению конфигурации;

27001 vs ОАЦ - 2021

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

27001 vs ОАЦ - 2021

Uploaded by

Copyright:

Available Formats

Приложение A ISO/IEC 27001:2013

A.5 Политики в области безопасности

А.5.1.2 Пересмотр политик информационной безопасности

A.6.1.3 Взаимодействие с органами власти

A.6.2.2 Удаленная работа

A.7.2.3 Дисциплинарный процесс

A.8.1.2 Владение активами

A.8.1.4 Возврат активов

A.8.3.2 Утилизация носителей информации

A.8.3.3 Физическое перемещение носителей информации

A.9 Управление доступом

A.9.1.2 Доступ к сетям и сетевым сервисам

A.9.2 Управление доступом пользователей

A.9.2.2 Предоставление доступа пользователям

A.9.2.3 Управление правами привилегированного доступа

A.9.2.4 Управление секретной информацией аутентификации пользователей

A.9.2.5 Пересмотр прав доступа пользователей

A.9.2.6 Удаление или изменение прав доступа

A.9.3 Ответственность пользователя

A.9.4.2 Процедуры безопасного входа

A.9.4.4 Использование привилегированных программных утилит

A.9.4.5 Управление доступом к исходному коду программы

A.10.1.2 Управление ключами

A.11 Физическая безопасность и защита от окружающей среды

A.11.1.2 Средства управления физическим доступом

A.11.1.3 Безопасность офисов, помещений и оборудования

A.11.1.4 Защита от внешних угроз и угроз окружающей среды

A.12.1.2 Управление изменениями

A.12.1.3 Управление производительностью

A.12.3 Резервное копирование

A.12.4 Регистрация и мониторинг

A.12.4.1 Регистрация событий

A.12.4.3 Регистрация действий администратора и оператора

A.12.4.4 Синхронизация часов

A.12.5 Управление операционным программным обеспечением

A.12.6 Управление технической уязвимостью

A.12.6.2 Ограничение на установку программного обеспечения

A.12.7 Аспекты аудита информационных систем

A.13.1.2 Безопасность сетевых сервисов

A.13.2 Передача информации

A.13.2.2 Соглашения о передаче информации

A.16.1.1 Ответственность и процедуры

A.16.1.2 Сообщение о событиях информационной безопасности

A.16.1.7 Сбор доказательств

A.17.1.1 Планирование непрерывности информационной безопасности

A.17.1.2 Внедрение непрерывности информационной безопасности

2.2 Обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования

3.3 Обеспечение защиты обратной связи при вводе аутентификационной информации

7.10 Обеспечение защиты средств вычислительной техники от вредоносных программ

6.4 Обеспечение резервного копирования пользовательских виртуальных машин

1.1 Определение состава информации о событиях информационной безопасности, подлежащих регистрации

1.1 Определение состава информации о событиях информационной безопасности, подлежащих регистрации

4.2 Обеспечение обновления объектов информационной системы

6.2 Обеспечение защиты виртуальной инфраструктуры от несанкционированного доступа и сетевых атак из

6.3 Обеспечение безопасного перемещения виртуальных машин и обрабатываемых на них данных

20.7. обеспечение информационной безопасности критически важного объекта

20.2. управление доступом к активам критически важного объекта информатизации:

20.7. обеспечение информационной безопасности критически важного объекта

20.12. информирование и обучение персонала:

20.3. обращение с носителями информации:

20.3. обращение с носителями информации:

20.1. идентификация и аутентификация:

20.2. управление доступом к активам критически важного объекта информатизации: