A.12 Приобретение, разработка и поддержание в рабочем состоянии информационных систем

A.12.1 Требования защиты информационных систем

Цель: Гарантировать, что защита является неотъемлемой частью информационных систем.

A.12.1.1 Анализ и спецификация требований защиты

A.12.2 Правильная обработка в приложениях

Цель: Предотвращать ошибки, потерю, неразрешенное изменение или неправильное использование информации в приложениях.

A.12.2.1 Валидация вводимых данных

Управление Должна осуществляться валидация данных, вводимых в приложения, с целью гарантировать, что эти данные правильные и подходящие.

A.12.2.2 Управление внутренней обработкой

A.12.2.3 Целостность сообщений

A.12.3 Управление доступом с использованием криптографии

Цель: Защитить конфиденциальность, аутентичность или целостность информации криптографическими средствами.

A.12.3.1-2 Политика по использованию криптографических средств. Распределение ключей

A.12.4 Защита системных файлов

Цель: Гарантировать защиту системных файлов.

A.12.4.1-3 Управление системным программным обеспечением. Защита данных системного теста. Управление доступом к программе

A.12.5 Защита в разработке и вспомогательных процессах

Цель: Поддерживать защиту прикладного системного программного обеспечения

и информации.

A.12.5.1-5 Процедуры управления изменениями. Технический анализ приложений после изменений операционной системы. Ограничения на изменения в пакете программ. Утечка информации. Разработка программного обеспечения, приобретаемого на стороне. (Разработка программного обеспечения, приобретаемого на стороне, должна быть под надзором и постоянным контролем организации.)

A.12.6 Менеджмент технической уязвимости

Цель: Снизить риски, проистекающие из эксплуатации опубликованной технической уязвимости.

A.13 Менеджмент инцидентов в системе защиты информации

A.13.1 Сообщение о событиях и слабостях в системе защиты информации

Цель: Гарантировать, что о событиях и слабостях в системе защиты информации, связанных с информационными системами, сообщается способом, дающим возможность произвести своевременное корректирующее действие.

A.13.2 Менеджмент инцидентов в системе защиты информации и улучшения

Цель: Гарантировать применение последовательного и результативного подхода

к менеджменту инцидентов в системе защиты информации.

A.13.2.1-3 Ответственность и процедуры. (Должны быть установлены ответственность руководства и процедуры, чтобы гарантировать быструю, результативную и упорядоченную реакцию на инциденты в системе защиты информации.) Извлечение уроков из инцидентов в системе защиты информации. Сбор свидетельств

A.14 Менеджмент непрерывности бизнеса

A.14.1 Аспекты защиты информации менеджмента непрерывности бизнеса

Цель: Противодействовать прерываниям в деловых операциях, защитить критичные деловые процессы от влияния существенных сбоев информационных систем или бедствий, а также гарантировать своевременное возобновление деловых операций.

A.14.1.1-5 Включение защиты информации в процесс менеджмента непрерывности бизнеса. Непрерывность бизнеса и оценка риска. Разработка и внедрение планов обеспечения непрерывности бизнеса, включающих защиту информации. Структура планирования обеспечения непрерывности бизнеса. Тестирование, постоянный контроль и переоценка планов обеспечения непрерывности бизнеса.

A.15 Соответствие

A.15.1 Соответствие законодательным требованиям

Цель: Избегать нарушений любых законодательных, уставных, нормативных или

договорных обязательств, и любых требований защиты.

A.15.1.1 -6 Выявление применимых законов. Права на интеллектуальную собственность (IPR). Защита записей организации (Важные записи должны быть защищены от потери, уничтожения и фальсификации в соответствии с требованиями закона, нормативными, договорными и деловыми требованиями). Защита данных и секретность личной информации. Предотвращение неправильного использования средств, обрабатывающих информацию. Регулирование средств управления доступом с использованием криптографии.

A.15.2 Соответствие политике и стандартам защиты, а также техническое соответствие

Цель: Гарантировать соответствие систем организационной политике и стандартам защиты.

A.15.2.1 Соответствие политике и стандартам защиты

A.15.2.2 Проверка технического соответствия

A.15.3 Обдумывание аудита информационных систем

Цель: Максимизировать результативность и минимизировать помехи для/от процесса аудита информационных систем.

A.15.3.1 Средства управления аудитом информационных систем

A.15.3.2 Защита информации

Управление. Доступ к инструментальным средствам аудита информационных систем должен быть защищен, чтобы предотвратить любое возможное неправильное употребление или компрометацию.

ISO/IEC 17799:2000