ГОСТ Р ИСО/МЭК 27011—2012
Рекомендация по реализации
Следующие условия должны быть учтены при рассмотрении безопасности до
предоставления клиентам доступа к какому-либо активу организации (в зависимости
от типа и продолжительности предоставляемого доступа не все из них могут быть
применимы):
a) защита активов, включая:
1) процедуры защиты активов организации, в том числе информацию и
программное обеспечение, а также менеджмент известных уязвимостей;
2) процедуры для определения компрометации активов, например,
вследствие потери или модификации данных;
3) целостность;
4) ограничения на копирование и разглашение информации;
b
) описание продукта или услуги, которые должны быть обеспечены;
c) различные причины, требования и преимущества, связанные с доступом
клиента;
d) политика управления доступом, охватывающая:
1) разрешенные методы доступа, а также управление и использование
уникальных идентификаторов, типа идентификаторов пользователя и
паролей;
2) процессавторизациивотношениидоступаипривилегий
пользователей;
3) положение о том, что весь доступ, не авторизованный явным образом,
является запрещенным;
4) процесс отмены прав доступа или прерывание соединения между
системами;
e) процедуры в отношении отчетности, уведомления и расследования
неточностей в информации (например, персональных подробностей), инцидентов
информационной безопасности и нарушений безопасности;
f) описание каждой предоставляемой услуги;
д) определение необходимого и неприемлемого уровня обслуживания;
h)право на проведение мониторинга и отмену какой-либо деятельности,
связанной с активами организации;
16