Brand_name Arnis_logo
Центр информационной безопасности
главная > услуги > тест ИБ по ГОСТ Р ИСО/МЭК 17799
Сегодня

Проверяем состояние информационной безопасности предприятия

ГОСТ Р ИСО/МЭК 17799—2005

Практические правила управления информационной безопасностью
полный тест

  подтверждение
Политика информационной безопасности  
Установлены цели управления и обеспечения информационной безопасностью
Разработан документ "Политика Информационной Безопасности"
Документ "Политика Информационной Безопасности" опубликован
Организационные вопросы безопасности  
Создан управляющий совет по вопросам информационной безопасности
Для реализации мер информационной безопасности установлен процесс координации вопросов ИБ
Ясно распределены обязанности персонала по обеспечению информационной безопасности для выполнения требований ИБ
Определены процедуры получения разрешений на использование новых средств обработки деловой и технической информации.
Проводятся регулярные консультации со специалистами по вопросам информационной безопасности
Проводится независимая проверка (аудит) информационной безопасности для обеспечения гарантии соответствия и эффективности политики ИБ
Организационно и технически обеспечена безопасность при доступе к информационным системам сторонних организаций
Проанализированы риски, связанные с наличием доступа сторонних лиц и организаций к информационным системам
Приняты специфические меры безопасности борьбы с такими рисками
Требования и условия обеспечения ИБ включены в договоры со сторонними лицами и организациями
Безопасность информации поддерживается при привлечении сторонних организаций к обработке информации (аутсорсинг).
Классификация и управление активами  
Проводится учет и инвентаризация информационных активов организации
Для определения приоритетности информации, необходимость и степень ее защиты проводится классификация информации
Определены принципы классификации безопасности для обозначения потребности и приоритетов и для обеспечения безопасности
Определена процедура маркировка каждой классификации информации
Вопросы безопасности, связанные с персоналом  
Осуществляется проверка кандидатов на работу при найме персонала
Соглашение о конфиденциальности включено в условия трудового договора
Вопросы информационной безопасности включены в должностных обязанности
Условия трудового договора определяют ответственность служащего в отношении информационной безопасности
Осуществляется обучение и подготовка персонала в области информационной безопасности
Определена формализованная процедура информирования об инцидентах безопасности
Осуществляется информирование руководства компании о проблемах безопасности и о сбоях программного обеспечения
Определены формализованные процедуры, устанавливающие дисциплинарную ответственность сотрудников, нарушивших политику и процедуры безопасности организации
Физическая защита и защита от воздействий окружающей среды  
Для обработки и хранения критичной или важной служебной информации существует зона физической безопасности с защищенным периметром
Обеспечена безопасность оборудования, включая электропитание и кабельную разводку от всех видов угроз
Оборудование обеспечено надежным электропитанием с резервированием источников
Обеспечена защита кабельных сетей от несанкционированного доступа и перехвата информации
Обеспечено надлежащее техническое обслуживание оборудования (по регламенту и квалифицированным персоналом)
Обеспечена безопасность оборудования, используемого вне помещений организации
Утилизация оборудования проводится с мерами, предотвращающими компрометацию информации
Применяется политика «чистого стола» в отношении бумажных и переносных носителей информации
Осуществляется контроль и регистрация выносимого и вносимого имущества и программного обеспечения
Управление передачей данных и операционной деятельностью  
Установлены процедуры по управлению и функционированию всех средств обработки информации
Операционные процедуры документально оформлены
Осуществляется контроль за внесением изменений в процедуры, настройки ПО и оборудования
Определены процедуры при нарушениях информационной безопасности
Осуществляется разграничение полномочий и ответственности персонала
Осуществляется разграничение сфер разработки и эксплуатации объектов информационных систем
Осуществляется анализ и планирование возможностей информационной системы для снижения риска системной перегрузки
Определены критерии приемки новых систем
Разработаны меры по обнаружению и предотвращению вирусной опасности
Установлен порядок создания регулярных резервных копий существенной деловой информации и программного обеспечения
Ведется протоколирование работы в журналах действий оператора
Существуют процедуры регистрация ошибок и проблем с компьютерным оборудованием и системами связи
Определены и установлены средства контроля сетевых ресурсов и элементов управления
Обеспечена физическая безопасность носителей информации
Определен порядок утилизации носителей информации
Обеспечена безопасность системной документации
Определен порядок обмена информацией и программным обеспечением между организациями
Определен порядок безопасного использования электронной почты
Обеспечена безопасность информационных систем публичного доступа (WEB-сайтов, корпоративных и прочих сервисов)
Контроль доступа  
Определены и документально оформлены требования бизнеса по обеспечению контроля в отношении логического доступа к информации и бизнес-процессам
Определены формализованные процедуры для контроля за предоставление права доступа к информационным системам и сервисам
Определена процедура формализованного процесса регистрации пользователей
Определена процедура предоставления привилегий посредством формализованного процесса авторизации
Определена политика парольной безопасности
Определена процедура обеспечения соответствующей защиты оборудования, оставленного без присмотра
Определена политика в отношении использования сетевых служб
Определены политика удаленного доступа и работа в дистанционном режиме
Группы информационных сервисов, пользователей и информационных систем разделены на отдельные логические сетевые домены
Системы, обрабатывающие важную информацию, обеспечены выделенной (изолированной) вычислительной средой
Для безопасности использования сетевых ресурсов имеется четкое описание их атрибутов безопасности
Осуществляется контроль доступа к операционным системам
Определены процедуры входа в систему (способы регистрации)
Ограничено использование системных утилит для предотвращения неавторизованного доступа к операционным системам и бизнес-приложениям
Осуществляется регистрация и анализ событий, проводится постоянный мониторинг доступа и использования системы
Определена политика безопасности при работе с переносными (мобильными) устройствами всех типов, включая бытовые носители информации
Разработка и обслуживание систем  
Обеспечивается учет требований безопасности при разработке информационных систем
Осуществляется анализ и спецификация требований безопасности новых систем
Обеспечивается безопасность в прикладных системах, включая  предотвращение потерь, модификацию или неправильного использования данных
Осуществляется проверка корректности ввода для обеспечения уверенности в их соответствии исходным данным
Осуществляется контроль обработки данных в системе
Осуществляется аутентификация сообщений для обнаружения неавторизованных изменений или повреждений содержания электронных сообщений
Для защиты конфиденциальной информации используются криптографические системы и методы
Для защиты аутентификации и целостности электронных документов используются цифровые подписи
Осуществляется контроль целостности, валидности и обновления программного обеспечения, находящегося в промышленной эксплуатации
Обеспечена защита операционных данных при тестировании
Осуществляется контроль доступа к библиотекам исходных текстов программ
Осуществляется технический аудит изменений в операционных системах
Определены правила и обеспечены ограничения на внесение изменений в пакеты программ
Осуществляется контроль за возможными скрытыми каналами утечки данных и каналами внедрения троянских программ
Определена политика разработки программного обеспечения с привлечением сторонних организаций
Управление непрерывностью бизнеса  
Критические бизнес-процессы и бизнес в целом защищены от прерывания при значительных сбоях и бедствиях
Определен управляемый процесс развития и поддержания непрерывности бизнеса для всей организации
Планирование непрерывности бизнеса начиналось с идентификации событий, которые могут быть причиной прерывания бизнес-процессов и оценки рисков их наступления
Разработан план обеспечения непрерывности бизнеса, включающий мероприятия по обеспечению информационной безопасности
Планы по обеспечению непрерывности бизнеса предусматривают моделирование сбоев и сценарии восстановления бизнес-процессов
Соответствие требованиям  
При проектировании и функционировании информационных систем предусматривается предотвращение любых нарушений норм уголовного и гражданского права, обязательных предписаний и регулирующих требований или договорных обязательств, а также требований безопасности
Предусмотрены процедуры, обеспечивающие соответствие законодательным ограничениям на использование материала, в отношении которого могут существовать права на интеллектуальную собственность
Обеспечена защита и сохранность учетных записей организации
Обеспечена защита данных и конфиденциальность персональной информации
Предотвращено нецелевое использование средств обработки информации
Определены правила использования и сбора доказательств и иных адекватных свидетельств для поддержки исков или мер воздействия, направленных против физического лица или организации, которые нарушили правила управления информационной безопасностью
Проводится регулярный пересмотр политики безопасности и техническое соответствие требованиям информационной безопасности

Определим степень соответствия требованиям стандарта.   %

К началу теста