APGINTI.🇱🇹

ID.AM-01 ID.AM-02 ID.AM-03 ID.AM-04 ID.AM-05 ID.AM-07 ID.AM-08

Turto valdymas (AM)

Nustatomas ir valdomas turtas leidžiantis organizacijai siekti verslo tikslų (pvz., duomenys, techninė ir programinė įranga, sistemos, patalpos, paslaugos, žmonės), atsižvelgiant į jo santykinę svarbą organizacijos tikslams ir organizacijos rizikos strategiją

ID.AM-01

Organizacijos valdomos techninės įrangos inventorizacija

  1. Tvarkykite visų tipų aparatinės įrangos, įskaitant IT, daiktų interneto, operacines technologijas ir mobiliuosius įrenginius, inventorių;
  2. Nuolat stebėkite tinklus, kad aptiktumėte naują aparatinę įrangą ir automatiškai atnaujintumėte inventorių.
Nuoroda į originalą

ID.AM-02

Organizacijos valdomos programinės įrangos, paslaugos ir sistemų inventorizacija

  1. Tvarkykite visų tipų programinės įrangos ir paslaugų inventorių, įskaitant komercinę programinę įrangą, atvirąjį kodą, pasirinktines programas, API paslaugas ir debesijos pagrindu veikiančias programas bei paslaugas;
  2. Nuolat stebėkite visas platformas, įskaitant konteinerius ir virtualias mašinas, dėl programinės įrangos ir paslaugų inventoriaus pokyčių;
  3. Palaikyti organizacijos sistemų inventorizaciją.
Nuoroda į originalą

ID.AM-03

Tvarkomi organizacijos autorizuotų tinklo ryšių ir vidinių bei išorinių tinklo duomenų srautų žemėlapiai, schemos

  1. Palaikykite bazinį duomenų srautų lygį komunikacijoms ir duomenų srautams organizacijos laidiniuose ir belaidžiuose tinkluose;
  2. Palaikykite bazinį duomenų srautų lygį komunikacijoms ir duomenų srautams tarp organizacijos ir trečiųjų šalių;
  3. Palaikykite bazinį duomenų srautų lygį komunikacijoms ir duomenų srautams susijusiems su organizacijos infrastruktūros kaip paslaugos (IaaS) naudojimu;
  4. Palaikykite tikėtinų tinklo prievadų, protokolų ir paslaugų, kurios paprastai naudojamos įgaliotose sistemose dokumentaciją.
Nuoroda į originalą

ID.AM-04

Tiekėjų teikiamų paslaugų inventorizacija

  1. Inventorizuokite visas organizacijos naudojamas išorines paslaugas, įskaitant trečiųjų šalių infrastruktūrą kaip paslaugą (IaaS), platformą kaip paslaugą (PaaS) ir programinę įrangą kaip paslaugą (SaaS), API ir kitas išorines taikomųjų programų paslaugas;
  2. Pradedant naudoti naują išorinę paslaugą atnaujinkite registrą, kad būtų užtikrinta tinkama organizacijos naudojimosi ta paslauga kibernetinio saugumo rizikos valdymo stebėsena.
Nuoroda į originalą

ID.AM-05

Turto prioritetai nustatomi pagal klasifikaciją, svarbą, išteklius ir poveikį misijai

  1. Apibrėžkite kriterijus kiekvienos turto klasės prioritetų nustatymui;
  2. Turtui taikykite prioritetų kriterijus;
  3. Stebėkite turto prioritetus ir juos atnaujinkite periodiškai arba įvykus reikšmingiems organizacijos pokyčiams.
Nuoroda į originalą

ID.AM-07

Inventorizuojami, tvarkomi nustatytų duomenų tipų ir atitinkamų metaduomenų aprašai

  1. Tvarkykite svarbių duomenų tipų sąrašą (pvz., asmenį identifikuojanti informacija, saugoma sveikatos informacija, finansinių sąskaitų numeriai, organizacijos intelektinė nuosavybė, veiklos technologijų duomenys);
  2. Nuolat tikrinkite ir nagrinėkite spontaniškai surinktus duomenis, kad rastum naujų nurodytų duomenų tipų pavyzdžių;
  3. Priskirkite duomenų klasifikacijas nurodytiems duomenų tipams naudodami žymas arba etiketes;
  4. Sekite kiekvieno nurodyto duomenų tipo atvejo kilmę, duomenų savininką ir geografinę vietą.
Nuoroda į originalą

ID.AM-08

Sistemos, aparatinė ir programinė įranga, paslaugos ir duomenys tvarkomi per jų gyvavimo ciklus

  1. Įtraukite kibernetinio saugumo aspektus į visą sistemų, aparatinės įrangos, programinės įrangos ir paslaugų gyvavimo ciklą;
  2. Įtraukite kibernetinio saugumo aspektus į produktų gyvavimo ciklus;
  3. Nustatykite neoficialų technologijų naudojimą siekiant misijos tikslų (t. y. „šešėlinė IT“);
  4. Periodiškai nustatykite nereikalingas sistemas, aparatinę įrangą, programinę įrangą ir paslaugas, kurios be reikalo didina organizacijos pažeidžiamumo paviršių;
  5. Tinkamai sukonfigūruokite ir apsaugokite sistemas, aparatinę įrangą, programinę įrangą ir paslaugas prieš diegdami jas gamyboje;
  6. Atnaujinkite inventorizaciją, kai sistemos, aparatinė ir programinė įranga bei paslaugos perkeliamos arba perduodamos;
  7. Patikimai sunaikinti saugomus duomenis, remiantis organizacijos duomenų saugojimo politika, taikant nustatytą sunaikinimo metodą, ir saugoti bei tvarkyti sunaikinimo įrašus;
  8. Patikimai išvalykite duomenų saugyklą, kai aparatinė įranga yra išimama iš eksploatacijos, nurašoma, perduodama, siunčiama remontuoti ar keisti;
  9. Suteikite būdu popieriaus, laikmenų ir kitų fizinių duomenų formų naikinimui.
Nuoroda į originalą
NUSTATYTI

7 elementai šiame aplanke.

NIST CSF 2.0 Funkcijos

Grafiko Vaizdas