Информационные технологии. Информационная технология. Практические правила управления информационной безопасностью.




Данный документ подготовлен Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и утвержден Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. N 447-ст.

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты".

На территории РФ стандарт действует с 1 января 2007.Он является отправной точкой для разработки руководства под конкретные нужды организации.

В соответствие со стандартом:

Информация - это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

Информационная безопасность - механизм защиты информации от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба и получение максимальной отдачи от инвестиций.

Данный механизм должен обеспечивать:

- конфиденциальность: доступ к информации только авторизованных пользователей;

- целостность: достоверность и полноту информации и методов ее обработки;
- доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

В соответствии со стандартом информационная безопасность может быть достигнута путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения.

Основные положения и структура стандарта представлена в приложении 1.

ГОСТ Р ИСО / МЭК 13335-1-2006

Информационные технологии. Методы и средства обеспечения безопасности Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

Настоящий стандарт введен в действие 1 июня 2007 года и представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ). Стандарт устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Целью стандарта является формирование общих понятий и моделей управления безопасностью ИИТ.

Стандарт описывает

1. основные категории активов:

- материальные активы (вычислительные средства, здания и т.д.);

- информация (данные) (документы, базы данных):

- программное обеспечение;

- люди;

- нематериальные ресурсы (престиж, репутация).

2. Виды угроз.

Угроза – потенциальная причина инцидента, который может нанести ущерб системе или организации.

Пример угроз:

Угрозы, обусловленные человеческим фактором Угрозы среды
целенаправленные случайные
Подслушивание/ перехват Модификация информации Атака хакера на систему Хищение Ошибка Удаление файла Несчастный случай Землетрясения Молнии Наводнение Пожар

3. Характеристики угроз.

Угрозы обладают следующими характеристиками:

- источник (внутренний или внешний);

- мотивация (например: финансовая выгода, конкурентное преимущество);

- частота возникновения;

- правдоподобие;

- вредоносное воздействие.

Слабость актива или нескольких видов активов, которые могут быть использованы одной или более угрозами, трактуется как уязвимость.

Cвязанные с активами уязвимости включают в себя слабости: физического носителя; организации; процедур; персонала; управления; администрирования; программное обеспечения; информации. Уязвимость не причиняет ущерб и может существовать и в отсутствие угрозы.

Способность конкретной угрозы использовать уязвимость одного или нескольких видов активов для нанесения ущерба организации, называется риском.

Риск характеризуется комбинацией двух факторов: вероятностью возникновения инцидента и его разрушительным воздействием.

Любые изменения активов, угроз, уязвимостей, а так же применение защитных мер может оказать значительное влияние на риск, но не может его полностью устранить.

Защитные меры – это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие, обнаружить инциденты и облегчить восстановление активов.

1. Защитные меры могут выполнять одну или несколько функций: предотвращение; сдерживание; обнаружение; ограничение; исправление; восстановление; мониторинг; осведомление.

При выборе и реализации защитных мер необходимо учитывать ограничения присущие организации.

Ограничения могут быть: организационные; коммерческие; финансовые; по окружающей среде; по персоналу; временные; правовые; технические; культурные и социальные.

Кроме перечисленных понятий стандарт устанавливает иерархию политик, описывает ее элементы, освещает организационные аспекты безопасности и функции управления безопасностью ИТТ. Основные положения и структура стандарта представлена в приложении 2.

 

ГОСТ Р ИСО/МЭК 13335-3-2007



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-02-13 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

Краткий словарь жестового языка

Что такое нейролингвистика?

Что такое концерт, специфика, классификация

Медицинские крылатые латинские выражения

Обратная связь