- •Вступление. Исторические аспекты понятия риска. Место и роль информационных рисков в управлении деятельностью организаций.
- •Введение
- •История понятия
- •Информационные риски
- •Формирование и формализация понятия риска.
- •Лекция 3, 4 Информационная безопасность и риск
- •3.1 Модель Symantec LifeCycle Security
- •3.2 Постановка задачи анализа рисков
- •3.2.1 Модель Gartner Group
- •3.2.2 Модель Carnegie Mellon University
- •3.2.3 Различные взгляды на защиту информации
- •3.3 Национальные особенности защиты информации
- •3.3.1 Особенности отечественных нормативных документов
- •3.3.2 Учет остаточных рисков
- •Лекция 5 Управление рисками и международные стандарты
- •5.1 Международный стандарт iso 17799 – iso 27002
- •5.1.1 Обзор стандарта bs 7799
- •2.1. Инфраструктура иб
- •2.2. Обеспечение безопасности при доступе сторонних пользователей и организаций
- •3.1. Ответственность за ресурсы
- •3.2. Классификация информации
- •4.1. Вопросы безопасности в должностных инструкциях по доступу к ресурсам
- •4.2. Обучение пользователей
- •4.3. Реагирование на события, таящие угрозу безопасности
- •5.1. Зоны безопасности
- •5.2. Защита оборудования
- •6.1. Правила эксплуатации и ответственные за их соблюдение
- •6.2. Проектирование информационных систем и их приемка
- •6.3. Защита от вредоносного программного обеспечения
- •6.4. Обслуживание систем
- •6.5. Сетевое администрирование
- •6.6. Защита носителей информации
- •6.7. Обмен данными и программным обеспечением
- •7.1. Управление доступом к служебной информации
- •7.2 Управление доступом пользователей
- •7.3. Обязанности пользователей
- •7.4. Управление доступом к сети
- •7.5. Управление доступом к компьютерам
- •7.6. Управление доступом к приложениям
- •7.7. Слежение за доступом к системам и их использованием
- •8.1. Требования к иб систем
- •8.2. Средства обеспечения иб в прикладных системах
- •8.3. Защита файлов
- •8.4. Безопасность в среде разработки и эксплуатационной среде
- •9.1. Вопросы планирования бесперебойной работы организации
- •10.1. Выполнение требований действующего законодательства
- •10.2. Проверка режима иб на соответствие политике безопасности
- •10.3. Меры безопасности при тестировании
- •5.2 Германский стандарт bsi
- •5.3 Стандарт сша nist 800-30
- •5.3.1 Алгоритм описания информационной системы
- •5.3.2 Идентификация угроз и уязвимостей
- •5.3.3 Организация защиты информации
- •5.4 Ведомственные и корпоративные стандарты управления иб
- •5.4.1 Xbss-спецификации сервисов безопасности х/Ореn
- •5.4.2 Стандарт nasa «Безопасность информационных технологий»
- •5.4.3 Концепция управления рисками mitre
10.1. Выполнение требований действующего законодательства
Цель. Избежать нарушений договорных обязательств и требований действующего законодательства при поддержании режима ИБ.
Часть 1. При разработке, сопровождении и эксплуатации информационных систем должны учитываться правовые и договорные требования к безопасности. Их необходимо сформулировать в явном виде и документировать. То же самое относится и к выбранным средствам контроля.
Часть 2. Аудиторы должны убедиться в соблюдении норм действующего законодательства, а также мер по защите важных документов и личной информации.
10.2. Проверка режима иб на соответствие политике безопасности
Цель. Обеспечить соответствие режима ИБ политике и стандартам безопасности организации.
Часть 1. Состояние режима ИБ требует регулярной проверки.
Следует удостовериться, что режим ИБ отвечает декларированной политике безопасности и принятым стандартами обеспечения безопасности.
Часть 2. Должны регулярно контролироваться все стороны деятельности, имеющие отношение к безопасности, и степень их соответствия политике безопасности.
10.3. Меры безопасности при тестировании
Цель. Минимизировать вмешательство в процесс тестирования и воздействие тестирования на штатную работу.
Часть 1. Необходимо иметь средства для защиты рабочих и тестируемых систем.
Часть 2. Аудиторы проверяют наличие планов тестирования и организацию доступа к инструментальным средствам тестирования.
В табл. 5.1 дается сравнение содержания стандартов BS 7799 (разных версий) и ISO 9001.
Таблица 2.1. Сравнение содержания стандартов BS 7799 и ISO 9001
Разделы BS 7799-2, 1998 г. |
Разделы BS 7799-2, 2002 г. |
Разделы ISO 9001, 2000 г. в части ИБ |
- |
Введение |
Введение |
1. Границы применимости |
1. Границы применимости |
1. Границы применимости |
|
2. Нормативные ссылки |
2. Нормативные ссылки |
2. Термины и определения |
3. Термины и определения |
3. Термины и определения |
|
3.1. Доступность |
|
|
3.2. Конфиденциальность |
|
|
3.3. Информационная безопасность |
|
|
3.4. Система управления режимом информационной безопасности |
|
|
3.5. Целостность |
|
|
3.6. Принятие рисков |
|
|
3.7. Анализ рисков |
|
|
3.8. Оценка рисков |
|
|
3.9. Определение рисков |
|
|
3.10. Управление рисками |
|
|
3.11. Действия по уменьшению рисков |
|
2.1. Ведомость соответствия |
3.12. Ведомость соответствия |
|
3. Системные требования в области управления информационной безопасности |
4. Управление информационной безопасностью |
4. Требования к системе управления качеством (QMS) |
3.1. Общие требования |
4.1. Общие требования |
4.1. Общие требования |
3.2. Создание и организация системы управления режимом информационной безопасности |
4.2. Создание и организация системы управления режимом информационной безопасности |
|
|
4.2.1. Создание системы управления режимом информационной безопасности |
|
3.3. Инструментарий |
4.2.2. Средства и действия в рамках системы управления режимом информационной безопасности |
|
|
4.2.3. Отслеживание событий в системе управления режимом информационной безопасности |
|
|
4.2.4. Обслуживание и модернизация системы управления режимом информационной безопасности |
|
3.4. Документирование |
4.3. Документирование требований |
4.2. Документирование требований |
|
4.3.1. Общие требования |
4.2.1. Общие требования |
3.5. Управление документами |
4.3.2. Управление документами |
4.2.3. Управление документами |
3.6. Записи |
4.3.3. Управление записями |
4.2.4. Управление записями |
- |
5. Распределение обязанностей персонала |
5. Распределение обязанностей персонала |
|
5.1. Передача полномочий |
5.1. Передача полномочий |
|
5.2. Управление ресурсами |
5.2. Управление ресурсами |
|
6. Управление процедурой пересмотра некоторых положений |
6. Управление процедурой пересмотра некоторых положений |
|
6.1. Общие положения |
6.1. Общие положения |
|
6.2. Пересмотр входа |
6.2. Пересмотр входа |
|
6.3. Пересмотр выхода |
6.3. Пересмотр выхода |
|
6.4. Внешний аудит |
6.4. Внешний аудит |
|
7. Модернизация системы управления режимом информационной безопасности |
|
|
7.1. Непрерывная модернизация |
|
|
7.2. Корректирующие действия |
|
|
7.3. Превентивные действия |
|
4. Детализированное описание управления |
Приложение А Цели управления и средства управления |
|
|
А1. Введение |
|
|
А2. Обзор передового опыта |
|
4.1. Политика безопасности |
A3. Политика безопасности |
|
4.2. Организационные аспекты безопасности |
А4. Организационные аспекты безопасности |
|
4.3. Классификация ресурсов и управляющих воздействий |
А5. Классификация ресурсов и управляющих воздействий |
|
4.4. Безопасность персонала |
А6. Безопасность персонала |
|
4.5. Безопасность инфраструктуры и физическая безопасность |
А7. Безопасность инфраструктуры и физическая безопасность |
|
4.6. Безопасность инфраструктуры и физическая безопасность |
А8. Управление коммуникациями и процессами |
|
4.7. Управление доступом |
А9. Управление доступом |
|
4.8. Развитие системы и обслуживание |
А10. Развитие системы и обслуживание |
|
4.9. Обеспечение бесперебойной работы |
А11. Обеспечение бесперебойной работы |
|
4.10. Технические требования |
А12. Технические требования |
|
|
Приложение В |
|
|
Руководство по использованию стандарта |
|
|
Приложение С |
Приложение А |
|
Соответствие между ISO 9001:2000, ISO14001:1996 и BS7799 part 2:2002 |
Связь между ISO 14001 и ISO 9001 |