Статья «Международные стандарты по информационной безопасности» Вопрос : «Какие существуют международные стандарты по информационной - polpoz.ru o_O
Главная
Поиск по ключевым словам:
страница 1
Похожие работы
Название работы Кол-во страниц Размер
Лекция №6 Содержание лекции Методология и технология разработки информационных... 3 349.13kb.
Но-исполнительное право России: теория, законодательство, международные... 1 167.5kb.
Программа «Применение методов криптологии в системах обеспечения... 1 28.41kb.
«Организация работы пресс-служб международные стандарты» методическое... 2 470.67kb.
Рабочая программа для студентов специальности 090105. 65 «Комплексное... 1 216.78kb.
Считается, что разработка полной таксономии (классификации и систематизации... 1 132.77kb.
Предназначены, где требуется повышенный уровень безопасности, превышающей... 1 90.45kb.
” апреля 2000 г. Номер государственной регистрации 2 559.74kb.
Рабочая программа по курсу «Математический анализ» для специальности 7 583.24kb.
Международные стандарты и механизмы борьбы против пыток 1 377.82kb.
Система образования статья 10 1 251.96kb.
11. Лекция: Унифицированный язык визуального моделирования Unified... 1 154.21kb.
1. На доске выписаны n последовательных натуральных чисел 1 46.11kb.

Статья «Международные стандарты по информационной безопасности» Вопрос : «Какие существуют - страница №1/1



Статья «Международные стандарты по информационной безопасности»
Вопрос: «Какие существуют международные стандарты по информационной безопасности?»

Ответ:

Международный стандарт безопасности информационных систем ISO 17799

В 1995 г. был принят британский стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. СБ, IT-отдел, руководство компании начинают работать согласно общему регламенту. Британский стандарт BS 7799 поддерживается в 27 странах мира. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Поэтому сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO . Основные разделы стандарта ISO 17799 следующие:



  • политика безопасности;

  • организационные меры по обеспечению безопасности (управление форумами по информационной безопасности, координация вопросов, связанных с информационной безопасностью, распределение ответственности за обеспечение безопасности и т.д.);

  • классификация и управление ресурсами (инвентаризация ресурсов, классификация ресурсов и т.д.);

  • безопасность персонала (безопасность при выборе и работе с персоналом, тренинги персонала по вопросам безопасности, реагирование на инциденты и неисправности и т.д.);

  • физическая безопасность;

  • управление коммуникациями и процессами (рабочие процедуры и ответственность, системное планирование, защита от злонамеренного программного обеспечения (вирусов, троянских коней), управление внутренними ресурсами, управление сетями, безопасность носителей данных, передача информации и программного обеспечения и т.д.);

  • контроль доступа (требования для контроля доступа, управление доступом пользователя, ответственность пользователей, контроль и управление удаленного (сетевого) доступа, контроль доступа в операционную систему, контроль и управление доступом к приложениям, мониторинг доступа и использования систем, мобильные пользователи и т.д.);

  • разработка и техническая поддержка вычислительных систем (требования по безопасности систем, безопасность приложений, криптография, безопасность системных файлов, безопасность процессов разработки и поддержки и т.д.);

  • управление непрерывностью бизнеса (процесс управления непрерывного ведения бизнеса, непрерывность бизнеса и анализ воздействий, создание и внедрение плана непрерывного ведения бизнеса, тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса и т.д.);

  • соответствие системы основным требованиям (соответствие требованиям законодательства, анализ соответствия политики безопасности, анализ соответствия техническим требованиям, анализ соответствия требованиям системного аудита и т.д.).


Вопрос: «Что такое OPSEC?»

Ответ:

Американская концепция системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security)

В американском бизнесе существует универсальная концепция системного подхода к информационной безопасности, которая строится на 7 этапах ее реализации.



Первый этап (анализ объекта защиты) состоит в определении - что нужно защищать и проводится по следующим направлениям:

  • какая информация нуждается в защите;

  • наиболее важные (критические) элементы защищаемой информации;

  • срок жизни критической информации (время, необходимое конкуренту для реализации добытых сведений);

  • определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;

  • классифицируются индикаторы по функциональным зонам компании (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения управления и т.д.).

Второй этап – осуществляется "выявление угроз". Он происходит по следующим направлениям:

  • определяется, кого может заинтересовать защищаемая информация;

  • оцениваются методы, используемые конкурентами для получения этой информации;

  • оцениваются вероятные каналы утечки информации;

  • разрабатывается система мероприятий по пресечению действий конкурента.

Третий этапанализируется эффективность принятых и постоянно действующих подсистем безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т.д.).

Четвертый этап – определение необходимых мер защиты. На основании проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности компании.

Пятый этап – руководителями компании рассматриваются представленные предложения по всем необходимым мерам безопасности и расчет их стоимости и эффективности.

Шестой этап – реализация принятых дополнительных мер безопасности с учетом установленных приоритетов.

Седьмой этап – осуществление контроля и доведение до персонала компании реализуемых мер безопасности.





izumzum.ru