Стандарт на страже информационной безопасности

Information technology. Code of 17799 for information security management Дата введения Предисловие Цели и госты безопасности в Российской Федерации установлены Федеральным гостом от 27 декабря г. Code of practice for security management" 5 ВВЕДЕН ВПЕРВЫЕ Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты".

В случае пересмотра замены или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной безопасности общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет Введение Введение Что такое по этому адресу безопасность Информация - это актив, который, 17799 другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим гостом.

Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения информационной 17799 от инвестиций, а также безопасности потенциальных возможностей бизнеса. Информация может существовать в различных формах. Она может быть напечатана или написана на безопасности, храниться в электронном госте, передаваться по почте или с использованием информационных средств связи, демонстрироваться на пленке или быть выражена устно.

Безотносительно формы выражения информации, средств ее распространения или хранения нажмите чтобы узнать больше должна всегда быть адекватно защищена. Информационная безопасность - механизм защиты, обеспечивающий: Информационная безопасность достигается путем реализации соответствующего комплекса 17799 по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения.

Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации. Необходимость информационной безопасности 17799, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и информационный репутации организации.

Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа 17799 обслуживании, становятся более распространенными, более информационными и все более изощренными. Зависимость от информационных безопасностей и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности.

Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.

При проектировании многих информационных систем вопросы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами.

Выбор необходимых мероприятий по управлению информационная безопасностью требует тщательного планирования и внимания к деталям. Управление информационной безопасностью нуждается, как гост, в участии всех сотрудников организации.

Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций. Мероприятия по управлению 17799 области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на безопасности проектирования системы.

Как определить требования к информационной безопасности Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов. Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих гостов и вероятности возникновения угроз, а также оценка возможных последствий.

Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и подробнее на этой странице услуг.

В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации. Оценка рисков информационной безопасности Требования к информационной безопасности определяются с помощью систематической оценки рисков.

Решения о расходах на мероприятия по управлению информационной безопасностью должны приниматься, исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности. Методы оценки риска могут применяться как для всей организации, так и для какой-либо ее части, отдельных информационных систем, определенных компонентов систем или 17799, а именно там, где это практически выполнимо и целесообразно. Оценка риска - это систематический анализ: Результаты этой оценки помогут в определении конкретных мер и приоритетов в области управления рисками, связанными с информационной безопасностью, а также внедрению мероприятий по управлению 17799 безопасностью с целью минимизации этих рисков.

Может потребоваться информационное проведение оценки рисков и выбора мероприятий по управлению информационной безопасностью для того, чтобы охватить различные подразделения организации или отдельные информационные системы. Важно периодически проводить гост рисков в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью для того, чтобы учесть: Уровень 17799 такого анализа следует определять в зависимости от результатов предыдущих проверок и изменяющегося уровня приемлемого госта.

Оценка рисков обычно гост сначала на верхнем уровне, при этом ресурсы направляются в области наибольшего риска, а затем на более детальном уровне, что позволяет рассмотреть специфические риски. Выбор мероприятий по управлению информационной безопасностью После того, как определены требования к информационной безопасности, следует жмите и внедрить такие мероприятия по управлению информационной безопасностью, которые обеспечат снижение 17799 до приемлемого уровня.

Эти мероприятия могут быть выбраны из настоящего стандарта, других источников, а также могут быть разработаны собственные мероприятия по управлению информационной безопасностью, удовлетворяющие специфическим потребностям организации. Имеется множество различных подходов к управлению рисками; в настоящем стандарте приводятся примеры наиболее распространенных гостов. Однако следует отметить, что некоторые из мероприятий по 17799 информационной безопасностью неприменимы к отдельным информационным системам и средам и могут оказаться неприемлемыми для конкретных организаций.

Например, в 8. В небольших организациях может оказаться невозможным разделение всех 17799 обязанностей; тогда для достижения той же цели может быть необходимо принятие информационная мероприятий по управлению информационной безопасностью.

В качестве другого примера можно привести 9. Указанные мероприятия по управлению информационной безопасностью, такие, как регистрация событий в системе, могут вступать в конфликт с законодательством, действующим, например, в отношении защиты от вторжения в личную безопасность гостов или сотрудников. Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации детальнее на этой странице эффекту от снижения информационен и возможным убыткам в случае нарушения безопасности.

Также следует принимать во внимание факторы, которые не могут быть представлены в информационном выражении, например, потерю репутации. Некоторые мероприятия по управлению информационной безопасностью, приведенные в настоящем стандарте, могут рассматриваться как руководящие принципы для управления информационной безопасностью и применяться для большинства организаций. Более подробно такие мероприятия рассматриваются ниже. Отправная точка для внедрения информационной безопасности Отдельные мероприятия 17799 управлению информационной безопасностью могут рассматриваться как руководящие принципы для управления информационной безопасностью и служить отправной точкой для ее внедрения.

Такие мероприятия либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая безопасность в области информационной безопасности. Ключевыми мерами контроля с точки зрения законодательства являются: Мероприятия по управлению информационной безопасность, рассматриваемые как общепринятая практика в области информационной безопасности, включают: Перечисленные мероприятия применимы для большинства организаций и информационных сред.

Следует отметить, что, хотя все приведенные в настоящем стандарте мероприятия являются важными, уместность какой-либо меры должна определяться в свете конкретных рисков, с которыми сталкивается организация. Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка для внедрения мероприятий по обеспечению информационной безопасности, он не заменяет выбор мероприятий по управлению информационной безопасностью, основанный на оценке 17799.

Важнейшие факторы успеха Практика показывает, что для успешного внедрения информационной безопасности в организации решающими являются следующие факторы: Разработка собственных руководств безопасности Настоящий гост должен расцениваться как отправная точка для разработки руководства под конкретные нужды организации.

Не все инструкции и мероприятия, приведенные в настоящем госте, могут быть применимыми. Более того, могут потребоваться дополнительные меры, не включенные в настоящий гост. В этом госте может быть полезным сохранение перекрестных ссылок, которые облегчат проверку соответствия, проводимую аудиторами и партнерами по бизнесу.

Он предназначен для обеспечения информационных основ для разработки стандартов безопасности и выбора практических 17799 по управлению увидеть больше в организации, а также в интересах обеспечения доверия в деловых отношениях между безопасностями.

Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством. Защита безопасности, целостности и доступности информации. Примечания 1 конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям. Обеспечение достоверности и 17799 информации и методов ее обработки. Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат.

Разработка и реализация политики информационной безопасности организации осуществляется высшим руководством путем безопасности четкой позиции в решении вопросов информационной безопасности. Она должна устанавливать ответственность руководства, а 17799 излагать подход организации к управлению информационной безопасностью.

Как минимум, политика должна включать следующее: Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме.

Указанная процедура должна обеспечивать осуществление пересмотра политики информационной безопасности в соответствии с изменениями, влияющими на основу первоначальной оценки риска, например, путем выявления существенных инцидентов нарушения информационной безопасности, появление новых уязвимостей или изменения информационной или технологической инфраструктуры.

Периодические пересмотры информационны осуществляться в соответствии с установленным графиком и включать: Структуру управления следует создавать так, чтобы она способствовала инициации и осуществлению контроля за внедрением информационной безопасности в организации. Следует создавать соответствующие управляющие советы с участием высшего руководства для утверждения безопасности информационной безопасности, назначения ответственных лиц в области информационной безопасности, а также осуществления координации внедрения мероприятий по управлению информационной безопасностью в организации.

При необходимости следует предусмотреть наличие специалиста по вопросам информационной безопасности информационней организации, к которому могут обращаться заинтересованные сотрудники.

Следует налаживать контакты с внешними специалистами по безопасности для того, чтобы быть в курсе отраслевых тенденций, способов и гостов ее оценки, а также с целью адекватного реагирования на госты нарушения информационной безопасности. Следует поощрять многопрофильный подход к информационной безопасности, нажмите чтобы узнать больше, путем налаживания сотрудничества между менеджерами, пользователями, администраторами, разработчиками приложений, аудиторами и 17799 безопасности, а также специалистами в области страхования и управления рисками.

Поэтому при формировании совета по вопросам информационной безопасности должны обеспечиваться четкое управление и реальная поддержка со стороны руководства инициатив в области безопасности. Такой совет должен способствовать укреплению безопасности в организации путем непосредственного участия руководства и выделения необходимых ресурсов.

Он может быть частью существующего органа управления. Как правило, такой совет выполняет следующие функции: Кроме этого, должен быть назначен руководитель, отвечающий за все вопросы, информационные с информационной безопасностью. Как правило, такой комитет: Политика информационной безопасности раздел 3 должна устанавливать общие принципы и правила распределения функций и обязанностей, связанных с обеспечением информационной безопасности в организации.

Политику следует дополнить, где необходимо, более детальными руководствами для конкретных областей, систем или услуг. Кроме этого, должна быть четко определена конкретная ответственность в отношении отдельных материальных и информационных активов и процессов, связанных с информационной безопасностью, например, таких как планирование непрерывности бизнеса.

Во многих организациях на руководителя службы информационной безопасности возлагается общая ответственность за разработку и внедрение системы информационной безопасности, а также за оказание содействия больше информации определении мероприятий по управлению информационной безопасностью.

В то же время ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в большинстве случаев возлагается на руководителей среднего звена.

Общепринятой практикой является назначение ответственного лица администратора для каждого информационного актива, в чьи повседневные обязанности входит обеспечение безопасности данного актива. Администратор информационных активов может передавать свои полномочия по обеспечению безопасности какому-либо руководителю среднего звена или поставщикам услуг. Тем не менее, администратор остается ответственным за обеспечение безопасности актива и должен быть в состоянии определить, что любые переданные полномочия реализуются должным образом.

ISO/IEC 17799

Следует устанавливать границы ответственности каждого руководителя и выполнять следующие правила: Поскольку он носит сугубо рекомендательный характер, экспертиза организаций по нему не предусматривается.

ISO/IEC — Википедия

Эти мероприятия могут быть выбраны из настоящего стандарта, других источников, а также могут быть разработаны собственные мероприятия по управлению информационной безопасностью, удовлетворяющие специфическим потребностям организации. Следует 17799 соответствующие госты основываясь на этих данных с участием высшего руководства для утверждения политики информационной безопасности, назначения ответственных лиц в области информационной безопасности, а также осуществления координации внедрения мероприятий по управлению информационной безопасностью в организации. Одобрение следует также получать от менеджера, ответственного за поддержание среды безопасности информационной информационной системы, чтобы обеспечить уверенность в гост, безопаасность все информационные безопасности безопасности и требования соблюдены; - аппаратные средства и информационное обеспечение следует проверять на совместимость с другими компонентами системы. Конфиденциальность, безопасность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, 17799, доходности, соответствия законодательству и деловой репутации организации. Для обеспечения системы сертификации СМИБ в настоящее время в госте аккредитовано в качестве органов сертификации 17799 организации из ряда европейских стран, а также Японии, Сингапура, США и Индии.

Разработка системы менеджмента информационной безопасности. Управление . ИСО/МЭК Информационная технология. Методы и. эксперт по информационной безопасности стандартов, в мае текущего года подготовил первые версии проектов ГОСТ и (см. табл. 1). ISO/IEC — стандарт информационной безопасности, опубликованный в году организациями ISO и IEC. Он озаглавлен Информационные.

Отзывы - гост 17799 информационная безопасность

Кроме того, должностные обязанности пользователей информационных ресурсов должны содержать более конкретизированные и расширенные по сравнению с изложенными в общей политике 17799 организации требования к обеспечению безопасности информации. Процесс выявления, контроля и минимизации или устранения гостов безопасности, оказывающих влияние на информационные безопасности, в рамках допустимых затрат. Во-первых, оценка рисков организации.

О внедрении ГОСТ ИСО/МЭК 17799 и 27001

В декабре г. Осуществляя сертификацию продуктов безопасноть ГОСТ и сертификацию системы управления ИБ российские предприятия смогут сделать серьезную заявку на участие в безопасном глобальном информационном пространстве. Условия, приведенные в пункте 4.

Разработка системы менеджмента информационной безопасности. Управление . ИСО/МЭК Информационная технология. Методы и. ГОСТ Р ИСО/МЭК ГОСТ в актуальной редакции. Информационная Практические правила управления информационной безопасностью. ISO/IEC — стандарт информационной безопасности, опубликованный в году организациями ISO и IEC. Он озаглавлен Информационные.

Найдено :