Файловый архив студентов. Файловый архив студентов.
1267 вузов, 4648 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Пензенский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
IB.doc
Скачиваний:
7
Добавлен:
19.09.2019
Размер:
239.1 Кб
Скачать
►Содержание►

  1. Политика иб. Концепция.

Концепция политики ИБ – документ, в котором  в котором в самом общем виде сформулированы цели и приоритеты организации в области ИБ, намечены общие пути достижения  этих целей.

Рис 2.  Разработка концепции политики ИБ сводится к следующим практическим шагам:

  1. Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:

    • управление доступом к средствам вычислительной техники (СВТ), программам и данным;

    • антивирусную защиту;

    • вопросы резервного копирования;

    • проведение ремонтных и восстановительных работ;

    • информирование об инцидентах в области ИБ.

  2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.

  3. Структуризация контрмер по уровням.

  4. Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.

В результате выполнения этого этапа будет написан документ «Концепция политики ИБ», содержащий:

  • общую характеристику объекта защиты (описание состава, функций и существующей технологии обработки информации);

  • формулировку целей создания системы защиты, основных задач обеспечения информационной безопасности и путей достижения целей;

  • основные классы угроз информационной безопасности, принимаемые во внимание при разработке подсистемы защиты;

  • основные принципы и подходы к построению системы обеспечения информационной безопасности, меры, методы и средства достижения целей защиты.

15. Политика иб. Стандарты.

Политика ИБ  является объектом стандартизации. Некоторые  страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799).  Для того, чтобы упростить организациям задачу разработки политики ИБ и политики СУИБ и заложить прочный фундамент для создания СУИБ, GlobalTrust разработал типовую высокоуровневую политику информационной безопасности, в полном соответствии с требованиями международных стандартов ISO 27001/17799.

Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.

Согласно ISO 27001 политика информационной безопасности является подмножеством более общего документа - политики СУИБ. Для того, чтобы упростить организациям задачу разработки политики ИБ и политики СУИБ и заложить прочный фундамент для создания СУИБ, GlobalTrust разработал типовую высокоуровневую политику информационной безопасности, в полном соответствии с требованиями международных стандартов ISO 27001/17799. Целью данной Политики является защита информационных ресурсов организации от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, обеспечение непрерывности бизнеса и минимизация ущерба, наносимого бизнесу, максимизация прибыли на инвестированный капитал и получение дополнительных возможностей для бизнеса.

Государственные стандарты:

  • ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.

  • Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.

  • ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.

  • ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

  • ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

  • ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий Функциональные требования безопасности.

  • ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

  • ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов

  • ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.

  • ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.

  • РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности