- •1. Информационные процессы в управлении предприятием.
- •2. Информационные технологии, их классификация в менеджменте
- •3. Особенности информационных технологий в различных предприятиях.
- •4. Информационные связи в корпоративных системах.
- •5. Информационные технологии-инструмент управленческих решений.
- •6. Инженерное проектирование в управлении предприятием.
- •7. Методы и модели формирование управленческих решений.
- •12. Внемашинная организация информационных ресурсов.
- •14. Информационное обеспечение арм менеджера.
- •17. Интегрированные ит в управленческой деятельности.
- •18. Автоматизированная подготовка управленческих решений.
- •19. Информационные ресурсы и технологии в управлении предприятием.
- •20. Техническое обеспечение ит и коммуникационные средства.
- •21. Программное обеспечение ит управления предприятием.
- •22. Информационная база технологии управления предприятием.
- •24. Функциональные задачи стратегического менеджмента.
- •25. Прикладные программы в функциональных задачах менеджмента.
- •26. Международные структуры в области стандартизации.
- •27. Методологический базис открытых систем.
- •28. Эталонная модель взаимосвязи открытых систем.
- •30. Инструменты функциональной стандартизации.
- •31. Классификация профилей.
- •32. Область функций операционной системы.
- •33. Функциональная область поддержки программного обеспечения.
- •34. Функциональная область управления и обмена данными.
- •35. Функциональная область сетевой поддержки.
- •36. Интегрально поддерживаемые функциональные области.
- •37. Основные свойства и назначение профилей.
- •38. Методология анализа защищенности информационной системы.
- •39. Требования к архитектуре ис для обеспечения безопасности.
- •40. Стандартизация подходов к обеспечению инф-ной безопасности.
40. Стандартизация подходов к обеспечению инф-ной безопасности.
На верхнем уровне можно выделить две существенно отличающиеся друг от друга группы стандартов и спецификаций:
1) оценочные стандарты, предназначенные для оценки и классификации ИС и средств защиты по требованиям безопасности;
2) спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.
Эти группы дополняют друг друга. Оценочные стандарты описывают важнейшие с точки зрения ИБ понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Специализированные стандарты и спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.
"Общие критерии" содержат два основных вида требований безопасности:
1) функциональные, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
2) требования доверия, соответствующие пассивному аспекту; они предъявляются к технологии и процессу разработки и эксплуатации.
Требования безопасности формулируются, и их выполнение проверяется для определенного объекта оценки - аппаратно-программного продукта или ИС. Безопасность в "ОК" рассматривается не статично, а в соответствии с жизненным циклом объекта оценки. Кроме того, обследуемый объект предстает не изолированно, а в "среде безопасности", характеризующейся определенными уязвимостями и угрозами. "Общие критерии" целесообразно использовать для оценки уровня защищенности с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций. Хотя применимость "ОК" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.
Ключевые средства контроля (механизмы управления ИБ), предлагаемые в ISO 17799-2005, считаются особенно важными. При использовании некоторых из средств контроля, например шифрования, могут потребоваться советы специалистов по безопасности и оценка рисков. Для обеспечения защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799-2005. Процедура аудита безопасности ИС по стандарту ISO 17799 включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту также является анализ и управление рисками.
В 2005 г. на основе версии ISO 17799-2000 был разработан стандарт информационной безопасности ISO/IEC 27002-2005 "Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности" (Information technology. Security techniques. Code of practice for information security management). В стандарте описаны лучшие практики по управлению информационной безопасностью, которая определяется в стандарте как "сохранение конфиденциальности (уверенности в том, что информация доступна только тем, кто уполномочен иметь такой доступ), целостности (гарантии точности и полноты информации, а также методов ее обработки) и доступности (гарантии того, что уполномоченные пользователи имеют доступ к информации и связанным с ней ресурсам)".
Текущая версия стандарта сохранила структуру предыдущей версии и несколько расширила ее. Стандарт состоит из следующих основных разделов.
1. Политика безопасности (Security policy).
2. Организация информационной безопасности (Organization of Information Security).
3. Управление ресурсами (Asset management).
4. Безопасность персонала (Human resources security).
5. Физическая безопасность и безопасность окружения (Physical and environmental security).
6. Управление коммуникациями и операциями (Communications and operations management).
7. Управление доступом (Access control).
8. Приобретение, разработка и поддержка систем (Informationsystemsacquisition,developmentandmaintenance).
9. Управление инцидентами информационной безопасности (Information security incident management).
10. Управление бесперебойной работой организации (Business continuity management).
11. Соответствие нормативным требованиям (Compliance).