- •Iso 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации Источник: http://www.Klubok.Net/pageid499.Html
- •Iso 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации Источник: http://www.Klubok.Net/pageid499.Html
- •Iso 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификаци Источник: http://www.Klubok.Net/pageid499.Html
- •19. Как оценивается иб ит согласно стандартам iso/iec 15408 и 18045 и идентичных им гост р исо/мэк?
- •23. Каковы основные цели следования модели pdca при построении процесса управления инцидентами иб в соответствии с требованиями гост р исо/мэк то 18044?
- •26. Каково значение стандартов серии сто бр иббс в рамках развития стандартизации управления иб в России?
- •31. Какие определения ПолИб даются в различных международных стандартах?
- •32. В чем различие политик, стандартов, правил и процедур оиб?
- •37. Перечислите основные требования, предъявляемые в различных источниках к ПолИб?
- •38. Каковы основные принципы, позволяющие разработать эффективную ПолИб?
- •39. Каково содержание документа, описывающего корпоративную ПолИб? Что излагается в каждом из разделов этой политики?
- •51. Какими принципами необходимо руководствоваться при установлении ответственности в отношении соблюдения ПолИб?
- •52. Дайте определения «оиб», «управления иб» и «суиб» организации.
- •53. Опишите деятельность по оиб организации как процесс. Каковы его входные и выходные данные, ресурсы и управляющие воздействия?
- •55. Каковы основные этапы процесса управления иб итт?
Iso 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации Источник: http://www.Klubok.Net/pageid499.Html
Iso 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации Источник: http://www.Klubok.Net/pageid499.Html
Iso 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификаци Источник: http://www.Klubok.Net/pageid499.Html
1. Какой стандарт (серия стандартов)
стал основоположником стандартизации
систем управления ИБ?
Следующей его версией стал стандарт ISO/IEC 17799:2005, который в связи с формирование группы стандартов 27000 был преобразован в стандарт ISO/IEC 27002:2005. «Information technology. Security techniques. Code of practice for information security management» (Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления ИБ).
2. Для организаций какой сферы применимы стандарты серии ISO/IEC 27000?
ГОСТ Р ИСО/МЭК 27001–2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»
Дальнейшее развитие стандартов серии 27000 включает в себя появление стандартов, более подробно раскрывающих требования к отдельным процессам управления ИБ.
3. Каковы отличительные черты серии стандартов ISO/IEC 27000?
Дальнейшее развитие стандартов серии 27000 включает в себя появление стандартов, более подробно раскрывающих требования к отдельным процессам управления ИБ. Базируясь на единой структуре и методологии, заложенной в ISO/IEC 27001:2005, они предоставляют руководства по управлению ИБ для различных сфер деятельности, включая финансовый и страховой сектор, здравоохранение, телекоммуникации и т.д.
4. Какой из стандартов серии ISO/IEC 27000 содержит требования к созданию, внедрению, эксплуатации, мониторингу, анализу, сопровождению и совершенствованию СУИБ?
|
27003:2010 |
Руководство по внедрению СУИБ |
5. В чем состоят основные различия и сходства стандартов ISO/IEC 27001 (СУИБ. Требования ) и ITU-T X.1051?
ITU - T Rec.X.1051 | ISO/IEC 27011 (Руководство по управлению ИБ для телекоммуникационных компаний на основе ISO/IEC 27002)
6. Какой из стандартов серии ISO/IEC 27000 признан каталогом «лучших» практик по ИБ?
ГОСТ Р ИСО/МЭК 17799–2005 не является техническим стандартом и не зависит от конкретных средств защиты или технологий. Он описывает концептуальные основы управления ИБ и является признанным набором «лучших практик» по ОИБ.
7. В каком стандарте серии ISO/IEC 27000 содержится руководство по внедрению СУИБ?
|
27003:2010 |
Руководство по внедрению СУИБ |
8. На основании чего может проводиться оценка эффективности СУИБ?
ISO 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации http://www.klubok.net/pageid499.html
9. Можно ли проводить аудит (или сертификацию) на соответствие стандарту ISO/IEC 27002 (бывший ISO/IEC 17799)?
Многие до сих пор спрашивают меня, можно ли пройти сертификацию по ISO 27002. Здесь положение дел с выходом новой редакции останется прежним – как сейчас, так и потом нельзя будет получить сертификат соответствия ISO 27002, поскольку, в отличие от ISO 27001, он не является стандартом системы менеджмента. Это означает, что ISO 27002 останется сводом практики (или наилучшей практики) реализации мер безопасности. http://rusrim.blogspot.ru/2011/12/iso-27002.html
10. Каковы основные идеи руководства по аудиту СУИБ и средств управления ИБ, реализованных в СУИБ?
ISO/I ЕС 27007:2011 5.2 Разработка целей программы аудита ссылается на
Применять руководство подраздела 5.2 ИСО 19011:2011, там:
5.2 Разработка целей программы аудита
Высшему руководству следует обеспечить разработку целей программы аудита, для того чтобы
руководить планированием и проведением аудитов, ему также следует обеспечить результативное
внедрение программы аудита. Цели программы аудита должны согласовываться и содействовать реа
лизации политики и целей системы менеджмента.
Цели могут быть основаны на рассмотрении следующего:
a) приоритетов руководства;
b) коммерческих и/или деловых намерений;
c) характеристик процессов, продуктов и проектов, а также любых изменений к ним;
d) требований системы (систем) менеджмента;
e) правовых и других требований, которые организация принимает на себя;
f) необходимости в оценке поставщиков;
д) потребностей и ожиданий заинтересованных сторон (включая потребителей);
h) показателей и характеристик деятельности проверяемой организации, что отражается в случа
ях возникновения нарушений, дефектов, инцидентов или жалоб потребителей;
i) рисков для проверяемой организации;
j) результатов предыдущих аудитов;
k) уровня достигнутого развития системы менеджмента.
11. Почему подход к проведению аудитов систем менеджмента качества и окружающей среды, изложенный в стандарте 12. ISO/IEC 19011, может быть применен для проведения внутренний аудитов СУИБ?
13. В каком стандарте серии ISO/IEC 27000 описана инфраструктура руководства ИБ?
Стандарт ISO/IEC 27014:2013 «Information technology. Security techniques. Information security governance framework» (Информационная технология. Методы и средства обеспечения безопасности. Базовая структура руководства ИБ) стал руководством, помогающим организациям руководить (англ. govern) их ИБ, определяющим для них базовую инфраструктуру эффективного управления ИБ
14. Какой стандарт серии ISO/IEC 27000 рассматривает вопросы управления безопасностью сетей?
http://wiki.informationsecurity.club/doku.php/документы:стандарты:серия_гост_р_исо_мэк_27000
|
ГОСТ Р ИСО/МЭК 27033-3-2014 |
Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления |
15. В чем состоят преимущества использования (учета) требований российских и международных стандартов по управлению ИБ при построении СУИБ или отдельных процессов управления ИБ?
Помимо этого отличительной особенностью стандартов ISO 9000, которая была перенята при стандартизации СУИБ, является то, что они устанавливают степень ответственности руководства компании за качество.
16. Каковы преимущества одновременного учета требований стандартов, предъявляемых как к СУИБ в целом, так и стандартов, предъявляющих требования к отдельным процессам, разрабатываемым в рамках СУИБ?
17. В чем состоят основные сходства и различия между стандартами на СУИБ и на отдельные процессы управления ИБ?
18. Какие методы и средства ОИБ для ИТ рассматриваются в стандартах ISO/IEC 13335 и идентичных им ГОСТ Р ИСО/МЭК 13335?
Описания методов и средств нет в описании стандарта на сайте. Есть
Этот стандарт определяет, что для создания эффективной программы ОИБ ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:
· менеджмент риска – активы должны быть защищены путем принятия соответствующих мер, которые должны выбираться и применяться на основании соответствующей методологии управления рисками, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливающей допустимые риски и учитывающей существующие ограничения;
· обязательства организации в области ОИБ ИТТ и управлении рисками ИБ, для формирования которых следует разъяснить преимущества от реализации защиты ИТТ;
· служебные обязанности и ответственность за ОИБ активов, которые должны быть определены и доведены до сведения персонала;
· цели, стратегии и политика, которые должны учитываться при управлении рисками, связанными с ОИБ ИТТ организации;
· управление жизненным циклом – управление ИБ ИТТ должно быть непрерывным в течение всего их жизненного цикла.
В тексте стандарта перечислений методов и средств тоже нет.