Файловый архив студентов. Файловый архив студентов.
1264 вуза, 4628 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Тюменский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ТОКБ-Лекционный курс.doc
Скачиваний:
68
Добавлен:
09.12.2018
Размер:
1.96 Mб
Скачать
►Содержание►

Контрольные вопросы

  1. Какие типы политик безопасности существуют?

  2. Приведите пример применения аналитических методов для описания системы.

  3. Каким образом проводится анализ системы при использовании объектных методов?

  4. Какая иерархия правил существует в языке Ponder?

  5. В чем заключаются преимущества логических методов моделирования?

Лекция 17. Управление информационной безопасностью Понятие управления безопасностью

Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.

При построении системы защиты компании должны учитывать специфику бизнеса, а не ориентироваться на достижение всех свойств информационных ресурсов. Например, для банковского сектора ключевой задачей в области информационной безопасности станет обеспечение целостности финансовой информации; для операторов связи  доступности информационных ресурсов, начиная с адекватной пропускной способности каналов и заканчивая доступностью коммерческих сервисов; для государственных компаний, в свою очередь, важна конфиденциальность информации. Конечно, это не значит, что банки не заинтересованы в доступности информации или в госсекторе нет необходимости иметь целостные данные, отнюдь. Просто начинать внедрение системы безопасности надо с критически важных ее аспектов, и тогда, при правильном подходе к построению архитектуры, в конечном счете можно действительно получить надежную систему управления информационной безопасностью (СУИБ).

Для грамотного построения СУИБ уже сформированы готовые и отработанные стандарты. На сегодняшний день существует две большие группы международных стандартов для систем управления информационной безопасностью: ISO/IEC 27000 и ISO/IEC 13335.

Семейство 27000 включает в себя международные стандарты, определяющие требования к системам менеджмента защиты информации, управление рисками, метрики и измерения, а также руководство по внедрению.

Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее.

ISO27000

Определения и основные принципы. Планируется унификация со стандартами  COBIT и ITIL. Проект стандарта находится в разработке.

ISO27001

ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы менеджмента защиты информации. Требования (BS 7799-2:2005). Выпущен в июле 2005 г.

ISO27002

ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью (ранее ISO/IEC 17799:2005).

ISO27003

Руководство по внедрению системы управления информационной безопасностью. Выпуск запланирован на 2007 г.

ISO27004

Измерение эффективности системы управления информационной безопасностью. Выпуск запланирован на 2007 г.

ISO27005

Управление рисками информационной безопасности (на основе BS 7799-3:2006). Выпуск запланирован на 2007 г.

ISO27006

ISO/IEC 27006:2007 Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью 

ISO27007

Руководство для аудитора СУИБ (в разработке).

ISO27011

Руководство по управлению информационной безопасностью для телекоммуникаций (в разработке). 

ISO 13335  Международные стандарты безопасности информационных технологий. Эта серия включает в себя следующие 4 стандарта:

ISO13335-1:2004

Информационные технологии. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности

информационных и телекоммуникационных технологий.

ISO13335-3:1998

Информационные технологии. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий.

ISO13335-4:2000

Информационные технологии. Методы и средства обеспечения безопасности. Выбор защитных мер.

ISO13335-5:2001

Информационные технологии. Методы и средства обеспечения безопасности. Руководство по менеджменту безопасности сети.

Так же неотъемлемой частью СУИБ является управление инцидентами ИБ. Этому вопросу посвящен нормативный документ ISO/IEC TR 18044:2004 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности". Данный документ описывает инфраструктуру управления инцидентами в рамках циклической модели PDCA. Даются подробные спецификации для стадий планирования, эксплуатации, анализа и улучшения процесса. Рассматриваются вопросы обеспечения нормативно-распорядительной документацией, ресурсами, даются подробные рекомендации по необходимым процедурам.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности