Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Состав серии стандартов ИСО/МЭК 27000 (ISO/IEC 2007)

Поиск
  • ИСО/МЭК 27000 «Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь»;
  • ИСО/МЭК 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
  • ИСО/МЭК 27002:2005 «Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности»;
  • ИСО/МЭК 27003 «Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности»;
  • ИСО/МЭК 27004 “Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности»;
  • ИСО/МЭК 27005:2008 «Информационные технологии. Средства обеспечения безопасности. Риск-менеджмент информационной безопасности»;
  • ИСО/МЭК 27006:2007 «Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности»;
  • ИСО/МЭК 27007 «Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности»;
  • ИСО/МЭК 27011 «Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций».

Стандарт ИСО/МЭК 27001 (ISO/IEC 27001) устанавливает требования

lпо разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы менеджмента информационной безопасности среди общих бизнес-рисков организации;

lпо внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности.

Целью построения системы менеджмента информационной безопасности является выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Настоящий стандарт согласован со стандартами ИСО 9001 (ISO 9001) и ИСО 14001 (ISO 14001) в целях поддержки последовательного и интегрированного внедрения и взаимодействия с другими подобными взаимосвязанными стандартами в области менеджмента. Таким образом, одна правильно построенная система менеджмента в организации может удовлетворять требованиям всех этих стандартов.

В Российской Федерации международным стандартам ИСО/МЭК 27001:2005 и ИСО/МЭК 27002:2005 соответствует следующие стандарты соответственно:

  • ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
  • ГОСТ Р ИСО /МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».

Кроме того в Российской Федерации на безопасность информационных технологий действуют следующие стандарты:

  • ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;
  • ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности»;
  • ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности»;
  • ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты»;
  • ЦБР СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».

ГОСТ Р ИСО/МЭК 27002-2012

Следуя рекомендациям ГОСТ Р ИСО/МЭК 27002-2012: оценки рисков следует выполнять периодически, чтобы учитывать изменения в требованиях безопасности и в ситуации, связанной с риском, например, в отношении активов, угроз, уязвимостей, воздействий, оценивания рисков.

Прежде чем рассмотреть обработку некоего риска, организация должна выбрать критерии определения приемлемости или неприемлемости рисков.

В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста.

В результате оценки риска согласно ГОСТ Р ИСО/МЭК 27003-2012 необходимо:

  • определить угрозы и их источники;
  • определить существующие и планируемые меры и средства контроля и управления;
  • определить уязвимости, которые могут в случае угрозы нанести ущерб активам или организации;
  • определить последствия потери конфиденциальности, сохранности, доступности, безотказности или нарушения других требований к безопасности для активов;
  • оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или фактических инцидентов информационной безопасности;
  • оценить вероятность чрезвычайных сценариев;
  • оценить уровень риска;
  • сравнить уровни риска с критериями оценки и приемлемости рисков

Этапы анализа рисков

Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им количественную оценку). Его можно разделить на несколько последовательных этапов:

  • Идентификация ключевых ресурсов АС;
  • Определение важности тех или иных ресурсов;
  • Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз;
  • Вычисление рисков, связанных с осуществлением угроз безопасности.

Идентификация ресурсов

Ресурсы АС делятся на три категории:

  • Информационные ресурсы;
  • Программное обеспечение;
  • Технические средства (файловые серверы, рабочие станции, мосты, маршрутизаторы и т. п.).

В каждой категории ресурсы можно разделить на классы и подклассы. Необходимо идентифицировать только те ресурсы, которые определяют функциональность АС и существенны с точки зрения обеспечения безопасности.

Оценка стоимости ресурсов

Важность (или стоимость) ресурса определяется величиной ущерба, наносимого в случае нарушения конфиденциальности, целостности или доступности этого ресурса. В ходе оценки стоимости ресурсов определяется величина возможного ущерба для каждой категории ресурсов:

  • Данные были раскрыты, изменены, удалены или стали недоступны;
  • Аппаратура была повреждена или разрушена;
  • Нарушена целостность ПО.


Поделиться:


Последнее изменение этой страницы: 2021-04-04; просмотров: 87; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.147.82.108 (0.006 с.)