- •Глава I. Обзор стандортов и подходов в области
- •Глава II. Анализ информационных
- •Глава III. Проект системы конденциальной информации…41
- •Введение.
- •Глава I. Обзор стандортов и подходов в области информационной безопастности.
- •1.1 Стандарт гост р исо/мэк 17799-2005.
- •1.2 Стандарт гост р исо/мэк 27001-2006.
- •1.3 Стандарт сто бр иббс-1.0-2008
- •1.4. Стандарт bs 7799-3:2006.
- •1.5. Обзор моделей построения информационных рисков.
- •Глава II. Анализ информационных рисков чп зао «лиса»
- •2.1 Информационная сеть и оборудование центрального офиса.
- •2.2 Информационная сеть и оборудование абк асу.
- •2.3 Информационная сеть и оборудование лаборатории физико – механических испытаний. Чп зао «Лиса».
- •2.4. Оценка рисков.
- •2.5 Анализ информационных рисков.
- •Глава III. Проект системы конденциальной информации.
- •3.1 Проект по изменению информационной сети Центрального офиса.
- •3.2 Проект по изменению информационной сети абк асу.
- •3.3 Проект по изменению информационной сети лаборатории физико - механических испытаний.
- •3.4 Система цифровых сертификатов.
- •3.5 Организационные меры по защите информации.
- •3.6. Внедрение системы защиты конфиденциальной информации в чп зао «Лиса»
- •3.7 Выводы.
- •Заключение.
- •Библиография
1.2 Стандарт гост р исо/мэк 27001-2006.
Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Данный стандарт является национальным стандартом Российской Федерации и он идентичен международному стандарту ISO/IEC 27001:2005.
Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасностью.
Данный стандарт предполагает использование процессного подхода, и выделяет особую значимость следующих факторов:
- Понимание требований информационной безопасности организации и необходимости установления политики и целей информационной безопасности.
- Внедрение и использование мер управления для менеджмента рисков информационной безопасности среди общих бизнес-рисков организации.
- Мониторинг и проверка производительности и эффективности системы менеджмента информационной безопасности.
- Непрерывное улучшение системы менеджмента информационной безопасности, основанное на результатах объективных измерений.
В стандарте представлена модель « Планирование - Осуществление – Проверка – Действие».
Данный стандарт включает в себя восемь разделов:
Область применения.
Нормативные ссылки.
Термины и определения.
Система менеджмента информационной безопасности.
Ответственность руководства.
Внутренние аудиты системы менеджмента информационной безопасности.
Анализ системы менеджмента информационной безопасности со стороны руководства.
Улучшение системы менеджмента информационной безопасности.
Система менеджмента информационной безопасности. Данный раздел содержит в себе темы разработки системы менеджмента информационной безопасности и управление ею. Далее рассмотрен пункт внедрения и функционирования системы, приведены обязанности в отношении организации по проведению мониторинга и анализа системы, а также рассмотрены требования к документации и управлению документами.
Ответственность руководства. Устанавливает обязательство руководства в отношении разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасностью и меры достижения этих обязательств. А также затрагивается вопрос управления ресурсами.
Внутренние аудиты системы менеджмента информационной безопасности. Вопросы в отношении процедуры внутреннего аудита и отбора аудиторов. Цель – установление того, что цели управления, меры управления, процессы и процедуры системы менеджмента информационной безопасности:
- Соответствуют требованиям стандарта и соответствующим законам или нормативным документам;
- Соответствуют установленным требованиям информационной безопасности;
- Результативно внедряются и поддерживаются;
- Функционируют должным образом;
Анализ системы менеджмента информационной безопасности со стороны руководства. В данном разделе рассматриваются требования к руководству по вопросам проведения анализа и внесения предложений по изменению системы менеджмента информационной безопасности. Устанавливается перечень входных и выходных данных для анализа системы менеджмента информационной безопасности.
Улучшение системы менеджмента информационной безопасности. В данном разделе говорится о необходимости постоянного улучшения и корректировки системы менеджмента информационной безопасности, а также об устранении причин потенциальных несоответствий, с целью предотвращения повторного появления.
Также в стандарт включено приложение А (рекомендуемое), в которое входят цели и меры управления, приведенные в ИСО/МЭК 17799:2005. Следует отметить то, что перечень мер управления, содержащийся в таблице приложения А, не является исчерпывающим, и организация может рассмотреть необходимость дополнительных целей и мер управления. Выбор целей и мер контроля, приведенных в таблице, должен быть осуществлен в соответствии с разделом 4 (Система менеджмента информационной безопасности).
В таблице рассматриваются следующие цели и меры управления:
- Политика безопасности
- Организация информационной безопасности
- Управление активами
- Правила безопасности, связанные с персоналом
- Физическая защита и защита от воздействий окружающей среды
- Управление средствами коммуникаций и их функционированием
- Контроль доступа
- Правильная обработка данных в приложениях
- Управление инцидентами информационной безопасности
- Управление непрерывностью бизнеса
- Соответствие требованиям [3]