- •III. Учебные материалы (учебники, учебные пособия или конспекты лекций) Структура информационных ресурсов. Основные законодательные акты.
- •2.1 Структура информационных ресурсов. Правовые нормы
- •2.1.1 Основные законодательные акты
- •2.1.2 Указы президента рф
- •2.1.3 Постановления правительства
- •2.1.4 Межведомственные документы Гостехкомиссии России.
- •2.2 Основные моменты законодательства рф в сфере информационных технологий.
- •2.3 Iso/iec tr 13335 Информационные технологии. Руководство по управлению безопасностью ит. (Information technology -- Guidelines for the management of it Security)
- •2.3.1 Iso/iec tr 13335-1:1996 Концепция и модели обеспечения безопасности информационных технологий.
- •2.3.2 Iso/iec tr 13335-2:1997. Планирование и управление безопасностью информационных технологий.
- •2.3.3 Iso/iec tr 13335-3:1998. Техника управления безопасностью ит.
- •2.3.4 Iso/iec tr 13335-4:2000. Выбор средств обеспечения безопасности.
- •2.3.5 Iso/iec tr 13335-5:2001. Безопасность внешних связей.
- •2.4 Iso/iec 15408: 1999. Информационная технология - Методы и средства защиты информации - Критерии оценки безопасности ит. Security techniques -- Evaluation criteria for it security
- •2.4.1 Часть 1. Представление и общая модель
- •2.4.1.1 Концепция общих критериев
- •2.4.1.2 Целевая направленность ок
- •2.4.2 Часть 2. Функциональные требования безопасности. Функциональные требования ок
- •2.4.3 Часть 3. Требования гарантии безопасности
- •2.4.3.1 Требования гарантии ок
- •2.5 Iso/iec 17799:2000 Информационные технологии – Код практики для управления информационной безопасностью. Information technology -- Code of practice for information security management
- •2.6 Таксономия требований и критериев “Оранжевой книги”
- •2.6.1 Политика безопасности
- •2.6.2 Аудит
- •2.6.3 Корректность
- •2.6.4 Таксономия критериев безопасности
- •2.6.5 Классы безопасности компьютерных систем
- •2.7 Руководящие документы Гостехкомиссии России.
- •2.7.1 Основные положения.
- •2.7.2 Таксономия критериев и требований безопасности.
- •2.7.2.1 Показатели защищенности свт от нсд.
- •2.7.2.2 Требования к защищенности автоматизированных систем.
- •2.7.2.3 Классы защищенности автоматизированных систем.
- •Компоненты системы безопасности.
2.5 Iso/iec 17799:2000 Информационные технологии – Код практики для управления информационной безопасностью. Information technology -- Code of practice for information security management
ISO 17799 - наиболее признанный стандарт безопасности. Он основан на стандарте BS 7799, который в последний раз опубликовывался в мае 1999, издании, которое само включало многие дополнения и улучшения предшествующих версий. Первая версия ISO 17799 была опубликована в декабре 2000.
Стандарт ISO17799 исчерпывающее охватывает круг вопросов безопасности. Он содержит значительное количество управляющих требований, некоторые из них чрезвычайно сложные. Он разделен на десять основных секций, каждая охватывает отдельную тему или область:
Планирование Непрерывности Дела
Цели этой секции: противодействие нарушениям деятельности торговой фирмы и критических деловых процессов воздействиями существенных неисправностей или бедствий.
Управление Доступом к Системе
Цели этой секции:
управление доступом к информации;
предотвращение несанкционированного доступа к информационным системам;
гарантирование защиты сетевых услуг (служб);
предотвращение несанкционированного доступа к компьютеру;
обнаружение несанкционированной деятельности;
гарантирование информационной безопасности при использовании мобильной обработки и теле-сетевых средств.
Разработка и Эксплуатация Системы
Цели этой секции:
гарантирование, что безопаcность заложена в операционные системы;
предотвращение потери, модификации или неправильного употребления данных пользователя в прикладных системах;
защита конфиденциальности, достоверности и целостности информации;
гарантирование, что IT проекты и поддерживающие мероприятия проводятся безопасным способом;
поддержание безопасности системы прикладного программного обеспечения и данных.
Физическая Безопасность и Безопасность Окружающей среды
Цели этой секции:
предотвращение несанкционированного доступа, ущерба и влияния на недвижимость торговой фирмы и информации;
предотвращение убытка, ущерба или компрометации фондов и нарушения деятельности торговой фирмы;
предотвращение компроментации или кражи информации и средств обработки информации.
Согласие
Цели этой секции:
избегание нарушений любых уголовных или гражданских законов, уставных, регулирующих или договорных обязательств и любых требований безопасности;
гарантирование согласия систем с организационными политиками безопасности и стандартами;
расширение эффективности и минимизация влияния на процесс аудита системы.
Безопасность Персонала
Цели этой секции:
уменьшение риска человеческой ошибки, кражи, мошенничества или неправильного употребления средств;
проверка, что пользователи отдают себе отчет об угрозах информационной безопасности и касаются, и оснащаются, чтобы поддержать корпоративную политику безопасности в ходе их нормальной работы;
минимизация ущерба от инцидентов безопасности и сбоев и узнавание о таких инцидентах.
Безопасность Организации
Цели этой секции:
управление информационной безопасностью в пределах Компании;
поддержание безопасности средств обработки организационной информации, и информационных фондов, доступных третьим сторонам;
поддержание безопасности информации, когда ответственность за обработку информации передается в другую организацию.
Компьютерное и Сетевое Управление
Цели этой секции:
гарантирование правильной и безопасной работы средств обработки информации;
минимизация риска отказов системы;
защита целостности программного обеспечения и информации;
поддержание целостности и доступности информационной обработки и связи;
гарантирование охраны информации в сетях и защиты поддерживающей инфраструктуры;
предотвращение ущерба фондам и нарушений деятельности торговой фирмы;
предотвращение потери, модификации или неправильного употребления информации, обмениваемой между организациями.
Классификация Актива и Управление
Цели этой секции:
поддержание соответствующей защиты корпоративных фондов и гарантирование, что информационные фонды получают соответствующий уровень защиты.
Политики Безопасности
Цели этой секции:
обеспечение направления управления и поддержки информационной безопасности.
В каждой секции подробные утверждения образуют стандарт.