ВВЕДЕНИЕ В СПЕЦИАЛЬНОСТЬ 090303е7-12

Приложения

ISO 27001 ISO/IEC 27001:2005(E) Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования.

Цели управления и средства управления информационной безопасностью. A.5 Политика защиты

A.5.1 Политика защиты информации

Цель: Обеспечить направление и поддержку со стороны руководства для защиты информации в соответствии с деловыми требованиями, а также законами и нормами, имеющими отношение к делу.

A.5.1.1 Документ политики в области защиты информации

A.6 Организация защиты информации

A.6.1 Внутренняя организация

Цель: Осуществлять менеджмент защиты информации в рамках организации

A.6.1.1-8 Обязанности руководства по защите информации. Координация защиты информации Распределение ответственности за защиту информации. Контакты с властями. Независимый анализ информационной безопасности

A.6.2 Внешние стороны

Цель: Поддерживать в рабочем состоянии защиту информации организации и средства, обрабатывающие информацию, которые доступны внешним сторонам, обрабатываются внешними сторонами, сообщены внешним сторонам или управляются внешними сторонами.

A.6.2.1-3 Выявление рисков, связанных с внешними сторонами. Решение вопросов безопасности при работе с клиентами

A.7 Менеджмент активов

A.7.1 Ответственность за активы

Цель: Достичь и поддерживать в рабочем состоянии подходящую защиту организационных активов.

A.7.1.1-3 Реестр активов. Приемлемое использование активов A.7.2 Классификация информации

Цель: Гарантировать, что информация получает подходящий уровень защиты.

A.8 Защита человеческих ресурсов

A.8.1 Перед наймом на работу5

Цель: Гарантировать, что служащие, подрядчики и пользователи третьей стороны понимают свою ответственность и подходят для должностей, на которые они рассматриваются, а также снизить риск кражи, мошенничества или неправильного использования средств.

A.8.2 Во время работы

Цель: Гарантировать, что все служащие, подрядчики и пользователи третьей стороны осознают угрозы защите информации и хлопоты по защите информации, свою ответственность и свои обязательства, и оснащены для того, чтобы поддерживать организационную политику защиты во время своей обычной работы, а также для того, чтобы снизить риск человеческой ошибки.

A.8.3 Окончание или изменение работы по найму

Цель: Гарантировать, что служащие, подрядчики и пользователи третьей стороны уходят из организации или меняют службу упорядоченно.

A.8.3.1-3 Ответственность за окончание работы по найму Возврат активов Удаление прав доступа

A.9 Физическая защита и защита от окружающей среды

A.9.1 Зоны безопасности

Цель: Предотвратить неразрешенный физический доступ, ущерб и вмешательства в недвижимость и информацию организации.

A.9.1.1-6 Физический периметр безопасности. Средства управления физическим доступом. Организация защиты офисов, комнат и оборудования. Защита против внешних и экологических угроз. Работа в зонах безопасности. Зоны общего доступа, поставки и загрузки

A.9.2 Защита оборудования

Цель: Предотвратить гибель, ущерб, кражу или компрометацию активов и заминку в работе организации

A.9.2.1-7 Размещение и защита оборудования. Вспомогательное оборудование. Защита кабельной системы. Техническое обслуживание оборудования. Защита оборудования вне помещений. Безопасная ликвидация или повторное использование оборудования. Перемещение собственности

A.10 Менеджмент средств связи и эксплуатации

A.10.1 Процедуры эксплуатации и ответственность

Цель: Гарантировать правильную и безопасную работу средств, обрабатывающих информацию.

A.10.1.1-4 Документированные процедуры эксплуатации. Менеджмент изменений. Разделение обязанностей. Разделение средств разработки, испытания и эксплуатации A.10.2 Менеджмент предоставления услуг третьей стороны

Цель: Реализовать и поддерживать подходящий уровень защиты информации и предоставления услуг в соответствии с соглашениями о предоставлении услуг третьей стороны.

A.10.2.1-3 Предоставление услуг. Постоянный контроль и анализ услуг третьей стороны. Менеджмент изменений в услугах третьей стороны

A.10.3 Планирование и приемка систем Цель: Минимизировать риск системных сбоев.

A.10.3.1-2 Менеджмент производительности. Приемка системы. (Должны быть созданы критерии приемки новых информационных систем, совершенствований и новых версий, и

должны быть выполнены подходящие испытания системы(систем) в ходе разработки и перед приемкой.)

A.10.4 Защита от злонамеренного и мобильного кодирования

Цель: Защитить целостность программного обеспечения и информации. A.10.5 Резервное копирование

A.10.6 Менеджмент защиты сети

Цель: Гарантировать защиту информации в сетях и защиту вспомогательной инфраструктуры.

A.10.6.1 Средства управления сетью A.10.6.2 Защита сетевых служб

A.10.7 Обработка носителей информации

Цель: Предотвращать неразрешенное разглашение, изменение, удаление или уничтожение активов, а также прерывание деловых операций.

A.10.7.1-4 Менеджмент съемных носителей информации. Ликвидация носителей. Процедуры обработки информации. Защита систем

A.10.8 Обмен информацией

Цель: Поддерживать защиту информации и программного обеспечения, выменянного в организации и в каком-либо внешнем объекте.

A.10.8.1-5 Политика и процедуры обмена информацией. Соглашения по обмену. Физические носители в процессе перемещения. Электронный обмен сообщениями. Системы деловой информации.

A.10.9 Услуги электронной торговли

Цель: Гарантировать защиту услуг электронной торговли, а также их безопасное использование.

A.10.10 Постоянный контроль

Цель: Обнаруживать неразрешенную деятельность по обработке информации. A.10.10.1-6 Ведение контрольного журнала. Использование систем постоянного контроля. Защита данных журнала. Журнал администратора и оператора. Журнал неисправностей. Синхронизация часов

A.11 Управление доступом

A.11.1 Деловые требования к управлению доступом Цель: Управлять доступом к информации. A.11.1.1 Политика управления доступом

A.11.2 Менеджмент доступа пользователей

A.11.2.1-4 Регистрация пользователей. Менеджмент привилегий. Менеджмент паролей пользователей. Анализ прав доступа пользователей

A.11.3 Ответственность пользователя

Цель: Предотвращать неразрешенный доступ пользователей, а также компрометацию или кражу информации и средств, обрабатывающих информацию.

A.11.3.1-3 Использование пароля. Оборудование пользователя, работающее в автоматическом режиме. Политика чистого стола и чистого экрана

A.11.4 Управление доступом к сети

Цель: Предотвращать неразрешенный доступ к сетевым услугам.

A.11.4.1-7 Политика по использованию сетевых услуг (Пользователям должен предоставляться доступом только к тем услугам, которые им конкретно было разрешено использовать.). Аутентификация пользователя для внешних соединений. Идентификация оборудования в сетях. Защита удаленных диагностического и конфигурационного портов. Разделение в сетях. Управление подключением к сети. Управление сетевой маршрутизацией

A.11.5 Управление доступом к операционной системе

Цель: Предотвращать неразрешенный доступ к операционным системам.

A.11.5.1-6 Процедуры защищенного входа в систему. Идентификация и аутентификация пользователя. Система менеджмента паролей. Использование системных утилит (Использование утилит, которые могут быть способны блокировать средства управления системы и приложений, должны быть ограничены и должны надежно управляться.) Таймаут сессии (Неактивные сеансы должны быть закрыты по истечении определенного периода бездействия.) Ограничения времени соединения

A.11.6 Управление доступом к приложениям и информации

Цель: Предотвращать неразрешенный доступ к информации, содержащейся в прикладных системах.

A.11.6.1 Ограничение доступа к информации A.11.6.2 Изоляция уязвимых систем

A.11.7 Мобильная обработка и телеобработка

Цель: Гарантировать защиту информации при использовании средств мобильной обработки и телеобработки.

A.11.7.1 Мобильная обработка и средства связи

Управление Должна быть принята официальная политика и должны быть приняты надлежащие меры защиты, чтобы защититься от рисков использования средств мобильной обработки и средств связи.

A.11.7.2 Телеобработка

Управление Должны быть разработаны и внедрены политика, оперативные планы и процедуры для деятельности по телеобработке.

A.12 Приобретение, разработка и поддержание в рабочем состоянии информационных систем

A.12.1 Требования защиты информационных систем

Цель: Гарантировать, что защита является неотъемлемой частью информационных систем.

A.12.1.1 Анализ и спецификация требований защиты A.12.2 Правильная обработка в приложениях

Цель: Предотвращать ошибки, потерю, неразрешенное изменение или неправильное использование информации в приложениях.

A.12.2.1 Валидация вводимых данных

Управление Должна осуществляться валидация данных, вводимых в приложения, с целью гарантировать, что эти данные правильные и подходящие.

A.12.2.2 Управление внутренней обработкой A.12.2.3 Целостность сообщений

A.12.3 Управление доступом с использованием криптографии

Цель: Защитить конфиденциальность, аутентичность или целостность информации криптографическими средствами.

A.12.3.1-2 Политика по использованию криптографических средств. Распределение ключей

A.12.4 Защита системных файлов

Цель: Гарантировать защиту системных файлов.

A.12.4.1-3 Управление системным программным обеспечением. Защита данных системного теста. Управление доступом к программе

A.12.5 Защита в разработке и вспомогательных процессах

Цель: Поддерживать защиту прикладного системного программного обеспечения и информации.

A.12.5.1-5 Процедуры управления изменениями. Технический анализ приложений после изменений операционной системы. Ограничения на изменения в пакете программ. Утечка информации. Разработка программного обеспечения, приобретаемого на стороне. (

Разработка программного обеспечения, приобретаемого на стороне, должна быть под надзором и постоянным контролем организации.)

A.12.6 Менеджмент технической уязвимости

Цель: Снизить риски, проистекающие из эксплуатации опубликованной технической уязвимости.

A.13 Менеджмент инцидентов в системе защиты информации

A.13.1 Сообщение о событиях и слабостях в системе защиты информации

Цель: Гарантировать, что о событиях и слабостях в системе защиты информации, связанных с информационными системами, сообщается способом, дающим возможность произвести своевременное корректирующее действие.

A.13.2 Менеджмент инцидентов в системе защиты информации и улучшения Цель: Гарантировать применение последовательного и результативного подхода к менеджменту инцидентов в системе защиты информации.

A.13.2.1-3 Ответственность и процедуры. ( Должны быть установлены ответственность руководства и процедуры, чтобы гарантировать быструю, результативную и упорядоченную реакцию на инциденты в системе защиты информации.) Извлечение уроков из инцидентов в системе защиты информации. Сбор свидетельств

A.14 Менеджмент непрерывности бизнеса

A.14.1 Аспекты защиты информации менеджмента непрерывности бизнеса

Цель: Противодействовать прерываниям в деловых операциях, защитить критичные деловые процессы от влияния существенных сбоев информационных систем или бедствий, а также гарантировать своевременное возобновление деловых операций.

A.14.1.1-5 Включение защиты информации в процесс менеджмента непрерывности бизнеса. Непрерывность бизнеса и оценка риска. Разработка и внедрение планов обеспечения непрерывности бизнеса, включающих защиту информации. Структура планирования обеспечения непрерывности бизнеса. Тестирование, постоянный контроль и переоценка планов обеспечения непрерывности бизнеса.

A.15 Соответствие

A.15.1 Соответствие законодательным требованиям

Цель: Избегать нарушений любых законодательных, уставных, нормативных или договорных обязательств, и любых требований защиты.

A.15.1.1 -6 Выявление применимых законов. Права на интеллектуальную собственность (IPR). Защита записей организации (Важные записи должны быть защищены от потери, уничтожения и фальсификации в соответствии с требованиями закона, нормативными, договорными и деловыми требованиями). Защита данных и секретность личной информации. Предотвращение неправильного использования средств, обрабатывающих информацию. Регулирование средств управления доступом с использованием криптографии.

A.15.2 Соответствие политике и стандартам защиты, а также техническое соответствие Цель: Гарантировать соответствие систем организационной политике и стандартам защиты.

A.15.2.1 Соответствие политике и стандартам защиты A.15.2.2 Проверка технического соответствия A.15.3 Обдумывание аудита информационных систем

Цель: Максимизировать результативность и минимизировать помехи для/от процесса аудита информационных систем.

A.15.3.1 Средства управления аудитом информационных систем A.15.3.2 Защита информации

Управление. Доступ к инструментальным средствам аудита информационных систем должен быть защищен, чтобы предотвратить любое возможное неправильное употребление или компрометацию.

ISO/IEC 17799:2000

Практические правила управленияинформационной безопасностью

Содержание 3 Политика безопасности

3.1 Политика информационной безопасности

4 Организационные вопросы безопасности

4.1Организационная инфраструктура информационной безопасности

4.2Обеспечение безопасности при наличии доступа к информационным системам сторонних организаций

4.3Привлечение сторонних организаций к обработке информации (аутсорсинг)

5 Классификация и управление активами

5.1Учет активов

5.2Классификация информации

6 Вопросы безопасности, связанные с персоналом

6.1Учет вопросов безопасности в должностных обязанностях и при найме персонала

6.2Обучение пользователей

6.3Реагирование на инциденты нарушения информационной безопасности и сбои

7 Физическая защита и защита от воздействий окружающей среды

7.1Охраняемые зоны

7.2Безопасность оборудования

7.3Общие мероприятия по управлению информационной безопасностью 8 Управление передачей данных и операционной деятельностью

8.1Операционные процедуры и обязанности

8.2Планирование нагрузки и приемка систем

8.3Защита от вредоносного программного обеспечения

8.4Вспомогательные операции

8.5Управление сетевыми ресурсами

8.6Безопасность носителей информации

8.7Обмен информацией и программным обеспечением 9 Контроль доступа

9.1Требование бизнеса по обеспечению контроля в отношении логического доступа

9.2Контроль в отношении доступа пользователей

9.3Обязанности пользователей

9.4Контроль сетевого доступа

9.5Контроль доступа к операционной системе

9.6Контроль доступа к приложениям

9.7Мониторинг доступа и использования системы

9.8Работа с переносными устройствами и работа в дистанционном режиме 10 Разработка и обслуживание систем

10.1Требования к безопасности систем

10.2Безопасность в прикладных системах

10.3Меры защиты информации, связанные с использованием криптографии

10.4Безопасность системных файлов

10.5Безопасность в процессах разработки и поддержки 11 Управление непрерывностью бизнеса 12 Соответствие требованиям

12.1Соответствие требованиям законодательства

12.2Пересмотр политики безопасности и техническое соответствие требованиям безопасности.

12.3Меры безопасности при проведении аудита.

ГОСТ 13335-3

Примерный перечень вопросов, входящих

всостав политики безопасности информационных технологий организации

1.2Область применения и цель политики обеспечения безопасности информационных технологий 2 Цели и принципы обеспечения безопасности

3 Организация и инфраструктура безопасности

3.1Ответственность

3.2Основные направления политики обеспечения безопасности

3.3Регистрация инцидентов нарушения безопасности 4 Анализ риска и стратегия менеджмента в области обеспечения безопасности ИТ

4.2Менеджмент и анализ риска

4.3Проверка соответствия мер обеспечения безопасности предъявляемым требованиям 5 Чувствительность информации и риски

5.2Схема маркировки информации

5.3Общий обзор информации в организации

5.4Уровни ценности и чувствительности информации в организации

5.5Общий обзор угроз, уязвимых мест и рисков 6 Безопасность аппаратно-программного обеспечения

6.1Идентификация и аутентификация

6.2Контроль доступа

6.3Журнал учета использования ресурсов и аудит

6.4Полное стирание

6.5Программное обеспечение, нарушающее нормальную работу системы

6.6Безопасность ПК

6.7Безопасность компактных портативных компьютеров 7 Безопасность связи

7.2Инфраструктура сетей

7.3Интернет

7.4Криптографическая аутентификация и аутентификация сообщений 8 Физическая безопасность

8.2Размещение оборудования

8.3Безопасность и защита зданий

8.4Защита коммуникаций и систем обеспечения энергоносителями в зданиях

8.5Защита вспомогательных служб

8.6Несанкционированное проникновение в помещения

8.7Доступность ПК и рабочих станций

8.8Доступ к магнитным носителям информации

8.9Защита персонала

8.10Противопожарная защита

8.11Защита от воды (жидкой среды)

8.12Обнаружение опасностей и сообщение о них

8.13Защита системы освещения

8.14Защита оборудования от кражи

8.15Защита окружающей среды

8.16Управление услугами и техническим обслуживанием 9 Безопасность персонала

9.2Условия найма персонала

9.3Осведомленность и обучение персонала в области безопасности

9.5Контракты с лицами, проводящими самостоятельную работу

9.6Привлечение третьих сторон 10 Безопасность документов и носителей информации

10.2Безопасность документов

10.3Хранение носителей информации

10.4Ликвидация носителей информации

11Обеспечение непрерывности деловой деятельности, 11.2 Запасные варианты

11.3 Стратегия обеспечения бесперебойной работы организации

11.4 План обеспечения бесперебойной работы организации

12Надомная работа

13Политика аутсортинга

14Управление изменениями

14.1Обратная связь

14.2Изменения в политике обеспечения безопасности

Профильные периодические издания

Безопасность информационных технологий (Выпускается МИФИ, из списка ВАК)

Вопросы защиты информации

Проблемы информационной безопасности. Компьютерные системы (из списка ВАК)

Jet Info информационный бюллетень

Журнал «Защита информации. Инсайд»

InformationSecurity: Информационная безопасность

Журнал, посвященный компьютерной безопасности

Информационная безопасность

Информационная безопасность — OSP News

Специализированные порталы

SecurityLab.ru

Независимый информационно-аналитический портал по безопасности

SASecurity Information Box

Информационная безопасность на Report.ru

Информационная безопасность / Блог / Хабрахабр

Библиотека информационной безопасности

Библиотека сетевой безопасности

Компьютерная безопасность: уязвимости, ошибки и эксплоиты

Построение безопасности в сетях

openPGP в России

Защита информации

Управление доступом пользователей к сетевым ресурсам и рабочим станциям

Литература

Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041- 0378-2.

Петренко С. А., Курбатов В. А. Политики информационной безопасности.— М.:

Компания АйТи, 2006. — 400 с. — ISBN 5-98453-024-4.

Галатенко В. А. Стандарты информационной безопасности. — М.: Интернетуниверситет информационных технологий, 2006.— 264 с. — ISBN 5-9556-0053-1.

Петренко С. А. Управление информационными рисками. М.: Компания АйТи; ДМК Пресс, 2004. — 384 с. — ISBN 5-98453-001-5.

Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. — 544 с. — ISBN 5-94074-383-8.

Лепехин А. Н. Расследование преступлений против информационной безопасности. Теоретико-правовые и прикладные аспекты. М.: Тесей, 2008.— 176

с. — ISBN 978-985-463-258-2.

Лопатин В. Н. Информационная безопасность России: Человек, общество, государство Серия: Безопасность человека и общества. М.: 2000. — 428 с. — ISBN 5- 93598-030-4.

Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. СПб.:

Питер, 2008. — 272 с. — ISBN 978-5-388-00069-9.

Бармен Скотт. Разработка правил информационной безопасности. М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.

Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д.В. Информационная безопасность открытых систем. В 2-х тт.

o Том 1. Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая Линия—

Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0.

oТом 2. Средства защиты в сетях. М.: Горячая Линия— Телеком, 2008. — 560

с. — ISBN 978-5-9912-0034-9.

Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006).

Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799—2005).

Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. — М.: ПЕР СЭ-

Пресс, 2005.

Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009.

Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1 — 2006).

Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.0532005).

Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи

Поиск. Глоссарий.ru

Рекомендации по стандартизации «Техническая защита информации. Основные термины и определения» (Р 50.1.056-2005).

↑ Государственный стандарт РФ «Аспекты безопасности. Правила включения в стандарты» (ГОСТ Р 51898-2002).

Домарев В. В. Безопасность информационных технологий. Системный подход — К.: ООО ТИД Диа Софт, 2004. — 992 с.

Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИДАНА, Закон и право, 2004.