ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО
ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
НА Ц И О Н А Л Ь Н Ы Й
СТ А Н Д А Р Т
РО С С И Й С К О Й
ФЕ Д Е Р А Ц И И
ГОСТ Р ИСО/МЭК
17799-
2005
Информационная технология
ПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
ISO/IEC 17799:2000
Information technology - Code of practice for information security management
(IDT)
Издание неофициальное
[отсканированное]
Москва
Стандартинформ
2006
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Государственный научноисследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»)
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регу лированию и метрологии от 29 декабря 2005 г. №447-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 17799:2000 «Информа ционная технология. Практические правила управления информационной безопасностью» (ISO/IEC 17799:2000 «Information technology. Code of practice for security management»)
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежеме сячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
© Стандартинформ, 2006
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и рас пространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии.
Для заказа официального издания настоящего стандарта в электронной или печатной форме следует обращаться по адресу: http://shop.gostinfo.ru/document/1809756.aspx (цена – 448.40 руб.)
Адаптация для удобной навигации выполнена И. Хмиловским.
|
Содержание |
|
1 Область применения......................................................................................................................... |
8 |
|
2 Термины и определения................................................................................................................... |
8 |
|
3 Политика безопасности..................................................................................................................... |
8 |
|
4 Организационные вопросы безопасности....................................................................................... |
9 |
|
4.1 |
Организационная инфраструктура информационной безопасности...................................... |
9 |
4.2 |
Обеспечение безопасности при наличии доступа к информационным системам сторонних |
|
организаций..................................................................................................................................... |
12 |
|
4.3 |
Привлечение сторонних организаций к обработке информации (аутсорсинг)..................... |
14 |
5 Классификация и управление активами........................................................................................ |
14 |
|
5.1 |
Учет активов.............................................................................................................................. |
14 |
5.2 |
Классификация информации................................................................................................... |
15 |
6 Вопросы безопасности, связанные с персоналом......................................................................... |
16 |
|
6.1 |
Учет вопросов безопасности в должностных обязанностях и при найме персонала.......... |
16 |
6.2 |
Обучение пользователей.......................................................................................................... |
17 |
6.3 |
Реагирование на инциденты нарушения информационной безопасности и сбои............... |
17 |
7 Физическая защита и защита от воздействий окружающей среды.............................................. |
18 |
|
7.1 |
Охраняемые зоны..................................................................................................................... |
18 |
7.2 |
Безопасность оборудования.................................................................................................... |
21 |
7.3 |
Общие мероприятия по управлению информационной безопасностью............................... |
23 |
8 Управление передачей данных и операционной деятельностью................................................ |
24 |
|
8.1 |
Операционные процедуры и обязанности............................................................................... |
24 |
8.2 |
Планирование нагрузки и приемка систем.............................................................................. |
26 |
8.3 |
Защита от вредоносного программного обеспечения............................................................ |
27 |
8.4 |
Вспомогательные операции..................................................................................................... |
28 |
8.5 |
Управление сетевыми ресурсами............................................................................................ |
29 |
8.6 |
Безопасность носителей информации.................................................................................... |
30 |
8.7 |
Обмен информацией и программным обеспечением............................................................ |
31 |
9 Контроль доступа............................................................................................................................. |
35 |
|
9.1 |
Требование бизнеса по обеспечению контроля в отношении логического доступа............ |
35 |
9.2 |
Контроль в отношении доступа пользователей...................................................................... |
35 |
9.3 |
Обязанности пользователей.................................................................................................... |
37 |
9.4 |
Контроль сетевого доступа....................................................................................................... |
38 |
9.5 |
Контроль доступа к операционной системе............................................................................ |
40 |
9.6 |
Контроль доступа к приложениям............................................................................................ |
43 |
9.7 |
Мониторинг доступа и использования системы...................................................................... |
43 |
9.8 |
Работа с переносными устройствами и работа в дистанционном режиме........................... |
45 |
10 Разработка и обслуживание систем............................................................................................. |
46 |
|
10.1 Требования к безопасности систем....................................................................................... |
46 |
|
10.2 Безопасность в прикладных системах................................................................................... |
47 |
|
10.3 Меры защиты информации, связанные с использованием криптографии......................... |
49 |
|
10.4 Безопасность системных файлов.......................................................................................... |
51 |
|
10.5 Безопасность в процессах разработки и поддержки............................................................ |
52 |
|
11 Управление непрерывностью бизнеса......................................................................................... |
54 |
|
12 Соответствие требованиям........................................................................................................... |
57 |
|
12.1 Соответствие требованиям законодательства..................................................................... |
57 |
|
12.2 Пересмотр политики безопасности и техническое соответствие требованиям безопас |
|
|
ности................................................................................................................................................. |
60 |
|
12.3 Меры безопасности при проведении аудита......................................................................... |
61 |
|
III