- •Щебланін ю.М.
- •Тема 1: Нормативно-правове забезпечення інформаційної безпеки в Україні та світі.
- •Наочні посібники
- •Завдання на самостійну роботу
- •1. Розвиток стандартів управління інформаційною безпекою.
- •Порівняльний аналіз розділів iso / iec 17799 та 27002 (правила)
- •Порівняльний аналіз розділів iso/iec 27001 (вимоги)
- •2. Стандарти iso/iec управління інформаційною безпекою
- •Специфікації ► Виробництво ► Перевірка
- •Плануй (Plan) ► Роби (Do) ► Перевіряй (Check) або Вивчай (Study) ► Впливай (Act)
- •Процесний підхід для уіб
- •Перелік органів сертифікації суіб в Україні, акредитованих на відповідність вимогам iso / iec 17021: 2011 «Вимоги до органів, які проводять аудит і сертифікацію систем менеджменту»
- •Заключна частина
Порівняльний аналіз розділів iso / iec 17799 та 27002 (правила)
|
ISO/IEC 17799:2000 (ВS 7799-1) |
ISO/IEC 27002:2005 |
|
|
4. Оцінка і обробка ризиків |
|
3. Політика безпеки |
5. Політика безпеки |
|
4. Організаційні питання безпеки |
6. Організація ІБ |
|
5. Класифікація і керування активами |
7. Управління активами |
|
6. Питання безпеки, пов'язані з персоналом |
8. Безпека, пов'язана з персоналом |
|
7. Фізичний захист і захист від впливів навколишнього середовища |
9. Фізична безпека і захист від навколишнього середовища |
|
8 Управління передачею даних і операційною діяльністю |
10. Управління засобами комунікацій та їх функціонуванням |
|
9. Контроль доступу |
11. Контроль доступу |
|
10. Розробка та обслуговування систем |
12. Розробка, впровадження та обслуговування інформаційних систем |
|
|
13. Управління інцидентами ІБ |
|
11. Управління безперервністю бізнесу |
14. Управління безперервністю бізнесу |
|
12. Відповідність вимогам |
15. Відповідність вимогам |
Порівняльний аналіз розділів iso/iec 27001 (вимоги)
|
2005 |
2013 |
|
0. Введення |
0. Введення |
|
1. Область застосування |
1. Область застосування |
|
2.Нормативні посилання |
2.Нормативні посилання |
|
3. Терміни та визначення |
3. Терміни та визначення |
|
4. Система ІБ |
4. Встановлення контексту |
|
5. Зобов'язання керівництва |
5. Відповідальність керівництва |
|
|
6. Планування |
|
|
7. Підтримка |
|
|
8. Експлуатація |
|
6. Внутрішні аудити |
9. Вимірювання результативності |
|
7. Аналіз системи менеджменту |
10. Поліпшення |
|
Додаток А | |
|
5. Політика безпеки |
5. Політики ІБ |
|
6. Організація ІБ |
6. Організація ІБ |
|
8. Безпека, пов'язана з персоналом |
7. Безпека, пов'язана з персоналом |
|
7. Управління активами |
8 Управління активами |
|
9. Фізична безпека і захист від навколишнього середовища |
11. Фізична безпека і захист від навколишнього середовища |
|
10. Управління засобами комунікацій та їх функціонуванням |
12. Безпека при обробці інформації 13. Безпека зв'язку 15. Взаємовідносини з постачальниками |
|
11. Контроль доступу |
9. Управління доступом |
|
12. Розробка, впровадження та обслуговування інформаційних систем |
14. Придбання, розробка та підтримка інформаційних систем 10. Криптографія |
|
13. Управління інцидентами ІБ |
16. Управління інцидентами ІБ |
|
14. Управління безперервністю бізнесу |
17. Аспекти ІБ при управлінні безперервністю бізнесу |
|
15. Відповідність вимогам |
18. Відповідність вимогам |
В Україні впровадженням міжнародних стандартів у національні стандарти, узагальненням світового досвіду в галузі стандартизації та впровадженням міжнародних стандартів в Україні займається Технічний комітет з стандартизації ТК-20 «Інформаційні технології», який функціонує на базі Міжнародного науково-навчального центру ІТ та систем Національної академії наук та Міністерства освіти і науки України.
ТК-20 є активним учасником підкомітетів Міжнародної організації з стандартизації та Міжнародної електротехнічної комісії (ISO / IEC), Європейської організації з стандартизації (СEN), а також Європейського комітету з стандартизації в галузі електротехніки (CENELEC). ТК-20 також здійснює формування напрямків розвитку науково-технічної політики України в сфері міжнародної стандартизації в галузі ІТ та ЕЦП.
Офіційний сайт Центру: http://www.irtc.org.ua.
В даний час в Україні в якості національних впроваджені такі міжнародні стандарти:
1) ЗАТВЕРДЖЕНО наказом Держспоживстандарту від 31.10.2003 № 189:
- ДСТУ ISO / IEC TR 13335-1: 2003 Iнформацiйнi технологiї. Настанови з Керування БЕЗПЕКА інформацiйніх технологiй. Частина 1. Концепцiї та моделi безпеки інформацiйніх технологiй (ISO / IEC TR 13335-1: 1996, IDT);
- ДСТУ ISO / IEC TR 13335-2: 2003 Iнформацiйнi технологiї. Настанови з Керування БЕЗПЕКА інформацiйніх технологiй. Частина 2. Керування та планування безпеки інформацiйніх технологiй (ISO / IEC TR 13335-2: 1997, IDT);
- ДСТУ ISO / IEC TR 13335-3: 2003 Iнформацiйнi технологiї. Настанови з Керування БЕЗПЕКА інформацiйніх технологiй. Частина 3. Методи Керування ЗАХИСТ інформацiйніх технологiй (ISO / IEC TR 13335-3: 1998, IDT)
2) ЗАТВЕРДЖЕНО наказом Держспоживстандарту від 03.03.2005 № 57:
- ДСТУ ISO / IEC TR 13335-4: 2005 Iнформацiйнi технологiї. Настанови з управлiння БЕЗПЕКА інформацiйніх технологiй. Частина 4. Вібірання засобiв захисту (ISO / IEC TR 13335-4: 2000, IDT);
- ДСТУ ISO / IEC TR 13335-5: 2005 Iнформацiйнi технологiї. Настанови з управлiння БЕЗПЕКА інформацiйніх технологiй. Частина 5. Настанова з управлiння Мережна БЕЗПЕКА (ISO / IEC TR 13335-5: 2001, IDT);
3) ЗАТВЕРДЖЕНО наказом Держспоживстандарту від 28.12.2010 № 631:
- ДСТУ ISO / IEC 27001: 2010 Iнформацiйнi технологiї. Методи та засоби Досягнення ІНФОРМАЦІЙНОЇ БЕЗПЕКИ. Системи Керування інформаційною БЕЗПЕКИ. Вимоги (ISO / IEC 27001: 2005, IDT).
28 жовтня 2010постановою Правління Національного банку України № 474 набули чинності такі стандарти з управління інформаційною безпекою в банківській системі України:
- СОУ Н НБУ 65.1 СУІБ 1.0: 2010 Методи захисту в банківській ДІЯЛЬНОСТІ. Система управління інформаційною БЕЗПЕКИ. Вимоги (ISO / IE 27001: 2005, MOD);
- СОУ Н НБУ 65.1 СУІБ 2.0: 2010 Методи захисту в банківській ДІЯЛЬНОСТІ. Звід правил для управління інформаційною БЕЗПЕКА (ISO / IE 27002: 2005, MOD).
Крім того, 5 грудня 2013 спільним наказом Адміністрації Держспецзв'язку та Міністерства юстиції України № 2563/5/645 Затверджені переліки міжнародних стандартів у сфері електронного цифрового підпису для їх подальшого впровадження в Україні:
1. Перелік стандартів у сфере електронного цифрового підпису для гармонізації з Європейськими та міжнародними стандартами:
60. ISO / IEC 17799: 2005 IT - Security techniques - Code of practice for information security management
71. ISO / IEC 27002: 2005 IT - Security techniques - Code of practice for information security management
72. ISO / IEC 27004: 2009 IT - Security techniques - Information security management - Measurement
73. ISO / IEC 27005: 2008 IT - Security techniques - Information security risk management "
74. ISO / IEC 27006: 2007 IT - Security techniques - Requirements for bodies providing audit and certification of information security management systems
75. ISO / IEC 27011: 2008 IT - Security techniques - Information security management guidelines for telecommunications organizations based on ISO / IEC 27002
2. Перелік стандартів у сфері електронного цифрового підпису, що підлягають перегляду:
60. ДСТУ ISO / IEC 27000 Інформаційні технології. Методи захисту. Система управління інформаційною БЕЗПЕКИ. Overview and vocabulary
61. ДСТУ ISO / IEC 27001 Інформаційні технології. Методи захисту. Система управління інформаційною БЕЗПЕКИ. Вимоги
62. ДСТУ ISO / IEC TR 13335-1: 2003 IT. Настанови з управління БЕЗПЕКА IT. Частина 1. Концепції та МОДЕЛІ безпеки ІТ
63. ДСТУ ISO / IEC TR 13335-2: 2003 IT. Настанови з управління БЕЗПЕКА ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ. Частина 2. Управління та планування БЕЗПЕКА ІТ
64. ДСТУ ISO / IEC TR 13335-3: 2003 IT. Настанови з управління БЕЗПЕКА IT. Частина 3. Методи Керування ЗАХИСТ IT3.2.