Файловый архив студентов. Файловый архив студентов.
1297 вузов, 5034 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Государственный университет телекоммуникаций
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
pravo / Лекц_я 2.doc
Скачиваний:
64
Добавлен:
19.02.2016
Размер:
465.41 Кб
Скачать
►Содержание►

2. Стандарти iso/iec управління інформаційною безпекою

Сімейство стандартів ISO / IEC 27k

Міжнародні стандарти системи управління являють модель для налагодження та функціонування системи управління. Ця модель включає в себе функції, за якими експерти досягли згоди на підставі міжнародного досвіду, накопиченого в цій області.

При використанні сімейства стандартів СУІБ організації можуть реалізовувати і вдосконалювати СУІБ і підготуватися до її незалежної оцінки, що застосовується для захисту інформації, такої як фінансова інформація, інтелектуальна власність, інформація про персонал, а також інформація, довірена клієнтами або третьою стороною.

Сімейство стандартів СУІБ призначене для допомоги організаціям будь-якого типу і величини в реалізації та функціонуванні СУІБ. Сімейство стандартів СУІБ складається з наступних міжнародних стандартів під загальною назвою «Information technology - Security techniques» - ІТ - Методи і засоби забезпечення безпеки:

- ISO / IEC 27000 СУІБ. Загальний огляд і термінологія;

- ISO / IЕС 27001 СУІБ. Вимоги;

- ISO / IEC 27002 Звід правил з управління ІБ;

- ISO / IEC 27003 Керівництво по реалізації СУІБ;

- ISO / IEC 27004 УІБ. Вимірювання;

- ISO / IEC 27005 Управління ризиками ІБ;

- ISO / IЕС 27006 Вимоги для органів, що забезпечують аудит і сертифікацію СУІБ;

- ISO / IE 27007 Керівництво для проведення аудиту СУІБ;

- ISO / IE TR 27008 Керівництво для аудиту механізмів контролю ІБ;

- ISO / IE 27010 УІБ для міжсекторальних і міжорганізаційних комунікацій;

- ISO / IЕС 27011 Керівництво пo УІБ організацій, що пропонують телекомунікаційні послуги, на основі ISО / IEC 27002;

- ISO / IE 27013 Керівництво з інтегрованої реалізації стандартів ISO / IEC 27001 та ISO / IEC 20000-1;

- ISO / IE 27014 Управління ІБ вищим керівництвом;

- ISO / IE TR 27015 Керівництво з УІБ для фінансових сервісів;

- ISO / IE TR 27016 УІБ. Організаційна економіка;

- ISO / IE 27035 Управління інцидентами ІБ.

Міжнародний стандарт, що не має загальної назви:

- ISO 27799 Інформатика в охороні здоров'я. УІБ за стандартом ISO / IEC 27002.

Сімейство стандартів СУІБ містить стандарти, які:

- Визначають вимоги до СУІБ і до сертифікації таких систем;

- Містять пряму підтримку, детальне керівництво та інтерпретацію повних процесів «План (Plan) - Здійснення (Do) - Перевірка (Check) -Дія (Act)» (PDCA) та вимоги;

- Включають в себе спеціальні керівні принципи для СУІБ;

- Керують проведенням оцінки відповідності СУІБ.

Стандарт ISO / IEC 27000

Містить в собі:

- Огляд сімейства стандартів СУІБ;

- Введення в СУІБ;

- Короткий опис процесу «PDCA»;

- Терміни та визначення для використання в сімействі стандартів СУІБ.

Цей міжнародний стандарт застосується до всіх типів організацій (наприклад, комерційні підприємства, урядових установ, некомерційних організацій).

Основні принципи:

СУІБ представляє модель для створення, впровадження, функціонування, моніторингу, аналізу, підтримки та поліпшення захисту інформаційних активів для досягнення ділових цілей, засновану на оцінці ризику та на прийнятті рівнів ризику організації, розроблену для ефективного розгляду та управління ризиками. Аналіз вимог для захисту інформаційних активів і застосування відповідних засобів управління, щоб забезпечити необхідний захист цих інформаційних активів, сприяє успішній реалізації СУІБ.

Наступні основні принципи сприяють успішній реалізації СУІБ:

- Розуміння необхідності системи ІБ;

- Призначення відповідальності за ІБ;

- З'єднання адміністративних обов'язків та інтересів зацікавлених осіб;

- Зростання соціальних цінностей;

- Оцінка ризику, яка визначає відповідні заходи і засоби контролю та управління для досягнення допустимих рівнів ризику;

- Безпека як невід'ємний суттєвий елемент інформаційних мереж і систем;

- Активне попередження та виявлення інцидентів ІБ;

- Забезпечення комплексного підходу до УІБ;

- Безперервна переоцінка і відповідне поліпшення системи ІБ.

Наступні основні принципи сприяють успішній реалізації СУІБ:

- Розуміння необхідності системи ІБ;

- Призначення відповідальності за ІБ;

- З'єднання адміністративних обов'язків та інтересів зацікавлених осіб;

- Зростання соціальних цінностей;

- Оцінка ризику, яка визначає відповідні заходи і засоби контролю та управління для досягнення допустимих рівнів ризику;

- Безпека як невід'ємний суттєвий елемент інформаційних мереж і систем;

- Активне попередження та виявлення інцидентів ІБ;

- Забезпечення комплексного підходу до УІБ;

- Безперервна переоцінка і відповідне поліпшення системи ІБ.

Управління (менеджмент) включає в себе дії по управлінню, контролю і безперервного вдосконалення організації в рамках відповідних структур.

Управлінські дії містять у собі дії, методи або практику формування, обробки, напрямки, спостереження та управління ресурсами.

Величина управлінської структури може варіюватися від однієї людини в невеликих організаціях до управлінської ієрархії у великих організаціях, що складаються з багатьох людей.

Щодо СУІБ менеджмент включає в себе спостереження і вироблення рішень, необхідних для досягнення ділових цілей за допомогою захисту інформаційних активів організації. УІБ виражається через формулювання і використання політики ІБ, стандартів, процедур та рекомендацій, які застосовуються повсюдно в організації всіма особами, пов'язаними з нею.

Система управління використовує сукупність ресурсів для досягнення цілей організації. Система управління включає в себе організаційну структуру, політику, планування дій, зобов'язання, методи, процедури, процеси і ресурси.

У частині ІБ система керування дозволяє організації:

- Задовольняти вимоги безпеки клієнтів та інших зацікавлених осіб;

- Покращувати плани і дії організації;

- Відповідати цілям інформаційної безпеки організації;

- Виконувати регулюючі вимоги, вимоги законодавства та галузеві нормативні документи;

- Організовано керувати інформаційними активами для полегшення безперервного вдосконалення і регулювання поточних організаційних цілей і зовнішніх умов.

Процесний підхід:

Організації потрібно вести різні види діяльності і управляти ними для того, щоб функціонувати результативно. Будь-який вид діяльності, який використовує ресурси і керований для того, щоб забезпечити можливість перетворення входів на виходи, можна вважати процесом. Вихід одного процесу може безпосередньо формувати вхід наступного процесу. Зазвичай така трансформація відбувається в умовах планування й управління. Застосування системи процесів в рамках організації разом з ідентифікацією і взаємодією цих процесів, а також їх управлінням може бути визначено як «процесний підхід».

Родоначальником процесного підходу до управління якістю прийнято вважати американського вченого Уолтера Шухарта. Книга починається з виділення 3-х стадій в управлінні якістю результатів діяльності організації:

1) розробка специфікації (технічне завдання, технічні умови, критерії досягнення цілей) того, що потрібно;

2) виробництво продукції, що задовольняє специфікації;

3) перевірка (контроль) виробленої продукції для оцінки її відповідності специфікації.

Соседние файлы в папке pravo
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности