СТРУКТУРА СТАНДАТА
Лекция от 19.12.2011 УПРАВЛЕНИЕ РИСКАМИ по ГОСТ Р ИСО/МЭК 13335-1—2006
Цель занятия:
Рассмотреть особенности разаботки Концепции и модели менеджмента безопасности инфорационных и телекоммуникационных технологий
УЧЕБНЫЕ ВОПРОСЫ:
Вопрос 1. Назначение и структура стандарта
Методы и средства обеспечения безопасности. Часть1.
Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
Стандарт гост р ИСО мэк 13335 представляет собой:
Уководство по управлению безопасностью информационных и телекоммуникационных технологий ИТТ;
Устанавливает концепцию и модели лежащие в основе понимания безопасности ИТТ;
Раскрывает общие вопросы управления которые важны для успешного планирования, реализации и поддержки безопасности ИТТ
ЦЕЛЬ СТАНДАРТА
Формирование общих понятий и моделей управления безопасностью ИТТ
Приведенные положения носят общий характер и применимы к различным методам управления и организациям
|
|
Стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления
Стандарт не разрабатывает конкретных подходов к управлению безопасностью
Данный стандарт идентичен международному стандарту ИСО-МЭК 13335-1-2004 ИТ, Методы обеспечения безопасности
1.Область применения
2.Термины и определения
3.Концпции безопасности и взаимосвязи
4.Цели, стратегии и политика
5.Организационные аспекты безопасности информационно-телекоммуникационных технологий
6.Функции управления безопасностью информационно-телекоммуникационными технологиями.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Все аспекты,связанные с определением достижением и поддержанием:
Конфиденциальности;
Целостности;
Доступности;
Неотказуемости;
Подотчетности;
Аутентичности;
Достоверности информации или средств её обработки.
Конфиденциальность – свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта.
ГОССТАНДАРТ Р ИСО 7498-1-99
ИСО-мэк 7498-1 содержит
Общее описание тех услуг и соответствующих механизмов защиты, которые могут быть обеспечены эталонной моделью;
Определяет те позиции в рамках эталонной модели
Целостность – Свойство сохранения правильности и полноты активов ГОСТ Р ИСО/МЭК 13335-1—2006
Активы – всё, что имеет ценность для организации
Доступность – свойства объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта. ИСО/МЭК 7498-2
Неотказуемость – способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже опровергнуты
|
|
Подотчетность – свойство, обеспечивающее однозначное прослеживание действий любого логического объекта. МЭК 7498-2
Аутентичность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Аутентичность к процессам, системам и информации применяется.
Информационная безопасность:
Политика безопасности ИТТ:
Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно – телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информации.
ИНЦИДЕНТ ИБ
Любое непредвиденное или нежелательное событие которое может нарушить деятельность или ИБ
Инцидентами являются;
Утрата;
Ошибки пользователей;
Несоблюдение политики и рекомендаций;
Системные сбои и перегрузки;
Нарушение физических мер защиты;
Неконтролируемые изменения систем;
Сбои программного обеспечения и отказы тс;
Нарушение правил доступа.