Стандарты управления информационной безопасностью на предприятии

Автор работы: Пользователь скрыл имя, 09 Декабря 2013 в 09:49, реферат

Краткое описание

Специалистам в области информационной безопасности (ИБ) сегодня почти невозможно обойтись без знаний соответствующих стандартов. На то имеется несколько причин.
Формальная состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно. Однако наиболее убедительны содержательные причины. Во-первых, стандарты - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Во-вторых, и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в Internet-сообществе это средство действительно работает, и весьма эффективно.

Скачать полностью (58.98 Кб) Сколько стоит заказать работу?
Прикрепленные файлы: 1 файл

Реферат ИБ.doc

— 152.50 Кб (Скачать документ)

 

Управление IT по CobiT можно  представить в следующем ступенчатом  виде (по порядку реализации):

    • Стратегии (выстраивание IT-процесса по бизнес-целям, постановка задачи, цели и создание концепции IT-процесса; ответственные: руководство бизнес-подразделений).
    • Политики (методы достижения целей в рамках стратегий, например: «длина пароля регламентируется»; ответственные: руководство IT-подразделений).
    • Стандарты (метрики для политик-методов, например: «длина пароля должна составлять не менее 8 символов»; ответственные: руководство IT-подразделений).
    • Процедуры (регламенты работ для применения политик-методов с использованием стандартов-метрик, рабочие инструкции для исполнителей; ответственные: руководство IT-подразделений).

 

Стандарт отвечает всем потребностям практики, сохраняя независимость от конкретных производителей, технологий и платформ. При разработке стандарта была заложена возможность  использования его как для проведения аудита IT-системы компании, так и для проектирования IT-системы. В первом случае CobiT позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором — спроектировать систему, почти идеальную по своим характеристикам.

ISO/IEC 27000

 

ISO/IEC 27000 — серия международных стандартов, включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC).

Основные  разделы стандарта ISO 27000(17799) следующие:

    • политика безопасности;
    • организационные меры по обеспечению безопасности (управление форумами по информационной безопасности, координация вопросов, связанных с информационной безопасностью, распределение ответственности за обеспечение безопасности и т.д.);

 

    • классификация и управление ресурсами (инвентаризация ресурсов, классификация ресурсов и т.д.);

 

    • безопасность персонала (безопасность при выборе и работе с персоналом, тренинги персонала по вопросам безопасности, реагирование на инциденты и неисправности и т.д.);
    • физическая безопасность;
    • управление коммуникациями и процессами (рабочие процедуры и ответственность, системное планирование, защита от злонамеренного программного обеспечения (вирусов, троянских коней), управление внутренними ресурсами, управление сетями, безопасность носителей данных, передача информации и программного обеспечения и т.д.);
    • контроль доступа (требования для контроля доступа, управление доступом пользователя, ответственность пользователей, контроль и управление удаленного (сетевого) доступа, контроль доступа в операционную систему, контроль и управление доступом к приложениям, мониторинг доступа и использования систем, мобильные пользователи и т.д.);
    • разработка и техническая поддержка вычислительных систем (требования по безопасности систем, безопасность приложений, криптография, безопасность системных файлов, безопасность процессов разработки и поддержки и т.д.);
    • управление непрерывностью бизнеса (процесс управления непрерывного ведения бизнеса, непрерывность бизнеса и анализ воздействий, создание и внедрение плана непрерывного ведения бизнеса, тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса и т.д.);
    • соответствие системы основным требованиям (соответствие требованиям законодательства, анализ соответствия политики безопасности, анализ соответствия техническим требованиям, анализ соответствия требованиям системного аудита и т.д.).

 

Серия содержит лучшие практики и рекомендации в  области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности.

Принятые  стандарты:

    1. ISO/IEC 27001 — "Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования." Стандарт по которому организация может быть сертифицирована (опубликован в 2005);
    2. ISO/IEC 27002 — "Информационные технологии. Методы обеспечения безопасности. Практические правила управления информ<span class="dash0410_0431_0437_0430_0446_0020_0441_043f_0438_0441_043a_0430__Char" style=" font-famil

Информация о работе Стандарты управления информационной безопасностью на предприятии