Автор работы: Пользователь скрыл имя, 04 Ноября 2011 в 12:47, реферат
МОС (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) формируют специализированную систему стандартизации, распространённую во всём мире. Национальные организации, являющиеся членами МОС и МЭК, участвуют в развитии Международных Стандартов посредством технических комиссий, учреждённых соответствующей организацией, чтобы работать с особыми сферами технической деятельности. Технические комиссии МОС и МЭК сотрудничают в сферах взаимного интереса. Другие международные организации, государственные либо негосударственные, совместно с МОС и МЭК также участвуют в работе. В сфере информационных технологий МОС и МЭК учредили совместную комиссию, МОС/МЭК ОТК.
| A.12.5
Безопасность процессов
разработки и поддержки
Цель: Поддерживать безопасность программного обеспечения прикладных систем и информации. | ||
| A.12.5.1 | Процедуры контроля изменений | Средство
управления
Необходимо контролировать внесение изменений, используя формальные процедуры контроля изменений. |
| A.12.5.2 | Специальный осмотр программных приложений после изменений в операционной системе | Средство
управления
После внесения изменений в операционные системы необходимо пересмотреть и протестировать критичные для бизнеса приложения, чтобы убедиться, что не было оказано неблагоприятного воздействия на деятельность или безопасность организации. |
| A.12.5.3 | Ограничения на изменения пакетов программного обеспечения | Средство
управления
Изменения пакетов программного обеспечения нужно избегать, ограничиться самыми необходимыми изменениями, а также все изменения должны строго контролироваться. |
| A.12.5.4 | Утечка информации | Средство
управления
Необходимо предотвратить возможности для утечки информации. |
| A.12.5.5 | Аутсорцинговая разработка программного обеспечения | Средство
управления
Организация должна заведовать и следить за аутсорцинговой разработкой программного обеспечения. |
| A.12.6
Управление техническими
уязвимостями
Цель: Снизить риски, возникающие в результате использования опубликованных технических уязвимостей. | ||
| A.12.6.1 | Контроль технических уязвимостей | Средство
управления
Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценить подверженность организации воздействию данных угроз, а также принять соответствующие меры по сокращению связанных с ними рисков. |
| A.13 Менеджмент инцидентов информационной безопасности | ||
|
A. 13.1
Оповещение о событиях
и уязвимостях информационной
безопасности
Цель: Обеспечить своевременное оповещение о событиях и уязвимостях информационной безопасности для принятия соответствующих корректирующих мер. | ||
| A.13.1.1 | Оповещение о событиях информационной безопасности | Средство
управления
Необходимо максимально быстро по соответствующим каналам передавать руководству информацию о событиях в информационной безопасности. |
| A.13.1.2 | Оповещение об уязвимостях защиты | Средство
управления
Необходимо требовать от всех штатных сотрудников, подрядных и сторонних организаций, работающих с информационными системами и службами, отслеживания и уведомления о наблюдаемой или подозрительной неустойчивости безопасности в информационных системах, службах. |
| A.13.2
Менеджмент инцидентов
информационной безопасности
и совершенствований
Цель: Обеспечить использование непротиворечивой и эффективной методики менеджмента инцидентов информационной безопасности. | ||
| A.13.2.1 | Обязанности и механизмы работы | Средство
управления
Должны быть определены обязанности и механизмы работы руководства, чтобы обеспечить быструю, эффективную и спокойную реакцию на инциденты информационной безопасности. |
| A.13.2.2 | Изучение инцидентов информационной безопасности | Средство
управления
Должны быть предусмотрены механизмы оценки и мониторинга типов, масштабов и ущерба от инцидентов информационной безопасности. |
| A.13.2.3 | Сбор улик | Средство
управления
В случаях, когда наказание индивида либо организации за случившийся инцидент безопасности требует правового вмешательства (либо привлечения к административной или уголовной ответственности), необходимо произвести сбор улик, сохранение их и представление их в соответствии с правилами сбора доказательств, установленными в соответствующих органах правосудия. |
| A.14 Управление непрерывностью бизнеса (бесперебойной работой организации) | ||
|
A.14.1
Аспекты информационной
безопасности при обеспечении
непрерывности бизнеса
Цель: Нейтрализовать заминки при осуществлении бизнес-операций, защитить критичные бизнес-процессы от последствий крупных повреждений или аварий в информационных системах, обеспечить их своевременное восстановление. | ||
| A.14.1.1 | Включение информационной безопасности в процесс управления непрерывностью бизнеса | Средство
управления
Необходимо начать и поддерживать управляемый процесс обеспечения непрерывности бизнеса во всей организации, удовлетворяющий требованиям информационной безопасности, необходимым для обеспечения бесперебойной работы организации. |
| A.14.1.2 | Непрерывность бизнеса и оценка рисков | Средство
управления
Необходимо выявлять события, способные вызвать заминки в деловой деятельности организации, вероятность и ущерб таких промедлений, и их влияние на информационную безопасность. |
| A.14.1.3 | Разработка и осуществление планов непрерывности бизнеса, включающих и обеспечение безопасности | Средство
управления
Необходимо разрабатывать и обеспечивать выполнение планов поддержки и восстановления операций, обеспечивать требуемый уровень доступности информации после перебоев в работе или повреждений, критичных для осуществления деловых операций. |
| A.14.1.4 | Схема планирования непрерывности бизнеса | Средство
управления
Должна поддерживаться единая схема планирования непрерывности бизнеса, способная обеспечить непротиворечивость планов, последовательную обработку требований информационной безопасности, правильного определения первостепенных задач тестирования и поддержки. |
| A.14.1.5 | Тестирование, поддержка и пересмотр планов непрерывности | Средство
управления
Необходимо регулярно тестировать и обновлять планы непрерывности бизнеса, чтобы быть уверенными в их актуальности и эффективности. |
| A.15 Соответствие | ||
|
A.15.1
Соответствие правовым
требованиям
Objective: Избежать нарушения каких-либо законов, предписаний, регулятивных или договорных обязательств, а также каких-либо требований безопасности. | ||
| A.15.1.1 | Идентификация соответствующего законодательства | Средство
управления
Все соответствующие предписания, регулятивные и договорные требования и подход организации к удовлетворению этих требований должны быть подробно определены, документированы и поддерживаться актуальными для каждой информационной системы и организации. |
| A.15.1.2 | Права интеллектуальной собственности (ПИС) | Средство
управления
Необходимо выполнять соответствующие процедуры, гарантирующие соответствие законодательству, регулятивным и договорным требованиям при использовании материалов, на которые могут иметься права интеллектуальной собственности, а также при использовании запатентованного программного обеспечения. |
| A.15.1.3 | Защита документов организации | Средство
управления
Важные документы должны быть защищены от утери, уничтожения и фальсификации, в соответствии с предписаниями, регулятивными, договорными, и бизнес-требованиями. |
| A.15.1.4 | Защита данных и конфиденциальность личной информации | Средство
управления
Защита данных и конфиденциальность должны обеспечиваться в соответствии с требованиями соответствующего законодательства, инструкций, а также договорных статей. |
| A.15.1.5 | Предотвращение |
Средство
управления
Пользователи должны быть отстранены от использования средств обработки информации не по назначению. |
| A.15.1.6 | Инструкции по применению средств криптографии | Средство
управления
Средства криптографии должны использоваться в соответствии со всеми соответствующими соглашениями, законами и инструкциями. |
| A.15.2
Соответствие политике
безопасности и стандартам,
техническое соответствие
Цель: Обеспечить соответствие систем политике безопасности организации и стандартам. | ||
| A.15.2.1 | Соответствие политике безопасности и стандартам | Средство
управления
Для достижения соответствия политике безопасности и стандартам руководство должно гарантировать, что все процедуры безопасности на участке, за который оно ответственно, выполняются правильно. |
| A.15.2.2 | Проверка технического соответствия | Средство
управления
Необходимо регулярно проверять информационные системы на соответствие стандартам по внедрению безопасности. |
| A.15.3
Предположения аудита
информационных систем
Цель: Максимизировать эффективность и минимизировать взаимное влияние между процессом аудита и информационными системами. | ||
| A.15.3.1 | Средства управления аудитом информационных систем | Средство
управления
Требования и аудиторская деятельность, включающая проверку операционных систем, должны быть тщательно спланированы и согласованы, чтобы минимизировать риск нарушения бизнес-процессов. |
| A.15.3.2 | Защита инструментов проведения аудита информационных систем | Средство
управления
Доступ к инструментам аудита информационных систем должен быть защищен во избежание любого злоупотребления или компрометации. |
Приложение В
(информативное)
Принципы
OECD и данного Международного
Стандарта
Выдвинутые
в Руководстве OECD принципы по обеспечению
защиты информационных систем и сетей
применимы ко всем политикам и действующим
уровням управления защитой информационных
систем и сетей. Данный Международный
Стандарт обеспечивает структуру системы
менеджмента информационной безопасности
для внедрения некоторых принципов OECD
с использованием модели PDCA и методик,
описанных в разделах 4, 5, 6 и 8, как описано
в таблице В.1.
Таблица B.1 — принципы OECD и модель PDCA
| Принципы OECD | Соответствие функций СМИБ этапам PDCA |
| Информированность Участники должны быть ознакомлены с нуждами безопасности информационных систем и сетей и знать, что они могут сделать для повышения безопасности. |
Эта функция выполняется на этапе “Делай” (см. 4.2.2 и 5.2.2). |
| Обязанности Все участники ответственны за безопасность информационных систем и сетей. |
Эта функция выполняется на этапе “Делай” (см. 4.2.2 и 5.1). |
| Реакция Участники должны действовать своевременно и сообща, чтобы предотвращать, выявлять и реагировать на инциденты в безопасности. |
Частично функция мониторинга выполняется на этапе “Проверяй” (см. 4.2.3 и с 6 по 7.3), а функция реагирования – на этапе “Действуй” (см. 4.2.4 и с 8.1 по 8.3). Также они могут соответствовать некоторым положениям этапов “Проверяй” и “Планируй”. |
| Оценка
риска Участники должны проводить оценку рисков. |
Данная функция выполняется на этапе “Планируй” (см. 4.2.1), функция переоценки риска – на этапе “Проверяй” (см 4.2.3 и с 6 по 7.3). |
| Моделирование
и внедрение безопасности Участники должны рассматривать безопасность как весьма важный элемент информационных систем и сетей. |
После завершения этапа оценки риска в целях сокращения риска выбираются средства управления, что соответствует этапу “Планируй” (см. 4.2.1). Последующий этап “Делай” (см. 4.22. и 5.2) характеризуется внедрением и практическим использованием этих средств управления. |
| Менеджмент
безопасности Участники должны использовать всеобъемлющую концепцию менеджмента безопасности. |
Управление риском – процесс, включающий предотвращение, выявление и реагирование на инциденты, постоянную поддержку, проверку и аудит. Все эти аспекты затронуты на этапах “Планируй”, “Делай”, “Проверяй” и “Действуй”. phases. |
| Переоценка Участники должны пересматривать и проводить переоценку безопасности информационных систем и сетей, и в соответствии с этим модифицировать политики безопасности, технологии, методы оценок и процедуры. |
Функция переоценки информационной безопасности выполняется на этапе “Проверяй” (см. 4.2.3 и с 6 по 7.3), на котором необходимо проводить регулярные проверки эффективности системы менеджмента информационной безопасности, а процесс совершенствования соответствует этапу “Действуй” (см. 4.2.4 и с 8.1 по 8.3). |
Приложение С
(информативное)
Связь между стандартами МОС 9001:2000, МОС 14001:2004 и данным
Международным
Стандартом
Таблица C.1 демонстрирует
связь между стандартами МОС 9001:2000, МОС
14001:2004 и данным Международным Стандартом.
Таблица
C.1 — Связь между стандартами
МОС 9001:2000, МОС 14001:2004
и данным Международным
Стандартом
| Данный Международный Стандарт | МОС 9001:2000 | МОС 14001:2004 |
| 0 Введение | 0 Введение | 0 Введение |
| 0.1 Общие положения | 0.1 Общие положения | |
| 0.2 Концепция процесса менеджмента | 0.2 Концепция процесса менеджмента | |
| 0.3 Связь со стандартом МОС 9004 | ||
| 0.3 Совместимость с другими системами менеджмента | 0.4 Совместимость с другими системами менеджмента | |
| 1 Обзор | 1 Обзор | 1 Обзор |
| 1.1 Общие положения | 1.1 Общие положения | |
| 1.2 Применение | 1.2 Применение | |
| 2 Нормативные ссылки | 2 Нормативные ссылки | 2 Нормативные ссылки |
| 3 Термины и определения | 3 Термины и определения | 3 Термины и определения |
| 4 Система менеджмента информационной безопасности | 4 Система менеджмента качества | 4 Требования EMS |
| 4.1 Общие требования | 4.1 Общие требования | 4.1 Общие требования |
| 4.2 Создание и менеджмент СМИБ | ||
| 4.2.1 Создание СМИБ | ||
| 4.2.2 Внедрение и использование СМИБ | 4.4 Внедрение и использование | |
| 4.2.3 Мониторинг и проверка СМИБ | 8.2.3 Мониторинг и оценка технологических процессов | 4.5.1 Мониторинг и системы оценок |
| 8.2.4 Мониторинг и системы оценки продукции |