|
ФЕДЕРАЛЬНОЕ АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
|
|
|
НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ
|
ГОСТ РИСО/МЭК ТО
13335-3-
2007
|
ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Часть 3
МЕТОДЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
ISO/IECTR 13335-3:1998
Information technology - Guidelines for the management of information technology security - Part 3: Techniques for the management of information technology security
(IDT)
|
|
Москва
Стандартинформ
2007
|
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ«О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004«Стандартизация в Российской Федерации. Основные положения»
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Государственный научно-исследовательский испытательныйинститут проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ«ГНИИИ ПТЗИ ФСТЭК России), Банком России, обществом с ограниченной ответственностью «Научно-производственная фирма«Кристалл» (ООО «НПФ «Кристалл») на основе собственного аутентичного перевода стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Перспективные производственные технологии, менеджмент иоценка рисков»
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от7 июня 2007 г. № 122-ст
4 Настоящий стандарт идентичен международному отчету ИСО/МЭК ТО 13335-3:1998 «Информационная технология.Рекомендации по менеджменту безопасности информационных технологий. Часть 3. Методы менеджмента безопасностиинформационных технологий» (ISO/IECTR 13335-3:1998 «Information technology - Guidelines for the management of information technology security - Part 3: Techniques for the management of information technology security»).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартовсоответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительномприложении F
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе«Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях«Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомлениебудет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующаяинформация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальномсайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Содержание
|
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Структура
5 Цель
6 Способы управления безопасностью информационных технологий
7 Цели, стратегия и политика безопасности информационных технологий
7.1 Цели и стратегия безопасности информационных технологий
7.2 Политика безопасности информационных технологий
8 Основные варианты стратегии анализа риска организации
8.1 Базовый подход
8.2 Неформальный подход
8.3 Детальный анализ риска
8.4 Комбинированный подход
9 Комбинированный подход
9.1 Анализ высокого уровня риска
9.2 Базовый подход
9.3 Детальный анализ риска
9.4 Выбор защитных мер
9.5 Приемлемость рисков
9.6 Политика безопасности систем информационных технологий
9.7 План безопасности информационных технологий
10 Выполнение плана информационной безопасности
10.1 Осуществление мер защиты
10.2 Компетентность в вопросах безопасности
10.3 Обучение персонала информационной безопасности
10.4 Процесс одобрения информационных систем
11 Последующее сопровождение системы
11.1 Обслуживание
11.2 Проверка соответствия безопасности
11.3 Управление изменениями
11.4 Мониторинг
11.5 Обработка инцидентов
12 Резюме
Приложение А (справочное) Примерный перечень вопросов, входящих в состав политики безопасности информационных технологий организации
Приложение В (справочное) Оценка активов
Приложение С (справочное) Перечень типичных видов угроз
Приложение D (справочное) Примеры общих уязвимостей
Приложение Е (справочное) Типология методов анализа риска
Приложение F (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам
|
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
|
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Часть 3
Методы менеджмента безопасности информационных технологий
Information technology. Security techniques. Part 3. Techniques for the management of information technology security
|
Дата введения - 2007-09-01
1 Область применения
Настоящий стандарт устанавливает методы менеджмента безопасности информационных технологий. В основе этих методовлежат общие принципы, установленные в ИСО/МЭК 13335-1. Стандарт будет полезен при внедрении мероприятий по обеспечениюбезопасности информационных технологий. Для полного понимания настоящего стандарта необходимо знание концепций имоделей, менеджмента и планирования безопасности информационных технологий, установленных в ИСО/МЭК 13335-1.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты:
ИСО/МЭК 13335-1:2004 Информационная технология. Методы обеспечения безопасности. Менеджмент безопасностиинформационных и телекоммуникационных технологий. Часть 1. Концепция и модели менеджмента безопасностиинформационных и телекоммуникационных технологий
ИСО/МЭК 13335-4:2004 Информационная технология. Рекомендации по менеджменту безопасности информационныхтехнологий. Часть 4. Выбор мер защиты.
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 13335-1.
4 Структура
Настоящий стандарт содержит 12 разделов. Раздел 5 содержит информацию о цели настоящего стандарта. В разделе 6 приведенобщий обзор способов управления безопасностью информационных технологий. В разделе 7 приведены цели, стратегия и политикаобеспечения безопасности информационных технологий. Раздел 8 содержит описание вариантов стратегии анализа риска. Вразделе 9 приведено детальное описание комбинированного подхода анализа риска. Раздел 10 посвящен вопросам применения защитных мер, а также подробному обсуждению программ ознакомления персонала с мерами обеспечения безопасности и процессаих одобрения. Раздел 11 содержит описание работ по последующему наблюдению за системой, необходимых для обеспеченияэффективного действия средств защиты. И наконец, в разделе 12 приведено краткое описание настоящего стандарта.
5 Цель
Цель настоящего стандарта - дать необходимые описания и рекомендации по способам эффективного управления безопасностьюинформационных технологий. Эти способы могут быть использованы для оценки требований по безопасности и рисков. Крометого, они должны помочь устанавливать и поддерживать необходимые средства обеспечения безопасности, то есть правильныйуровень обеспечения безопасности информационных технологий. Может возникнуть необходимость в том, чтобы результаты,полученные таким образом, были усилены за счет применения дополнительных средств защиты применительно к даннойорганизации и данной среде. Настоящий стандарт предназначен для сотрудников организации, ответственных за управлениебезопасностью информационных технологий и/или за внедрение мер обеспечения их безопасности.
6 Способы управления безопасностью информационных технологий
— Все документы — Другие национальные стандарты — 35 Информационные технологии. Машины конторские — ГОСТ Р ИСО/МЭК ТО 13335-3-2007 ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ Часть 3 МЕТОДЫ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Городом с самыми дешевыми квартирами в новостройках оказался Воронеж
Аналитик Гутман: период с мая по июль является лучшим периодом для продажи дачи
«МК»: в России не отменят льготную ипотеку
Аренда квартир в Москве подешевела на 10 %
Вице-премьер Хуснуллин: ставка по ипотеке должна быть пять процентов