Международный стандарт ИСО 13335: 2006, область его применения

Введение

Данная научная работа представляет собой исследование системы менеджмента безопасности сетей.

Актуальность работы определяется тем, что с информационной безопасностью связан целый пласт вопросов, которые на наших глазах уже несколько лет плавно переходят из области, специфичной для ИТ-рынка, в общечеловеческую и даже цивилизационную. Упрощенно можно сказать, что у информационной безопасности есть три основные задачи:

• обеспечить целостность данных;
• их конфиденциальность (нераскрываемость);
• доступность.

Как говорили великие: – Информация даёт ключ к дверям любых кованых ворот. В наше время сохранность конфиденциальной информации является жизненно-важным аспектом.

А конфиденциальность внутренней информационной безопасности становится все более актуальной для российских компаний. Это связано и с обострением конкурентной борьбы на внутренних рынках, и с выходом компаний на международный уровень.

Система менеджмента безопасностей сетей - это совокупность процессов, которые работают в компании для обеспечения конфиденциальности, целостности и доступности информационных активов.

Внедрение системы менеджмента безопасности сетей подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

Для того, чтобы рассмотреть систему менеджмента безопасностей сетей, необходимо рассмотреть два международных стандарта. Это ИСО 13335: 2006 и ИСО 27001: 2005.

Объектом данной работы является менеджмент безопасности сетей. Предмет исследования – выявления путей формирования информационной безопасности на международном уровне.

 

Цель данной работы – проанализировав международные стандартыИСО 13335: 2006 и ИСО 27001: 2005, выявить в чем состоит самая суть системы менеджмента безопасностей сетей.

Передо мной, как автором работы, стоят следующие задачи:

1. дать характеристику международному стандарту ИСО 13335: 2006 и рассказать об его области применения, термины и определения, которые в него входят;
2. дать характеристику международному стандарту ИСО 27001: 2005 и рассказать о системе управления информационной безопасностью на основе данного стандарта;
3. Обработать полученную в ходе исследования информацию и сделать общий вывод.

Содержание работы включает в себя введение, две главы, одна из которых посвещана раскрытию аспектов международного стандарта ИСО 13335: 2006, вторая - ИСО 27001: 2005, заключение и список источников литературы, из которых был, почерпнут материал для написания работы.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Содержание

Введение

1 Международный стандарт  ИСО 13335: 2006, область его применения

1. Термины и определения
2. Концепции безопасности и взаимосвязи
3. Цели, стратегия и политика
2. Международный стандарт ИСО 27001: 2005

 

1. Общие положения и область применения
2. Термины и определения
3. Процессный подход
3. Система менеджмента безопасности. Общие требования
1. Разработка системы менеджмента ИБ. Управление системой менеджмента ИБ
2. Требования к документации
3. Обязательства руководства
4. Внутренние аудиты СМЗИ
5. Улучшение системы менеджмента ИБ

Заключение

Список литературы

 

 

 

 

 

 

 

 

 

 

 

Список литературы

1. А.А. Першин Политики информационной безопасности. – Владивосток: Дальневосточного университета, 2010.
2. А.А. Варфоломеев Основы информационной безопасности. – М., 2008.
3. Хоффман Л.Д. Современные методы защиты информации. – М.: Сов.радио, 1980.
4. Петров В.А., Пискарев А.С., Шеин А.В. Информационная

безопасность. Защита информации от несанкционированного доступа в

автоматизированных системах: Учебное пособие. – М.: МИФИ, 1995.

5. В.Н. Копысов Методы и средства обеспечения безопасности. – М.: Стандартинформ, 2007.
6. Грушо А.А., Тимонина Е.Е. Основы защиты информации. – М.:

Яхтсмен, 1996.

7. Анин Б. Защита компьютерной информации. – СПб.: БХВ-Санкт-

Петербург, 2000.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Международный стандарт ИСО 13335: 2006, область его применения
1. Термины и определения

 

Настоящий стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.

Целью настоящего стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям. Настоящий стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления. Настоящий стандарт не разрабатывает конкретных подходов к управлению безопасностью.

В настоящем стандарте применены термины по ИСО/МЭК 17799, ИСО/МЭК 13335-4, а также следующие термины с соответствующими определениями:

подотчетность (accountability) - свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.

[ИСО/МЭК 7498-2]

Активы (asset) - все, что имеет ценность для организации.

Аутентичность (authenticity) - свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

П р и м е ч а н и е — Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.

Доступность (availability) - свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.

[ИСО/МЭК 7498-2]

Базовые защитные меры (baseline controls) - минимальный набор защитных мер, установленный для системы или организации.

 

Конфиденциальность (confidentiality) -  Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса.

[ИСО/МЭК 7498-2]

Рекомендации (guidelines) - описание, поясняющее действия и способы их выполнения, необходимые для достижения установленных целей.

Воздействие (impact) - Результат нежелательного инцидента информационной безопасности.

Инцидент информационной безопасности (information security incident) - любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

П р и м е ч а н и е — Инцидентами информационной безопасности являются:

- утрата услуг, оборудования  или устройств;

- системные сбои или  перегрузки;

- ошибки пользователей;

- несоблюдение политик  или рекомендаций;

- нарушение физических  мер защиты;

- неконтролируемые изменения  систем;

- сбои программного обеспечения  и отказы технических средств;

- нарушение правил доступа.

Безопасность информационно-телекоммуникационных технологий (безопасность ИТТ) (ICT security) - все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информационно-телекоммуникационных технологий.

 Политика безопасности информационно-телекоммуникационных технологий (политика безопасности ИТТ) (ICТ security policy) - правила, директивы, сложившаяся практика, которые определяют, как в пределах организации

 

 

и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Средство(а) обработки информации (information processing facility(ies)) - любая система обработки информации, сервис или инфраструктура, или их физические места размещения.

Информационная безопасность (information security) -  все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

Целостность (integrity) - свойство сохранения правильности и полноты активов.

Неотказуемость (non-repudiation) - способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.

[ИСО/МЭК 13888-1, ИСО/МЭК 7498-2]

Достоверность (reliability) - Свойство соответствия предусмотренному поведению и результатам.

Остаточный риск (residual risk) - риск, остающийся после его обработки.

Риск (risk) - потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.

П р и м е ч а н и е — Определяется как сочетание вероятности события и его последствий.

Аанализ риска (risk analysis) - систематический процесс определения величины риска.

Оценка риска (risk assessment) - процесс, объединяющий идентификацию риска, анализ риска и оценивание риска.

Менеджмент риска (risk management) - полный процесс идентификации, контроля, устранения или уменьшения последствий опасных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий.

Обработка риска (risk treatment) - процесс выбора и осуществления мер по модификации риска.

Защитная мера (safeguard) - сложившаяся практика, процедура или механизм обработки риска.

 Угроза (threat) - потенциальная причина инцидента, который может нанести ущерб системе или организации.

Уязвимость (vulnerability) - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Концепции безопасности и взаимосвязи

Принципы безопасности.

Для создания эффективной программы безопасности ИТТ фундаментальными являются следующие высокоуровневые принципы безопасности:

- менеджмент риска —  активы должны быть защищены  путем принятия соответствующих мер. Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками, которая, исходя из активов организации, угроз, уязвимостей и различных воздействий угроз, устанавливает допустимые риски и учитывает существующие ограничения;

- обязательства — важны  обязательства организации в  области безопасности ИТТ и  в управлении рисками. Для формирования обязательств следует разъяснить преимущества от реализации безопасности ИТТ;

- служебные обязанности  и ответственность — руководство  организации несет ответственность  за обеспечение безопасности активов. Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала;

- цели, стратегии и политика  — управление рисками, связанными  с безопасностью ИТТ, должно осуществляться с учетом целей, стратегий и политики организации.

- управление жизненным  циклом — управление безопасностью  ИТТ должно быть непрерывным  в течение всего их жизненного цикла.

Ниже с позиций фундаментальных принципов безопасности приведено описание основных компонентов безопасности, вовлеченных в процесс управления безопасностью, и их связи. Приведены характеристики каждого компонента и указаны основные сопряженные с ним факторы.

Активы.

Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанностью всех уровней руководства. Активы организации могут рассматриваться как ценности организации, которые должны иметь гарантированную защиту. Активы включают в себя (но не ограничиваются):

 

 

- материальные активы (например вычислительные средства, средства связи, здания);

- информацию (данные) (например  документы, базы данных);

- программное обеспечение;

- способность производить  продукт или предоставлять услугу;

- людей;

- нематериальные ресурсы (например престиж фирмы, репутацию).

Невозможно разработать и поддерживать успешную программу по безопасности, если не идентифицированы активы организации. Во многих случаях процесс идентификации активов и установления их ценности может быть проведен на верхнем уровне и не требует дорогостоящей, детальной и длительной процедуры. Степень детализации данной процедуры должна определяться отношением величины временных и финансовых затрат к ценности активов. Во всех случаях степень детализации должна быть установлена, исходя из целей безопасности.

Характеристики активов, которые необходимо рассмотреть, включают в себя следующие величины: ценность, чувствительность активов, и имеющиеся защитные меры. Наличие конкретных угроз уязвимости влияет на требования к защите активов. Внешние условия, социальная и правовая среда, в которых организация осуществляет свою деятельность, могут влиять на активы, их свойства и характеристики. Особенности в упомянутых условиях могут иметь существенное значение для международных организаций и трансконтинентального использования ИТТ.