Вадим Гребенников - Управление информационной безопасностью. Стандарты СУИБ

Управление информационной безопасностью. Стандарты СУИБ
Название: Управление информационной безопасностью. Стандарты СУИБ
Автор:
Жанры: Информационная безопасность | Зарубежная компьютерная литература
Серии: Нет данных
ISBN: Нет данных
Год: Не установлен
О чем книга "Управление информационной безопасностью. Стандарты СУИБ"

Книга рассказывает о семействе международных стандартов ISO/IEC 27k, определяющих требования и правила СУИБ (системы управления информационной безопасностью), порядок разработки СУИБ и алгоритмы управления рисками информационной безопасности и инцидентами информационной безопасности.

Официальная веб-страница автора: http://cryptohistory.ru

Бесплатно читать онлайн Управление информационной безопасностью. Стандарты СУИБ


© Вадим Гребенников, 2018


ISBN 978-5-4493-0690-6

Создано в интеллектуальной издательской системе Ridero

1. Семейство стандартов управления информационной безопасностью

1.1. История развития стандартов управления информационной безопасностью

Сегодня безопасность цифрового пространства показывает новый путь национальной безопасности каждой страны. В соответствии с ролью информации как ценного товара в бизнесе, её защита, безусловно, необходима. Для достижения этой цели, каждой организации, в зависимости от уровня информации (с точки зрения экономической ценности), требуется разработка системы управления информационной безопасностью (далее – СУИБ), пока существует возможность, защиты своих информационных активов.

В организациях, существование которых значительно зависит от информационных технологий (далее – ИТ), могут быть использованы все инструменты для защиты данных. Тем не менее, безопасность информации необходима для потребителей, партнеров по сотрудничеству, других организаций и правительства. В связи с этим, для защиты ценной информации, необходимо что бы каждая организация стремилась к той или иной стратегии и реализации системы безопасности на её основе.

СУИБ является частью комплексной системы управления, основанной на оценке и анализов рисков, для разработки, реализации, администрирования, мониторинга, анализа, поддержания и повышения информационной безопасности (далее – ИБ) и ее реализации, полученных из целей организации и требования, требования безопасности, используемых процедур и размерах и структуре ее организации.

Зарождение принципов и правил управления ИБ началось в Великобритании в 1980-х годах. В те годы Министерство торговли и промышленности Великобритании (англ. Department of Trade and Industry, DTI) организовало рабочую группу для разработки свода лучших практик по обеспечению ИБ.

В 1989 году «DTI» опубликовало первый стандарт в этой области, который назывался PD 0003 «Практические правила управления ИБ». Он представлял собой перечень средств управления безопасностью, которые в то время считались адекватными, нормальными и хорошими, применимыми как к технологиям, так и средам того времени. Документ «DTI» был опубликован как руководящий документ британской системы стандартов (англ. British Standard, BS).

В 1995 году Британский институт стандартов (англ. British Standards Institution, BSI) принял национальный стандарт BS 7799—1 «Практические правила управления ИБ». Она описывал 10 областей и 127 механизмов контроля, необходимых для построения СУИБ (англ. Information Security Management System, ISMS), определенных на основе лучших примеров из мировой практики.

Этот стандарт и стал прародителем всех международных стандартов СУИБ. Как и любой национальный стандарт BS 7799 в период 1995—2000 годов пользовался, скажем так, умеренной популярностью только в рамках стран британского содружества.

В 1998 году появилась вторая часть этого стандарта – BS 7799—2 «СУИБ. Спецификация и руководство по применению», определившая общую модель построения СУИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью.

В конце 1999 года эксперты Международной организации по стандартизации (англ. International Organization for Standardization, ISO) и Международной электротехнической комиссии (англ. International Electrotechnical Commission, IEC) пришли к выводу, что в рамках существующих стандартов отсутствует специализированный стандарт управления ИБ. Соответственно, было принято решение не заниматься разработкой нового стандарта, а по согласованию с «BSI», взяв за базу BS 7799—1, принять соответствующий международный стандарт ISO/IEC.

В конце 1999 года обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем управления качеством ISO/IEC 9001 и экологией ISO/IEC 14001, а год спустя без изменений BS 7799—1 был принят в качестве международного стандарта ISO/IEC 17799:2000 «Информационные технологии (далее – ИТ). Практические правила управления ИБ».

В 2002 году была обновлена и первая часть стандарта BS 7799—1 (ISO/IEC 17799), и вторая часть BS 7799—2.

Что же касается официальной сертификации по ISO/IEC 17799, то она изначально не была предусмотрена (полная аналогия с BS 7799). Была предусмотрена только сертификация по BS 7799—2, который представлял собой ряд обязательных требований (не вошедших в BS 7799—1) и в приложении перечень условно обязательных (на усмотрение сертификатора) наиболее важных требований BS 7799—1 (ISO/IEC 17799).

На территории СНГ первой страной, которая в ноябре 2004 года приняла стандарт ISO/IEC 17799:2000 в качестве национального, была Беларусь. Россия ввела этот стандарт только в 2007 году. Центральный Банк РФ на его базе создал стандарт управления ИБ для банковской сферы РФ.

В составе ISO/IEC за разработку семейства международных стандартов по управлению ИБ отвечает подкомитет №27, поэтому была принята схема нумерации данного семейства стандартов с использованием серии последовательных номеров, начиная с 27000 (27k).

В 2005 году подкомитет SC 27 «Методы защиты ИТ» Объединенного технического комитета JTC 1 «ИТ» ISO/IEC разработал сертификационный стандарт ISO/IEC 27001 «ИТ. Методы защиты. СУИБ. Требования», пришедший на смену BS 7799—2, и теперь сертификация проводится уже по ISO 27001.

В 2005 году на основе ISO/IEC 17799:2000 был разработан ISO/IEC 27002:2005 «ИТ. Методы защиты. Свод норм и правил управления ИБ».

В начале 2006 года был принят новый британский национальный стандарт BS 7799—3 «СУИБ. Руководство по управлению рисками ИБ», который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».

В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR 18044 «ИТ. Методы защиты. Управление инцидентами ИБ». В 2011 году на его базе был разработан стандарт ISO/IEC 27035 «ИТ. Методы защиты. Управление инцидентами ИБ».

В 2009 году был принят стандарт ISO/IEC 27000 «ИТ. СУИБ. Общий обзор и терминология». Он предоставляет обзор систем управления ИБ и определяет соответствующие термины. Словарь тщательно сформулированных формальных определений охватывает большинство специализированных терминов, связанных с ИБ и используемых в стандартах группы ISO/IEC 27.

25 сентября 2013 года были опубликованы новые версии стандартов ISO/IEC 27001 и 27002. С этого момента стандарты серии ISO/IEC 27k (управление ИБ) полностью интегрированы со стандартами серии ISO/IEC 20k (управление ИТ-сервисами). Вся терминология из ISO/IEC 27001 перенесена в ISO/IEC 27000, который определяет общий терминологический аппарат для всего семейства стандартов ISO/IEC 27k.


С этой книгой читают
Любое государство сейчас не может существовать без технической разведки. Радиоразведка появилась вместе с радиосвязью в начале ХХ века, а компьютерная разведка – вместе с глобальной сетью Интернет в 1980-х годах. Сборник содержит материалы по истории рождения и эволюции техники и методов радиоэлектронной разведки и контрразведки Российской империи, СССР и современной России; описывает успехи радиоразведки по перехвату информации.«Кто владеет инфо
Книга рассказывает об истории создания и развития сетей и систем правительственной связи (далее – ПС) в Закарпатской области. Отмечается участие подразделений ПС в событиях в Венгрии в 1956-м и Чехословакии в 1968-м, организация сетей оперативной и радиосвязи, строительство нового здания ПС в Ужгороде и службе автора в подразделениях ПС: отделение и отдел ПС УКГБ, отдел ПС УСБУ, отдел ДСТСЗИ СБУ и Управление госспецсвязи.
Книга рассказывает об украинской истории создания и развития органов и систем специальных видов (шифрованной документальной, правительственной и конфиденциальной) связи в структуре КГБ УССР, Службы безопасности Украины (СБУ), Государственной службы специальной связи и защиты информации Украины и на территории Закарпатской области в частности, а также о фактах подслушивания СБУ телефонных переговоров и методах контроля коммуникаций.
Любое государство сейчас не может существовать без технической разведки. Радиоразведка появилась вместе с радиосвязью в начале ХХ века. Книга рассказывает историю рождения и эволюции техники и методов радиоэлектронной разведки и контрразведки спецслужб Великобритании, Германии, Франции, Австрии и Швеции; описывает успехи радиоразведки этих стран по перехвату информации.«Кто владеет информацией, тот владеет миром». (Натан Ротшильд)
В пособии излагаются основные тенденции развития организационного обеспечения безопасности информационных систем, а также подходы к анализу информационной инфраструктуры организационных систем и решению задач обеспечения безопасности компьютерных систем. Для студентов по направлению подготовки 230400 – Информационные системы и технологии (квалификация «бакалавр»).
Какими будут войны будущего? Каких новых видов оружия (в том числе и супероружия) нам ждать в ближайшие годы?Об этом и расскажет эта уникальная книга. В ней показываются особенности современных горячей, несмертельной, экономической, торговой, продовольственной войн, эффекты воздействия современных информационно-коммуникационных технологий (ИКТ) на индивидуальную и коллективную память, на идентичность и аутентичность, на «психокосмос» (сознание че
Это саммари – сокращенная версия книги «Машина правды. Блокчейн и будущее человечества» Пола Виньи и Майкла Кейси. Только самые ценные мысли, идеи, кейсы, примеры.Сегодня миром правит тот, кто контролирует потоки информации. Мы это видим на примере таких технологических гигантов, как Google и Facebook. Но неограниченные возможности собирать, хранить и публиковать данные доступны лишь нескольким крупными корпорациям. Алгоритмы Facebook, поощряющие
Научно-исследовательский материал посвящён изучению и исследованию различных исторических событий, как российских, так и международных.В течение последних 200-300 лет идёт активное исследование истории, поиска артефактов и новых архивных документов, а также осмысление происходившего.Исследователи хотят понять и потом рассказать людям, как мы раньше жили, что делали, как строили города и цивилизации, как питались, как любили, как воевали, во что в
Сегодня мама принесла из магазина много разных овощей. Будет готовить салат. Вку-у-сно! Аж слюнки текут. Овощи все красивые. Интересно, как их там делают в магазине, из чего? Взрослые, пока не выросли, тоже думали, что овощи делают в магазинах и ещё на рынках. Оказалось, что НЕТ! И вовсе их не делают, они сами растут. И вовсе не в магазинах, а на огородных грядках. Каждый из них имеет характер. А ежели есть характер, значит, есть свои истории. Их
«История АКВАРИУМА. Книга Флейтиста» – первая книга, рассказывающая о легендарной группе «Аквариум» изнутри. Автор книги Андрей «Дюша» Романов играл в группе в 70-80-е годы. В легкой увлекательной манере в книге повествуется о жизни «Аквариума» на сцене и вне ее.Дюша Романов скоропостижно скончался в Санкт-Петербурге 29 июня 2000 года во время сольного концерта в кинотеатре «Спартак». Вторая часть книги знакомит читателя с сольным творчеством Дюш
Книга «Мелодия из сердца —4» написана Ириной Яскович, автором школы Энерго-Звука.Эта поэзия течет из глубин осознания, из самого Сердца. Легкие картины скрывают за собой глубокую мудрость. Вы погрузитесь Мир Мелодии голоса Души и услышите свою собственную. Перед вами откроется безграничное Пространство Священного Грааля!
Добро пожаловать в Волшебствонь!Климат и быт другие, а проблемы те же.Ироничная сказка для взрослых по мотивам реальных историй поиска себя.