КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
|
|
|
|
Сертификация по ИСО 27001
Сертификация по ISO 27001 — процедура прохождения подтверждения соответствия системы управления информационной безопасностью, существующей в организации, требованиям стандарта ISO 27001.
В результате сертификации выдается сертификат соответствия - официальный документ, подтверждающий функционирование в компании системы менеджмента информационной безопасности, высокий уровень защиты конфиденциальной информации, одного из важнейших активов компании, управление рисками, связанными с утечкой такой информации.
Сертификат ИСО 27001 необходим для следующих целей:
- Доступ к государственной тайне;
- Работа с государственными организациями;
- Работа с серьезными структурами и холдингами, а также вхождение в их состав;
- Участие в тендерах и конкурсах;
- Предоставление заказчикам и партнерам;
- Формирование имиджа компании;
- Повышение инвестиционной привлекательности;
- Выход на международный рынок.
Сертификат выдается на срок 3 года совместно с лицензией на применения знака соотвествия.
Наряду с популярным в мире стандартом ИСО 27000 широко применяются и другие нормативные документы в области защиты информации в информационных системах. К ним, например, относятся стандарты серии ИСО/МЭК 15408 «Методы и средства обеспечения безопасности».
На сегодня ГОСТ Р ИСО/МЭК 15408 - самый полный стандарт, определяющий инструменты оценки безопасности информационных систем и порядок их использования.
В настоящее время данный документ представлен в качестве трех частей национального стандарта РФ.
| Стандарт | Наименование |
| ГОСТ Р ИСО/МЭК 15408-1-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России |
| ГОСТ Р ИСО/МЭК 15408-2-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России |
| ГОСТ Р ИСО/МЭК 15408-3-2002 | Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России |
Заложенные в стандарте наборы требований позволяют сравнивать результаты независимых оценок безопасности. На основании этих результатов потребитель может принимать решение о том, достаточно ли безопасны ИТ-продукты или системы для их применения с заданным уровнем риска.
|
|
|
“Общие критерии”, описанные в стандарте, направлены на защиту информации от несанкционированного раскрытия, модификации, полной или частичной потери и применимы к защитным мерам, реализуемым аппаратными, программно-аппаратными и программными средствами.
В первой части (ГОСТ Р ИСО/МЭК 15408-1-2002. “Введение и общая модель”) устанавливается общий подход к формированию требований оценки безопасности, на их основе разрабатываются профили защиты и задания по безопасности, представленные в классах данного стандарта – APE “Оценка профиля защиты” и ASE “Оценка задания по безопасности”, а также AMA “Поддержка доверия”.
Часть вторая (ГОСТ Р ИСО/МЭК 15408-2-2002. “Функциональные требования безопасности”) представляет собой обширную библиотеку функциональных требований к безопасности, описывающую 11 классов, 66 семейств, 135 компонентов и содержащую сведения о том, какие цели безопасности могут быть достигнуты и каким образом.
Третья часть (ГОСТ Р ИСО/МЭК 15408-3-2002. “Требования доверия к безопасности”) включает в себя оценочные уровни доверия (ОУД), образующие своего рода шкалу для измерения уровня доверия к объекту оценки. Под доверием понимается “…основа для уверенности в том, что продукт или система информационных технологий отвечает целям безопасности”. Способом его достижения считается активное исследование, определяющее свойства безопасности ИТ (причем большее доверие является результатом приложения больших усилий при оценке) и сводящееся к их минимизации для обеспечения необходимого уровня доверия. Одним словом, мы должны свести усилия к минимуму, при этом не переусердствовав в достижении необходимого уровня доверия.
|
|
|
В совокупности три части стандарта последовательно дополняют друг друга:
1. Часть – каркас безопасности,
2. Часть – компоненты безопасности,
3. Часть – оценка безопасности.
Наряду с выше приведенным стандартом, широкое распространение имеет другой стандарт: Информационные технологии. Методы и средства обеспечения безопасности.
|
|
|
Дата добавления: 2014-01-20; Просмотров: 479; Нарушение авторских прав?; Мы поможем в написании вашей работы!