КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Международная стандартизация. Стандартизация в области управления информационной безопасности
|
|
|
|
Стандартизация в области управления информационной безопасности
Нормативно-правовое обеспечение информационной безопасности
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
Акты федерального законодательства:
Международные договоры РФ;
Конституция РФ;
Законы федерального уровня (включая федеральные конституционные законы, кодексы);
Указы Президента РФ;
Постановления правительства РФ;
Нормативные правовые акты федеральных министерств и ведомств;
Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
К нормативно-методическим документам можно отнести
Методические документы государственных органов России:
Доктрина информационной безопасности РФ;
Руководящие документы ФСТЭК (Гостехкомиссии России);
Приказы ФСБ;
Стандарты информационной безопасности, из которых выделяют:
· Международные стандарты;
· Государственные (национальные) стандарты РФ;
· Рекомендации по стандартизации;
· Методические указания.
В России деятельность, связанная с обеспечением информационной безопасности, должна осуществляться на основе действующих законов РФ, указов и распоряжений Президента РФ, постановлений правительства РФ и других нормативных актов.
Общая координация работ и разработка научно-технической политики в данной области возложены на Федеральное Агентство Правительственной Связи и Информации (ФАПСИ) и Государственную Техническую Комиссию (ГТК) при Президенте РФ.
Прародитель международных стандартов управления информационной безопасностью — британский стандарт BS 7799. Первая его часть — BS 7799-1 «Практические правила управления информационной безопасностью» — была разработана Британским институтом стандартов (BSI) в 1995 г. по заказу правительства Великобритании.
Этот документ является практическим руководством по управлению информационной безопасностью в организации. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения СУИБ, определенных на основе лучших примеров из мировой практики.
В 1998 году появилась вторая часть этого британского стандарта — BS 7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению».
Данный документ определяет общую модель построения СУИБ и набор обязательных требований, на соответствие которым должна производиться сертификация.
С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью.
В 1999 году обе части BS 7799 были пересмотрены и согласованы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя технический комитет ISO без изменений принял BS 7799-1 в качестве международного стандарта ISO/IEC 17799:2000 «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности»..
Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».
Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться. Для этого семейства стандартов было решено использовать последовательную схему нумерации, начиная с 27000 и далее.
| Международный стандарт | Название международного стандарта | Национальные стандарты РФ | Дата введение |
| ISO27000 | ISO/IEC 27000:2009 Information technology. Security techniques. Information security management systems. Overview and vocabulary - Определения и основные принципы. Выпущен в июле 2009 г. | ГОСТ Р ИСО/МЭК 27000 Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. | Проект внесен в 2009 году пока не утвержден |
| ISO27001 | ISO/IEC 27001:2005/BS 7799-2:2005 Information technology. Security techniques. Information security management systems. Requirements - Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. Выпущен в октябре 2005 г. | ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. | 01.02.2008 |
| ISO27002 | ISO/IEC 27002:2005, BS 7799-1:2005,BS ISO/IEC 17799:2005 Information technology. Security techniques. Code of practice for information security management - Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью. Выпущен в июне 2005 г. | ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» | |
| ISO27003 | ISO/IEC 27003:2010 Information Technology. Security Techniques. Information Security Management Systems Implementation Guidance - Руководство по внедрению системы управления информационной безопасностью. Выпущен в январе 2010 г. | ГОСТ Р ИСО/МЭК 27003-200x Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности | В проекте |
| ISO27004 | ISO/IEC 27004:2009 Information technology. Security techniques. Information security management. Measurement - Измерение эффективности системы управления информационной безопасностью. Выпущен в январе 2010 г. | ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения | 01.01.2012 |
| ISO27005 | ISO/IEC 27005:2008 Information technology. Security techniques. Information security risk management - Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности. Выпущен в июне 2008 г. | ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности | 01.12.2011 |
| ISO27006 | ISO/IEC 27006:2007 Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems - Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью. Выпущен в марте 2007 г. | ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности | 30.09.2009 |
| ISO27007 | ISO/IEC 27007 Information technology. Security techniques. Guidelines for Information Security Management Systems auditing (FCD) - Руководство для аудитора СУИБ. Проект находится в финальной стадии. Выпуск запланирован на 2011 год. | ||
| ISO27008 | ISO/IEC 27008 Information technology. Security techniques. Guidance for auditors on ISMS controls (DRAFT) - Руководство по аудиту механизмов контроля СУИБ. Будет служить дополнением к стандарту ISO 27007. Выпуск запланирован в конце 2011 года. | ||
| ISO27010 | ISO/IEC 27010 Information technology. Security techniques. Information security management for inter-sector communications (DRAFT) - Управление информационной безопасностью при коммуникациях между секторами. Стандарт будет состоять из нескольких частей, предоставляющих руководство по совместному использованию информации о рисках информационной безопасности, механизмах контроля, проблемах и/или инцидентах, выходящей за границы отдельных секторов экономики и государств, особенно в части, касающейся "критичных инфраструктур". | ||
| ISO27011 | ISO/IEC 27011:2008 Information technology. Security techniques. Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 - Руководство по управлению информационной безопасностью для телекоммуникаций. Выпущен в мае 2009 г. |
|
|
|
|
|
Дата добавления: 2014-01-05; Просмотров: 2573; Нарушение авторских прав?; Мы поможем в написании вашей работы!