Explore
For Enterprise
Join for Free
Log In

艺术与人文
商务
计算机科学
数据科学
信息技术
健康
数学和逻辑
个人发展
物理科学与工程
社会科学
语言学习
University of Pennsylvania
Earn an Ivy League master’s degree designed for non-CS majors
Penn Engineering's online MCIT degree is built for students without a computer science background
University of Illinois
Interested in earning a top-ranked MCS in Data Science degree?
Gain the data science skills needed to take your career to the next level. Apply by February 15 to join the next cohort.
學位
證書

瀏覽 Coursera 的全部課程

瀏覽
Top Courses
企業版
登錄
免費加入

Группа стандартов Р ИСО/МЭК 27000

Loading...

Менеджмент информационной безопасности

国立高等经济大学

4.8（21 個評分） | 1.8K 名學生已註冊

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации. Появились технические трудности? Обращайтесь на адрес: coursera@hse.ru

查看授課大綱

審閱

4.8（21 個評分）

5 stars
17 ratings
4 stars
3 ratings
3 stars
1 ratings

從本節課中

Основные стандарты в области информационной безопасности

Добро пожаловать на шестую неделю курса! Данный модуль является завершающим в рамках курса по изучению менеджмента информационной безопасности, но Вы всегда можете продолжить освоение материала самостоятельно. А мы, в свою очередь, будем рады любым вопросам и предложениям. После окончания этой недели Вы сможете: перечислить основные стандарты РФ в области защиты информации; назвать закрепленные в государственных стандартах РФ алгоритмы криптографической защиты информации; сформулировать основные принципы оценки безопасности информационной системы на основе «Общих критериев»; осуществить проверку соответствия уровня безопасности автоматизированной системы и/или межсетевого экрана требованиям руководящих документов уполномоченного органа РФ. Надеемся, что материал оказался для Вас познавательным. Всего наилучшего!

Категории стандартов Российской Федерации8:43

Основные действующие стандарты РФ в области информационной безопасности3:49

Группа стандартов Р ИСО/МЭК 270007:09

Стандарты в области криптографической защиты информации3:34

Стандарт Р ИСО/МЭК 15408 («Общие критерии»)4:57

Общая модель оценки безопасности информационных технологий5:23

Функциональные компоненты безопасности4:56

Компоненты доверия к безопасности6:27

Руководящие документы уполномоченных органов (регуляторов) Российской Федерации8:14

教學方

Сорокин Александр Владимирович
Старший преподаватель

腳本

[МУЗЫКА] Рассмотрим подробнее группу стандартов Р ИСО/МЭК 27000. Это категория стандартов, подготовленных на основе текстов международных стандартов группы ISO 27000. В них содержатся различные рекомендации и спецификации для внедрения и сопровождения системы менеджмента информационной безопасности. Оригинальные тексты стандартов данной группы опубликованы совместно Международной организацией по стандартизации, она имеет английскую аббревиатуру ISO и по-русски такую же — ИСО, и Международной электротехнической комиссией, англоязычная аббревиатура IEC, «айек», или по-русски МЭК — Международная электротехническая комиссия. Собственно, вот эта вот записанная через знак слэш двойная аббревиатура ИСО/МЭК как раз именно это и обозначает: Международная организация по стандартизации и Международная электротехническая комиссия в названии многих государственных стандартов Российской Федерации. Первый ГОСТ из этой группы называется: «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». В данном стандарте содержатся основные определения в области информационной безопасности и менеджмента информационной безопасности. Мы к этим определениям уже обращались, и кое-какие определения из этого стандарта уже в данном курсе встречались. Понятие системы менеджмента информационной безопасности, общие требования к ней также описаны в данном государственном стандарте, и, наконец, в нём уделено внимание аспектам, связанным с созданием и развитием системы менеджмента информационной безопасности. То есть в этом стандарте основная идея о том, что должна из себя представлять система менеджмента информационной безопасности. Второй стандарт данной группы содержит свод норм и правил менеджмента информационной безопасности, а конкретно: принципы управления рисками и меры и средства контроля и управления безопасностью. Этот стандарт ближе к категории спецификации, нежели к категории оценочных стандартов. Он даёт конкретные методики того, как должны осуществляться процедуры управления рисками или менеджмента рисками, как написано в самом тексте стандарта, и описываются меры и средства контроля и управления безопасностью. Третий стандарт группы ИСО/МЭК 27000 содержит руководство по реализации системы менеджмента информационной безопасности. Конкретно, в нём содержится подробное описание внедрения системы менеджмента информационной безопасности как проекта и пятифазная модель проекта системы менеджмента информационной безопасности. Иными словами, в нём есть подробная инструкция, как реализовать проект по внедрению такой системы в организации, какие должны быть произведены подготовительные мероприятия, что следует далее и каким образом достигается исходная цель проекта. Четвёртый стандарт данной группы называется «Менеджмент информационной безопасности. Измерения». И как следует из его названия, он посвящён мерам измерения и видам деятельности, связанным с измерениями, которые необходимы для оценки эффективности реализации требований системы менеджмента информационной безопасности к менеджменту необходимых и достаточных мер и средств контроля и управления безопасностью в соответствии с первым стандартом данной группы: ИСО/МЭК 27001. То есть этот стандарт вводит, по сути, систему мер, по которым далее происходит оценка, насколько система действительно защищена, насколько в ней эффективно реализованы требования защиты информации. Пятый стандарт данной группы называется «Менеджмент риска информационной безопасности», и он содержит руководство по менеджменту или, иначе говоря, управлению риска информационной безопасности, описание процесса менеджмента риска информационной безопасности и связанных с ним видов деятельности. В данном стандарте также содержатся примеры подходов к оценке рисков информационной безопасности, которыми можно воспользоваться, если потребуется осуществить управление рисками информационной безопасности на практике. Их стоит искать вот в стандарте 27005. Шестой стандарт данной группы содержит требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. В нём содержатся, как следует из его названия, требования к органам, проводящим аудит и сертификацию системы менеджмента информационной безопасности, соответствующая терминология приведена в данном стандарте, и также в нём содержатся общие требования, требования к структуре, ресурсам, информации и процессу процедуры сертификации. Иными словами, это тоже спецификация, но на конкретную процедуру: на процедуру сертификации системы менеджмента информационной безопасности. Это стандарт 27006. Седьмой стандарт данной группы содержит руководство по аудиту систем менеджмента информационной безопасности. В нём содержится руководство по менеджменту программы аудита системы менеджмента информационной безопасности для внутреннего и внешнего аудита этой системы. Здесь стоит обратить внимание на слово «внутренний». То есть практическая любая организация, желающая произвести своими силами аудит системы менеджмента информационной безопасности, может использовать этот стандарт и в итоге утверждать, что её система менеджмента информационной безопасности прошла процедуру аудита на основании такого государственного стандарта. В данном же документе рассматриваются вопросы управления программой аудита, вопросы проведения аудита, оценки аудиторов, а также в нём содержится практическое руководство по аудиту системы менеджмента информационной безопасности, которое может быть полезно для решения практических задач во многих организациях в достаточно широком спектре таких объектов. Далее мы перескакиваем несколько номеров и переходим к одиннадцатому стандарту данной группы — к стандарту ИСО/МЭК 27011. Он содержит руководство по менеджменту информационной безопасности для телекоммуникационных организаций на основе второго стандарта этой группы — ИСО/МЭК 27002. В нём содержатся рекомендации для телекоммуникационных организаций по выполнению требований менеджмента информационной безопасности в отношении конфиденциальности, целостности, доступности и иных аспектов безопасности. Он потребуется практически любой телекоммуникационной организации, он может быть для неё полезен, поскольку содержит рекомендации, основанные на наилучших практиках мировых, которые, собственно, и положены в основу мирового стандарта. В данном же документе содержатся аспекты информационной безопасности, рекомендуемые для включения в политику безопасности организации. В этом он схож по своей структуре с государственным стандартом 13335. [МУЗЫКА] [МУЗЫКА]

探索我們的目錄

免費加入並獲得個性化推薦、更新和優惠。

Coursera

關於
管理團隊
工作機會
目錄
證書
MasterTrack™ 證書
學位
企業版
政府版
面向校園

社區

學生
合作夥伴
開發者
Beta 測試人員
專業譯員
博客
技術博客

更多

條款
隱私
幫助
內容訪問
媒體
聯繫我們
目錄
附屬公司

隨時隨地學習

關注我們

© 2019 Coursera Inc.保留所有權利。