Explore
For Enterprise
Join for Free
Log In

瀏覽
搜索
企業版
登錄
免費加入

Группа стандартов Р ИСО/МЭК 27000

Loading...

Менеджмент информационной безопасности

国立高等经济大学

4.7（18 個評分） | 1.6K 名學生已註冊

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации. Появились технические трудности? Обращайтесь на адрес: coursera@hse.ru

查看授課大綱

審閱

4.7（18 個評分）

5 stars
14 ratings
4 stars
3 ratings
3 stars
1 ratings

從本節課中

Основные стандарты в области информационной безопасности

Добро пожаловать на шестую неделю курса! Данный модуль является завершающим в рамках курса по изучению менеджмента информационной безопасности, но Вы всегда можете продолжить освоение материала самостоятельно. А мы, в свою очередь, будем рады любым вопросам и предложениям. После окончания этой недели Вы сможете: перечислить основные стандарты РФ в области защиты информации; назвать закрепленные в государственных стандартах РФ алгоритмы криптографической защиты информации; сформулировать основные принципы оценки безопасности информационной системы на основе «Общих критериев»; осуществить проверку соответствия уровня безопасности автоматизированной системы и/или межсетевого экрана требованиям руководящих документов уполномоченного органа РФ. Надеемся, что материал оказался для Вас познавательным. Всего наилучшего!

Категории стандартов Российской Федерации8:43

Основные действующие стандарты РФ в области информационной безопасности3:49

Группа стандартов Р ИСО/МЭК 270007:09

Стандарты в области криптографической защиты информации3:34

Стандарт Р ИСО/МЭК 15408 («Общие критерии»)4:57

Общая модель оценки безопасности информационных технологий5:23

Функциональные компоненты безопасности4:56

Компоненты доверия к безопасности6:27

Руководящие документы уполномоченных органов (регуляторов) Российской Федерации8:14

教學方

Сорокин Александр Владимирович
Старший преподаватель

腳本

[МУЗЫКА] Рассмотрим подробнее группу стандартов Р ИСО/МЭК 27000. Это категория стандартов, подготовленных на основе текстов международных стандартов группы ISO 27000. В них содержатся различные рекомендации и спецификации для внедрения и сопровождения системы менеджмента информационной безопасности. Оригинальные тексты стандартов данной группы опубликованы совместно Международной организацией по стандартизации, она имеет английскую аббревиатуру ISO и по-русски такую же — ИСО, и Международной электротехнической комиссией, англоязычная аббревиатура IEC, «айек», или по-русски МЭК — Международная электротехническая комиссия. Собственно, вот эта вот записанная через знак слэш двойная аббревиатура ИСО/МЭК как раз именно это и обозначает: Международная организация по стандартизации и Международная электротехническая комиссия в названии многих государственных стандартов Российской Федерации. Первый ГОСТ из этой группы называется: «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». В данном стандарте содержатся основные определения в области информационной безопасности и менеджмента информационной безопасности. Мы к этим определениям уже обращались, и кое-какие определения из этого стандарта уже в данном курсе встречались. Понятие системы менеджмента информационной безопасности, общие требования к ней также описаны в данном государственном стандарте, и, наконец, в нём уделено внимание аспектам, связанным с созданием и развитием системы менеджмента информационной безопасности. То есть в этом стандарте основная идея о том, что должна из себя представлять система менеджмента информационной безопасности. Второй стандарт данной группы содержит свод норм и правил менеджмента информационной безопасности, а конкретно: принципы управления рисками и меры и средства контроля и управления безопасностью. Этот стандарт ближе к категории спецификации, нежели к категории оценочных стандартов. Он даёт конкретные методики того, как должны осуществляться процедуры управления рисками или менеджмента рисками, как написано в самом тексте стандарта, и описываются меры и средства контроля и управления безопасностью. Третий стандарт группы ИСО/МЭК 27000 содержит руководство по реализации системы менеджмента информационной безопасности. Конкретно, в нём содержится подробное описание внедрения системы менеджмента информационной безопасности как проекта и пятифазная модель проекта системы менеджмента информационной безопасности. Иными словами, в нём есть подробная инструкция, как реализовать проект по внедрению такой системы в организации, какие должны быть произведены подготовительные мероприятия, что следует далее и каким образом достигается исходная цель проекта. Четвёртый стандарт данной группы называется «Менеджмент информационной безопасности. Измерения». И как следует из его названия, он посвящён мерам измерения и видам деятельности, связанным с измерениями, которые необходимы для оценки эффективности реализации требований системы менеджмента информационной безопасности к менеджменту необходимых и достаточных мер и средств контроля и управления безопасностью в соответствии с первым стандартом данной группы: ИСО/МЭК 27001. То есть этот стандарт вводит, по сути, систему мер, по которым далее происходит оценка, насколько система действительно защищена, насколько в ней эффективно реализованы требования защиты информации. Пятый стандарт данной группы называется «Менеджмент риска информационной безопасности», и он содержит руководство по менеджменту или, иначе говоря, управлению риска информационной безопасности, описание процесса менеджмента риска информационной безопасности и связанных с ним видов деятельности. В данном стандарте также содержатся примеры подходов к оценке рисков информационной безопасности, которыми можно воспользоваться, если потребуется осуществить управление рисками информационной безопасности на практике. Их стоит искать вот в стандарте 27005. Шестой стандарт данной группы содержит требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. В нём содержатся, как следует из его названия, требования к органам, проводящим аудит и сертификацию системы менеджмента информационной безопасности, соответствующая терминология приведена в данном стандарте, и также в нём содержатся общие требования, требования к структуре, ресурсам, информации и процессу процедуры сертификации. Иными словами, это тоже спецификация, но на конкретную процедуру: на процедуру сертификации системы менеджмента информационной безопасности. Это стандарт 27006. Седьмой стандарт данной группы содержит руководство по аудиту систем менеджмента информационной безопасности. В нём содержится руководство по менеджменту программы аудита системы менеджмента информационной безопасности для внутреннего и внешнего аудита этой системы. Здесь стоит обратить внимание на слово «внутренний». То есть практическая любая организация, желающая произвести своими силами аудит системы менеджмента информационной безопасности, может использовать этот стандарт и в итоге утверждать, что её система менеджмента информационной безопасности прошла процедуру аудита на основании такого государственного стандарта. В данном же документе рассматриваются вопросы управления программой аудита, вопросы проведения аудита, оценки аудиторов, а также в нём содержится практическое руководство по аудиту системы менеджмента информационной безопасности, которое может быть полезно для решения практических задач во многих организациях в достаточно широком спектре таких объектов. Далее мы перескакиваем несколько номеров и переходим к одиннадцатому стандарту данной группы — к стандарту ИСО/МЭК 27011. Он содержит руководство по менеджменту информационной безопасности для телекоммуникационных организаций на основе второго стандарта этой группы — ИСО/МЭК 27002. В нём содержатся рекомендации для телекоммуникационных организаций по выполнению требований менеджмента информационной безопасности в отношении конфиденциальности, целостности, доступности и иных аспектов безопасности. Он потребуется практически любой телекоммуникационной организации, он может быть для неё полезен, поскольку содержит рекомендации, основанные на наилучших практиках мировых, которые, собственно, и положены в основу мирового стандарта. В данном же документе содержатся аспекты информационной безопасности, рекомендуемые для включения в политику безопасности организации. В этом он схож по своей структуре с государственным стандартом 13335. [МУЗЫКА] [МУЗЫКА]

探索我們的目錄

免費加入並獲得個性化推薦、更新和優惠。

Coursera 致力於普及全世界最好的教育，它與全球一流大學和機構合作提供在線課程。

Coursera

關於
管理團隊
工作機會
目錄
證書
MasterTrack™ 證書
學位
企業版
政府版

社區

學生
合作夥伴
開發者
Beta 測試人員
專業譯員
博客
技術博客

更多

條款
隱私
幫助
內容訪問
媒體
聯繫我們
目錄
附屬公司

© 2019 Coursera Inc.保留所有權利。