Группа стандартов Р ИСО/МЭК 27000

Loading...

來自 National Research University Higher School of Economics 的課程

Менеджмент информационной безопасности

14 個評分

National Research University Higher School of Economics

Менеджмент информационной безопасности

14 個評分

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

從本節課中

Основные стандарты в области информационной безопасности

Добро пожаловать на шестую неделю курса! Данный модуль является завершающим в рамках курса по изучению менеджмента информационной безопасности, но Вы всегда можете продолжить освоение материала самостоятельно. А мы, в свою очередь, будем рады любым вопросам и предложениям. После окончания этой недели Вы сможете: перечислить основные стандарты РФ в области защиты информации; назвать закрепленные в государственных стандартах РФ алгоритмы криптографической защиты информации; сформулировать основные принципы оценки безопасности информационной системы на основе «Общих критериев»; осуществить проверку соответствия уровня безопасности автоматизированной системы и/или межсетевого экрана требованиям руководящих документов уполномоченного органа РФ. Надеемся, что материал оказался для Вас познавательным. Всего наилучшего!

Категории стандартов Российской Федерации8:43

Основные действующие стандарты РФ в области информационной безопасности3:49

Группа стандартов Р ИСО/МЭК 270007:09

Стандарты в области криптографической защиты информации3:34

Стандарт Р ИСО/МЭК 15408 («Общие критерии»)4:57

Общая модель оценки безопасности информационных технологий5:23

Функциональные компоненты безопасности4:56

Компоненты доверия к безопасности6:27

Руководящие документы уполномоченных органов (регуляторов) Российской Федерации8:14

與講師見面

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Рассмотрим подробнее группу стандартов Р ИСО/МЭК 27000.

Это категория стандартов,

подготовленных на основе текстов международных стандартов группы ISO 27000.

В них содержатся различные рекомендации и спецификации для внедрения и

сопровождения системы менеджмента информационной безопасности.

Оригинальные тексты стандартов данной группы опубликованы совместно

Международной организацией по стандартизации,

она имеет английскую аббревиатуру ISO и по-русски такую же — ИСО,

и Международной электротехнической комиссией, англоязычная аббревиатура IEC,

«айек», или по-русски МЭК — Международная электротехническая комиссия.

Собственно, вот эта вот записанная через знак

слэш двойная аббревиатура ИСО/МЭК как раз именно это и обозначает: Международная

организация по стандартизации и Международная электротехническая

комиссия в названии многих государственных стандартов Российской Федерации.

Первый ГОСТ из этой группы называется: «Информационная технология.

Методы и средства обеспечения безопасности.

Системы менеджмента информационной безопасности.

Требования».

В данном стандарте содержатся основные определения в области информационной

безопасности и менеджмента информационной безопасности.

Мы к этим определениям уже обращались,

и кое-какие определения из этого стандарта уже в данном курсе встречались.

Понятие системы менеджмента информационной безопасности,

общие требования к ней также описаны в данном государственном стандарте, и,

наконец, в нём уделено внимание аспектам,

связанным с созданием и развитием системы менеджмента информационной безопасности.

То есть в этом стандарте основная идея о том,

что должна из себя представлять система менеджмента информационной безопасности.

Второй стандарт данной группы содержит свод норм и правил менеджмента

информационной безопасности, а конкретно: принципы управления рисками и

меры и средства контроля и управления безопасностью.

Этот стандарт ближе к категории спецификации,

нежели к категории оценочных стандартов.

Он даёт конкретные методики того, как должны осуществляться процедуры управления

рисками или менеджмента рисками, как написано в самом тексте стандарта,

и описываются меры и средства контроля и управления безопасностью.

Третий стандарт группы ИСО/МЭК 27000 содержит

руководство по реализации системы менеджмента информационной безопасности.

Конкретно, в нём содержится подробное описание внедрения системы менеджмента

информационной безопасности как проекта и пятифазная

модель проекта системы менеджмента информационной безопасности.

Иными словами, в нём есть подробная инструкция,

как реализовать проект по внедрению такой системы в организации,

какие должны быть произведены подготовительные мероприятия,

что следует далее и каким образом достигается исходная цель проекта.

Четвёртый стандарт данной группы называется «Менеджмент

информационной безопасности.

Измерения».

И как следует из его названия, он посвящён мерам измерения и видам деятельности,

связанным с измерениями, которые необходимы для оценки эффективности

реализации требований системы менеджмента информационной безопасности к менеджменту

необходимых и достаточных мер и средств контроля и управления безопасностью в

соответствии с первым стандартом данной группы: ИСО/МЭК 27001.

То есть этот стандарт вводит, по сути, систему мер,

по которым далее происходит оценка, насколько система действительно защищена,

насколько в ней эффективно реализованы требования защиты информации.

Пятый стандарт данной группы называется «Менеджмент риска

информационной безопасности», и он содержит руководство по менеджменту или,

иначе говоря, управлению риска информационной безопасности,

описание процесса менеджмента риска информационной безопасности и связанных

с ним видов деятельности.

В данном стандарте также содержатся примеры подходов к оценке рисков

информационной безопасности, которыми можно воспользоваться, если потребуется

осуществить управление рисками информационной безопасности на практике.

Их стоит искать вот в стандарте 27005.

Шестой стандарт данной группы содержит требования к органам,

осуществляющим аудит и сертификацию систем менеджмента информационной безопасности.

В нём содержатся, как следует из его названия, требования к органам,

проводящим аудит и сертификацию системы менеджмента информационной безопасности,

соответствующая терминология приведена в данном стандарте,

и также в нём содержатся общие требования, требования к структуре, ресурсам,

информации и процессу процедуры сертификации.

Иными словами, это тоже спецификация, но на конкретную процедуру: на процедуру

сертификации системы менеджмента информационной безопасности.

Это стандарт 27006.

Седьмой стандарт данной группы содержит руководство по аудиту систем менеджмента

информационной безопасности.

В нём содержится руководство по менеджменту программы аудита системы

менеджмента информационной безопасности для внутреннего и внешнего аудита этой

системы.

Здесь стоит обратить внимание на слово «внутренний».

То есть практическая любая организация, желающая произвести своими силами аудит

системы менеджмента информационной безопасности,

может использовать этот стандарт и в итоге утверждать,

что её система менеджмента информационной безопасности прошла процедуру аудита на

основании такого государственного стандарта.

В данном же документе рассматриваются вопросы управления программой аудита,

вопросы проведения аудита, оценки аудиторов, а также в нём содержится

практическое руководство по аудиту системы менеджмента информационной безопасности,

которое может быть полезно для решения практических задач во многих

организациях в достаточно широком спектре таких объектов.

Далее мы перескакиваем несколько номеров и переходим к одиннадцатому

стандарту данной группы — к стандарту ИСО/МЭК 27011.

Он содержит руководство по менеджменту информационной безопасности для

телекоммуникационных организаций на основе второго стандарта этой группы —

ИСО/МЭК 27002.

В нём содержатся рекомендации для телекоммуникационных

организаций по выполнению требований менеджмента информационной безопасности в

отношении конфиденциальности, целостности, доступности и иных аспектов безопасности.

Он потребуется практически любой телекоммуникационной организации, он может

быть для неё полезен, поскольку содержит рекомендации, основанные на наилучших

практиках мировых, которые, собственно, и положены в основу мирового стандарта.

В данном же документе содержатся аспекты информационной безопасности,

рекомендуемые для включения в политику безопасности организации.

В этом он схож по своей структуре с государственным стандартом 13335.

[МУЗЫКА]

[МУЗЫКА]

探索我們的目錄

免費加入並獲得個性化推薦、更新和優惠。

Coursera 致力於普及全世界最好的教育，它與全球一流大學和機構合作提供在線課程。

© 2019 Coursera Inc. 保留所有權利。

通過 App Store 下載

通過 Google Play 獲取