Лекция по "Информатике"

1 лекція 

1. Які міжнародні стандарти у сфері менеджменту інформаційної безпеки чинні сьогодні?

• ISO/IEC 27000 “Визначення і основні принципи”;
• ISO/IEC 27001 “Інформаційні технології. Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки”;
• ISO/IEC 27002 “Інформаційні технології. Методи забезпечення безпеки. Практичні правила менеджменту інформаційної безпеки”;
• ISO/IEC 27003 “Керівництво із впровадження системи менеджменту інформаційної безпеки”;
• ISO/IEC 27004 “Вимірювання ефективності системи менеджменту інформаційної безпеки”;
• ISO/IEC 27005 “Інформаційні технології. Методи забезпечення безпеки. Управління ризиками інформаційної безпеки”;
• ISO/IEC 27006 “Інформаційні технології. Методи забезпечення безпеки. Вимоги до органів аудиту та сертифікації систем менеджменту інформаційної безпеки”;
• ISO/IEC 27007 “Керівництво для аудитора систем менеджменту інформа- ційної безпеки”;
• ISO/IEC 27011 “Керівництво з менеджменту інформаційної безпеки для телекомунікацій”.

1. Назвіть етапи становлення міжнародних стандартів у сфері менеджменту інформаційної безпеки в Україні та світі.

• Першим міжнародним стандартом щодо менеджменту інформаційної безпеки є британський стандарт BS 7799. Перша частина - BS 7799-1 “Практичні правила менеджменту інформаційної безпеки” була розроблена у 1995 р. У 1998 році з’явилася друга частина британського стандарту - BS 7799-2 “Системи менеджменту інформаційною безпекою. Специфікація та довідник із застосування”, яка визначила загальну модель побудови СМІБ і набір обов’язкових вимог, відповідно до яких проводять сертифікацію
• У 1999 році обидві частини BS 7799 було переглянуто і узгоджено з міжнародними стандартами систем менеджменту ISO 9001 та ISO 14001, а наступного року технічний комітет ISO без змін прийняв BS 7799-1 як міжнародний стандарт ISO/IEC 17799:2000, який пізніше перейменовується на ISO/IEC 27002.
• Друга частина BS 7799 переглядалася у 2002 p., а наприкінці 2005 р. була прийнята ISO як міжнародний стандарт ISO/IEC 27001:2005 “Інформаційні технології. Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки. Вимоги”.
• На початку 2006 р. було прийнято новий британський національний стандарт у сфері менеджменту ризиків інформаційної безпеки BS 7799-3, який отримав індекс 27005. Працюють також над стандартами із впровадження та оцінювання ефективності СМІБ, які отримали індекси відповідно 27003 і 27004.

1. Чи допустимим є невиконання хоча б однієї з вимог, що визначені міжнародним стандартом ISO/IEC 27001 ? Якщо так, то за яких умов?

Стандарт містить набір обов’язкових вимог до СМІБ, які є обов’язковими до виконання: якщо організація зазначає, що її СМІБ відповідає вимогам стандарту ISO/IEC 27001, тоді невиконання яких-небудь вимог основної частини стандарту під час його впровадження є недопустимим.

1. Чому у сфері діяльності СМІБ лише критичні для функціонування організації процеси?

Зазначимо, що стандарт ISO/IEC 27001 застосовують до обраного організацією набору процесів функціонування, який є важливим для основного процесу функціонування організації, що визначається в стандарті як сфера діяльності (СД) СМІБ. Якщо організація приймає рішення, що не всі процеси функціонування є критично важливими, то вона має право визначити СД не як весь процес функціонування організації, а звузити його рамки.

У СД повинні зазначатися критичні для функціонування організації процеси, від коректної роботи яких залежить присутність організації на ринку, її дохід тощо.

Виконання цієї умови надає практичного сенсу впровадження СМІБ в організації-така система гарантуватиме безпечний процес функціонування організації.

1. Спробуйте передати зміст стандарту ISO/IEC 27001 одним реченням.

Стандарт містить набір обов’язкових вимог до СМІБ (системи менеджменту ІБ), які є обов’язковими до виконання.

1. Розкрийте ЗМІСТ процесного ПІДХОДУ ДО створення систем менеджменту інформаційної  безпеки.

Застосування системи процесів у межах організації разом з ідентифікацією та взаємодією цих процесів, а також їх управлінням називається “процесним підходом”