Лекция по "Информатике"
Автор: Viktoria859 • Апрель 29, 2018 • Лекция • 15,184 Слов (61 Страниц) • 1,207 Просмотры
1 лекція
- Які міжнародні стандарти у сфері менеджменту інформаційної безпеки чинні сьогодні?
- ISO/IEC 27000 “Визначення і основні принципи”;
- ISO/IEC 27001 “Інформаційні технології. Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки”;
- ISO/IEC 27002 “Інформаційні технології. Методи забезпечення безпеки. Практичні правила менеджменту інформаційної безпеки”;
- ISO/IEC 27003 “Керівництво із впровадження системи менеджменту інформаційної безпеки”;
- ISO/IEC 27004 “Вимірювання ефективності системи менеджменту інформаційної безпеки”;
- ISO/IEC 27005 “Інформаційні технології. Методи забезпечення безпеки. Управління ризиками інформаційної безпеки”;
- ISO/IEC 27006 “Інформаційні технології. Методи забезпечення безпеки. Вимоги до органів аудиту та сертифікації систем менеджменту інформаційної безпеки”;
- ISO/IEC 27007 “Керівництво для аудитора систем менеджменту інформа- ційної безпеки”;
- ISO/IEC 27011 “Керівництво з менеджменту інформаційної безпеки для телекомунікацій”.
- Назвіть етапи становлення міжнародних стандартів у сфері менеджменту інформаційної безпеки в Україні та світі.
- Першим міжнародним стандартом щодо менеджменту інформаційної безпеки є британський стандарт BS 7799. Перша частина - BS 7799-1 “Практичні правила менеджменту інформаційної безпеки” була розроблена у 1995 р. У 1998 році з’явилася друга частина британського стандарту - BS 7799-2 “Системи менеджменту інформаційною безпекою. Специфікація та довідник із застосування”, яка визначила загальну модель побудови СМІБ і набір обов’язкових вимог, відповідно до яких проводять сертифікацію
- У 1999 році обидві частини BS 7799 було переглянуто і узгоджено з міжнародними стандартами систем менеджменту ISO 9001 та ISO 14001, а наступного року технічний комітет ISO без змін прийняв BS 7799-1 як міжнародний стандарт ISO/IEC 17799:2000, який пізніше перейменовується на ISO/IEC 27002.
- Друга частина BS 7799 переглядалася у 2002 p., а наприкінці 2005 р. була прийнята ISO як міжнародний стандарт ISO/IEC 27001:2005 “Інформаційні технології. Методи забезпечення безпеки. Системи менеджменту інформаційної безпеки. Вимоги”.
- На початку 2006 р. було прийнято новий британський національний стандарт у сфері менеджменту ризиків інформаційної безпеки BS 7799-3, який отримав індекс 27005. Працюють також над стандартами із впровадження та оцінювання ефективності СМІБ, які отримали індекси відповідно 27003 і 27004.
- Чи допустимим є невиконання хоча б однієї з вимог, що визначені міжнародним стандартом ISO/IEC 27001 ? Якщо так, то за яких умов?
Стандарт містить набір обов’язкових вимог до СМІБ, які є обов’язковими до виконання: якщо організація зазначає, що її СМІБ відповідає вимогам стандарту ISO/IEC 27001, тоді невиконання яких-небудь вимог основної частини стандарту під час його впровадження є недопустимим.
- Чому у сфері діяльності СМІБ лише критичні для функціонування організації процеси?
Зазначимо, що стандарт ISO/IEC 27001 застосовують до обраного організацією набору процесів функціонування, який є важливим для основного процесу функціонування організації, що визначається в стандарті як сфера діяльності (СД) СМІБ. Якщо організація приймає рішення, що не всі процеси функціонування є критично важливими, то вона має право визначити СД не як весь процес функціонування організації, а звузити його рамки.
У СД повинні зазначатися критичні для функціонування організації процеси, від коректної роботи яких залежить присутність організації на ринку, її дохід тощо.
Виконання цієї умови надає практичного сенсу впровадження СМІБ в організації-така система гарантуватиме безпечний процес функціонування організації.
- Спробуйте передати зміст стандарту ISO/IEC 27001 одним реченням.
Стандарт містить набір обов’язкових вимог до СМІБ (системи менеджменту ІБ), які є обов’язковими до виконання.
- Розкрийте ЗМІСТ процесного ПІДХОДУ ДО створення систем менеджменту інформаційної безпеки.
Застосування системи процесів у межах організації разом з ідентифікацією та взаємодією цих процесів, а також їх управлінням називається “процесним підходом”
...