Международная Система Сертификации

Изменения коснулись как структуры стандарта, так и требований. На русский язык данная версия стандарта еще не переведена, но английский вариант текстового содержания нового стандарта таков:. В приложении "А" количество требований контролей уменьшилось со до Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:. Процедура сертификации системы менеджмента по любому из международных стандартов или их комбинации подразделяется на 4 этапа:.

Материал из Википедии — свободной энциклопедии. Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии , проверенной 19 марта ; проверки требуют 2 правки. Пространства имён Статья Обсуждение.

Эта страница последний раз была отредактирована 2 сентября в Текст доступен по лицензии Creative Commons Attribution-ShareAlike ; в отдельных случаях могут действовать дополнительные условия. Свяжитесь с нами Политика конфиденциальности Описание Википедии Отказ от ответственности Разработчики Соглашение о cookie Мобильная версия. Аналогичным образом предлагается поступать и в случае привлечения сторонних организаций к обработке информации аутсорсинга.

Следующий раздел стандарта посвящен вопросам классификации и управления активами. Для обеспечения информационной безопасности организации необходимо, чтобы все основные информационные активы были учтены и закреплены за ответственными владельцами. Начать предлагается с проведения инвентаризации. В качестве примера приводится следующая классификация:. Далее предлагается классифицировать информацию, чтобы определить ее приоритетность, необходимость и степень ее защиты.

При этом, можно оценить соответствующую информацию с учетом того, насколько она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После этого предлагается разработать и внедрить процедуру маркировки при обработке информации. Для каждого уровня классификации следует определять процедуры маркировки для того, чтобы учесть следующие типы обработки информации:. Следующий раздел рассматривает вопросы безопасности, связанные с персоналом.

Стандартом определяется, чтобы обязанности по соблюдению требований безопасности распределялись на стадии подбора персонала, включались в трудовые договоры и проводился их мониторинг в течение всего периода работы сотрудника.

В частности, при приеме в постоянный штат, рекомендуется проводить проверку подлинности представляемых претендентом документов, полноту и точность резюме, представляемые им рекомендации. Рекомендуется, чтобы сотрудники подписывали соглашение о конфиденциальности, уведомляющее о том, какая информация является конфиденциальной или секретной. Должна быть определена дисциплинарная ответственность сотрудников, нарушивших политику и процедуры безопасности организации. Там, где необходимо, эта ответственность должна сохраняться и в течение определенного срока после увольнения с работы.

Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы минимизировать возможные риски. Кроме того, должен быть определен порядок информирования о нарушениях информационной безопасности , с которым необходимо ознакомить персонал. Аналогичная процедура должна задействоваться в случаях сбоев программного обеспечения.

Подобные инциденты требуется регистрировать и проводить их анализ для выявления повторяющихся проблем. Следующий раздел стандарта посвящен вопросам физической защиты и защиты от воздействия окружающей среды.

Указывается, что "средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности , обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия". Кроме организации контроля доступа в охраняемые зоны, должны быть определены порядок проведения в них работ и, при необходимости, процедуры организации доступа посетителей.

Необходимо также обеспечивать безопасность оборудования включая и то, что используется вне организации , чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения.

К этой же группе требований относится обеспечение защиты от сбоев электропитания и защиты кабельной сети. Также должен быть определен порядок технического обслуживания оборудования, учитывающий требования безопасности, и порядок безопасной утилизации или повторного использования оборудования. Например, списываемые носители данных, содержащие важную информацию, рекомендуется физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления данных.

С целью минимизации риска неавторизованного доступа или повреждения бумажных документов, носителей данных и средств обработки информации, рекомендуется внедрить политику "чистого стола" в отношении бумажных документов и сменных носителей данных, а также политику "чистого экрана" в отношении средств обработки информации. Оборудование, информацию или программное обеспечение можно выносить из помещений организации только на основании соответствующего разрешения.

Название очередного раздела стандарта - "Управление передачей данных и операционной деятельностью". В нем требуется, чтобы были установлены обязанности и процедуры, связанные с функционированием всех средств обработки информации. Например, должны контролироваться изменения конфигурации в средствах и системах обработки информации. Требуется реализовать принцип разграничения обязанностей в отношении функций управления, выполнения определенных задач и областей.

Рекомендуется провести разделение сред разработки, тестирования и промышленной эксплуатации программного обеспечения ПО. Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены. Дополнительные риски возникают при привлечении сторонних подрядчиков для управления средствами обработки информации.

Такие риски должны быть идентифицированы заранее, а соответствующие мероприятия по управлению информационной безопасностью согласованы с подрядчиком и включены в контракт. Для обеспечения необходимых мощностей по обработке и хранению информации необходим анализ текущих требований к производительности, а также прогноз будущих.

Эти прогнозы должны учитывать новые функциональные и системные требования, а также текущие и перспективные планы развития информационных технологий в организации. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы. Необходимо принимать меры предотвращения и обнаружения внедрения вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые "черви", "троянские кони" и логические бомбы.

Отмечается, что защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса.

Для обеспечения безопасности информации в сетях и защиты поддерживающей инфраструктуры , требуется внедрение средств контроля безопасности и защита подключенных сервисов от неавторизованного доступа. Особое внимание уделяется вопросам безопасности носителей информации различного типа: Рекомендуется установить порядок использования сменных носителей компьютерной информации порядок контроля содержимого, хранения, уничтожения и т.

Как уже отмечалось выше, носители информации по окончании использования следует надежно и безопасно утилизировать. С целью обеспечения защиты информации от неавторизованного раскрытия или неправильного использования необходимо определить процедуры обработки и хранения информации. Эти процедуры должны быть разработаны с учетом категорирования информации, и действовать в отношении документов, вычислительных систем, сетей, переносных компьютеров, мобильных средств связи, почты, речевой почты, речевой связи вообще, мультимедийных устройств, использования факсов и любых других важных объектов, например, бланков, чеков и счетов.

Системная документация может содержать определенную важную информацию, поэтому тоже должна защищаться. Процесс обмена информацией и программным обеспечением между организациями должен быть под контролем и соответствовать действующему законодательству. В частности, должна обеспечиваться безопасность носителей информации при пересылке, определена политика использования электронной почты и электронных офисных систем. Следует уделять внимание защите целостности информации, опубликованной электронным способом, например информации на Web-сайте.

Также необходим соответствующий формализованный процесс авторизации прежде, чем такая информация будет сделана общедоступной. Следующий раздел стандарта посвящен вопросам контроля доступа. Требуется, чтобы правила контроля доступа и права каждого пользователя или группы пользователей однозначно определялись политикой безопасности. Пользователи и поставщики услуг должны быть оповещены о необходимости выполнения данных требований.

При использовании парольной аутентификации , необходимо осуществлять контроль в отношении паролей пользователей. В частности, пользователи должны подписывать документ о необходимости соблюдения полной конфиденциальности паролей. Требуется обеспечить безопасность процесса получения пароля пользователем и, если это используется, управления пользователями своими паролями принудительная смена пароля после первого входа в систему и т.

Доступ как к внутренним, так и к внешним сетевым сервисам должен быть контролируемым. Пользователям следует обеспечивать непосредственный доступ только к тем сервисам, в которых они были авторизованы. Особое внимание должно уделяться проверке подлинности удаленных пользователей. Исходя из оценки риска, важно определить требуемый уровень защиты для выбора соответствующего метода аутентификации.

Также должна контролироваться безопасность использования сетевых служб. Многие сетевые и вычислительные устройства имеют встроенные средства удаленной диагностики и управления. Меры обеспечения безопасности должны распространяться и на эти средства. В случае, когда сети используются совместно несколькими организациями, должны быть определены требования политики контроля доступа, учитывающие это обстоятельство.

Также может потребоваться внедрение дополнительных мероприятий по управлению информационной безопасностью , чтобы ограничивать возможности пользователей по подсоединению. Это относится к идентификации и аутентификации терминалов и пользователей. Рекомендуется, чтобы все пользователи имели уникальные идентификаторы, которые не должны содержать признаков уровня привилегии пользователя. Использование системных утилит должно быть ограничено и тщательным образом контролироваться.

Желательно предусматривать сигнал тревоги на случай, когда пользователь может стать объектом насилия 4 В качестве примера можно назвать пароли для входа "под принуждением". Если пользователь вводит такой пароль, система отображает процесс обычного входа пользователя, после чего имитируется сбой, чтобы нарушители не смогли получить доступ к данным. При этом необходимо определить обязанности и процедуры реагирования на сигнал такой тревоги. Терминалы, обслуживающие системы высокого риска, при размещении их в легкодоступных местах, должны отключаться после определенного периода их бездействия для предотвращения доступа неавторизованных лиц.

Также может вводиться ограничение периода времени, в течение которого разрешены подсоединения терминалов к компьютерным сервисам.

ISO/IEC (E). Предисловие. ИСО (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) образуют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ИСО или МЭК, участвуют в разработке международных стандартов посредством технических комитетов, учрежденных соответствующей организацией для того, чтобы обсуждать определенные области технической деятельности. Технические комитеты ИСО и МЭК сотрудничают в областях взаимного интереса. Национальным стандартом в области внедрения систем менеджмента информационной безопасности является новый ГОСТ Р ИСО/МЭК , идентичный международному стандарту ISO/IEC Требования стандартов призваны четко разграничить информационные ресурсы организации на открытые и конфиденциальные, обеспечив их безопасность от несанкционированного доступа и неправомерных действий. ISO/IEC Information technology — Security techniques — Information security. management systems — Requirements (IDT).  4 Íàñòîÿùèé ñòàíäàðò èäåíòè÷åí ìåæäóíàðîäíîìó ñòàíäàðòó ÈÑÎ/ÌÝÊ «Èíôîðìà-öèîííàÿ òåõíîëîãèÿ. Ìåòîäû è ñðåäñòâà îáåñïå÷åíèÿ áåçîïàñíîñòè. Ñèñòåìû ìåíåäæìåíòà èíôîðìà-öèîííîé áåçîïàñíîñòè. Òðåáîâàíèÿ» (ISO/IEC «Information technology — Security techni-ques — Information security management systems — Requirements»). Ïðè ïðèìåíåíèè íàñòîÿùåãî ñòàíäàðòà ðåêîìåíäóåòñÿ èñïîëüçîâàòü âìåñòî ññûëî÷íîãî ìåæäó-íàðîäíîãî ñòàíäàðòà ñîîòâåòñòâóþùèé åìó íàöèîíàëüíûé ñòàíäàðò Ðîññèéñêîé Ôåäåðàöèè, ñâåäåíèÿ î êîòîðîì ïðèâåäåíû â äîïîëíèòåëüíîì ïðèëîæåíèè D.

Международный стандарт ISO/IEC - | Конфидент — Мы заботимся о Вашей безопасности

Помогает выстроить грамотную стратегию судебного процесса на основе изучения и анализа уже имеющихся в базе решений по аналогичным делам. Истец, ответчик, третье лицо и т. Преимущества базы судебных решений: Ответы государственных органов на конкретные вопросы граждан и организаций по различным отраслям деятельности. Ваш практический источник применения норм права. Официальная позиция государственных органов в конкретных правовых ситуациях требующих решений.

Деньги EasyPay Деньги Mail. Подписаться на рассылку новостей и акций:. Окончание, как в запросе. Методы и средства обеспечения безопасности системы управления информационной безопасностью. Два документа рядом откл. Документ показан в сокращенном демонстрационном режиме! Получить полный доступ к документу. Для покупки документа sms доступом необходимо ознакомиться с условиями обслуживания. Я принимаю Условия обслуживания. Услуга для абонентов NEO, Tele2 временно недоступна.

Перед отправкой SMS сообщения ознакомьтесь с условиями предоставления услуги. Корреспонденты на фрагмент Поставить закладку Посмотреть закладки Добавить комментарий. Корреспонденты на фрагмент Поставить закладку Посмотреть закладки Добавить комментарий Показать изменения. Для работы в системе необходимо произвести следующие настройки: Самая полная база — более 7 документов База содержит дела: В сентябре года в силу вступила вторая часть стандарта BS Part 2 Information Security management — specification for information security management systems Спецификация системы управления информационной безопасностью.

Вторая часть BS пересматривалась в г. Большая часть документации, требуемая по ISO , уже могла быть разработана, и могла использоваться в рамках ISO Таким образом, если организация уже имеет систему менеджмента в соответствии, например, с ISO или ISO , то предпочтительно обеспечивать выполнение требования стандарта ISO в рамках уже существующих систем. Изменения коснулись как структуры стандарта, так и требований.

На русский язык данная версия стандарта еще не переведена, но английский вариант текстового содержания нового стандарта таков:. В приложении "А" количество требований контролей уменьшилось со до Организация может быть сертифицирована аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:.

Процедура сертификации системы менеджмента по любому из международных стандартов или их комбинации подразделяется на 4 этапа:. Материал из Википедии — свободной энциклопедии. Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии , проверенной 19 марта ; проверки требуют 2 правки.

ИСО/МЭК. Первое издание. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Стандарт ISO/IEC устанавливает требования к СМИБ для демонстрации способности организации защищать свои информационные. 4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК «Информа) ционная технология. Методы и средства обеспечения.

Найдено :

Случайные запросы