Национальный стандарт российской федерации





 

Внимание! ГОСТ Р ИСО/МЭК 17799-2005 вводится в действие с 01.01.2007

  Текст (на сто процентов)   Текст   Оглавление   Статус   Ссылается на   Темы  




    ГОСТ Р ИСО/МЭК 17799-2005

Группа Т00

^ Государственный Эталон Русской ФЕДЕРАЦИИ

Информационная разработка ПРАКТИЧЕСКИЕ ПРАВИЛА Национальный стандарт российской федерации УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ Information technology. Code of practice for information
security management
     
     
ОКС 01.040.01

Дата введения 2007-01-01


    
Вступление
     
     Цели и принципы стандартизации в Русской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а Национальный стандарт российской федерации правила внедрения государственных эталонов Русской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Русской Федерации. Главные положения"
     
     ^ Сведения о эталоне
     
     1 ПОДГОТОВЛЕН Федеральным муниципальным учреждением "Муниципальный научно-исследовательский испытательный институт заморочек технической защиты инфы Федеральной службы Национальный стандарт российской федерации по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК Рф")
     
     2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
     
     3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию Национальный стандарт российской федерации и метрологии от 29 декабря 2005 г. N 447-ст
     
     4 Реальный эталон схож интернациональному эталону ИСО/МЭК 17799:2000 "Информационная разработка. Практические правила управления информационной безопасностью" (ISO/IEC 17799:2000 "Information technology. Code of practice for security management")
     
     5 ВВЕДЕН В Национальный стандарт российской федерации первый раз
     
     
     Информация об конфигурациях к истинному эталону публикуется в раз в год издаваемом информационном указателе "Национальные эталоны", а текст конфигураций и поправок - в каждый месяц издаваемых информационных указателях "Национальные эталоны Национальный стандарт российской федерации". В случае пересмотра (подмены) либо отмены реального эталона соответственное извещение будет размещено в каждый месяц издаваемом информационном указателе "Национальные эталоны". Соответственная информация, извещение и тексты располагаются также в информационной системе общего использования - на официальном веб Национальный стандарт российской федерации-сайте Федерального агентства по техническому регулированию и метрологии в сети Веб
     
     
Введение
     
     ^ Что такое информационная безопасность?
     
     Информация - это актив, который, подобно другим активам организации, имеет ценность и, как следует, должен быть защищен Национальный стандарт российской федерации соответствующим образом. Информационная безопасность защищает информацию от широкого спектра угроз с целью обеспечения убежденности в непрерывности бизнеса, минимизации вреда, получения наибольшей отдачи от инвестиций, также реализации возможных способностей бизнеса.
     
     Информация может Национальный стандарт российской федерации существовать в разных формах. Она может быть написана либо написана на бумаге, храниться в электрическом виде, передаваться по почте либо с внедрением электрических средств связи, демонстрироваться на пленке либо быть выражена устно Национальный стандарт российской федерации. Безотносительно формы выражения инфы, средств ее распространения либо хранения она должна всегда быть правильно защищена.
     
     Информационная безопасность - механизм защиты, обеспечивающий:
     
     - конфиденциальность: доступ к инфы только авторизованных юзеров;
     
     - целостность: достоверность и полноту Национальный стандарт российской федерации инфы и способов ее обработки;
     
     - доступность: доступ к инфы и связанным с ней активам авторизованных юзеров при необходимости.
     
     Информационная безопасность достигается методом реализации соответственного комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены Национальный стандарт российской федерации политиками, способами, процедурами, организационными структурами и функциями программного обеспечения. Обозначенные мероприятия должны обеспечить достижение целей информационной безопасности организации.
     
     ^ Необходимость информационной безопасности
     
     Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации Национальный стандарт российской федерации. Конфиденциальность, целостность и доступность инфы могут значительно содействовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.
     
     Организации, их информационные системы и сети все почаще сталкиваются с разными опасностями безопасности, такими Национальный стандарт российской федерации как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары либо наводнения. Такие источники вреда, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более всераспространенными, более брутальными и Национальный стандарт российской федерации все более утонченными.
     
     Зависимость от информационных систем и услуг значит, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего использования и личных сетей, также совместное внедрение информационных Национальный стандарт российской федерации ресурсов затрудняет управление доступом к инфы. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.
     
     При проектировании многих информационных систем вопросы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд Национальный стандарт российской федерации ограничений и, как следует, должен сопровождаться соответствующими организационными мерами. Выбор нужных мероприятий по управлению информационной безопасностью просит кропотливого планирования и внимания к деталям.
     
     Управление информационной безопасностью нуждается, как минимум, в участии всех Национальный стандарт российской федерации служащих организации. Также может потребоваться роль поставщиков, клиентов либо акционеров. Не считая того, могут потребоваться консультации профессионалов посторониих организаций.
     
     Мероприятия по управлению в области информационной безопасности обойдутся существенно дешевле и Национальный стандарт российской федерации окажутся более действенными, если будут включены в спецификацию требований на стадии проектирования системы.
     
     ^ Как найти требования к информационной безопасности
     
     Организация должна найти свои требования к информационной безопасности с учетом последующих 3-х причин.
     
     Во-первых, оценка Национальный стандарт российской федерации рисков организации. Средством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответственных активов и вероятности появления угроз, также оценка вероятных последствий.
     
     Во-вторых, юридические, законодательные, регулирующие и договорные требования Национальный стандарт российской федерации, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.
     
     В-третьих, специфичный набор принципов, целей и требований, разработанных организацией в отношении обработки инфы.
     
     ^ Оценка рисков информационной безопасности
     
     Требования к информационной безопасности Национальный стандарт российской федерации определяются при помощи периодической оценки рисков. Решения о расходах на мероприятия по управлению информационной безопасностью должны приниматься, исходя из вероятного вреда, нанесенного бизнесу в итоге нарушений информационной безопасности. Способы оценки риска могут применяться Национальный стандарт российской федерации как для всей организации, так и для какой-нибудь ее части, отдельных информационных систем, определенных компонент систем либо услуг, а конкретно там, где это фактически выполнимо и целенаправлено.
     
     Оценка риска - это периодический анализ Национальный стандарт российской федерации:
     
     - возможного вреда, наносимого бизнесу в итоге нарушений информационной безопасности с учетом вероятных последствий от утраты конфиденциальности, целостности либо доступности инфы и других активов;
     
     - вероятности пришествия такового нарушения с учетом имеющихся угроз и Национальный стандарт российской федерации уязвимостей, также внедренных мероприятий по управлению информационной безопасностью.
     
     Результаты этой оценки посодействуют в определении определенных мер и ценностей в области управления рисками, связанными с информационной безопасностью, также внедрению мероприятий по управлению информационной Национальный стандарт российской федерации безопасностью с целью минимизации этих рисков.
     
     Может потребоваться многократное проведение оценки рисков и выбора мероприятий по управлению информационной безопасностью для того, чтоб окутать разные подразделения организации либо отдельные информационные системы Национальный стандарт российской федерации.
     
     Важно временами проводить анализ рисков в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью для того, чтоб учитывать:
     
     - конфигурации требований и ценностей бизнеса;
     
     - возникновение новых угроз и уязвимостей;
     
     - понижение эффективности имеющихся Национальный стандарт российской федерации мероприятий по управлению информационной безопасностью.
     
     Уровень детализации такового анализа следует определять зависимо от результатов прошлых проверок и изменяющегося уровня применимого риска. Оценка рисков обычно проводится поначалу на верхнем уровне, при всем этом ресурсы Национальный стандарт российской федерации направляются в области большего риска, а потом на более детализированном уровне, что позволяет разглядеть специальные опасности.
     
     ^ Выбор мероприятий по управлению информационной безопасностью
     
     После того, как определены требования к информационной безопасности Национальный стандарт российской федерации, следует избрать и ввести такие мероприятия по управлению информационной безопасностью, которые обеспечат понижение рисков до применимого уровня. Эти мероприятия могут быть выбраны из реального эталона, других источников, также могут быть разработаны собственные мероприятия по Национальный стандарт российской федерации управлению информационной безопасностью, удовлетворяющие специфичным потребностям организации. Имеется огромное количество разных подходов к управлению рисками; в реальном эталоне приводятся примеры более всераспространенных способов. Но необходимо подчеркнуть, что некие из мероприятий по Национальный стандарт российской федерации управлению информационной безопасностью неприменимы к отдельным информационным системам и средам и возможно окажутся неприемлемыми для определенных организаций. К примеру, в 8.1.4 приводится описание того, как могут быть распределены должностные обязанности, чтоб предупредить ошибки Национальный стандарт российской федерации и мошенничество. В маленьких организациях возможно окажется неосуществимым разделение всех должностных обязательств; тогда для заслуги той же цели может быть нужно принятие других мероприятий по управлению информационной безопасностью. В качестве другого примера Национальный стандарт российской федерации можно привести 9.7 и 12.1 - воплощение мониторинга использования системы и сбора доказательств. Обозначенные мероприятия по управлению информационной безопасностью, такие, как регистрация событий в системе, могут вступать в конфликт с законодательством, действующим, к примеру, в отношении Национальный стандарт российской федерации защиты от вторжения в личную жизнь клиентов либо служащих.
     
     Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении цены их реализации к эффекту от понижения рисков и вероятным убыткам в Национальный стандарт российской федерации случае нарушения безопасности. Также следует принимать во внимание причины, которые не могут быть представлены в валютном выражении, к примеру, утрату репутации.
     
     Некоторые мероприятия по управлению информационной безопасностью, приведенные в реальном эталоне, могут Национальный стандарт российской федерации рассматриваться как руководящие принципы для управления информационной безопасностью и применяться для большинства организаций. Более тщательно такие мероприятия рассматриваются ниже.
     
     ^ Отправная точка для внедрения информационной безопасности
     
     Отдельные мероприятия по управлению информационной безопасностью могут рассматриваться Национальный стандарт российской федерации как руководящие принципы для управления информационной безопасностью и служить отправной точкой для ее внедрения. Такие мероприятия или основываются на главных требованиях законодательства, или рассматриваются как принятая практика в области информационной безопасности.
     
     Ключевыми Национальный стандарт российской федерации мерами контроля исходя из убеждений законодательства являются:
     
     - обеспечение конфиденциальности индивидуальных данных (12.1.4);
     
     - защита учетных данных организации (12.1.3);
     
     - права на умственную собственность (12.1.2).
     
     Мероприятия по управлению информационной безопасностью, рассматриваемые как принятая практика в области информационной безопасности Национальный стандарт российской федерации, включают:
     
     - наличие документа, описывающего политику информационной безопасности (3.1);
     
     - рассредотачивание обязательств по обеспечению информационной безопасности (4.1.3);
     
     - обучение вопросам информационной безопасности (6.2.1);
     
     - информирование об инцидентах, связанных с информационной безопасностью (6.3.1);
     
     - управление непрерывностью бизнеса (11.1).
     
     Перечисленные мероприятия применимы для большинства организаций Национальный стандарт российской федерации и информационных сред. Необходимо подчеркнуть, что, хотя все приведенные в реальном эталоне мероприятия являются необходимыми, уместность какой-нибудь меры должна определяться в свете определенных рисков, с которыми сталкивается организация. Как следует Национальный стандарт российской федерации, невзирая на то, что вышеперечисленный подход рассматривается как отправная точка для внедрения мероприятий по обеспечению информационной безопасности, он не подменяет выбор мероприятий по управлению информационной безопасностью, основанный на оценке рисков.
     
     ^ Важные причины Национальный стандарт российской федерации фуррора
     
     Практика указывает, что для удачного внедрения информационной безопасности в организации решающими являются последующие причины:
     
     - соответствие целей, политик и процедур информационной безопасности целям бизнеса;
     
     - согласованность подхода к внедрению системы безопасности с корпоративной культурой Национальный стандарт российской федерации;
     
     - видимая поддержка и заинтригованность со стороны управления;
     
     - точное осознание требований безопасности, оценка рисков и управление рисками;
     
     - обеспечение осознания необходимости внедрения мер информационной безопасности управлением и сотрудниками организации;
     
     - передача инструкций в отношении политики информационной безопасности Национальный стандарт российской федерации и соответственных эталонов всем сотрудникам и контрагентам;
     
     - обеспечение нужного обучения и подготовки;
     
     - всесторонняя и равновесная система измеряемых характеристик, применяемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению Национальный стандарт российской федерации, поступивших от исполнителей.
     
     ^ Разработка собственных руководств организации
     
     Настоящий эталон должен расцениваться как отправная точка для разработки управления под определенные нужды организации. Не все аннотации и мероприятия, приведенные в реальном эталоне, могут быть применимыми Национальный стандарт российской федерации.
     
     Более того, могут потребоваться дополнительные меры, не включенные в реальный эталон. В данном случае может быть полезным сохранение перекрестных ссылок, которые облегчат проверку соответствия, проводимую аудиторами и партнерами по бизнесу.
     
     


nacionalnaya-programma-do-praleska-ee-otlichitelnie-osobennosti.html
nacionalnaya-sistema-akkreditacii-respubliki-belarus.html
nacionalnaya-strategiya-dejstvij-v-interesah-detej-na-2012-2017-godi-utv-ukazom-prezidenta-rf-ot-1-iyunya-2012-g-n-761.html