ДСТУ ISO
Цей стандарт містить методичні вказівки щодо планування та управління безпекою інформаційних технологій на підприємстві. Він охоплює питання корпоративної політики безпеки, організаційні аспекти та стратегії оцінювання ризиків для захисту критичних даних.
Оберіть одну з чотирьох стратегій аналізу ризиків (основну, неформальну, докладну або змішану) залежно від бізнес-потреб. Розробіть корпоративну методику безпеки IT із чітким розподілом обов'язків та відповідальності персоналу.
Download document
.docx format · available to registered users
1 ВНЕСЕНО: Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20) при Держ-
споживстандарті України та Міжнародний науково-навчальний центр інформаційних технологій
та систем НАН України та Міністерства освіти та науки України
ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Анісімов, д-р фіз.-мат. наук; О. Марковсь-кий, канд. техн. наук; Є. Осадчий, канд. техн. наук; В. Осадчий; О. Осадчий; В. Ткаченко; Т. Кальчук; В. Чорноморець; М. Афанасенко; В. Кравченко
НАДАНО ЧИННОСТІ: наказ Держспоживстандарту від 31 жовтня 2003 р. № 189 з 2004-10-01
Національний стандарт відповідає ISO/IEC TR 13335-2:1997 Information technology — Guidelines
for the management of IT Security — Part 2: Managing and planning IT Security (Інформаційні тех
нології. Настанови з керування безпекою інформаційних технологій (IT). Частина 2. Керування та
планування безпеки IT)
Ступінь відповідності — ідентичний (IDT) Переклад з англійської (en)
Національний вступ
Сфера застосування
Нормативні посилання
Терміни та визначення понять
Структура
Призначеність
Оглядання
Керування безпекою IT
Планування і загальне оглядання процесів планування і керування
Загальне оглядання керування ризиком
Загальне оглядання застосування
Загальне оглядання механізму доопрацювання
Інтеграція захисту IT
8 Корпоративна методика безпеки IT
Цілі
Зобов'язання керівництва
Взаємозв'язки методик
Елементи корпоративної методики безпеки IT
9 Організаційні аспекти безпеки IT
Функції та обов'язки
Відповідальність
Послідовний підхід
10 Вибір стратегії корпоративного аналізування ризику
Основний підхід
Неформальний підхід
Докладне аналізування ризику
Змішаний підхід
11 Рекомендації щодо захисту IT
Вибирання засобів захисту
Врахування ризику
Методика захисту системи IT
План захисту IT
Впроваджування засобів захисту
Компетентність у захисті
Механізм доопрацювання
Обслуговування
Відповідність засобів захисту
Контролювання
Обробляння інцидентів
17 Висновки
Цей стандарт є тотожний переклад ISO/IEC TR 13335-2:1997 Information technology — Guidelines for the management of IT Security — Part 2: Managing and planning IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 2. Керування та планування безпеки IT).
Призначеність ДСТУ ISO/IEC TR 13335 — надати рекомендації, а не конкретні рішення з керування безпекою інформаційних технологій (IT). Кваліфікація осіб, відповідальних за безпеку IT у межах організацій повинна бути достатньою для адаптування матеріалів, поданих у цьому стандарті, до конкретних потреб організацій.
Технічний комітет, відповідальний за ISO/IEC TR 13335-2:1996, — ISO/IEC JTC 1.
Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».
ISO/IEC TR 13335 складено з п'яти частин.
Частина 1 описує фундаментальні концепції та моделі, що їх використовують для описування процесів керування безпекою IT. Цей документ призначено для адміністраторів, відповідальних за безпеку IT та за загальну безпеку в організації.
Частина 2 описує аспекти керування і планування, її призначено для адміністраторів, до компетенції яких належить взаємодія із системами IT організації. До них належать адміністратори IT, які відповідальні за спостереження над процесами розробляння, реалізування, випробовування, постачання або оперування системами IT, та адміністратори, відповідальні за отримання максимальної користі від використовування систем IT.
Частина 3 описує методи захисту і призначена для використовування тими, хто залучений до керування протягом усього життєвого циклу проекту, зокрема під час планування, проектування, реалізування, випробовування, аналізування або застосовування.
Частина 4 містить настанови щодо вибору засобів захисту та їх супровід основними моделями й елементами керування безпекою. Вона також показує, як ці засоби можуть доповнювати техніку безпеки, описану в частині 3, і як можна використовувати додаткові методи оцінювання під час вибору засобів захисту.
Частина 5 містить настанови щодо організації взаємозв'язку систем IT із зовнішніми мережами. Вона містить також настанови щодо вибирання і використовування засобів захисту, для убез-печнювання з'єднань і послуг, що надають з'єднання і додаткові засоби захисту, які застосовують для під'єднаних систем IT.
Структура ДСТУ ISO/IEC TR 13335 відповідає структурі ISO/IEC TR 13335 і також буде складатися з п'яти частин, три з яких згармонізовані тепер, а саме:
ДСТУ ISO/IEC TR 13335-1:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 1. Концепції та моделі безпеки IT;
ДСТУ ISO/IEC TR 13335-2:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 2. Керування та планування безпеки інформаційних технологій;
ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом інформаційних технологій; а дві інші частини:
ДСТУ ISO/IEC TR 13335-4 та ДСТУ ISO/IEC TR 13335-5 будуть згармонізовані в майбутньому.
До стандарту внесено такі редакційні зміни:
слова «ця частина ISO/IEC TR 13335» замінено на слова «ця частина стандарту», а «цей
звіт» — на «цей стандарт»;
до розділу 2 «Нормативні посилання» подано «Національне пояснення», яке виділено
рамкою;
структурні елементи цього стандарту: «Обкладинку», «Передмову», «Зміст», «Національ
ний вступ», «Бібліографічні дані», «Терміни та визначення понять» — оформлено згідно з вимо
гами національної стандартизації України.
Необхідно взяти до уваги, що в Україні чинний ДСТУ ISO/IEC TR 13335-1:2003 Information technology — Guidelines for the management of IT Security — Part 1: Concepts and models for IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 1. Концепції та моделі безпеки IT).
Інформаційні технології.
Настанови з керування безпекою інформаційних технологій (IT).
Керування та планування безпеки IT
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ Часть 2. Управление и планирование безопасности ИТ
Part 2. Managing and planning IT Security
Чинний від 2004-10-01
У цьому стандарті подано рекомендації, призначені для тих, хто пов'язаний з керуванням безпекою IT, і які стосуються відносин між ними. Ці рекомендації можна використовувати для ідентифікації і керування усіма аспектами безпеки IT.
Для повноцінного розуміння цього стандарту необхідно ознайомитися з концепціями і моделями, описаними в частині 1.
У цьому стандарті є посилання на такий стандарт:
ISO/IEC TR 13335-1:1996 Information technology — Guidelines for the management of IT Security — Part 1 :Concepts and models for IT Security.
ISO/IEC TR 13335-1:1996 Інформаційні технології. Настанови з керування безпекою IT. Частина 1. Концепції та моделі безпеки IT.
У цьому стандарті використано терміни і визначення, які наведено в ISO/IEC TR 13335-1. Зокрема такі: обліковість, активи, достовірність, доступність, базові засоби керування, конфіденційність, цілісність даних, ураження, цілісність, захист в інформаційних технологіях, стратегія захисту в інформаційних технологіях, надійність, залишковий ризик, ризик, аналіз ризику, керування ризиком, засоби захисту, цілісність системи, загроза, уразливість.
Цей стандарт складається з 17 розділів. Розділи 5 і 6 подають інформацію про цілі та основні засади цього документа. Розділ 7 подає загальний огляд різних дій для успішного керування безпекою IT. Розділи з 8 по 16 конкретизують ці дії. У розділі 17 подано висновки.
Призначеність цього стандарту — описати різні дії, пов'язані з керуванням і плануванням безпеки IT, і розподіл обов'язків персоналу в організації. Стандарт призначено для персоналу IT, який відповідає за впровадження, експлуатацію, застосування системи безпеки IT і ефективність використовування систем IT. Цей стандарт буде корисний усім, хто виконує службові обов'язки стосовно інформаційно-технологічних систем організацій.
Організації від урядових до комерційних накопичують інформацію, яка відображає їхню діяльність. Втрата конфіденційності, цілісності, доступності, обліковості, достовірності і надійності інформації може шкодити роботі організацій. Отже, захист інформації і керування безпекою систем IT в організаціях є найголовнішими потребами. Необхідність захисту інформації є особливо актуальною, тому що багато організацій мають внутрішні й зовнішні мережні з'єднання систем IT.
Керування безпекою систем IT — це процес досягнення і забезпечення необхідних рівнів конфіденційності, цілісності, доступності, обліковості, достовірності й надійності. До функцій керування безпекою систем IT належать:
визначання цілей, стратегій і методик під час організовування захисту IT;
визначання необхідних умов організовування захисту IT;
ідентифікування й аналізування загроз безпеки для всіх активів IT в організації;
ідентифікування й аналізування ризиків;
визначання відповідних засобів захисту;
контролювання за застосовуванням і функціюванням засобів захисту, що є необхідними
для ефективного захисту інформації і нормальної діяльності організації;
розробляння і реалізування програми компетентності в захисті;
виявляння інцидентів і реагування на них.
Для повноцінного реалізування цих функцій керування безпекою в системах IT захист має бути невід'ємною частиною загального плану керування організацією. Тому деякі описані в цьому стандарті положення захисту є більш значущі для керування. Завдання стандарту — зосереджуватись не на різноманітних схемах керування, а швидше — на конкретних аспектах захисту та їх зв'язку з керуванням IT у цілому.
7.1 Планування і загальне оглядання процесів планування і керування
Планування
