ГОСТ Р ИСО МЭК 17799 (1027767)
Текст из файла
ФЕДЕРАЛЬНОЕ АГЕНТСТВОПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИИнформационная технологияПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮISO/IEC 17799:2000Information technology — Code of practice for informationsecurity management(IDT)Издание официальноеМоскваСтандартинформ2006ПредисловиеЦели и принципы стандартизации в Российской Федерации установлены Федеральным законом от27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальныхстандартов Российской Федерации — ГОСТ Р 1.0—2004 «Стандартизация в Российской Федерации.Основные положения»Сведения о стандарте1 ПОДГОТОВЛЕНФедеральнымгосударственнымучреждением«Государственныйнаучно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»)2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентствапо техническому регулированию и метрологии3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г.
№447-ст4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 17799:2000 «Информационная технология.Практические правила управления информационной безопасностью»(ISO/IEC 17799:2000 «Information technology. Code of practice for security management»)5 ВВЕДЕН ВПЕРВЫЕИнформация об изменениях к настоящему стандарту публикуется в ежегодно издаваемоминформационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра(замены) или отмены настоящего стандарта соответствующее уведомление будет опубликованов ежемесячно издаваемом информационном указателе «Национальные стандарты».
Соответствующая информация, уведомление и тексты размещаются также в информационной системе общегопользования — на официальном сайте Федерального агентства по техническому регулированию иметрологии в сети Интернет© Стандартинформ, 2006Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологииСодержание1 Область применения2 Термины и определения3 Политика безопасности3.1 Политика информационной безопасности4 Организационные вопросы безопасности4.1 Организационная инфраструктура информационной безопасности4.2 Обеспечение безопасности при наличии доступа к информационным системам стороннихорганизаций4.3 Привлечение сторонних организаций к обработке информации (аутсорсинг)5 Классификация и управление активами5.1 Учет активов5.2 Классификация информации6 Вопросы безопасности, связанные с персоналом6.1 Учет вопросов безопасности в должностных обязанностях и при найме персонала6.2 Обучение пользователей6.3 Реагирование на инциденты нарушения информационной безопасности и сбои7 Физическая защита и защита от воздействий окружающей среды7.1 Охраняемые зоны7.2 Безопасность оборудования7.3 Общие мероприятия по управлению информационной безопасностью8 Управление передачей данных и операционной деятельностью8.1 Операционные процедуры и обязанности8.2 Планирование нагрузки и приемка систем8.3 Защита от вредоносного программного обеспечения8.4 Вспомогательные операции111122577789910101111141617171920218.5 Управление сетевыми ресурсами228.6 Безопасность носителей информации238.7 Обмен информацией и программным обеспечением249 Контроль доступа289.1 Требование бизнеса по обеспечению контроля в отношении логического доступа289.2 Контроль в отношении доступа пользователей289.3 Обязанности пользователей309.4 Контроль сетевого доступа319.5 Контроль доступа к операционной системе339.6 Контроль доступа к приложениям369.7 Мониторинг доступа и использования системы369.8 Работа с переносными устройствами и работа в дистанционном режиме3810 Разработка и обслуживание систем3910.1 Требования к безопасности систем3910.2 Безопасность в прикладных системах4010.3 Меры защиты информации, связанные с использованием криптографии4210.4 Безопасность системных файлов4410.5 Безопасность в процессах разработки и поддержки4511 Управление непрерывностью бизнеса4712 Соответствие требованиям5012.1 Соответствие требованиям законодательства5012.2 Пересмотр политики безопасности и техническое соответствие требованиям безопасности .
5312.3 Меры безопасности при проведении аудита54IIIВведениеЧто такое информационная безопасность?Информация — это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищаетинформацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса,минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса.Информация может существовать в различных формах. Она может быть напечатана или написанана бумаге, храниться в электронном виде, передаваться по почте или с использованием электронныхсредств связи, демонстрироваться на пленке или быть выражена устно.
Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватнозащищена.Информационная безопасность — механизм защиты, обеспечивающий:- конфиденциальность: доступ к информации только авторизованных пользователей;- целостность: достоверность и полноту информации и методов ее обработки;- доступность: доступ к информации и связанным с ней активам авторизованных пользователей помере необходимости.Информационная безопасность достигается путем реализации соответствующего комплексамероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения.
Указанные мероприятия должны обеспечить достижение целей информационной безопасностиорганизации.Необходимость информационной безопасностиИнформация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступностьинформации могут существенно способствовать обеспечению конкурентоспособности, ликвидности,доходности, соответствия законодательству и деловой репутации организации.Организации, их информационные системы и сети все чаще сталкиваются с различными угрозамибезопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожарыили наводнения.
Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типаотказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.Зависимость от информационных систем и услуг означает, что организации становятся все болееуязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляетэффективность централизованного контроля.При проектировании многих информационных систем вопросы безопасности неучитывались, Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и,следовательно, должен сопровождаться надлежащими организационными мерами.
Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планированияи внимания к деталям.Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников организации. Также может потребоваться участие поставщиков, клиентов или акционеров. Крометого, могут потребоваться консультации специалистов сторонних организаций.Мероприятия по управлению в области информационной безопасности обойдутся значительнодешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадиипроектирования системы.Как определить требования к информационной безопасностиОрганизация должна определить свои требования к информационной безопасности с учетом следующих трех факторов.Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угрозактивам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз,а также оценка возможных последствий.IVВо-вторых, юридические, законодательные, регулирующие и договорные требования, которымдолжны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.В-третьих, специфический набор принципов, целей и требований, разработанных организацией вотношении обработки информации,Оценка рисков информационной безопасностиТребования к информационной безопасности определяются с помощью систематической оценкирисков.
Решения о расходах на мероприятия по управлению информационной безопасностью должныприниматься, исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности. Методы оценки риска могут применяться как для всей организации, так и длякакой-либо ее части, отдельных информационных систем, определенных компонентов систем илиуслуг, а именно там, где это практически выполнимо и целесообразно.Оценка риска — это систематический анализ:- вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопасности с учетом возможных последствий от потери конфиденциальности, целостности или доступностиинформации и других активов;- вероятности наступления такого нарушения с учетом существующих угроз и уязвимостей, а такжевнедренных мероприятий по управлению информационной безопасностью.Результаты этой оценки помогут в определении конкретных мер и приоритетов в области управления рисками, связанными с информационной безопасностью, а также внедрению мероприятий по управлению информационной безопасностью с целью минимизации этих рисков.Может потребоваться неоднократное проведение оценки рисков и выбора мероприятий по управлению информационной безопасностью для того, чтобы охватить различные подразделения организации или отдельные информационные системы.Важно периодически проводить анализ рисков в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью для того, чтобы учесть:- изменения требований и приоритетов бизнеса;- появление новых угроз и уязвимостей;- снижение эффективности существующих мероприятий по управлению информационной безопасностью.Уровень детализации такого анализа следует определять в зависимости от результатов предыдущих проверок и изменяющегося уровня приемлемого риска.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
