Объем 385 страниц
2023 год
Информационная безопасность. Национальные стандарты Российской Федерации
О книге
В учебном пособии рассмотрено более 300 действующих открытых документов национальной системы стандартизации Российской Федерации, включая международные и межгосударственные стандарты в области информационной безопасности по состоянию на начало 2023 года. Приведен список нормативных документов-регуляторов по защите объектов критической информационной инфраструктуры, информационных систем персональных данных, АСУ ТП.
Учебное пособие предназначено для студентов высших учебных заведений, обучающихся по специальностям в области информационной безопасности, слушателей курсов повышения квалификации по проблемам защиты информации, а также специалистов и руководителей в области разработки и эксплуатации информационно-телекоммуникационных систем и обеспечения информационной безопасности.
Рекомендовано к изданию редакционно-издательским советом федерального государственного автономного образовательного учреждения высшего образования «Самарский национальный исследовательский университет имени академика С. П. Королева» в качестве учебного пособия для студентов, обучающихся по программам высшего образования укрупненной группы специальностей и направлений подготовки 10.00.00 «Информационная безопасность».
Почему перед покупкой не указано, что нельзя будет скачать в виде файла???!!! Зачем мне ваше приложение?! Я хочу читать на телефоне или планшете без вашего участия!!!!
igorsmile2006, скачивать нельзя для того что бы не было бесплатного распространения. Я лично купил в печатном варианте.
Стандарт вводит ряд терминов в предметной области. Мера и средство контроля и управления – средство менеджмента риска, включающее в себя политики, процедуры, рекомендации, инструкции или организационные структуры, которые могут быть административного, технического, управленческого или правового характера. Политика – общее намерение и направление, официально выраженное руководством. Риск – сочетание вероятности события и его последствий. Анализ риска – систематическое использование информации для определения источников и количественной оценки риска. Обработка риска – процесс выбора и осуществления мер по модификации риска. Угроза – потенциальная причина нежелательного инцидента, результатом которого может быть нанесение ущерба системе или организации. Уязвимость – слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. Стандарт состоит из следующих разделов, посвященных мерам и средствам контроля и управления безопасностью: • политика безопасности; • организационные аспекты информационной безопасности; • менеджмент активов;
Стандарт содержит рекомендации по разработке и использованию измерений и мер измерения для оценки эффективности реализованной СМИБ, а также мер и средств контроля и управления по ИСО/МЭК 27001. Процесс измерений затрагивает политику, менеджмент риска информационной безопасности, меры и средства контроля и управления и цели их применения, процессы и процедуры, а также поддерживает процесс проверки СМИБ. Он реализуется в виде программы измерений, предназначенной для оказания помощи руководству организации в выявлении и оценивании несоответствующих требованиям и неэффективных процессов, мер, средств контроля и управления СМИБ.
• безопасность, связанная с персоналом; • физическая защита и защита от воздействия окружающей среды; • менеджмент коммуникаций и работ; • управление доступом; • приобретение, разработка и эксплуатация ИС; • менеджмент инцидентов информационной безопасности; • менеджмент непрерывности бизнеса; • соответствие.
Для внедрения и функционирования СМИБ стандарт обязывает руководство организации осуществлять следующие меры: • разработка политики СМИБ; • обеспечение разработки целей и планов СМИБ; • определение функций и ответственности в области ИБ;
и его клиентами). 6. Требования к процессу (общие требования к аудиту, время аудита, методология аудита, первоначальный аудит и сертификация, деятельность по надзору, повторная сертификация, специальные аудиты, приостановка, отмена и сокращение сферы действия сертификата, апелляции, документы заявителей). 7. Требования системы менеджмента к органам сертификации. Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 27007–2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности» введен в действие с 01.06.2015 г. Он идентичен международному стандарту ISO/IEC 27007:2011 «Information technology – Security techniques – Guidelines for information security management systems auditing». Стандарт представляет руководство по менеджменту программы аудита системы менеджмента информационной безопасности и проведению внутренних или внешних аудитов на соответствие ИСО/МЭК 27001, а также руководство по вопросу компетентности и оценки аудиторов СМИБ. В данном стандарте используются рекомендации международного стандарта ИСО 19011:2011 «Руководящие указания по аудиту систем менеджмента» (ISO 19011:2011 «Guidelines for auditing management systems»). Идентичная версия этого стандарта введена в действие в качестве национального стандарта России с 01.02.2013 г. ГОСТ Р ИСО 19011–2012 «Руководящие указания по аудиту систем менеджмента». В стандарте рассматриваются: 1. Принципы аудита. 2. Менеджмент программы аудита. 3. Проведение аудита. 4. Компетентность и оценка аудиторов. В приложении к стандарту дано практическое руководство по аудиту системы менеджмента ИБ. Оба стандарта используют нормативные ссылки на следующие стандарты: ИСО/МЭК 17021–2012 «Оценка соответствия. Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента». ГОСТ Р ИСО 19011–2012 «Руководящие указания по аудиту систем
Отзывы, 1 отзыв1