Файл: 4. Правовое регулирование Информационного общества в России 8.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.11.2023
Просмотров: 493
Скачиваний: 3
СОДЕРЖАНИЕ
3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016
4. Правовое регулирование Информационного общества в России
5. Правовое регулирование Информационного общества в Башкортостане
6. Основные положения формирования и развития информационного общества Окинавской Хартии
7. Европейская Конвенция по киберпреступлениям (Будапешт).
8. Конвенция об обеспечении международной информационной безопасности (Россия).
9. Основные НПА регулирующие ИБ в США
10. Оценочные стандарты и технические спецификации
11. "Оранжевая книга" - уровни доверия и классы безопасности
12. Сетевые сервисы безопасности. (Рекомендации X.800).
13. Классы функциональных требований на основе «Общих критериев»
16. «Инициатива всеобъемлющей национальной кибербезопасности» в США
17. «Международная стратегия для киберпространства» США
18. Правовые аспекты защиты ПД в Европе и США
19. Правовые аспекты защиты персональных данных в России
20. «Великая стена» информационной безопасности Китае
22. Правовое регулирование политики информационной безопасности
23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)
24. Система сертификации средств защиты информации по требованиям безопасности информации.
25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)
27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)
29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)
33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).
34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).
36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)
38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)
40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)
42. ФЗ – 63 «Об электронной подписи»
44. Правовое обеспечение сертификации в России
45. Правовое обеспечение лицензирования в России
49. Правовое регулирование защиты конфиденциальной информации в России
50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)
51. Правовое регулирование политики информационной безопасности в организации
53. Отнесение сведений к различным видам конфиденциальной информации
54. Отнесение сведений к коммерческой тайне
55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну
56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей
57. Основания и порядок рассекречивания сведений и их носителей
58. Разрешительная система доступа персонала к конфиденциальной информации
59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска
60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска
62. Основы работы с персоналом организации
63. Методы работы с персоналом
64. Мотивация деятельности персонала
65. Организация охраны предприятия, учреждения
67. Основные задачи государственной системы защиты информации.
68. Институт государственной тайны в РФ.
69. Порядок засекречивания сведений, документов и продукции в РФ.
70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.
72. Организация внутриобъектового и пропускного режима на предприятии.
73. Системы комплексной защиты объекта
74. Лицензирование в системе защиты информации.
75. Сертификация средств защиты информации.
76. Аттестация объектов информатизации в РФ
77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.
78. Методы работы с персоналом, обладающим конфиденциальной информацией.
79. Принципы, методы и средства обеспечения сохранности информации.
80. Построение комплексной системы защиты информации на предприятии.
Стандарт может являться отправной точкой для разработки рекомендаций, специфичных для конкретной организации. Не все рекомендации, мер и средства контроля и управления могут быть применены. Также может потребоваться введение дополнительных мер, не включенных в стандарт.
35. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности (ИСО/МЭК 27003).
Дата введения 2013-12-01
В стандарте рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до составления планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ, определяется проект внедрения СМИБ и представлены рекомендации по планированию проекта СМИБ, в результате которого получается окончательный план внедрения СМИБ.
Стандарт содержит рекомендации и разъяснения; в нем не указано никаких требований.
В стандарте объясняется внедрение СМИБ с подробным описанием запуска, планирования и определения проекта. Процесс планирования конечного внедрения СМИБ включает пять фаз, и каждая фаза представлена в отдельном пункте:
-
получение одобрения руководства для запуска проекта СМИБ; -
определения области действия и политики СМИБ; -
проведение анализа организации; -
проведение анализа рисков и планирование обработки рисков; -
разработка СМИБ.
Все разделы имеют одинаковую структуру.
-
Цель -
Действия, необходимые для достижения целей данной фазы. -
Исходные данные. В исходных данных представлено описание отправной точки, например, наличие документированных решений. -
Рекомендации. В рекомендациях содержится подробная информация, позволяющая выполнить данное действие. -
Выходные данные -
Дополнительная информация.
Дополнительная информация приведена в приложениях:
-
Приложение A. Описание контрольного перечня. -
Приложение B. Роли и сферы ответственности в области информационной безопасности.
Приложение C. Информация по внутреннему аудиту. Содержатся дополнительные рекомендации по планированию аудита.
-
Приложение D. Структура политики. -
Приложение E. Мониторинг и измерения.
На рисунке 1 представлены пять фаз планирования проекта СМИБ с указанием стандартов ISO/IEC и основных выходных документов.
36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)
ГОСТ Р ИСО/МЭК 27005–2010 – управление рисками ИБ Стандарт ISO/IEC 27005:2011 содержит общее руководство по управлению рисками ИБ, которое может быть использовано в различных типах организаций – коммерческих, некоммерческих, государственных и предназначено для адекватного бизнес-потребностям ОИБ на основе риск-ориентированного подхода.
ISO/IEC 27005:2011 был разработан на основе британского стандарта BS 7799, определяющего процессы оценки и управления рисками как составные элементы системы управления организации.
Настоящий стандарт поддерживает общие концепции, определенные в ИСО/МЭК 27001, и предназначен для содействия адекватного обеспечения ИБ на основе подхода, связанного с менеджментом риска. Настоящий стандарт применим для организаций всех типов (например, коммерческих предприятий, государственных учреждений, некоммерческих организаций), планирующих осуществлять менеджмент рисков, которые могут скомпрометировать информационную безопасность организации.
В стандарте упоминаются как качественные, так и количественные методы оценки рисков ИБ, но никакому из них не отдается предпочтение. Отмечается, что процесс оценки рисков ИБ сильно зависит от исходных данных и поэтому может быть итеративным (повторяющимся), если полученные результаты будут признаны неудовлетворительными. Также наглядно представлен весь процесс управления рисками ИБ и более детально рассмотрены оценка рисков ИБ, обработка рисков ИБ и остаточные риски ИБ.
Стандарт предоставляет руководство по менеджменту риска ИБ в организации, поддерживая, в частности требования к СМИБ в соответствии с ISO/IEC 27001; но не предоставляет какой-либо конкретной методологии по менеджменту риска ИБ. Предназначен для руководителей и персонала, занимающегося в организации вопросами менеджмента риска ИБ, а также, при необходимости, для внешних сторон, имеющих отношение к этому виду деятельности.
37. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27006)
Цель настоящего международного стандарта - дать возможность органам аккредитации более эффективно применять стандарты, по которым они обязаны оценивать органы сертификации.
Критерии сертификационного аудита
Аудит СМИБ организации-клиента должен осуществляться на основе критериев, содержащихся в стандарте ИСО/МЭК 27001 по СМИБ, а также в других документах, необходимых для проведения сертификации конкретных выполняемых функций.
Аудиторская группа должна официально назначаться и обеспечиваться соответствующими рабочими документами. План и дата аудита должны быть согласованы с организацией-клиентом. Полномочия, данные аудиторской группе, должны быть четко определены, доведены до организации-клиента и должны обязывать аудиторскую группу проверять структуру, политику и процедуры организации-клиента, подтверждать их [структуры, политику и процедуры] соответствие всем требованиям, относящимся к области действия сертификации, а также, что указанные процедуры выполняются и можно быть уверенным в эффективности СМИБ организации-клиента.
Органы сертификации должны обеспечить, чтобы проводимая организациями-клиентами оценка риска ИБ и обработка риска надлежащим образом отражали их деятельность и распространялись до границ их сферы деятельности, как определено в стандарте ИСО/МЭК 27001 по СМИБ.
Органы сертификации должны обеспечить, чтобы взаимодействие с услугами или видами деятельности, которые не полностью включены в сферу действия СМИБ, было учтено в сертифицируемой СМИБ и включено в оценку риска ИБ организации-клиента.
Органы сертификации должны предоставлять аудиторам достаточное время для осуществления всех действий, связанных с первоначальным аудитом, надзорным или аудитом повторной сертификации. Время должно рассчитываться на основе факторов