Стандартизация вопросов управления информационной безопасностью

Стандартизация вопросов управления информационной безопасностью

Анализ проблемы защиты информации в информационных системах требует, как правило, комплексного подхода, использующего общеметодологические концептуальные решения, которые позволяют определить необходимый системообразующей контекст для редуцирования общей задачи управления безопасностью ИТ к решению частных задач. Поэтому в настоящее время возрастает роль стандартов и регламентирующих материалов общеметодологического назначения.

На роль такого документа претендует, находящийся в стадии утверждения проект международного стандарта ISO/IEC DTR 13335-1,2,3 - "Информационная технология. Руководство по управлению безопасностью информационных технологий". Данный документ содержит:

  • определения важнейших понятий, непосредственно связанных с проблемой управления безопасностью ИТ; - определение важных архитектурных решений по созданию систем управления безопасностью ИТ (СУБ ИТ), в том числе, определение состава элементов, задач, механизмов и методов СУБ ИТ;
  • описание типового жизненного цикла и принципов функционирования СУБ ИТ;
  • описание принципов формирования политики (методики) управления безопасностью ИТ;
  • методику анализа исходных данных для построения СУБ ИТ, в частности методику идентификации и анализа состава объектов защиты, уязвимых мест информационной системы, угроз безопасности и рисков и др.;
  • методику выбора соответствующих мер защиты и оценки остаточного риска;
  • принципы построения организационного обеспечения управления в СУБ ИТ и пр.

Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок