Лабораторная работа Изучение системы отечественных стандартов информационной безопасности. ЛР_1_ОЗИТС. Гост р 509222006 Защита информации. Основные термины и понятия
Скачать 29.68 Kb.
|
ГОСТ Р 50922-2006 «Защита информации. Основные термины и понятия» История создания и развития стандарта и его связь со смежными документами. Разработан Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»). Внесён Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст. В настоящем стандарте реализованы нормы Федеральных законов от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне». Взамен ГОСТ Р 50922-96 «Защита информации. Основные термины и определения». Назначение и описание стандарта. Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации. Практика применения в России. Термины, установленные настоящим стандартом, рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе. ГОСТ Р 51188—2000 «Защита информации. Испытание программных средств на наличие компьютерных вирусов» История создания и развития стандарта и его связь со смежными документами. Разработан и внесен 27 Центральным научно-исследовательским институтом Министерства обороны Российской Федерации (27 ЦНИИ МО РФ) и Научно-консультационным центром по созданию и применению информационных технологий (НКЦ "ЦНИИКА-СПИН") Принят и введен в действие Постановлением Госстандарта России от 14 июля 1998 г. N 295. Введен впервые. Назначение и описание стандарта. Настоящий стандарт распространяется на испытания программных средств (ПС) и их компонентов, цели которых - обнаружить в этих ПС и устранить из них компьютерные вирусы (KB) силами специальных предприятий (подразделений), и устанавливает общие требования к организации и проведению таких испытаний. Требования, установленные настоящим стандартом, направлены на обеспечение специальной обработки ПС в целях выявления KB, а также на устранение последствий, вызванных возможными воздействиями KB на операционные системы, системные и пользовательские файлы с программами и данными, начальные секторы магнитных дисков, таблицы размещения файлов и др. Настоящий стандарт устанавливает типовые требования, предъявляемые к испытаниям ПС на наличие KB, в том числе: - к составу мероприятий по подготовке и проведению испытаний; - к составу, структуре и назначению основных частей программно- аппаратного стенда, обеспечивающего проведение испытаний; - к выбору и использованию методов проведения испытаний; - к тестовым (антивирусным) программам, обнаруживающим и уничтожающим KB; - к составу и содержанию документации, фиксирующей порядок проведения испытаний и их результаты. Практика применения в России. Настоящий стандарт предназначен для применения в испытательных лабораториях, проводящих сертификационные испытания ПС на выполнение требований защиты информации. ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию» История создания и развития стандарта и его связь со смежными документами. Разработан 5 ЦНИИИ МО РФ. Внесен Техническим комитетом по стандартизации «Защита информации» (ТК 362Р) Принят и введен в действие Постановлением Госстандарта России от 12 мая 1999 г. № 160.Введен впервые. Переиздание. Декабрь 2003 г. Назначение и описание стандарта. Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на защищаемую информацию, в интересах обоснования требований защиты информации на объекте информатизации. Настоящий стандарт распространяется на требования по организации защиты информации при создании и эксплуатации объектов информатизации, используемых в различных областях деятельности (обороны, экономики, науки и других областях). Практика применения в России. Положения настоящего стандарта подлежат применению на территории Российской Федерации органами государственной власти, местного самоуправления, предприятиями и учреждениями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации. ГОСТ Р 50.1.053-2005 (Р 50.1.053-2005) «Информационные технологии. Основные термины и определения в области технической защиты информации» История создания и развития стандарта и его связь со смежными документами. Разработаны Государственным научно-исследовательским испытательным институтом проблем технической защиты информации Гостехкомиссии России. Внесены Техническим комитетом по стандартизации ТК 362 "Защита информации". Утверждены и введены в действие Приказом Федерального агентства по техническому регулированию и метрологии от 6 апреля 2005 г. N 77-ст. Введены впервые. В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты: ГОСТ 1.1-2002 Межгосударственная система стандартизации. Термины и определения ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения ГОСТ 15971-90 Системы обработки информации. Термины и определения ГОСТ Р 50922-96 Защита информации. Основные термины и определения ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты Назначение и описание стандарта. Установленные в настоящих рекомендациях термины расположены в систематизированном порядке, отражающем систему понятий в области технической защиты информации при применении информационных технологий. Для каждого понятия установлен один стандартизованный термин. Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации. При этом не входящая в круглые скобки часть термина образует его краткую форму. Наличие квадратных скобок в терминологической статье означает, что в нее включены два термина, имеющие общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно с указанием номера статьи. Помета, указывающая на область применения многозначного термина, приведена в круглых скобках светлым шрифтом после термина. Помета не является частью термина. Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия. Изменения не должны нарушать объем и содержание понятий, определенных в настоящих рекомендациях. В случае, когда в термине содержатся все необходимые и достаточные признаки понятия, определение не приводится и вместо него ставится прочерк. В настоящих рекомендациях приведены эквиваленты стандартизованных терминов на английском языке. Термины и определения общетехнических понятий, необходимые для понимания текста настоящих рекомендаций, приведены в приложении А. Схема взаимосвязи стандартизованных терминов приведена в приложении Б. Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, - светлым. Настоящие рекомендации по стандартизации устанавливают термины и определения понятий в области технической защиты информации при применении информационных технологий. Практика применения в России. Термины, установленные настоящими рекомендациями по стандартизации, рекомендуются для использования во всех видах документации и литературы по вопросам технической защиты информации при применении информационных технологий, входящих в сферу работ по стандартизации и (или) использующих результаты этих работ. Настоящие рекомендации по стандартизации должны применяться совместно с ГОСТ Р 50922. ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Практические правила управления информационной безопасностью» История создания и развития стандарта и его связь со смежными документами. Подготовлен Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"). Внесен Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. N 447-ст. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 17799:2000 "Информационная технология. Практические правила управления информационной безопасностью" (ISO/IEC 17799:2000 "Information technology. Code of practice for security management"). Введен впервые. Назначение и описание стандарта. Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством. Практика применения в России. Данный стандарт применяется как рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в различных российских организациях. ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования» История создания и развития стандарта и его связь со смежными документами. Разработан Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества "Информационные технологии и коммуникационные системы" (ОАО "ИнфоТеКС"). Внесен Техническим комитетом по стандартизации ТК 26 "Криптографическая защита информации". Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 г. N 216-ст. Взамен ГОСТ Р 34.11-94 Назначение и описание стандарта. Настоящий стандарт содержит описание алгоритма и процедуры вычисления хэш-функции для любой последовательности двоичных символов, которые применяются в криптографических методах защиты информации, в том числе в процессах формирования и проверки электронной цифровой подписи. Стандарт разработан взамен ГОСТ Р 34.11-94. Необходимость разработки настоящего стандарта вызвана потребностью в создании хэш-функции, соответствующей современным требованиям к криптографической стойкости и требованиям стандарта ГОСТ Р 34.10-2012 к электронной цифровой подписи. Настоящий стандарт терминологически и концептуально увязан с международными стандартами ИСО 2382-2, ИСО/МЭК 9796, серии ИСО/МЭК 14888 и серии ИСО/МЭК 10118. Настоящий стандарт определяет алгоритм и процедуру вычисления хэш-функции для любой последовательности двоичных символов, которые применяются в криптографических методах обработки и защиты информации, в том числе для реализации процедур обеспечения целостности, аутентичности, электронной цифровой подписи (ЭЦП) при передаче, обработке и хранении информации в автоматизированных системах. Практика применения в России. Определенная в настоящем стандарте функция хэширования используется при реализации систем электронной цифровой подписи на базе асимметричного криптографического алгоритма по ГОСТ Р 34.10-2012. рекомендуется использовать при создании, эксплуатации и модернизации систем обработки информации различного назначения. ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения» История создания и развития стандарта и его связь со смежными документами. Разработан и внесен Государственным научно-исследовательским испытательным институтом проблем технической защиты информации Государственной технической комиссии при Президенте Российской Федерации, Техническим комитетом по стандартизации ТК 362 "Защита информации". Принят и введен в действие Постановлением Госстандарта России от 5 июня 2003 г. N 181-ст. Введен впервые. В настоящем стандарте использованы ссылки на следующие стандарты и классификаторы: ГОСТ 1.0-92 Межгосударственная система стандартизации. Основные положения ГОСТ 1.5-2001 Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Общие требования к построению, изложению, оформлению, содержанию и обозначению ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения ГОСТ 30335-95/ГОСТ Р 50646-94 Услуги населению. Термины и определения ГОСТ Р 1.0-92 Государственная система стандартизации Российской Федерации. Основные положения ГОСТ Р 1.2-92 Государственная система стандартизации Российской Федерации. Порядок разработки государственных стандартов ГОСТ Р 1.4-93 Государственная система стандартизации Российской Федерации. Стандарты отраслей, стандарты предприятий, стандарты научно-технических, инженерных обществ и других общественных объединений. Общие положения ГОСТ Р 1.5-2002 Государственная система стандартизации Российской Федерации. Стандарты. Общие требования к построению, изложению, оформлению, содержанию и обозначению ГОСТ Р 1.12-99 Государственная система стандартизации Российской Федерации. Стандартизация и смежные виды деятельности. Термины и определения ГОСТ Р ИСО 9000-2001 Система менеджмента качества. Основные положения и словарь ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель ГОСТ Р 50922-96 Защита информации. Основные термины и определения ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения ОК 002-93 Общероссийский классификатор услуг населению ОК 003-99 Общероссийский классификатор информации по социальной защите населения ОК 004-93 Общероссийский классификатор видов экономической деятельности, продукции и услуг ОК 005-93 Общероссийский классификатор продукции ОК 011-93 Общероссийский классификатор управленческой документации Назначение и описание стандарта. Настоящий стандарт устанавливает цель и задачи системы стандартов по защите информации, объекты стандартизации, структуру, состав и классификацию входящих в нее стандартов и правила их обозначения. Стандарт является основополагающим государственным стандартом Российской Федерации в области защиты информации. Практика применения в России. Положения настоящего стандарта являются рекомендуемыми при разработке нормативных документов по стандартизации в области защиты информации, независимо от организационно-правовой формы и формы собственности предприятия, учреждения, организации - разработчика стандарта, а также при организации работ по стандартизации в области защиты информации органами управления Российской Федерации. ГОСТ Р 53110-2008 «Система обеспечения информационной безопасности сети связи общего пользования. Общие положения» История создания и развития стандарта и его связь со смежными документами. Разработан Закрытым акционерным обществом "Компания ТрансТелеКом" (ЗАО "Компания ТТК"), Открытым акционерным обществом "Межрегиональный ТранзитТелеком" (ОАО "МТТ"), Федеральным государственным унитарным предприятием "Центральный научно-исследовательский институт связи" (ФГУП "ЦНИИС"), Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю России" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"). Внесен Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии. Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 528-ст. Введен впервые. В настоящем стандарте использованы нормативные ссылки на следующие стандарты: ГОСТ Р ИСО/МЭК 17799-2006 Информационная технология. Практические правила управления информационной безопасностью ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности Назначение и описание стандарта. Настоящий стандарт определяет правовые, организационные и технические направления обеспечения информационной безопасности сетей электросвязи, входящих в состав сети связи общего пользования. Настоящий стандарт устанавливает общий подход к: - формированию и проведению в организации связи единой политики информационной безопасности сетей электросвязи; - принятию управленческих решений по внедрению практических мер, реализующих организационные и функциональные требования безопасности; - координации деятельности структурных подразделений организации связи при проведении работ по проектированию, построению, реконструкции и эксплуатации сети электросвязи с соблюдением требований безопасности, определяемых федеральными органами исполнительной власти, уполномоченными в областях связи, обеспечения безопасности и технической защиты информации. Настоящий стандарт не конкретизирует: -номенклатуру используемых механизмов обеспечения безопасности и средств защиты; - требования по организации охраны сооружений и линий связи; - обеспечение сохранности и физической целостности средств связи; - защиту от стихийных бедствий и сбоев в системе энергоснабжения; - меры по обеспечению личной безопасности сотрудников организации связи и пользователей услугами связи. Настоящий стандарт не исключает возможности объединения процессов осуществления физической безопасности и функционирования системы обеспечения информационной безопасности организации связи в единую структуру. Практика применения в России. Настоящий стандарт распространяет положения по обеспечению безопасности сетей электросвязи, установленные ГОСТ Р 52448, на систему обеспечения информационной безопасности сети связи общего пользования, определяя ее как комплекс взаимодействующих систем обеспечения информационной безопасности сетей электросвязи, входящих в состав сети связи общего пользования. Положения настоящего стандарта подлежат применению расположенными на территории Российской Федерации организациями, предприятиями и другими субъектами хозяйственной деятельности независимо от их организационно-правовой формы и формы собственности, имеющими лицензии федерального органа исполнительной власти, уполномоченного в области связи, на предоставление услуг связи. Положения настоящего стандарта также распространяются на выделенные и технологические сети связи при их присоединении к сети связи общего пользования. ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» История создания и развития стандарта и его связь со смежными документами. Подготовлен Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода стандарта, указанного в пункте 5. Внесен Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии. Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2007 г. N 513-ст. Настоящий стандарт идентичен международному стандарту ИСО/МЭК ТО 18044:2004 "Информационные технологии. Финансовые услуги. Рекомендации по информационной безопасности" (ISO/IEC TR 18044:2004 "Information technology - Security techniques - Information security incident management"). Введен впервые. Назначение и описание стандарта. В настоящем стандарте содержатся рекомендации по менеджменту инцидентов информационной безопасности в организациях для руководителей подразделений по обеспечению информационной безопасности (ИБ) при применении информационных технологий (ИТ), информационных систем, сервисов и сетей. Положения настоящего стандарта содержат представление о менеджменте инцидентов информационной безопасности в организации с учетом сложившейся практики на международном уровне. Практика применения в России. Настоящий стандарт предназначен для использования организациями всех сфер деятельности при обеспечении информационной безопасности в процессе менеджмента инцидентов. Его положения могут использоваться совместно с другими стандартами, в том числе стандартами, содержащими требования к системе менеджмента информационной безопасности и системе менеджмента качества организации. ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения» История создания и развития стандарта и его связь со смежными документами. Разработан Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл"). Внесен Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии. Утвержден и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст. Введен впервые. Настоящий стандарт применяется совместно с ГОСТ 34.003, ГОСТ 19781, ГОСТ Р 22.0.02, ГОСТ Р 51897, ГОСТ Р 50922, ГОСТ Р 51898, ГОСТ 15 Р 52069.0, ГОСТ Р 51275, ГОСТ Р ИСО 9000, ГОСТ Р ИСО 9001, ГОСТ Р ИСО 14001, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 13335-1. Термины, приведенные в настоящем стандарте, соответствуют положениям Федерального закона Российской Федерации от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", Федерального закона Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации", Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Доктрины информационной безопасности Российской Федерации,утвержденной Президентом Российской Федерации от 9 сентября 2000 г. Пр-1895. Назначение и описание стандарта. Настоящий стандарт устанавливает основные термины, применяемые при проведении работ по стандартизации в области обеспечения информационной безопасности в организации. Практика применения в России. Термины, установленные настоящим стандартом, рекомендуется использовать в нормативных документах, правовой, технической и организационно-распорядительной документации, научной, учебной и справочной литературе. Сопоставление российских стандартов с зарубежной нормативной базой в области информационной безопасности и оценка их применимости в РФ. В Российской Федерации сейчас есть множество (более 22 тысяч) действующих стандартов. В области информационной безопасности главными стандартами на сегодняшний день можно назвать следующие: ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения. ГОСТ Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации. ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство. ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами. ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17799:2005. ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005. ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты. Зарубежная нормативная база в области информационной безопасности весьма обширна. В 1983 году Агентство компьютерной безопасности Министерства обороны США опубликовало отчет, названный TSEC (Критерии Оценки Защищенности Надежных Систем) или Оранжевая книга (по цвету переплета), где были определены 7 уровней безопасности (Al —гарантированная защита, Bl, B2, В3 — полное управление доступом, Cl, C2 — избирательное управление доступом, D — минимальная безопасность) для оценки защиты конфиденциальных данных в многопользовательских компьютерных системах. Для оценки компьютерных систем Министерства обороны США Национальный Центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и NCSC-TG-011, известные как Красная книга (по цвету переплета). В качестве ответа Агентство информационной безопасности ФРГ подготовило Green Book (Зеленая книга), где рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации как в государственном, так и в частном секторе. В 1990 году Зеленая книга была одобрена ФРГ, Великобританией, Францией и Голландией и направлена в ЕС, где на ее основе была подготовлена ITSEC (Критерии Оценки Защищенности Информационных Технологий) или Белая книга как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем, имеющий две схемы оценки: по эффективности (от Е1 до Е6) и по функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передача данных).Среди множества международных стандартов в области информационной безопасности можно выделить следующие: BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации. BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности ISO/IEC 17799:2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005. ISO/IEC 27000 — Словарь и определения. ISO/IEC 27001 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799-2:2005. ISO/IEC 27002 — Сейчас: ISO/IEC 17799:2005. «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Дата выхода — 2007 год. ISO/IEC 27005 — Сейчас: BS 7799-3:2006 — Руководство по менеджменту рисков ИБ. German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий). Список использованной литературы: http://www.iso27000.ru/standarty/ https://www.altell.ru/legislation/standards/ http://docs.cntd.ru/document/ |