Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Розкрити суть та основні положення міжнародного стандарту із забезпечення інформаційної безпеки ISO / IEC 27001 : 2005.

Читайте также:
  1. II. ВИМОГИ БЕЗПЕКИ ПЕРЕД ПОЧАТКОМ РОБОТИ
  2. III. ВИМОГИ БЕЗПЕКИ ПІД ЧАС РОБОТИ
  3. V. ВИМОГИ БЕЗПЕКИ В АВАРІЙНИХ СИТУАЦІЯХ
  4. ВИМОГИ БЕЗПЕКИ
  5. Виникнення страхування та основні етапи його розвитку.
  6. Возможности системы менеджмента качества по стандарту серии ISO 9000
  7. Державне пенсійне забезпечення

Стандарт ISO/IEC 27001 визначає поняття інформаційної безпеки. Відповідно до нього, інформаційна безпека – це збереження конфіденційності, цілісності і доступності інформації. Крім цього, можуть бути включені і інші властивості, такі як оригінальність, неможливість відмови від авторства, достовірність”.

Конфіденційність – забезпечення доступності інформації тільки для тих, хто має відповідні повноваження (авторизовані користувачі).

Цілісність – забезпечення точності і повноти інформації, а також методів її обробки.

Доступність – забезпечення доступу до інформації авторизованим користувачам, коли це потрібно (за вимогою).

Стандарт ISO/IEC 27001 є сумісний з іншими стандартами на системи менеджменту, зокрема, з ISO 9001:2000 і ISO 14001:2004. Якщо на підприємстві вже впроваджені системи менеджменту у відповідності з даними стандартами, то бажано забезпечувати виконання вимог стандарту ISO/IEC 27001 в межах існуючих систем менеджменту.

Основні переваги, що досягаються при впровадженні стандарту ISO/IEC 27001:2005 полягають у тому, що сертифікація на відповідність стандарту дозволяє наглядно показати діловим партнерам, інвесторам і клієнтам, що на підприємстві налагоджено ефективне управління інформаційною безпекою.

 

5. Розкрити суть та основні положення міжнародних стандартів із забезпечення безпеки ISO / IEC 15408: 2002.

ISO/IEC 15408:2002 (ИСО/МЭК 15408-2002) “Загальні критерії оцінки безпеки інформаційних технологій” (Common Criteria for Information Technology Security Evaluation) – міжнародний стандарт з компютерної безпеки. Загальновідомою є його більш коротка назва “Загальні критерії” (Common Criteria, СС) або ЗК.

На відміну від стандарту FIPS 140, “Загальні критерії” (Common Criteria) не приводить переліку вимог з безпеки або переліку особливостей, яким повинна відповідати СМІБ. Замість цього, він описує інфраструктуру (framework), в якій користувачі компютерної системи можуть описати вимоги, розробники можуть заявити про властивості безпеки СМІБ, а експерти з безпеки – визначити, чи відповідає вона заявам.

Таким чином, Common Criteria дозволяє бути впевненим, що процес опису, розробки і перевірки інформаційного продукту був проведений в строгому порядку. Прообразом цього документу послужили “Критерії оцінки безпечності інформаційних технологій” (англ. Evaluation Criteria for IT Security, ECITS), робота над якими розпочалась у 1990 році.

Основні поняття.

Стандарт ISO/IEC 15408:2002 містить два основні види вимог безпеки:

1) функціональні вимоги – предявляються до функцій безпеки і до механізмів, що їх реалізує;

2) вимоги довіри – предявляються до технології і до процесу розробки та експлуатації.

Для того, щоб структурувати область вимог, в стандарті використовується ієрархія “клас – сімейство – компонент – елемент”:

- класи визначають найбільш спільну, “предметну” групу вимог;

- сімейства в межах класу відрізняються за строгістю та іншими нюансами вимог;

- компонент – це мінімальний набір вимог, що фігурує як єдине ціле;

- елемент – неподільна вимога.

Функціональні вимоги.

У відповідності з методикою виробник інформаційного продукту (СМІБ) сам визначає програмно-апаратне оточення і модель поведінки ймовірного зловмисника, який користується продуктом СМІБ. Саме в цій змодельованій ситуації і перевіряється відповідність продукту СМІБ заявленим параметрам. Якщо після сертифікації в продукті СМІБ було виявлено нові, невідомі раніше дефекти або слабкі місця, то виробник зобов΄язаний випустити поновлення для цього інформаційного продукту і провести повторну його сертифікацію. В іншому випадку сертифікат має бути відкликаний.

 


Дата добавления: 2015-08-09; просмотров: 180 | Нарушение авторских прав


Читайте в этой же книге: Складові економічної безпеки підприємства: фінансова, інтелектуальна, техніко-технологічна, політико-правова, інформаційна, екологічна. | Класифікація та зміст принципів управління персоналом. | Напрямки кадрової політики в системі забезпечення безпеки підприємства. | Класифікація та зміст принципів управління персоналом. | Поняття і типи кадрової політики організації. | Описати методи оцінки кандидатів при прийомі на роботу. | Роль та значення управління персоналом як науки. | Основні функції посадових осіб відділу персоналу. | Особливості відмінності управління персоналом та управління людськими ресурсами |
<== предыдущая страница | следующая страница ==>
Елементи кадрової політики та їх характеристика.| Види відповідальності за порушення у сфері стандартизації.

mybiblioteka.su - 2015-2024 год. (0.006 сек.)