Please enable JavaScript.
Coggle requires JavaScript to display documents.
Базові поняття управління інформаційною безпекою на базі міжнародних…
Базові поняття управління інформаційною безпекою на базі міжнародних стандартів на прикладі ISO 27001
Стасенко Іван КБ-22
-
Структура стандарта
-
-
-
-
-
-
- Оцінювання результативності
-
-
- Терміни та визначення понять
-
Історія
Щодо історичного походження, стандарт ISO 27001 базується на британському стандарті BS 7799, який був розроблений в 1995 році. BS 7799 був першим стандартом, що визначав вимоги до систем управління інформаційною безпекою. У 2005 році цей стандарт був прийнятий як міжнародний стандарт ISO 27001. З того часу він пройшов кілька оновлень і став одним із найважливіших стандартів у галузі інформаційної безпеки для різних організацій у всьому світі.
Ризик інформаційної безпеки: Ймовірність виникнення загроз та величина можливих наслідків для інформаційної безпеки.
Контекст організації: Зовнішні та внутрішні фактори, які можуть впливати на інформаційну безпеку організації.
Система управління інформаційною безпекою (СУІБ): Сукупність політик, процедур, практик та структур, які забезпечують управління інформаційною безпекою в організації.
Політика інформаційної безпеки: Заява вищого керівництва щодо підходу та зобов'язань організації з питань інформаційної безпеки.
Інформаційна безпека: Забезпечення конфіденційності, цілісності та доступності інформації, а також захист від несанкціонованого доступу, руйнування, модифікації чи розголошення.
Область застосування: Межі та обсяг СУІБ, які визначають, які інформаційні активи та процеси включаються у систему управління.
Інцидент інформаційної безпеки: Небажана подія або ситуація, яка може вплинути на інформаційну безпеку.
Аудит інформаційної безпеки: Систематичний, незалежний та документований процес оцінки ефективності системи управління інформаційною безпекою.
-
-
-
Профіль захисту
Задачі захисту: Цей розділ визначає ключові цілі та завдання забезпечення безпеки об'єкта оцінювання. Задачі можуть включати в себе запобігання несанкціонованому доступу, збереження конфіденційності даних, та забезпечення надійності та доступності системи.
Опис об'єкта оцінювання: В цьому розділі профілю захисту визначається об'єкт, який піддається оцінюванню з точки зору безпеки. Це може бути інформаційна система, мережа, програмний продукт або будь-який інший об'єкт із важливими аспектами безпеки.
Вимоги безпеки: У цьому розділі формулюються конкретні вимоги безпеки, які повинні бути виконані об'єктом оцінювання. Це може включати технічні вимоги, політики безпеки, вимоги до аудиту безпеки та інші аспекти.
Вступ: Описує аспекти безпеки об'єкта чи системи. Він визначає засоби та заходи, необхідні для забезпечення безпеки, а також визначає середовище експлуатації та вимоги безпеки.
Обґрунтування: Розділ обґрунтування надає раціональне визначення вибору конкретних заходів безпеки, вимог та стратегій. Він пояснює, як ці заходи сприяють досягненню задач захисту та виконанню вимог безпеки, враховуючи контекст та середовище експлуатації.
Середовище експлуатації: У цьому розділі надається опис середовища, в якому працює об'єкт. Визначаються основні параметри, зокрема фізичне оточення, технічні характеристики та взаємодія з іншими системами.
-
-