вторник, 2 февраля 2010 г.

Новые стандарты ИСО в области информационной безопасности

В декабре 2009 года опубликован стандарт Международной организации по стандартизации (ИСО) ISO/IEC 27004:2009 «Информационные технологии – Методы обеспечения безопасности – Менеджмент информационной безопасности - Измерения» (Information technology - Security techniques - Information security management – Measurement).

ISO/IEC 27004:2009 содержит рекомендации по вопросам разработки и использования количественных индикаторов и измерений для оценки эффективности реализации системы менеджмента информационной безопасности (СМИБ) в целом, а также отдельных мер контроля и управления, в соответствии с положениями стандарта ISO/IEC 27001.

Также в декабре вышел в свет стандарт ISO/IEC 27033-1:2009 «Информационные технологии – Методы обеспечения безопасности – Безопасность сетей. Часть 1: Общие положения и концепции» (Information technology - Security techniques - Network security - Part 1: Overview and concepts).

В ISO/IEC 27033-1:2009 дается общее представление о сетевой безопасности, и вводятся соответствующие определения. Стандарт определяет и описывает понятия с сетевой безопасностью, и содержит указания по менеджменту сетевой безопасности (помимо безопасности информации, передаваемой по коммуникационным каналам, сетевая безопасность включает безопасность устройств и безопасность управленческой деятельности, связанной с устройствами, приложениями/сервисами и пользователями).

Стандарт представляет интерес для всех, кто владеет, эксплуатирует или использует сети. Это не только менеджеры и администраторы, в должностные обязанности которых входит обеспечение информационной и/или сетевой безопасности и сетевые операции, или же ответственные за общую программу безопасности организации и за разработку политики безопасности. Стандарт может быть полезен руководителям высшего звена, другим руководителям и пользователям из «нетехнических» подразделений, - а также тем, кто занимается планированием, разработкой и реализацией архитектурных аспектов сетевой безопасности.

ISO/IEC 27033-1:2009 также:
  • Содержит рекомендации по выявлению и анализу рисков сетевой безопасности, и по формированию на основе этого анализа требований к сетевой безопасности;
  • Описываются меры контроля, поддерживающие архитектуры технической сетевой безопасности и связанные с ними технические средства контроля, а также те технические и нетехнические меры контроля, которые применимы не только для сетей,
  • Говорит о том, как построить качественные архитектуры технической сетевой безопасности, и
  • Кратко рассматривает вопросы, связанные с реализацией и эксплуатацией средств обеспечения сетевой безопасности, и с постоянным мониторингом и анализом их функционирования.
Документ содержит обзор всей серии стандартов ISO/IEC 27033, и описывает взаимосвязи между различными стандартами серии.

Источник: сайт ИСО
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42106
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51580

Комментариев нет:

Отправить комментарий