Политика безопасности

Политика безопасности организации (англ. organizational security policies) — совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

Политика безопасности зависит:

от конкретной технологии обработки информации;
от используемых технических и программных средств;
от расположения организации;

Методы оценки

Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии: «исследование снизу вверх» и «исследование сверху вниз».

Предполагаемый ущерб

Классификацию возможного ущерба должен оценивать владелец информации или работающий с этой информацией персонал. Оценку же вероятности атаки выполняют соответствующие технические сотрудники.

Литература

ГОСТ Р ИСО/МЭК 15408-1-2012
ГОСТ Р ИСО/МЭК 15408-2-2013
ГОСТ Р ИСО/МЭК 15408-3-2013
[1] Архивная копия от 12 июня 2006 на Wayback Machine

Похожие исследовательские статьи

Международная организация по стандартизации, ИСО — международная организация, занимающаяся выпуском стандартов.

Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные. Основная задача информационной безопасности — сбалансированная защита конфиденциальности, целостности и доступности данных, с учётом целесообразности применения и без какого-либо ущерба производительности организации. Это достигается, в основном, посредством многоэтапного процесса управления рисками, который позволяет идентифицировать основные средства и нематериальные активы, источники угроз, уязвимости, потенциальную степень воздействия и возможности управления рисками. Этот процесс сопровождается оценкой эффективности плана по управлению рисками.

Стейкхо́лдер, также заинтересованная сторона, причастная сторона, участник работ, роль в проекте — лицо или организация, имеющая права, долю, требования или интересы относительно системы или её свойств, удовлетворяющих их потребностям и ожиданиям.

Ка́чество програ́ммного обеспечения — способность программного продукта при заданных условиях удовлетворять установленным или предполагаемым потребностям.

Общие критерии оценки защищённости информационных технологий —. Общеизвестным является более короткое название Общие критерии. Международный стандарт по компьютерной безопасности. В отличие от стандарта FIPS 140, Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.

С т.з. технического регулирования сертифика́ция — это форма подтверждения соответствия объектов установленным требованиям, осуществляемая органом по сертификации.

ISO/IEC 27002 — стандарт информационной безопасности, опубликованный организациями ISO и IEC. Он называется «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». До 2007 года данный стандарт назывался ISO/IEC 17799. Стандарт разработан в 2005 году на основе версии ISO 17799, опубликованной в 2000, которая являлась полной копией Британского стандарта BS 7799-1:1999.

ISO/IEC 27000 — серия международных стандартов, включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC).

Жизненный цикл программного обеспечения (ПО) — период времени, который начинается с момента принятия решения о необходимости создания программного продукта и заканчивается в момент его полного изъятия из эксплуатации.

Стандарты информационной безопасности — это методы, обычно изложенные в опубликованных материалах, которые используются для защиты киберсреды пользователя или организации.

Международная стандартизация — стандартизация, участие в которой открыто для соответствующих органов всех стран. Под стандартизацией понимается деятельность, направленная на достижение упорядочения в определенной области посредством установления положений для всеобщего и многократного применения в отношении реально существующих и потенциальных задач. Эта деятельность проявляется в разработке, опубликовании и применении стандартов.

Международный стандарт — стандарт, принятый международной организацией. Стандартом называется документ, в котором устанавливаются характеристики продукции, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения. На практике под международными стандартами часто подразумевают также региональные стандарты и стандарты, разработанные научно-техническими обществами и принятые в качестве норм различными странами мира.
Стандарт научно-технического, инженерного общества — стандарт, принятый научно-техническим, инженерным обществом или другим общественным объединением.

Ниже приведён список буквенных обозначений различных стандартов (международных, национальных и т. д.) и других нормативно-технических документов.

AACP — NATO Allied Acquisition Practices Publications.
AAP — NATO Allied Administrative Publications.
AAR — стандарты AAR (Association of American Railroads, Ассоциация американских железных дорог).
AASTP — NATO Allied Ammunition Storage and Transport Publications.
ACI — стандарты ACI (American Concrete Institute, Американский институт бетона).
AECTP — NATO Allied Environmental Conditions and Test Publications.
AEDP — NATO Allied Engineering Documentation Publication.
AEP — NATO Allied Engineering Publication.
AFNOR — стандарты AFNOR (Association Francaise de Normalisation, Французская ассоциация стандартизации).
AGMA — стандарты AGMA (American Gear Manufactures Association, Американская ассоциация производителей оборудования).
AIA — стандарты AIA (The Aerospace Industries Association, Ассоциация авиакосмической промышленности).
AJP — NATO Allied Joint Publications.
ANSI — стандарты ANSI (American National Standards Institute, Национальный институт стандартизации США).
AOAC — стандарты AOAC International (Association of Analytical Communities, Ассоциация аналитических сообществ).
AOP — NATO Allied Ordnance Publications.
API — стандарты API (American Petroleum Institute, Американский институт нефти).
AQAP — NATO Allied Quality Assurance Publications.
ARMP — NATO Allied Reliability and Maintainability Publication.
ASCE — стандарты ASCE (American Society of Civil Engineers, Американское общество инженеров-строителей).
ASHRAE — стандарты ASHRAE (American Society of Heating, Refrigerating, and Air-Conditioning Engineers, Aмериканское общество инженеров по нагреванию, охлаждению и кондиционированию воздуха).
ASME — стандарты ASME (American Society of Mechanical Engineers, Американское общество инженеров-механиков).
ASSE — стандарты ASSE (American Society of Safety Engineers, Американское общество инженеров по технике безопасности).
ASTM — стандарты ASTM (American Society for Testing and Materials).
ASQ — стандарты ASQ (The American Society for Quality, Американская организация по качеству).
ATP — NATO Allied Tactical Publications.
ADatP — NATO Allied Data Procedure.
AWS — стандарты AWS (American Welding Society, Американское общество по сварке).
AWWA — стандарты AWWA (American water works association, Американская ассоциация водоподготовки).
BSI — стандарты BSI (British Standards Institute, Британский институт стандартов).
CAC/GL — стандарты ФАО/ВОЗ, публикации CODEX ALIMENTARIUS.
CEA — стандарты CEA (Consumer Electronics Association, Ассоциация потребителей электроники).
DIN — стандарты Немецкого института стандартизации.
EIA — стандарты EIA (Electronic Industries Alliance, Альянс электронной индустрии).
EN — европейские стандарты, принятые CEN, CENELEC или ETSI, в т. ч. Eurocode.
GEIA — стандарты GEIA (Government Electronics and Information Association, Правительственная организация по электронике и информации).
GPC — стандарты GPC (Международная система добровольной сертификации Global Proficiency Certificate, Сертификат глобальной квалификации).
IAS — стандарты IASC (International Accounting Standards Committee foundation, Комитет по Международным стандартам финансовой отчетности).
ICC — стандарты ICC (International Code Council, Международный Совет по нормам и правилам).
IEC (МЭК) — стандарты МЭК (Международная электротехническая комиссия).
IEEE — стандарты IEEE (Institute of Electrical and Electronic Engineers, Институт инженеров по электротехнике и электронике).
IFRS — стандарты IASB (International Accounting Standards Board, Совет по Международным стандартам финансовой отчётности).
IPC — стандарты IPC (Association Connecting Electonics Industries, Ассоциация по разработке электронных коммуникаций).
ISA — стандарты ISA (The Instrumentation, Systems, And Automation Society, Американское общество приборостроителей).
ISO — стандарты ISO (International Organization for Standardization, Международная организация по стандартизации).
ITU — стандарты ITU (International Telecommunication Union, Международный союз электросвязи).
JIS (JSA JIS) — стандарты JIS (Japanese Industrial Standards Committee, Японская ассоциация стандартов).
MIL — стандарты MIL, военные стандарты, утверждаемые Министерством обороны США.
NACE — стандарты NACE International (National Association of Corrosion Engineers, Национальная ассоциация специалистов по коррозии).
NEMA — стандарты NEMA (National Electrical Manufacturers Association, Национальная ассоциация производителей электроэнергии).
NFPA — стандарты NFPA (National Fire Protection Association, Национальная Ассоциация Противопожарной безопасности).
NIST — стандарты NIST (The National Institute for Standards and Technology, Национальный институт стандартов и технологий США).
OENORM — стандарты OENORM (Austrian Standards Institute, Австрийский институт по стандартизации).
RS — стандарты EIA (Electronic Industries Alliance, Альянс электронной индустрии).
SAE — стандарты SAE (Society of Automotive Engineers International, Сообщество автомобильных инженеров).
STANAG — NATO Standardization Agreements, стандартизационные соглашения НАТО.
TCO — стандарты добровольной сертификации на эргономичность и безопасность дисплеев, разработанные комитетом TCO Development, который является частью Шведской конфедерации профсоюзов.
TIA — стандарты TIA (Telecommunications Industry Associastion, Ассоциация промышленных телекоммуникаций).
UL — стандарты UL (Underwriters Laboratories Inc., Лаборатория по технике безопасности (США)).

в России/СНГ

ГОСТ — Межгосударственные стандарты (в странах — членах МГС), ранее Государственные стандарты СССР.
ГОСТ Р — национальные стандарты РФ.
- ГОСТ РВ — Государственные стандарты РФ в области обороны и военной промышленности.
ИСО — русское обозначение ISO.
МСФО — русское обозначение IAS, IFRS.
МЭК — русское обозначение IEC.
ОСТ — стандарты отрасли.
ПМГ — Правила межгосударственной стандартизации (в странах — членах МГС).
РМГ — Рекомендации по межгосударственной стандартизации (в странах — членах МГС).
СТБ — Государственные стандарты Республика Беларусь.
СТП — стандарты предприятия. С 2004 года это обозначение не действует.
СТО — стандарты научно-технических, инженерных, коммерческих и общественных организаций. Введено в действие с 2004 взамен СТП.
ТУ — Технические условия

Служба информационной безопасности — это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной организации. Служба информационной безопасности должна быть самостоятельным подразделением и подчиняться напрямую первому лицу в организации.

Оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту.

ISO 20000 — международный стандарт для управления и обслуживания IT сервисов. Данный стандарт был создан в 2005 году и заменил более ранний стандарт BS 15000, который был создан Британским институтом стандартов.

Группа реагирования на инциденты информационной безопасности (ГРИИБ), — это группа квалифицированных и доверенных членов организации, которая выполняет, координирует и поддерживает реагирование на нарушения информационной безопасности, затрагивающие информационные системы в пределах определённой зоны ответственности.

Жизненный цикл системы — это стадии процесса, охватывающие различные состояния системы, начиная с момента возникновения необходимости в такой системе и заканчивая её полным исчезновением или выводом из эксплуатации; конечное множество типовых фаз и этапов, через которые система может проходить за всю историю своей жизни.

Уровни зрелости управления — этапы развития организации в соответствии со стандартизованными моделями оценки уровня зрелости управления. Проходятся каждой организацией последовательно и определяются различными характеристиками, включающими миссию, ценности, стратегию, организационную структуру. Переходы с уровня на уровень делают организацию более конкурентоспособной.

ISO/IEC 17025 «General requirements for the competence of testing and calibration laboratories» и идентичные ему российский ГОСТ ИСО/МЭК 17025 и украинский ДСТУ ISO/IEC 17025 — стандарт менеджмента качества лабораторий и тестовых организаций. Англоязычная версия впервые принята в 1999 году. Стандарт выдвигает ряд требований, которые должны выполнять испытательные и калибровочные лаборатории, если они хотят продемонстрировать, что они технически компетентны и способны получать технически обоснованные результаты.

ISO 31000 — семейство стандартов, касающихся риск-ориентированного управления организацией.

Эта страница основана на статье Википедии.
Текст доступен на условиях лицензии CC BY-SA 4.0; могут применяться дополнительные условия.
Изображения, видео и звуки доступны по их собственным лицензиям.