Теория и практика защиты программ


Стандартизация вопросов управления информационной безопасностью


Анализ проблемы защиты информации в информационных системах требует, как правило, комплексного подхода, использующего общеметодологические концептуальные решения, которые позволяют определить необходимый системообразующей контекст для редуцирования общей задачи управления безопасностью ИТ к решению частных задач. Поэтому в настоящее время возрастает роль стандартов и регламентирующих материалов общеметодологического назначения.

На роль такого документа претендует, находящийся в стадии утверждения проект международного стандарта ISO/IEC DTR 13335-1,2,3 – «Информационная технология. Руководство по управлению безопасностью информационных технологий». Данный документ содержит:

·     определения важнейших понятий, непосредственно связанных с проблемой управления безопасностью ИТ;

·     определения важных архитектурных решений по созданию систем управления безопасностью ИТ (СУБ ИТ), в том числе, определение состава элементов, задач, механизмов и методов СУБ ИТ;

·     описание типового жизненного цикла и принципов функционирования СУБ ИТ;

·     описание принципов формирования политики (методики) управления безопасностью ИТ;

·     методику анализа исходных данных для построения СУБ ИТ, в частности методику идентификации и анализа состава объектов защиты, уязвимых мест информационной системы, угроз безопасности и рисков и др.;

·     методику выбора соответствующих мер защиты и оценки остаточного риска;

·     принципы построения организационного обеспечения управления в СУБ ИТ и пр.



Содержание раздела