ISMS

© Христо Тужаров,  

април 2009

 

СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

УПРАВЛЕНИЕ НА РИСКА

МЕТОДОЛОГИЧНА БАЗА

СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА

ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА

СТАНДАРТ ISO/IEC 27005

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА

КЛАСИФИКАЦИЯ НА ЦЕННОСТИТЕ

ОЦЕНКА НА РИСКА

ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА

 

Стандартизация на управление на риска

Актуална задача по осигуряване сигурността на информационните системи се явява разработката на международни стандарти, определящи функционалните изисквания към управление на риска.

 

 

 

 

Базов стандарт ISO/IEC 15408

Приемането на стандарта ISO/IEC 15408 “ Общи критерии за оценка сигурността на информационните технологии ” създаде предпоставки за общ подход при проектиране, изграждане, оценка (сертификация) и експлоатация на защитени информационни системи.

 

ISO/IEC 15408 определя критериите, на които трябва да съответстват защитените информационни системи и задава базата за създаване на методологии за проектиране и оценка на сигурността на информационните системи.

 

Приложни стандарти за управление на риска

 

Задача на приложните стандарти за управление на риска:

Определяне на конкретни комплекси от мерки за защита (safeguard), приложими към конкретна информационна система, в рамките на която се реализират определени бизнес процеси.

 

Стандарти:

Основна идея на стандартизацията на управление на риска

При осигуряване на информационната сигурност е важно да бъдат отчетени всички съществуващи аспекти, чрез които ще бъде гарантирано минимално (базово) ниво на сигурност, задължително за всяка типова информационна система, независимо от целите и мястото на приложението и.

 

Идеята се реализира чрез предоставяне на конкретни набори от стандартни мерки за сигурност, препоръки и средства за защита, осигуряващи предотвратяване на конкретни заплахи за типови информационни системи.

 

      Базово ниво на защита на информационна система

  • Обосновано в разумни предели ниво на защита, адекватно на нормалните изисквания за сигурност.

  • Служи като основа за осигуряване на по-високи нива на  сигурност.

  • Достига се чрез прилагане на организационни, кадрови, инфраструктурни и технически стандартни мерки за сигурност.

Стандартни мерки за сигурност – съвкупност от идентифицирани дейности за осигуряване на сигурността, явяващи се общи за група типови информационни системи.

 

      Типови информационни система

  • Използват една и съща архитектура и технологии за реализиране на разнообразни бизнес процеси;

  • Явяват се широко разпространени (не индивидуални) решения;

  • Характеризират се с обикновени изисквания към сигурността по отношение на конфиденциалност, цялостност и достъпност;

  • Притежават специфични групи активи

Активи (assets) на информационната система

В широк смисъл се разбира всичко, което представлява ценност за организацията и се явява обект на защита.

Активите включват:

  • Оборудването (физическите ресурси),

  • Информационните ресурси (бази данни, файлове, документация),

  • Програмно осигуряване (системно, приложно, ютилита, други помощни програми),

  • Сервизи и подържаща инфраструктура (организационна, кадрова, инженерно-строителна инфраструктури, енергоснабдяване, поддържане на климатически условия и т.н.).