Необходимо зарегистрироваться, чтобы получить доступ к полным текстам статей и выпусков журналов!
- Название статьи
- Методика определения активов при внедрении и сертификации СМИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2006 и СТО Газпром серии 4.2
- Авторы
- Лившиц Илья Иосифович Livshitz.il@yandex.ru, канд. техн. наук; ведущий инженер департамента проектирования, ООО «Газинформсервис», Санкт-Петербург, Россия
- В разделе
- ОБЩИЕ ВОПРОСЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И ОБЪЕКТОВ
- Ключевые слова
- информационная безопасность (ИБ) / система менеджмента информационной безопасности (СМИБ) / система обеспечения информационной безопасности (СОИБ) / объект защиты (ОЗ) / аудит / меры (средства) информационной безопасности / цикл PDCA / менеджмент рисков
- Год
- 2015 номер журнала 4 Страницы 43 - 51
- Индекс УДК
- 004.94
- Код EDN
- Код DOI
- Финансирование
- Тип статьи
- Научная статья
- Аннотация
- Рассмотрены современные проблемы при внедрении и сертификации систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями стандартов ГОСТ Р ИСО/МЭК серии 27001 и отраслевых стандартов Системы обеспечения информационной безопасности СТО Газпром серии 4.2 (СОИБ). Предложен системный подход к формированию моделей и методов выявления, идентификации и классификации угроз нарушения информационной безопасности (ИБ) для защищаемых объектов различного вида. Основное внимание обращено на сложности при совмещении требований двух различных систем стандартизации (ГОСТ Р ИСО/МЭК и СОИБ), которые могут вызвать затруднения при корректной идентификации и оценке активов для области распространения (scope), менеджменте рисков в СМИБ, а также в процессах планирования и успешного проведения сертификационного аудита. Представляется важным сконцентрировать экспертные усилия на целях формирования достоверных моделей и методов обеспечения внутреннего аудита и эффективного "мониторинга" состояния объектов, находящихся под воздействием угроз ИБ. С учетом поставленной проблемы предложена методика определения активов, которая удовлетворяет требованиям двух указанных систем стандартизации в области ИБ и позволяет обеспечить успешную сертификацию СМИБ. Дополнительно рассмотрены требования в части, касающейся управления активами в новой версии стандарта ISO 27001:2013, который пока не имеет официального перевода на русский язык.
- Полный текст статьи
- Необходимо зарегистрироваться, чтобы получить доступ к полным текстам статей и выпусков журналов!
- Список цитируемой литературы
-
ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования".
ГОСТ Р ИСО/МЭК 27005-2010 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности"
ГОСТ Р ИСО 19011-2011 "Руководящие указания по проведению аудитов систем менеджмента".
СТО Газпром 4.2-1-001-2009 Система обеспечения информационной безопасности ОАО "Газпром". Основные термины и определения.
СТО Газпром 4.2-2-002-2009 Система обеспечения информационной безопасности ОАО "Газпром". Требования к автоматизированным системам управления технологическими процессами.
СТО Газпром 4.2-3-002-2009 Требования по технической защите информации при использовании информационных технологий.
СТО Газпром 4.2-3-003-2009 Система обеспечения информационной безопасности ОАО "Газпром". Анализ и оценка рисков.
СТО Газпром 4.2-3-004-2009 Классификация объектов защиты.
СТО Газпром 4.2-3-005-2013 Управление инцидентами информационной безопасности
Лившиц И. И. Оценки соотношения количественных показателей сертификации систем менеджмента предприятий // Менеджмент качества. 2014. Вып. 2.
Лившиц И. И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и Связь. 2013. Вып. 6.
Лившиц И. И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества. 2013. Вып. 1.
Лившиц И. И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов - аэропортовых комплексов // Труды СПИИРАН. 2014. Вып. 6.
Ногин В. Д. Принятие решений при многих критериях. - Санкт-Петербург: Государственный Университет - Высшая школа экономики. 2007. - 103 с.
Янчин М. К. Управление информационными рисками на основе методологии MEHARI. Источник публикации: http://pvti.ru/data/file/bit/bit_4_2011_29.pdf (на дату обращения 19.01.2015).
ISO/IEC 27040:2015 Information technology - Security techniques - Storage security.
ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements.
ISO/IEC 27000:2014 Information technology - Security techniques - Information security management systems - Overview and vocabulary.
ISO/IEC 27004:2014 Information technology - Security techniques - Information security management - Measurement.
- Купить
