Управление информационной безопасностью Стандарты СУИБ Вадим Гребенников
1. Семейство стандартов управления информационной безопасностью
1.1. История развития стандартов управления информационной безопасностью
1.2. Стандарт ISO/IEC 27000—2014
Введение
2. Требования к суиб (стандарт ISO/IEC 27001:2013)
1. Сфера применения
4. Контекст организации
5. Лидерство
6. Планирование (1-й этап «РDСА»)
7. Поддержка
8. Эксплуатация (2-й этап «РDСА»)
9. Оценка результативности (3-й этап «РDСА»)
10. Улучшение (4-й этап «РDСА»)
3. Свод правил управления ИБ (стандарт ISO/IEC 27002:2013)
1. Политика ИБ
2. Организация ИБ
3. Безопасность, связанная с персоналом
4. Управление активами
5. Управление доступом
6. Криптография
7. Физическая и экологическая безопасность
8. Безопасность операций
9. Безопасность связи
10. Покупка, разработка и сопровождение ИС
11. Взаимоотношения с поставщиками
12. Управление инцидентами ИБ
13. Аспекты ИБ при управлении непрерывности бизнеса
14. Соответствие требованиям
4. Разработка СУИБ (стандарт ISO/IЕС 27003:2010)
1. Одобрение руководством проектирования СУИБ
2. Определение области действия, границ и политики СУИБ
2.1. Определение организационной области действия и границ
3. Проведение анализа требований к ИБ
3.2. Определение активов в рамках СУИБ
4. Проведение оценки и планирование обработки рисков
5. Разработка СУИБ
5. Управление рисками иб (стандарт ISO/IEC 27005:2010)
1. Установление контекста (сферы применения)
2. Оценка рисков ИБ
3. Обработка рисков ИБ
4. Принятие риска ИБ
5. Обмен информацией о рисках
6. Мониторинг и улучшение
6. Управление инцидентами иб (стандарт ISO/IEC 27035:2011)
Основные понятия
Цели управления инцидентами
Фазы управления инцидентами
1 фаза – планирование и подготовка
2 фаза – обнаружение и оповещение
2.1. Обнаружение события
3 фаза – оценка и принятие решения
4 фаза – реагирования
5 фаза – извлечение уроков