СТ РК ISO/IEC 27040-2017
Информационные технологии
Методы обеспечения безопасности
Безопасность хранения
(ISO/IEC 27040:2015 Information technology. Security techniques. Storage security, IDT)
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Символы и сокращения
5. Обзор и концепции
6. Вспомогательные элементы управления
7. Рекомендации по разработке и внедрению системы безопасности хранения
Приложение A (информационное). Очистка медианосителей
Приложение B (информационное). Выбор надлежащих средств контроля безопасности хранения
Приложение C (информационное). Важные концепции безопасности
Библиография
Приложение В.А (информационное). Сведения о соответствии стандартов ссылочным международным, региональным стандартам, стандартам иностранных государств
Введение
Многие организации сталкиваются с проблемой внедрения мер защиты данных и обеспечения безопасности для удовлетворения широкого спектра требований, включая соблюдение установленных законом и нормативными требованиями. Слишком часто безопасность, связанная с системами хранения и инфраструктурой, была упущена из-за неправильных представлений и ограниченного ознакомления с технологией хранения или, в случае с менеджерами и администраторами хранилищ, с ограниченным пониманием присущих рисков или основных понятий безопасности. Конечным результатом этой ситуации является то, что цифровые активы без необходимости подвергаются риску компрометации из-за нарушений данных, преднамеренной коррупции, захвата заложников или других злонамеренных событий.
Хранение данных созрело в среде, где безопасность была заботой второго плана из-за ее исторической зависимости от изолированной связи, специализированных технологий и физической безопасности центров обработки данных. Даже по мере развития связи с системами хранения данных, использующих такие технологии, как протоколы хранения данных по протоколу управления передачей/Интернет-протоколу (TCP/IP), незначительное число пользователей воспользовались механизмами внутренней безопасности и рекомендованными мерами безопасности.
Настоящий стандарт содержит рекомендации по обеспечению безопасности хранения в организации, в частности, в соответствии с требованиями системы менеджмента информационной безопасности (ISMS) в соответствии с ISO/IEC 27001. Настоящий стандарт рекомендует подход к управлению рисками информационной безопасности, определенный в ISO/IEC 27005. Организация должна сама определить свой подход к управлению рисками, в зависимости, например, от сферы действия СМИБ, контекста управления рисками или отраслевого сектора. Ряд существующих методологий может использоваться в рамках, описанной в настоящем стандарте, для реализации требований СМИБ.
Настоящий стандарт относится к руководителям и сотрудникам, связанным с управлением рисками информационной безопасности в организации и, при необходимости, к внешним сторонам, поддерживающим такую деятельность.
