Все сервисы
Все сервисы
+7 (727) 222-21-01
Перейти в полную версию сайта

СТ РК 34.029-2008 «Информационная технология. Оценка и управление рисками»

СТ РК 34.029-2008

Информационная технология
Оценка и управление рисками

Содержание

 

Введение

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Основные положения

5. Процесс оценки рисков

6. Подходы к оценке рисков

Приложение А. Примеры угроз и уязвимостей

Приложение Б. Инструментальные средства и методы

Приложение. Библиография

 

 

Введение

 

Общие положения

Настоящий стандарт предназначен тем, кто участвует:

- в разработке и сопровождении Системы управления информационной безопасностью (СУИБ),

- в подготовке к сертификации СУИБ,

- в аудите СУИБ организации (аудиты первой стороны - такие, как внутренние аудиты, аудиты второй стороны, например, аудиты, выполняемые аудиторами заказчиков и аудиты третьей стороны, например, аудиты, выполняемые независимыми органами сертификации).

Важно, что результаты действий по оценке рисков используются организацией для объяснения и обоснования, в особенности в качестве важнейшей части процесса сертификации, почему были выбраны конкретные цели управления и средства управления из Приложения А, почему некоторые из них не были выбраны и (при необходимости) почему были выбраны средства управления в дополнение к тем, которые перечислены в стандарте СТ РК ИСО/МЭК 27001.

Понятие СУИБ

Система управления информационной безопасностью (СУИБ) представляет собой часть общей системы управления, основанную на оценке бизнес-рисков и предназначенную для разработки, реализации, эксплуатации, мониторинга, сопровождения и совершенствования информационной безопасности. Система управления включает в себя организационную структуру, политики, разработку планов, распределение ответственности, инструкции, процедуры, процессы и ресурсы. Область применения СУИБ может быть определена в терминах организации как целого или частей организации, охватывая важнейшие ресурсы, системы, приложения, сервисы, сети и технологии, используемые для обработки, хранения и передачи информации. При этом сама информация рассматривается в качестве ресурса. В настоящем стандарте подобная совокупность связанных с информацией элементов называется «информационной системой» или «информационными системами». В таком контексте СУИБ может охватывать:

- все информационные системы организации;

- некоторые информационные системы организации;

- отдельную информационную систему.

Область применения СУИБ, определяемая организацией, является предметом сертификации, как указано в таблице в конце данного раздела. Возможно, организации потребуется определить различные СУИБ для различных подразделений или аспектов своего бизнеса. Например, можно определить СУИБ для конкретных торговых отношений с другой компанией.

Еще одним примером может быть структуризация организацией своего бизнеса для обеспечения необходимой классификации деловых партнеров, что может быть осуществлено с помощью одной или нескольких различных СУИБ. Возможны различные сценарии, которые могут быть охвачены одной или несколькими СУИБ.

Модель ПРОК

Для того, чтобы получить доступ к документу, Вам нужно перейти по кнопке Войти и ввести логин и пароль.
Если у вас нет логина и пароля, зарегистрируйтесь.

Зарегистрироваться