|
СТ РК 34.029-2008
Приложение А. Примеры угроз и уязвимостей Приложение Б. Инструментальные средства и методы
Общие положения Настоящий стандарт предназначен тем, кто участвует: - в разработке и сопровождении Системы управления информационной безопасностью (СУИБ), - в подготовке к сертификации СУИБ, - в аудите СУИБ организации (аудиты первой стороны - такие, как внутренние аудиты, аудиты второй стороны, например, аудиты, выполняемые аудиторами заказчиков и аудиты третьей стороны, например, аудиты, выполняемые независимыми органами сертификации). Важно, что результаты действий по оценке рисков используются организацией для объяснения и обоснования, в особенности в качестве важнейшей части процесса сертификации, почему были выбраны конкретные цели управления и средства управления из Приложения А, почему некоторые из них не были выбраны и (при необходимости) почему были выбраны средства управления в дополнение к тем, которые перечислены в стандарте СТ РК ИСО/МЭК 27001. Понятие СУИБ Система управления информационной безопасностью (СУИБ) представляет собой часть общей системы управления, основанную на оценке бизнес-рисков и предназначенную для разработки, реализации, эксплуатации, мониторинга, сопровождения и совершенствования информационной безопасности. Система управления включает в себя организационную структуру, политики, разработку планов, распределение ответственности, инструкции, процедуры, процессы и ресурсы. Область применения СУИБ может быть определена в терминах организации как целого или частей организации, охватывая важнейшие ресурсы, системы, приложения, сервисы, сети и технологии, используемые для обработки, хранения и передачи информации. При этом сама информация рассматривается в качестве ресурса. В настоящем стандарте подобная совокупность связанных с информацией элементов называется «информационной системой» или «информационными системами». В таком контексте СУИБ может охватывать: - все информационные системы организации; - некоторые информационные системы организации; - отдельную информационную систему. Область применения СУИБ, определяемая организацией, является предметом сертификации, как указано в таблице в конце данного раздела. Возможно, организации потребуется определить различные СУИБ для различных подразделений или аспектов своего бизнеса. Например, можно определить СУИБ для конкретных торговых отношений с другой компанией. Еще одним примером может быть структуризация организацией своего бизнеса для обеспечения необходимой классификации деловых партнеров, что может быть осуществлено с помощью одной или нескольких различных СУИБ. Возможны различные сценарии, которые могут быть охвачены одной или несколькими СУИБ. Модель ПРОК Документ показан в сокращенном демонстрационном режиме
Чтобы продолжить, выберите ниже один из вариантов оплаты
Доступ к документам и консультации
от ведущих специалистов
Вы можете купить этот документ
Как купить документ? 7500 тг
|