СТ РК ISO/IEC 27040-2017 «Информационные технологии. Методы обеспечения безопасности. Безопасность хранения»

СТ РК ISO/IEC 27040-2017

Информационные технологии
Методы обеспечения безопасности
Безопасность хранения

(ISO/IEC 27040:2015 Information technology. Security techniques. Storage security, IDT)

Содержание

Введение

1. Область применения

2. Нормативные ссылки

3. Термины и определения

4. Символы и сокращения

5. Обзор и концепции

6. Вспомогательные элементы управления

7. Рекомендации по разработке и внедрению системы безопасности хранения

Приложение A (информационное). Очистка медианосителей

Приложение B (информационное). Выбор надлежащих средств контроля безопасности хранения

Приложение C (информационное). Важные концепции безопасности

Библиография

Приложение В.А (информационное). Сведения о соответствии стандартов ссылочным международным, региональным стандартам, стандартам иностранных государств

Введение

Многие организации сталкиваются с проблемой внедрения мер защиты данных и обеспечения безопасности для удовлетворения широкого спектра требований, включая соблюдение установленных законом и нормативными требованиями. Слишком часто безопасность, связанная с системами хранения и инфраструктурой, была упущена из-за неправильных представлений и ограниченного ознакомления с технологией хранения или, в случае с менеджерами и администраторами хранилищ, с ограниченным пониманием присущих рисков или основных понятий безопасности. Конечным результатом этой ситуации является то, что цифровые активы без необходимости подвергаются риску компрометации из-за нарушений данных, преднамеренной коррупции, захвата заложников или других злонамеренных событий.

Хранение данных созрело в среде, где безопасность была заботой второго плана из-за ее исторической зависимости от изолированной связи, специализированных технологий и физической безопасности центров обработки данных. Даже по мере развития связи с системами хранения данных, использующих такие технологии, как протоколы хранения данных по протоколу управления передачей/Интернет-протоколу (TCP/IP), незначительное число пользователей воспользовались механизмами внутренней безопасности и рекомендованными мерами безопасности.

Настоящий стандарт содержит рекомендации по обеспечению безопасности хранения в организации, в частности, в соответствии с требованиями системы менеджмента информационной безопасности (ISMS) в соответствии с ISO/IEC 27001. Настоящий стандарт рекомендует подход к управлению рисками информационной безопасности, определенный в ISO/IEC 27005. Организация должна сама определить свой подход к управлению рисками, в зависимости, например, от сферы действия СМИБ, контекста управления рисками или отраслевого сектора. Ряд существующих методологий может использоваться в рамках, описанной в настоящем стандарте, для реализации требований СМИБ.

Настоящий стандарт относится к руководителям и сотрудникам, связанным с управлением рисками информационной безопасности в организации и, при необходимости, к внешним сторонам, поддерживающим такую деятельность.