ДСТУ ISO/IEC TR 13335-1:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій (ІТ). Частина 1. Концепції й моделі безпеки ІТ (ISO/IEC TR 13335-1:1996, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології
НАСТАНОВИ З КЕРУВАННЯ БЕЗПЕКОЮ
ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ (IT)
Частина 1. Концепції та моделі безпеки IT
(ISO/IEC TR 13335-1:1996, IDТ)

ДСТУ ISO/IEC TR 13335-1:2003

Київ
ДЕРЖСПОЖИВСТАНДАРТ УКРАЇНИ
2005

ПЕРЕДМОВА

1 ВНЕСЕНО: Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20) при Держспоживстандарті України та Міжнародний науково-навчальний центр інформаційних технологій та систем НАН України та Міністерства освіти та науки України

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Анісімов, д-р фіз.-мат. наук; В. Задірака, д-р фіз.-мат. наук; В. Курченко; Є. Осадчий, канд. техн. наук; О. Марковський, канд. техн. наук; М. Афанасенко; Н. Луцька; Т. Кальчук; В. Осадчий; Н. Осадча; В. Ткаченко; В. Чорноморець

2 НАДАНО ЧИННОСТІ: наказ Держспоживстандарту від 31 жовтня 2003 р. № 189 з 2004-10-01

3 Національний стандарт відповідає ISO/IEC TR 13335-1:1996 Information technology — Guidelin6s for the management of IT Security — Part 1: Concepts and models for IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 1. Концепції та моделі безпеки IT)

Ступінь відповідності — ідентичний (IDТ)

Переклад з англійської (еn)

4 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Структура

5 Призначеність

6 Оглядання

7 Концепції керування безпекою IT

7.1 Підхід

7.2 Цілі, стратеги і методики

8 Елементи безпеки

8.1 Активи

8.2 Загрози

8.3 Вразливості

8.4 Ураження

8.5 Ризик

8.6 Засоби захисту

8.7 Залишковий ризик

8.8 Обмеження

9 Процеси керування безпекою IT

9.1 Настроювання системи

9.2 Керування змінами

9.3 Керування ризиком

9.4 Аналізування ризику

9.5 Обліковість

9.6 Компетентність у захисті

9.7 Контролювання

9.8 Плани відновлювання після уражень

10 Моделі

11 Висновки

НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт е тотожний переклад ISO/IEC TR 13335-1:1996 Information technology — Guidelines for the management of IT Security — Part 1: Concepts and models for IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 1. Концепції та моделі безпеки IT).

Призначеність ДСТУ ISO/IEC TR 13335 — надати рекомендації, а не конкретні рішення з керівництва безпекою інформаційних технологій (IT). Кваліфікація осіб, відповідальних за безпеку IT у межах організацій, повинна бути достатньою для адаптування матеріалів, поданих у цьому стандарті, до конкретних потреб організацій.

Технічний комітет, відповідальний за ISO/IEC TR 13335-1:1996, — ISO/IEC JTC 1.

Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».

ISO/l EC TR 13335 складено з п'яти частин.

Частина 1 описує фундаментальні концепції і моделі, що їх використовують для описування процесів керування безпекою IT. Цей документ призначено для адміністраторів, відповідальних за безпеку IT, та за загальну безпеку в організації.

Частина 2 описує аспекти керування і планування. її призначено для адміністраторів, до компетенції яких належить взаємодія із системами IT організації. До них належать адміністратори IT, які відповідальні за спостереження над процесами розробляння, реалізування, випробовування, постачання або оперування системами ГГ, та адміністратори, відповідальні за отримання максимальної користі від використовування систем IT.

Частина 3 описує методи захисту і призначена для використовування тими, хто залучений до керування протягом усього життєвого циклу проекту, зокрема під час планування, проектування, реалізування, випробовування, аналізування або застосовування.

Частина 4 містить настанови щодо вибору засобів захисту та їх супровід основними моделями й елементами керування безпекою. Вона також показує, як ці засоби можуть доповнювати техніку безпеки, описану в частині 3, і як можна використовувати додаткові методи оцінювання під час вибору засобів захисту.

Частина 5 містить настанови щодо організації взаємозв'язку систем ІТ із зовнішніми мережами. Вона містить також настанови щодо вибирання і використовування засобів захисту для убезпечнювання з’єднань і послуг, що надають з’єднання і додаткові засоби захисту, які застосовують для під'єднаних систем ІТ.

Структура ДСТУ ISO/IEC TR 13335 відповідає структурі ISO/IEC TR 13335 і також буде складатися з п’яти частин, три з яких згармонізовані тепер, а саме:

ДСТУ ISO/ІЕС TR 13335-1:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 1. Концепції та моделі безпеки ІТ;

ДСТУ ISO/ІЄС TR 13335-2:2003 інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 2. Керування та планування безпеки інформаційних технологій;

ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом інформаційних технологій, а дві інші частини

ДСТУ ISO/IEC TR 13335-4 та ДСТУ ISO/IEC TR 13335-5 будуть згармонізовані в майбутньому.

До стандарту внесено такі редакційні зміни:

— слова «ця частина ISO/IEC TR 13335» замінено на слова «ця частина стандарту», а «цей звіт» — на «цей стандарт»;

— до розділу 2 «Нормативні посилання» подано «Національне пояснення», яке виділено рамкою;

— структурні елементи цього стандарту: «Обкладинку», «Передмову», «Зміст», «Національний вступ», «Бібліографічні дані», «Терміни та визначення понять» — оформлено згідно з вимогами національної стандартизації України.

Необхідно взяти до уваги, що в Україні чинний ISO 7498-2:1989 Information processing systems

— Open Systems Interconnection — Basic Reference Model — Part 2: Security Architecture (Системи обробляння інформації. Взаємодія відкритих систем. Основна еталонна модель. Частина 2. Архітектура безпеки).

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОПТ
НАСТАНОВИ З КЕРУВАННЯ БЕЗПЕКОЮ
ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ (IT)
Частина 1. Концепції та моделі безпеки IT

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
РЕКОМЕНДАЦИИ ПО УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Часть 1. Концепции и модели безопасности в ИТ

INFORMATION TECHNOLOGY
GUIDELINES FOR THE MANAGEMENT OF IT SECURITY
Part 1. Concepts and models for IT Security

Чинний від 2004-10-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт описує основні концепції керування та моделі, найсуттєвіші для введення в процеси керування безпекою IT. ЦІ концепції і моделі докладно буде розглянуто й деталізовано в решті частин для забезпечення найдокладніших Інструкцій. Разом ці частини можна використовувати для ідентифікування і керування всіма аспектами захисту в IT. Частина 1 необхідна для повного розуміння решти частин ISO/IEC TR 13335.

2 НОРМАТИВНІ ПОСИЛАННЯ

У цьому стандарті є посилання на такий стандарт:

ISO 7498-2:1989 Information processing systems - Open Systems Interconnection - Basic Reference Model - Part 2: Security Architecture.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO 7498-2:1989 Системи обробляння Інформації. Взаємозв’язок відкритих систем. Базова еталонна модель. Частина 2. Архітектура безпеки.