ДСТУ ISO/IEC TR 13335-2:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 2. Керування та планування безпеки IT (ISO/IEC TR 13335-2:1997, IDT)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

Інформаційні технології
НАСТАНОВИ З КЕРУВАННЯ БЕЗПЕКОЮ
ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ (IT)
Частина 2. Керування та планування безпеки IT
(ISO/IEC TR 13335-2:1997, IDT)

ДСТУ ISO/IEC TR 13335-2:2003

  звертайтесь
 
(ДП "УкрНДНЦ" http://uas.org.ua)

ПЕРЕДМОВА

1 ВНЕСЕНО: Технічний комітет зі стандартизації «Інформаційні технології» (ТК 20) при Держспоживстандарті України та Міжнародний науково-навчальний центр інформаційних технологій та систем НАН України та Міністерства освіти та науки України

ПЕРЕКЛАД І НАУКОВО-ТЕХНІЧНЕ РЕДАГУВАННЯ: А. Анісімов, д-р фіз.-мат. наук; О. Марковський, канд. техн. наук; Є. Осадчий, канд. техн. наук; В. Осадчий; О. Осадчий; В. Ткаченко; Т. Кальчук; В. Чорноморець; М. Афанасенко; В. Кравченко

2 НАДАНО ЧИННОСТІ: наказ Держспоживстандарту від 31 жовтня 2003 р. № 189 з 2004-10-01

3 Національний стандарт відповідає ISO/IEC TR 13335-2:1997 Information technology — Guidelines for the management of IT Security — Part 2: Managing and planning IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 2. Керування та планування безпеки ГТ)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (еn)

4 УВЕДЕНО ВПЕРШЕ

ЗМІСТ

Національний вступ

1 Сфера застосування

2 Нормативні посилання

3 Терміни та визначення понять

4 Структура

5 Призначеність

6 Оглядання

7 Керування безпекою IT

7.1 Планування і загальне оглядання процесів планування і керування

7.2 Загальне оглядання керування ризиком

7.3 Загальне оглядання застосування

7.4 Загальне оглядання механізму доопрацювання

7.5 Інтеграція захисту IT

8 Корпоративна методика безпеки IT

8.1 Цілі

8.2 Зобов'язання керівництва

8.3 Взаємозв'язки методик

8.4 Елементи корпоративної методики безпеки IT

9 Організаційні аспекти безпеки IT

9.1 Функції та обов'язки

9.2 Відповідальність

9.3 Послідовний підхід

10 Вибір стратегії корпоративного аналізування ризику

10.1 Основний підхід

10.2 Неформальний підхід

10.3 Докладне аналізування ризику

10.4 Змішаний підхід

11 Рекомендації щодо захисту IT

11.1 Вибирання засобів захисту

11.2 Врахування ризику

12 Методика захисту системи IT

13 План захисту IT

14 Впроваджування засобів захисту

15 Компетентність у захисті

16 Механізм доопрацювання

16.1 Обслуговування

16.2 Відповідність засобів захисту

16.3 Контролювання

16.4 Обробляння інцидентів

17 Висновки

НАЦІОНАЛЬНИЙ ВСТУП

Цей стандарт є тотожний переклад ISO/IEC TR 13335-2:1997 Information technology — Guidelines for the management of IT Security — Part 2: Managing and planning IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 2. Керування та планування безпеки IT).

Призначеність ДСТУ ISO/IEC TR 13335 — надати рекомендації, а не конкретні рішення з ке рування безпекою інформаційних технологій (IT). Кваліфікація осіб, відповідальних за безпеку IT у межах організацій повинна бути достатньою для адаптування матеріалів, поданих у цьому стандарті, до конкретних потреб організацій.

Технічний комітет, відповідальний за ISO/IEC TR 13335-2:1996, — ISO/IEC JTC 1.

Технічний комітет, відповідальний за цей стандарт, — ТК 20 «Інформаційні технології».

ISO/IEC TR 13335 складено з п'яти частин.

Частина 1 описує фундаментальні концепції та моделі, що їх використовують для описування процесів керування безпекою IT. Цей документ призначено для адміністраторів, відповідальних за безпеку IT та за загальну безпеку в організації.

Частина 2 описує аспекти керування і планування. Її призначено для адміністраторів, до компетенції яких належить взаємодія із системами IT організації. До них належать адміністратори IT, які відповідальні за спостереження над процесами розробляння, реалізування, випробовування, постачання або оперування системами IT, та адміністратори, відповідальні за отримання максимальної користі від використовування систем IT.

Частина 3 описує методи захисту і призначена для використовування тими, хто залучений до керування протягом усього життєвого циклу проекту, зокрема під час планування, проектування, реалізування, випробовування, аналізування або застосовування.

Частина 4 містить настанови щодо вибору засобів захисту та їх супровід основними моделями й елементами керування безпекою. Вона також показує, як ці засоби можуть доповнювати техніку безпеки, описану в частині 3, і як можна використовувати додаткові методи оцінювання під час вибору засобів захисту.

Частина 5 містить настанови щодо організації взаємозв’язку систем IT із зовнішніми мережами. Вона містить також настанови щодо вибирання і використовування засобів захисту, для убезпечнювання з’єднань і послуг, що надають з’єднання і додаткові засоби захисту, які застосовують для під’єднаних систем IT.

Структура ДСТУ ISO/IEC TR 13335 відповідає структурі ISO/IEC TR 13335 і також буде складатися з п’яти частин, три з яких згармонізовані тепер, а саме:

ДСТУ ISO/IEC TR 13335-1:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 1. Концепції та моделі безпеки IT;

ДСТУ ISO/IEC TR 13335-2:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 2. Керування та планування безпеки інформаційних техно логій;

ДСТУ ISO/IEC TR 13335-3:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 3. Методи керування захистом інформаційних технологій; а дві інші частини:

ДСТУ ISO/IEC TR 13335-4 та ДСТУ ISO/IEC TR 13335-5 будуть згармонізовані в майбутньому.

До стандарту внесено такі редакційні зміни:

— слова «ця частина ISO/IEC TR 13335» замінено на слова «ця частина стандарту», а «цей звіт» — на «цей стандарт»;

— до розділу 2 «Нормативні посилання» подано «Національне пояснення», яке виділено рамкою;

— структурні елементи цього стандарту: «Обкладинку», «Передмову», «Зміст», «Національний вступ», «Бібліографічні дані», «Терміни та визначення понять» — оформлено згідно з вимогами національної стандартизації України.

Необхідно взяти до уваги, що в Україні чинний ДСТУ ISO/IEC TR 13335-1:2003 Information technology — Guidelines for the management of IT Security — Part 1: Concepts and models for IT Security (Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 1. Концепції та моделі безпеки IT).

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
НАСТАНОВИ З КЕРУВАННЯ БЕЗПЕКОЮ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ (IT)
Частина 2. Керування та планування безпеки ІТ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
РЕКОМЕНДАЦИИ ПО УПРАВЛЕНИЮ БЕЗОПАСНОСТЬЮ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Часть 2. Управление и планирование безопасности ИТ

INFORMATION TECHNOLOGY
GUIDELINES FOR THE MANAGEMENT OF IT SECURITY
Part 2. Managing and planning IT Security

Чинний від 2004-10-01

1 СФЕРА ЗАСТОСУВАННЯ

У цьому стандарті подано рекомендації, призначені для тих, хто пов’язаний з керуванням безпекою IT, і які стосуються відносин між ними. Ці рекомендації можна використовувати для ідентифікації і керування усіма аспектами безпеки ІТ.

Для повноцінного розуміння цього стандарту необхідно ознайомитися з концепціями і моде лями, описаними в частині 1.

2 НОРМАТИВНІ ПОСИЛАННЯ

У цьому стандарті є посилання на такий стандарт:

ISO/IEC TR 13335-1:1996 Information technology — Guidelines for the management of IT Security — Part 1: Concepts and models for IT Security.

НАЦІОНАЛЬНЕ ПОЯСНЕННЯ

ISO/IEC TR 13335-1:1996 Інформаційні технології. Настанови з керування безпекою ІТ. Частина 1. Концепції та моделі безпеки ІТ.