Ленты новостей RSS
Главные новости Главные новости
Новости законодательства Новости законодательства
Лента новостей Лента новостей
Судебная практика Судебная практика
Обзор законодательства Обзор законодательства
Письма Минфина Письма Минфина
Обзор изменений Обзор изменений
Используйте наши ленты новостей и Вы всегда будете в курсе событий. Достаточно установить любое RSS расширение для браузера, например RSS Feed Reader
Если что-то не нашли
Присоединяйтесь!
Зарегистрированных пользователей портала: 504 750. Присоединяйтесь к нам, зарегистрироваться очень просто →
x
Документ отменен / утратил силу
Документ отменен или утратил силу. Подробная информация приводится в примечаниях к документу.
Оглавление

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Предисловие

Сведения о стандарте

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Структура

5 Цель

6 Способы управления безопасностью информационных технологий

7 Цели, стратегия и политика безопасности информационных технологий

7.1 Цели и стратегия безопасности информационных технологий

7.2 Политика безопасности информационных технологий

8 Основные варианты стратегии анализа риска организации

8.1 Базовый подход

8.2 Неформальный подход

8.3 Детальный анализ риска

8.4 Комбинированный подход

9 Комбинированный подход

9.1 Анализ высокого уровня риска

9.2 Базовый подход

9.3 Детальный анализ риска

9.3.1 Установление границ рассмотрения
9.3.2 Идентификация активов
9.3.3 Оценка активов и установление зависимости между активами
9.3.4 Оценка угроз
9.3.5 Оценка уязвимости
9.3.6 Идентификация существующих/планируемых защитных мер
9.3.7 Оценка рисков

9.4 Выбор защитных мер

9.4.1 Определение защитных мер
9.4.2 Структура безопасности информационных технологий
9.4.3 Идентификация и анализ ограничений

9.5 Приемлемость рисков

9.6 Политика безопасности систем информационных технологий

9.7 План безопасности информационных технологий

10 Выполнение плана информационной безопасности

10.1 Осуществление мер защиты

10.2 Компетентность в вопросах безопасности

10.2.1 Анализ потребности в знаниях
10.2.2 Представление программы
10.2.3 Контроль программы обеспечения компетентности в вопросах безопасности

10.3 Обучение персонала информационной безопасности

10.4 Процесс одобрения информационных систем

11 Последующее сопровождение системы

11.1 Обслуживание

11.2 Проверка соответствия безопасности

11.3 Управление изменениями

11.4 Мониторинг

11.5 Обработка инцидентов

12 Резюме

ПРИЛОЖЕНИЯ

ПРИЛОЖЕНИЕ А. ПРИМЕРНЫЙ ПЕРЕЧЕНЬ ВОПРОСОВ, ВХОДЯЩИХ В СОСТАВ ПОЛИТИКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ОРГАНИЗАЦИИ

ПРИЛОЖЕНИЕ В. ОЦЕНКА АКТИВОВ

ПРИЛОЖЕНИЕ С. ПЕРЕЧЕНЬ ТИПИЧНЫХ ВИДОВ УГРОЗ

ПРИЛОЖЕНИЕ D. ПРИМЕРЫ ОБЩИХ УЯЗВИМОСТЕЙ

1 Среда и инфраструктура

2 Аппаратное обеспечение

3 Программное обеспечение

4 Коммуникации

5 Документы

6 Персонал

7 Общие уязвимые места

ПРИЛОЖЕНИЕ Е. ТИПОЛОГИЯ МЕТОДОВ АНАЛИЗА РИСКА

ПРИЛОЖЕНИЕ F. СВЕДЕНИЯ О СООТВЕТСТВИИ НАЦИОНАЛЬНЫХ СТАНДАРТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ ССЫЛОЧНЫМ МЕЖДУНАРОДНЫМ СТАНДАРТАМ

    

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

Информационная технология

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

Часть 3

 

Методы менеджмента безопасности информационных технологий

 

Information technology. Security techniques. Part 3. Techniques for the management of information technology security

 

ГОСТ Р ИСО/МЭК ТО 13335-3-2007

 

Дата введения 2007-09-01

 

Предисловие

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
 

Сведения о стандарте

 
    1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России), Банком России, обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода стандарта, указанного в пункте 4
    2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"
    3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 7 июня 2007 г. N 122-ст
    4 Настоящий стандарт идентичен международному отчету ИСО/МЭК ТО 13335-3:1998 "Информационная технология. Рекомендации по менеджменту безопасности информационных технологий. Часть 3. Методы менеджмента безопасности информационных технологий" (ISO/IECTR 13335-3:1998 "Information technology - Guidelines for the management of information technology security - Part 3: Techniques for the management of information technology security").