Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Разработка документов по информационной безопасности Разработка набора параметров и критериев
Protectiva Compliance Manager

Разработка набора параметров и критериев

Операции с документом
Вверх к Разработка документов по информационной безопасности

Разработка набора параметров и критериев

Послано Intel в 15.Июль.2013 15:28

Всем доброго времени суток! Получили мне разработку набора параметров и критериев оценки соблюдения политики обеспечения безопасности информации. Не являясь большим спецом в этой области прошу совета по данному вопросу. Может есть где образец или стандартизированный список этих параметров и критериев. Спасибо.

Re: Разработка набора параметров и критериев

Послано Александр Астахов в 15.Июль.2013 16:18

Для общей оценки состояния дел с обеспечением ИБ в организации подойдет международный стандарт ISO 27001. Приложение А к данному стандарту содержит общий перечень всех основных областей, целей и механизмов контроля ИБ. Эту таблицу обычно используют в качестве опросника. ISO 27002 дает детализацию по каждому механизму контроля.

Если идти дальше и оценивать не просто наличие, отсутствие или частичную реализацию тех или иных механизмов контроля ИБ, а по каждому механизму контроля разрабатывать метрики для оценки эффективности его реализации, то соответствующая методология содержится в стандарте ISO 27004.

Если идти еще дальше и анализировать защищенность информационных активов на сугубо техническом уровне, оценивая настройки СЗИ, приложений и оборудования по чеклистам и при помощи автоматизированных средств контроля защищенности, то для этого надо иметь очень высокую техническую квалификацию, а наиболее авторитетным источником чеклистов являются NIST security configuration checklists.

Re: Разработка набора параметров и критериев

Послано Intel в 15.Июль.2013 17:33

Посмотрел бегло, но в явном виде не увидел ни критериев ни набора параметров. Там все применительно к разработке политике а мне нужно наоборот 

Re: Разработка набора параметров и критериев

Послано Александр Астахов в 15.Июль.2013 18:40

Нет универсальной политики ИБ. Если ваша организация разработала для себя политику ИБ или набор политик, то эти политики должны устанавливать конкретные требования. Выполнение этих требований и должно оцениваться. Требование может быть выполнено полностью или частично, либо вообще не выполнено. Степень выполнения требования можно оценивать в процентах. Дополнительно каждому требованию в зависимости от его важности можно присваивать поправочный коэффициент, а затем вычислять общую степень соответствия как среднее арифметическое степени соответствия по всем требованиям. Посмотрите, в качестве примера, методики Банка России по оценке соответствия СТО БР ИББС или 382-П.

Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex