Jump to content

Стандарт передовой практики информационной безопасности

    Add links
    Стандарт надлежащей практики 2011 г.

    Стандарт передовой практики информационной безопасности ( SOGP ), опубликованный Форумом информационной безопасности (ISF), представляет собой ориентированное на бизнес, практическое и всеобъемлющее руководство по выявлению и управлению рисками информационной безопасности в организациях и их цепочках поставок. [1]

    Самая последняя версия — 2022 г., являющаяся обновлением версии 2020 г.

    После выпуска Стандарт 2011 года стал самым значительным обновлением стандарта за четыре года. Он охватывает «горячие темы» информационной безопасности, такие как потребительские устройства, критическая инфраструктура, атаки киберпреступников, офисное оборудование, электронные таблицы и базы данных, а также облачные вычисления.

    Стандарт 2011 года соответствует требованиям к системе управления информационной безопасностью (СУИБ), изложенным в стандартах серии ISO/IEC 27000 , и обеспечивает более широкий и глубокий охват тем управления ISO/IEC 27002 , а также облачных вычислений, утечки информации. , потребительские устройства и управление безопасностью.

    Помимо предоставления инструмента для сертификации ISO 27001, стандарт 2011 обеспечивает полный охват тем COBIT v4 и обеспечивает существенное соответствие другим соответствующим стандартам и законодательству, таким как PCI DSS и Закон Сарбейнса-Оксли , что также обеспечивает соответствие этим стандартам. .

    Стандарт используется директорами по информационной безопасности (CISO), менеджерами по информационной безопасности, бизнес-менеджерами, ИТ-менеджерами, внутренними и внешними аудиторами, поставщиками ИТ-услуг в организациях любого размера.

    Стандарт 2018 доступен бесплатно для членов ISF. Нечлены могут приобрести копию стандарта непосредственно у ISF.

    Организация [ править ]

    Стандарт исторически был разделен на шесть категорий или аспектов . Компьютерные установки и сети относятся к базовой ИТ-инфраструктуре, в которой работают критически важные бизнес-приложения . Среда конечного пользователя охватывает меры, связанные с защитой корпоративных приложений и приложений для рабочих станций на конечных точках, используемых отдельными лицами. Разработка систем занимается созданием новых приложений и систем, а управление безопасностью обеспечивает управление и контроль на высоком уровне.

    Стандарт теперь публикуется в основном в простом «модульном» формате, исключающем избыточность. Например, были объединены различные разделы, посвященные аудиту и проверке безопасности.

    Аспект Фокус Целевая аудитория Рассмотренные проблемы Объем и охват
    Управление безопасностью (в масштабе предприятия) Управление безопасностью на уровне предприятия. Целевая аудитория аспекта SM обычно включает в себя: Обязательство высшего руководства продвигать передовые методы информационной безопасности на предприятии, а также выделять соответствующие ресурсы. Механизмы управления безопасностью в пределах:
    • Группа компаний (или эквивалент)
    • Часть группы (например, дочерняя компания или бизнес-подразделение)
    • Отдельная организация (например, компания или государственное учреждение)
    Критически важные бизнес-приложения Бизнес- приложение , которое имеет решающее значение для успеха предприятия. Целевая аудитория аспекта CB обычно включает в себя:
    • Владельцы бизнес-приложений
    • Лица, отвечающие за бизнес-процессы, зависящие от приложений.
    • Системные интеграторы
    • Технический персонал, например члены группы поддержки приложений.
    		Требования безопасности приложения и меры, принятые для выявления рисков и поддержания их на приемлемом уровне. Критически важные бизнес-приложения любых:
    • Тип (включая обработку транзакций, управление процессами, перевод средств, обслуживание клиентов и приложения для рабочих станций)
    • Размер (например, приложения, поддерживающие тысячи пользователей или всего несколько пользователей)
    Компьютерные установки Компьютерная установка, поддерживающая одно или несколько бизнес-приложений. Целевая аудитория аспекта CI обычно включает в себя:
    • Владельцы компьютерных установок
    • Лица, отвечающие за эксплуатацию центров обработки данных
    • ИТ-менеджеры
    • Третьи стороны, которые эксплуатируют компьютерные установки для организации
    • ИТ-аудиторы
    		Как определяются требования к компьютерным услугам; и как компьютеры настраиваются и работают для удовлетворения этих требований. Компьютерные установки:
    • Любого размера (включая крупнейшие мэйнфреймы , серверные системы и группы рабочих станций)
    • Работа в специализированных средах (например, в специально построенном центре обработки данных) или в обычных рабочих средах (например, в офисах, фабриках и складах).
    Сети Сеть , поддерживающая одно или несколько бизнес-приложений. Целевая аудитория аспекта NW обычно включает в себя: Как определяются требования к сетевым сервисам; и как сети настраиваются и работают для удовлетворения этих требований. Любой тип сети связи, в том числе:
    • Глобальные сети (WAN) или локальные сети (LAN)
    • Крупномасштабный (например, в масштабе всего предприятия) или малый масштаб (например, отдельный отдел или бизнес-подразделение)
    • Те, которые основаны на интернет-технологиях, таких как интрасети или экстрасети.
    • Голос, данные или интегрированный
    Разработка систем Подразделение или отдел разработки систем или конкретный проект разработки систем. Целевая аудитория аспекта УР обычно включает
    • Руководители функций системной разработки
    • Разработчики системы
    • ИТ-аудиторы
    		Как определяются бизнес-требования (включая требования информационной безопасности); и как системы проектируются и создаются для удовлетворения этих требований. Разработочная деятельность всех видов, в том числе:
    • Проекты любого масштаба (от многих рабочих лет до нескольких рабочих дней)
    • Проведенные разработчиком любого типа (например, специализированными подразделениями или отделами, аутсорсерами или бизнес-пользователями).
    • Те, которые основаны на специально разработанном программном обеспечении или пакетах приложений.
    Среда конечного пользователя Среда (например, бизнес-подразделение или отдел), в которой отдельные лица используют корпоративные бизнес-приложения или критически важные приложения для рабочих станций для поддержки бизнес-процессов. Целевая аудитория аспекта UE обычно включает в себя:
    • Бизнес-менеджеры
    • Лица в среде конечного пользователя
    • Местные координаторы по информационной безопасности
    • Менеджеры по информационной безопасности (или эквивалент)
    		Меры по обучению и повышению осведомленности пользователей ; использование корпоративных бизнес-приложений и критически важных приложений для рабочих станций; и защита информации, связанной с мобильными компьютерами . Среды конечного пользователя:

    Шесть аспектов Стандарта состоят из ряда областей , каждая из которых охватывает определенную тему. Область далее разбита на разделы , каждый из которых содержит подробные спецификации в области информационной безопасности передового опыта . Каждое утверждение имеет уникальную ссылку. Например, SM41.2 указывает, что спецификация относится к аспекту управления безопасностью, область 4, раздел 1, и указана как спецификация № 2 в этом разделе.

    Часть Стандарта «Принципы и цели» представляет собой высокоуровневую версию Стандарта, объединяющую только принципы ( которые дают обзор того, что необходимо выполнить для соответствия Стандарту) и цели (которые определяют причину, по которой эти действия необходимы) для каждого раздела.

    Опубликованный стандарт также включает обширную матрицу тем, указатель, вводный материал, справочную информацию, предложения по внедрению и другую информацию.

    См. также [ править ]

    , см. в разделе «Категория:Компьютерная безопасность» Список всех статей, связанных с компьютерной и информационной безопасностью .

    Ссылки [ править ]

    Знать все о стандартах ISO 27000

    1. ^ «Стандарт надлежащей практики информационной безопасности 2020» . Форум по информационной безопасности . Проверено 4 сентября 2021 г.

    Внешние ссылки [ править ]

    Retrieved from "https://en.wikipedia.org/w/index.php?title=Standard_of_Good_Practice_for_Information_Security&oldid=1209573195"
    Arc.Ask3.Ru: конец переведенного документа.
    Arc.Ask3.Ru
    Номер скриншота №: 742217baac953e35d5c9f4e4a5e422a8__1708604760
    URL1:https://arc.ask3.ru/arc/aa/74/a8/742217baac953e35d5c9f4e4a5e422a8.html
    Заголовок, (Title) документа по адресу, URL1:
    Standard of Good Practice for Information Security - Wikipedia
    Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)