Пример готовой дипломной работы по предмету: Информатика
Содержание
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 3
1. ОБЗОР СТАНДАРТОВ ПО БЕЗОПАСНОСТИ: СУЩЕСТВУЮЩИЕ И РАЗРАБАТЫВАЕМЫЕ СТАНДАРТЫ МЕЖДУНАРОДНОЙ ОРГАНИЗАЦИИ ПО СТАНДАРТИЗАЦИИ (INTERNATIONAL STANDARDS ORGANIZATION — ISO)6
1.1 Краеугольные камни информационной безопасности 6
1.2 История стандартов ISO по информационной безопасности 8
1.3 Формирование и нумерация стандартов по информационной безопасности 9
1.4 Международные стандарты управления безопасностью10
1.5 Другие предложенные стандарты по информационной безопасности 11
2. АНАЛИЗ СЕМЕЙСТВА СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ISO 270013
2.1 Стандарт ISO 2700113
2.2 Стандарт ISO 2700215
2.3 Взаимосвязь ISO 27001 и 2700218
2.4 Взаимосвязь с другими стандартами 19
3. СПЕЦИФИКА ВНЕДРЕНИЯ ИСО/МЭК 1548021
4. ОБЗОР СИСТЕМ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ИСО/МЭК 27000:200924
5. ИСПОЛЬЗОВАНИЕ СЕМЕЙСТВА СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИСО 2700 КАК ИНСТРУМЕНТ ЭФФЕКТИВНОГО УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ 26
ЗАКЛЮЧЕНИЯ 32
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 33
Выдержка из текста
ВВЕДЕНИЕ
Актуальность. Для построения системы информационной безопасности необходимо прочное основание путеводитель, который поможет избежать ошибок, оценить полноту и надежность системы информационной безопасности.
В России создано множество нормативных документов по информационной безопасности. И каждый специалист в рассматриваемой области задается вопросом о том, подходят ли они для его компании. Если система информационной безопасности создается для государственных органов, то здесь деваться некуда требования всех этих документов там обязательны к исполнению. Если система информационной безопасности создается для частного бизнеса, то есть несколько весомых причин, почему российские нормативные документы мало применимы:
1. Требования национальных документов по информационной безопасности даже по отношению к конфиденциальной информации, которая не составляет государственную тайну, очень высоки. Выполнение всех требований к информационной безопасности во-первых очень сильно (и практически всегда необоснованно) увеличит бюджет, расходуемый на информационную безопасность, во-вторых очень сильно затруднит выполнение бизнес-процессов и тем самым станет препятствием к достижению основной цели бизнеса получению прибыли.
2. Требования национальных документов по информационной безопасности зачастую неполны и противоречивы. Это вызвано их большим количеством, несгрупированностью, несвоевременным их пересмотром.
3. Требования национальных документов по информационной безопасности зачастую устаревшие и неактуальные.
4. Требования национальных документов по информационной безопасности ориентированы в первую очеред на государственные структуры и практически не учитывают реалий бизнеса. Изначально требования и образцы документов по информационной безопасности рождаются в спецслужбах, откуда потом переписываются с незначительными изменениями другими государственными министерствами и ведомствами. Получаются практически одинаковые требования, как для Службы безопасности страны, так и для, например, Министерства статистики.
Поэтому чаще всего руководители компаний прибегают к международному опыту. На конец 2008 года приняты следующие стандарты семейства ISO 27000:
- ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования
- ISO/IEC 27002:2005 Информационные технологии.
Методы обеспечения безопасности. Практические правила управления информационной безопасностью (ранее ISO/IEC 17799:2005).
- ISO/IEC 27005:2008 Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности.
Список использованной литературы
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. ISO/IEC 27001. Information TechnologySecurity TechniquesInformation Security Management Systems Requirements, first edition. October 15, 2005. Доступен на сайте www.iso.org.
2. ISO/IEC 17799. Information TechnologySecurity TechniquesCode of Practice for Information Security Management, second edition. June 15, 2005. Доступен на сайте www.iso.org.
3. FIPS PUB 199. Federal Information Processing Standards PublicationStandard for Federal Information and Information Systems. February 2004. Доступен на сайте www.nist.gov
4. Сайт компании Gamma — http://www.gammassl.co.uk/bs 7799/history.html
5. Информация из стандартов ITSC (Standards Technology Standard Committee).
Новости о стандартах с форума RAISS. Доступен на сайте http://www.itsc.org.sg/.
6. SP 800-18. Guide for Developing Security Plans for Information Technology Systems. Доступен на сайте www.nist.gov. Guides the design and documentation of IT security controls.
7. OECD Guidance for Security of Information System and NetworkToward a Culture of Security. Доступен на сайте www.oecd.org. Новые рекомендации OECD от 2002 г. доступны по адресу http://www.oecd.org/dataoecd/16/22/15582260.pdf .
8. Index of the ISO/IEC 17799, second edition. June 15, 2005. From pages III to VI.
9. Shewhart, Walter Andrew (1939).
Statistical Method for the Viewpoint of Quality Control. New York: Dover. (1980) Economic Control of quality of manufactured product/ 50th Anniversary Commemorative Issue. American Society For Quality. Для более детальной иформации:. http:en.wikipedia.org/wiki/Shewhart_cycle.
10. SP 800-60. Guide to Mapping Types of Information Systems to Security Categories. Дступен на сайте www.nist.gov.
11. SP 800-30. Risk Management Guide for Information Technology Systems from NIST [National Institute of Standards and Technology].
Доступен на сайте www.nist.gov.
12. ISO/IEC TR 13335-3. Guidelines for the Management of IT Security: Techniques for the Management of IT Security from International Organization for Standardization. Доступен на сайте www.iso.org.
13. Peltier, T. (2005) Information Security Risk Analysis. Auerbach Publications.
14. Checklist for self-assessment for all controls for BS 7799-2:2002. Доступен по адресу http://www.sans.org/score/checklists/ISO_17799_checklist.pdf . Кроме этого, чек-лист для самооценки от Netigy. Доступен по адресу http://www.cccure.org/modules.php?name= Downloads&d_op=viewdownload&cid=67.
15. Здесь несколько ссылок на пользовательские группы ISMS: U.S. ISMS user group, http://www.us-isms.org/; international user group, http://www.xisec.com/; есть еще информация на ITU в Канаде, http://www.ismsiug.ca; в Японии, www.j-isms.jp.
16. .Схема оценки уполномоченными лицами, базирующаяся на общем международном стандарте ISO 19011:2002, Guideline on Quality and/or Environmental Management System Audit. Доступен на сайте www.iso.org.
17. SarbanesOxley Act of 2002. Доступен по адресу http://news.findlaw.com/hdocs/docs/ gwbush/sarbanesoxley 072302.pdf .
18. Адрес, по которому можно найти информацию по Base II от Европейской Комиссии: http://europa.eu.int/comm/enterprise/entrepreneurship/financing/basel_2.htm.
19. ISO 9001:2000. Quality Management Systems. Доступен на сайте www.iso.org.
20. BS 7799-3:2006. Guidelines for Information Security Risk Management. Доступен по адресу http://www.bsonline.bsiglobal. com/server/index.jsp.
21. ISO TR 13335-4:2000 определяет выбор мер безопасности (т.е. технических средств управления безопасностью).
Этот стандарт в настоящее время пересматривается и будет выпущен как ISO 27005, доступен на сайте ISO www.iso.org.
22. SP 800-53A. Guide for Assessing the Security Controls in Federal Information (draft).
Доступен на сайте www.nist.gov.
23. SP 800-53. Recommended Security Controls for Federal Information Systems. Доступен на сайте www.nist.gov. Фактически, другой стандарт на СМИБ, содержащий удобную таблицу, показывающую связь средств контроля, описанных в нем, со средствами контроля, задаваемыми в других стандартах, таких, как ISO 17799:2005.
24. SP 800-55. Security Metrics Guide for Information Technology Systems. Доступен на сайте www.nist.gov. Название, на мой взгляд, гораздо привлекательнее содержания. Документ, по сути, немногим более, чем просто огромный список параметров, относящихся к безопасности, и которые могут быть измерены.
25. FIPS 200. Minimum Security Requirements for Federal Information and Information Systems. Доступен на сайте www.nist.gov.
26. SP 800-61. Computer Security Incident Handling Guide. Доступен на сайте www.nist.gov.
27. SP 800-37. Guide for the Security Certification and Accreditation of Federal Information Systems. Доступен на сайте www.nist.gov. Содержит руководство по сетификации защиты, аккредитации и авторизации информационных систем.
28. SP800-26. Government Audit Office Federal Information System Controls Audit Manual. Доступен на сайте www.nist.gov.
29. SP 800-37. Guide for the Security Certification and Accreditation of Federal Information Systems. Доступен на сайте www.nist.gov. Содержит руководство по сертификации защиты, аккредитации и авторизации информационных систем..
30. ISO 19011:2002. Guidelines for Quality and/or Environmental Management Systems Auditing. Доступен на сайте www.nist.gov.
31. Control Objectives for Information and Related Technology (COBIT).
Доступен на сайте www.isaca.org.
32. Information Technology Infrastructure Library (ITIL).
Доступен на сайте www.itsmf.com.