вторник, 28 июня 2011 г.

Сертификация по ISO 27001 \ Глава 2. Система менеджмента информационной безопасности

В предыдущей главе было рассказано о стандартах безопасности ISO их взаимосвязях друг с другом. ISO 27001 служит руководством по созданию системы менеджмента информационной безопасности (СМИБ) и ссылается на средства управления, описанные в ISO 27002, что позволяет создать и поддерживать СМИБ. Эта глава определяет СМИБ и знакомит с ней читателя. Это необходимо для дальнейшего обсуждения основных концепций и инструментов, необходимых для эффективного построения СМИБ.

В этой Главе рассмотрены следующие вопросы:
  • Введение в СМИБ
  • Введение в структуру менеджмента безопасности
  • Процесс создания СМИБ: «Как должно быть» (To-Be) или PDCA
  • «Как должно быть» (To-Be)
  • «Как есть» (As-Is)
  • План перехода
  • Эксплуатация и сопровождение

Сертификация по ISO 27001 \ Глоссарий

Информационная безопасность требует использования правильной терминологии, чтобы передать все сложности и нюансы этой дисциплины. Использование некорректных терминов ведет к непониманию, применению неверного контекста. Термины и понятия, используемые в этой книге определены ниже.

понедельник, 27 июня 2011 г.

Дайджест ИБ за 20 - 26 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

четверг, 23 июня 2011 г.

Сертификация по ISO 27001 \ Глава 1. Введение в стандарты безопасности ISO

Эта глава предполагает, что читатель хотя бы в общих чертах знаком с предметом информационной безопасности, знает, что это такое и как применяется в компаниях. Предполагается, что читателем движет желание упорядочить свои подходы к обеспечению информационной безопасности, чтобы улучшить процессы планирования, реализации и поддержания информационной безопасности, создать высокоэффективную программу информационной безопасности, которая могла бы быть сертифицирована по стандарту ISO 27001. В начале этой главы приведен обзор стандартов безопасности, она уделяет особое внимание существующим и разрабатываемым стандартам Международной Организации по Стандартизации (ISO – International Standards Organization).

Материал этой главы дает основы для понимания систем менеджмента информационной безопасности (СМИБ), без которых невозможно пройти сертификацию по ISO 27001.

В этой Главе рассмотрены следующие вопросы:
  • Краеугольные камни информационной безопасности
  • История стандартов ISO по информационной безопасности
  • Формирование и нумерация стандартов информационной безопасности
  • Международные стандарты управления безопасностью
  • Другие предложенные стандарты информационной безопасности
  • Введение в стандарт ISO 27001
  • Введение в стандарт ISO 27002
  • Взаимосвязь между ISO 27001 и 27002
  • Взаимосвязь с другими стандартами
  • Перекрестные ссылки между PDCA и стандартами безопасности
  • Стандарты, которые помогут на этапе планирования (PLAN)
  • Стандарты, которые помогут на этапе выполнения (DO)
  • Стандарты, которые помогут на этапе проверки (CHECK)
  • Стандарты, которые помогут на этапе улучшения (ACT)

воскресенье, 19 июня 2011 г.

Дайджест ИБ за 13 - 19 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Законодательство
  • Новости
  • Инциденты за неделю

среда, 15 июня 2011 г.

Практика ИБ \ SANS - Топ 20 наиболее критичных защитных мер и средств

Перевел еще один весьма полезный документ: SANS - Топ 20 наиболее критичных защитных мер и средств. В документе приведены самые важные процессы ИБ, которые следует использовать любой компании для предотвращения несанкционированного доступа злоумышленников к ее системам и сетям, либо минимизации ущерба, который они могут нанести.

Также в документе приведена карта киберугроз, содержащая ключевые элементы, которые присутствуют почти в каждой атаке. Любая атака может быть представлена в виде определенного пути по этой карте. Карта позволяет выбрать наилучшие подходы для защиты от различных атак. В качестве иллюстрации возможного применения карты, на ней показаны три варианта атак: хищение данных банковских карт и финансовой информации, APT-атаки, поисковая оптимизация (SEO).

вторник, 14 июня 2011 г.

Дайджест ИБ за 6 - 12 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю

понедельник, 13 июня 2011 г.

Сертификация по ISO 27001 \ Введение

Решил перевести еще одну полезную книгу по ИБ. Это книга Sigurjon Thor Arnason и Keith D. Willett "How to Achieve 27001 Certification" - "Как подготовиться к сертификации по стандарту ISO 27001". Хотя этой книге уже около 3 лет, она остается одной из лучших по теме внедрения стандартов ISO 27002 и 27001, практического подхода к реализации системы менеджмента информационной безопасности (так что будет весьма полезной и при внедрении Стандарта Банка России СТО БР ИББС-1.0), управления соответствием внешним требованиям.

Коллеги Tiger-66 и А.В. Горбунов любезно поделились переводом почти четверти книги, чем существенно облегчили задачу. За это им большое спасибо! :-)

В этой главе рассмотрены следующие вопросы:
  • Введение
  • Стандарты безопасности ISO
  • Сертификация по стандарту ISO
  • Зачем сертифицироваться по ISO 27001?
  • Цели
  • Структура и последовательность
  • Комментарии

понедельник, 6 июня 2011 г.

Дайджест ИБ за 30 мая - 5 июня 2011 года

Обзор самых интересных и полезных сообщений за неделю в блогах по информационной безопасности и не только :-)

В сегодняшнем обзоре:
  • Лучшие посты из русскоязычных блогов по ИБ
  • Лучшие посты из англоязычных блогов по ИБ
  • Интересные статьи и заметки по менеджменту, коммуникациям
  • Законодательство
  • Стандарты, руководства, лучшие практики, исследования
  • Новости
  • Инциденты за неделю