Перейти к содержанию

Построение системы управления инф. безопасности


Рекомендуемые сообщения

Ищется литература по построению Системы управления ИБ в соответствии с ISO/IEC 27001 и ISO/IEC 17799, желательно с технической системой (контр-)разведкой.

 

Сами стандарты у меня есть как на английском, так и на русском. Нужна прикладная литература.

Например, кое-что есть в:

1. Основы информационной безопасности. Учебное пособие для вузов / Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. - М.: Горячая линия - Телеком, 2006. - 544 с.: ил.

Но информация по устаревшим или не совсем тем стандартам (кроме США).

Лежит: iFolder и DepositFiles

2. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов. - М.: Горячая линия-Телеком, 2004. - 280 с. ил.

Но полезна лишь методами расчета рисков, хотя и заморочено. Ведь существуют ведь проще методики, а?

Лежит: iFolder и DepositFiles

3. ГОСТы России по информационной безопасности.

В т.ч. по СУИБ и анализу рисков, но уж очень мало еще у нас нац. стандартов.

Лежит: iFolder и DepositFiles

4. Spivey, Mark D. Practical hacking techniques and countermeasures. / Mark D. Spivey. - Boca Raton, FL, USA: Auerbach Publications, 2007 (Nov 2006). - 749 p.

Вот это действительно стоящая книга по практике технического аудита и (контр-)разведки . Но это менее 1/10 того, что нужно.

Лежит: iFolder и DepositFiles

БТВ, пароль на 3 и 4: 6hs9bKs. (8 символов)

 

Может есть у кого что-нибудь еще полезное? Вопросы тех.защиты (в т.ч. антивирусами, крипто и пр.) не в тему. Вопрос в построении самой системы управления.

Старые курсы DigitalSecurity не нужны, а вот их софт бы пощупать... style_emoticons/default/smile16.gif

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 32
  • Создана
  • Последний ответ
Ищется литература по построению Системы управления ИБ в соответствии с ISO/IEC 27001 и ISO/IEC 17799, желательно с технической системой (контр-)разведкой.

IMO ISO/IEC 27001/ISO/IEC 17799 (система управления информационной безопасностью [в смысле компьютерной безопасности]) и техническая система контрразведки это немного разные вещи (первое лишь небольшой кусочек второго), а уж тем более имеет мало общего с системой технической разведки.

В т.ч. по СУИБ и анализу рисков, но уж очень мало еще у нас нац. стандартов.

Не сказал бы - см. Нормативная база РФ по безопасности

Может есть у кого что-нибудь еще полезное? Вопросы тех.защиты (в т.ч. антивирусами, крипто и пр.) не в тему. Вопрос в построении самой системы управления.

31748[/snapback]

См. Fast Food и ЧтиВо

Старые курсы DigitalSecurity не нужны, а вот их софт бы пощупать...

На сколько я помню демоверсия у них висит на сайте

Ссылка на комментарий
Поделиться на другие сайты

Ищется литература по построению Системы управления ИБ в соответствии с ISO/IEC 27001 и ISO/IEC 17799, желательно с технической системой (контр-)разведкой.

 

Сами стандарты у меня есть как на английском, так и на русском. Нужна прикладная литература.

 

 

Рекомендую все же толковые курсы по этим стандартам. Причем в первую очередь по ISO 27001. Как выяснилось, многие вещи совершенно не очевидны и в стандарте подразумеваются "между строк". За деньги сэкономите массу времени и снимете кучу проблем по внедрению до их возникновения.

 

Есть курсы непосредственно от BSI. Мне они были крайне полезны, планирую продолжать.

Ссылка на комментарий
Поделиться на другие сайты

31762[/snapback]

IMO ISO/IEC 27001/ISO/IEC 17799 (система управления информационной безопасностью [в смысле компьютерной безопасности])

 

Вот так всегда, когда говорят люди, прошедшую СССРовску школу технической (даже не технологической) защиты информации или "вскрытия" информации (без разницы от технилогии). Как всегда с отставанием в 7-10 лет... style_emoticons/default/smile16.gif

 

и техническая система контрразведки это немного разные вещи (первое лишь небольшой кусочек второго) и техническая система контрразведки это немного разные вещи (первое лишь небольшой кусочек второго), а уж тем более имеет мало общего с системой технической разведки.

 

Обеспечение (к.-л.) безопасности и проведение (к.-л.) розыскных мероприятий - по факту - одна палка о двух концах. Методы и средства одни, цели - противоположны.

 

Не сказал бы - см....

 

style_emoticons/default/smile17.gifПримитивизм. Безопасность сводится к банальной защите, а технологии - до техники. В тех же ГОСТах (даже в последних принятых и готовящихся к принятию) идет (i) подмена и/или (ii) неправильное толкование терминов.

 

Показателен пример перевода ISO/IEC 27001:2005(E).

 

ЗАО "Технорматив":

"3.4 защита информации [information security]

сохранение конфиденциальности, целостности и доступности информации; кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность

3.7 система менеджмента защиты информации, СМЗИ [information security management system, ISMS]

часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.

ПРИМЕЧАНИЕ: Система менеджмента включает организационную структуру, политику, деятельность по планированию, ответственность, практики, процедуры, процессы и ресурсы."

 

ООО "Диджитал Секьюрити":

"3.4 Информационная безопасность (information security) – обеспечение

конфиденциальности, целостности и доступности информации, а также подлинности информации, надежности систем, контроля над выполнением обязательств [iSO/IEC 17799:2005].

3.7 Система управления информационной безопасностью / СУИБ (information security management system / ISMS) – часть всеобщей системы управления, основанной на подходе анализа бизнес-рисков, необходимой для создания, внедрения, функционирования, мониторинга, пересмотра, поддержания и усовершенствования информационной безопасности.

Примечание: Система управления включает организационную структуру, политики, планируемые действия, обязанности и ответственность, практики, процедуры, процессы и ресурсы."

 

Хотя, это "болезнь" наших законодателей а, в первую очередь - "технарей" из академий и институтов exКГБ. style_emoticons/default/smile17.gif

 

Тут я полностью соглашусь с поставленной проблематикой в "Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право. Учебник для вузов. / 2 изд., изм. и до. - М.: Юридический центр Пресс, 2005. - 736 с.": долго еще нам перестраиваться.

 

На сколько я помню демоверсия...

Последнее слово - ключевое

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...