ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий
ГОСТ Р ИСО/МЭК ТО 13335-3-2007
Группа Т59
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационная технология
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Часть 3
Методы менеджмента безопасности информационных технологий
Information technology. Security techniques.
Part 3. Techniques for the management of information technology security
ОКС 13.110
35.020
Дата введения 2007-09-01
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России), Банком России, обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 7 июня 2007 г. N 122-ст
4 Настоящий стандарт идентичен международному отчету ИСО/МЭК ТО 13335-3:1998 "Информационная технология. Рекомендации по менеджменту безопасности информационных технологий. Часть 3. Методы менеджмента безопасности информационных технологий" (ISO/IEC TR 13335-3:1998 "Information technology - Guidelines for the management of information technology security - Part 3: Techniques for the management of information technology security").
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении F
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
- 1 Область применения
- 2 Нормативные ссылки
- 3 Термины и определения
- 4 Структура
- 5 Цель
- 6 Способы управления безопасностью информационных технологий
- 7 Цели, стратегия и политика безопасности информационных технологий
- 8 Основные варианты стратегии анализа риска организации
- 9 Комбинированный подход
- 10 Выполнение плана информационной безопасности
- 11 Последующее сопровождение системы
- 12 Резюме
- ПРИЛОЖЕНИЕ A (справочное). Примерный перечень вопросов, входящих в состав политики безопасности информационных технологий организации
- ПРИЛОЖЕНИЕ B (справочное). Оценка активов
- ПРИЛОЖЕНИЕ C (справочное). Перечень типичных видов угроз
- ПРИЛОЖЕНИЕ D (справочное). Примеры общих уязвимостей
- ПРИЛОЖЕНИЕ Е (справочное). Типология методов анализа риска
- ПРИЛОЖЕНИЕ F (справочное). Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам