Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
3.2.RaportytechniczneISO/IECTR13335
49
Poszczególneczęściraportuzawierająnastępująceinformacje:
ISO/IECTR13335-1/PN-I-13335-1:Wytycznedozarządzaniabezpieczeń-
stwemsystemówinformatycznych[SM1],[SM6]:
•
Terminologia,związkimiędzypojęciami.
•
Podstawowemodele.
Ogólniewraporciesąprzedstawionepodstawowepojęciadotyczące
bezpieczeństwateleinformatycznego,takiejak:zasób,podatność,za-
grożenie,następstwo,ryzyko,zabezpieczenielubryzykoszczątkowe.
Wformieprostychmodelipojęciowychsąpokazanezwiązkizacho-
dzącemiędzynimi.Wraporciezwracasięuwagęnawieletypów
ograniczeń:finansowych,organizacyjnych,środowiskowych,czaso-
wych,technicznych,społecznych,kulturowych,prawnychorazoso-
bowych,zktóryminależysięliczyćprzytworzeniusystemubezpie-
czeństwainstytucji.Wraporciesązawartedefinicjehierarchicznego
modelucelów,strategiiipolityki,pełniącegorolęmodeluodniesienia.
Niecouwagipoświęcasięprocesomzarządzaniabezpieczeństwem,
wyróżniającpodstawowetrzypodprocesy:zarządzaniaryzykiemzje-
goanalizą,zarządzaniazmianamiikonfiguracją.
ISO/IECTR13335-2/PN-I-13335-2:Technikainformatyczna–Planowanie
izarządzaniebezpieczeństwemsystemówinformatycznych[SM2],
[SM7]:
•
Różnepodejściadoprowadzeniaanalizyryzyka.
•
Planyzabezpieczeń.
•
Organizacjasłużbodpowiedzialnychzabezpieczeństwo.
•
Znaczenieszkoleńidziałańuświadamiających.
•
Roleistanowiskapracywinstytucjizwiązanezbezpieczeństwem.
Wraporciejestprzedstawionyogólnyschematplanowaniaizarządza-
niabezpieczeństwemsystemówteleinformatycznychisąopisanepo-
szczególnejegoelementy,takiejak:
—określeniecelów,strategiiipolitykibezpieczeństwa;
—określeniewymagańwzakresiebezpieczeństwa;
—zidentyfikowanieizanalizowaniezagrożeńipodatnościzasobów;
—analizaryzyka;
—dobórzabezpieczeń;
—monitorowanieprocesuichwdrażania,apotemfunkcjonowania;
—przygotowaniepersonelu(szkolenie,uświadamianie);
—wykrywanieireagowanienaincydenty.
ISO/IECTR13335-3:Technikizarządzaniabezpieczeństwemsystemów
informatycznych[SM3]:
•
Szczegółoweprzedstawienieprocesówzarządzania.
•
Formułowanietrójpoziomowejpolitykibezpieczeństwa.
•
Rozwinięcieproblematykianalizyryzyka.