Информационные технологии –
Практические правила управления
информационной безопасностью
1 Область применения
Данный стандарт включает в себя рекомендации по управлению информационной
безопасностью, предназначенные для сотрудников, ответственных за создание, внедрение и
поддержку мер, обеспечивающих безопасность в организации. Этот документ должен
послужить основой для разработки стандартов безопасности и эффективных методов
управления безопасностью в конкретной организации. Кроме того, он поможет поддержать
взаимное доверие при контактах между организациями. Рекомендации, приведенные в
данном стандарте, следует выполнять с учетом действующих законов и нормативных
требований.
2 Термины и определения
В данном документе используются перечисленные ниже определения.
2.1 Информационная безопасность
Сохранение конфиденциальности, целостности и доступности информации.
-
Конфиденциальность
Обеспечение доступа к информации только для авторизованных пользователей,
имеющих право на доступ к ней.
-
Целостность
Защита точности и полноты информации и методов ее обработки.
-
Доступность
Обеспечение доступности информации и связанных с ней ресурсов авторизованным
пользователям при необходимости.
2.2 Оценка рисков
Оценка угроз для информации и средств ее обработки, возможного ущерба для них в случае
нарушения безопасности, их уязвимостей а также возможности их возникновения.
2.3 Управление рисками
Процесс определения, контроля и уменьшения или полного устранения (с приемлемыми
затратами) рисков для информационной безопасности, которые могут повлиять на
информационные системы,.
|
