ДСТУ ISO/IEC TR 13335-4:2005 (ISO/IEC TR 13335-4:2000, IDТ) Національний стандарт України. Інформаційні технології. Настанови з керування безпекою інформаційних технологій. Частина 4. Вибір засобів захисту
ДСТУ ISO/IEC TR 13335-4:2005 (ISO/IEC TR 13335-4:2000, IDТ) Национальный стандарт Украины. Информационные технологии. Рекомендации по управлению безопасностью информационных технологий. Часть 4: Выбор средств защиты
Метою цього технічного звіту є надання настанов, а не готових рішень з аспектів керування інформаційною безпекою. Особи, відповідальні за інформаційну безпеку в організації, повинні бути спроможними адаптувати матеріал цього звіту, щоб задовольнити свої потреби.
Основними цілями цього технічного звіту є:
— визначити і описати поняття, пов’язані з керуванням інформаційною безпекою,
— визначити відносини між керуванням інформаційною безпекою та керуванням ІТ взагалі, — представити декілька моделей, які можна використовувати для пояснення інформаційної безпеки, та
— надати загальну настанову з керування інформаційною безпекою.
Багаточастинний стандарт ISO/IEC TR 13335-4:2005 містить п’ять частин. Частина 1 описує базові поняття та моделі, що використовуються для описування інформаційної безпеки. Цей матеріал призначений для керівників, відповідальних за інформаційну безпеку, та відповідальних за загальну програму безпеки організації.
Частина 2 описує аспекти керування та планування. Вона доцільна для керівників, до компетенції яких належать інформаційні системи організації. До таких керивників можуть належати:
— керівники ІТ, обов’язок яких — слідкувати за проектуванням, реалізацією, тестуванням, закупівлею чи експлуатацією інформаційних систем, або
— керівники, відповідальні за сфери діяльності, де використовують інформаційні системи.
Частина 3 описує методи захисту для процесів керування протягом життєвого циклу проекту, таких як планування, проектування, реалізація, тестування, придбання чи експлуатація.
Частина 4 описує настанови з вибору засобів захисту, а також, як цьому можуть сприяти базові моделі та засоби нагляду. Вона також описує, як ці засоби доповнюють методи захисту, описані в частині 3, і як додаткові методи оцінювання можна використовувати для вибору засобів захисту.
Цей стандарт надає настанову з вибору засобів захисту, беручи до уваги ділові потреби та проблеми безпеки. Вона описує процес вибору засобів захисту згідно з ризиками безпеки та специфікою навколишнього середовища. Цей стандарт показує, як досягнути достатньо високого рівня захисту, як його підтримувати, застосовуючи базову безпеку.
