INTERNATIONAL STANDARD ISO/IEC 27000 Third edition 2014-01-15 Information technology Security techniques Information security management systems Overview. - презентация

1 INTERNATIONAL STANDARD ISO/IEC Third edition Information technology Security techniques Information security management systems Overview and vocabulary Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

2 Перечень стандартов о информационной безопасности ISO/IEC Общий обзор и терминология; ISO/IEC Требования; ISO/IEC Свод правил по управлению защитой информации; ISO/IEC Руководство по реализации системы менеджмента информационной безопасности (СМИБ); ISO/IEC Менеджмент информационной безопасности. Измерения; ISO/IEC Управление рисками информационной безопасности; ISO/IEC Требования для органов, обеспечивающих аудит и сертификацию систем менеджмента информационной безопасности; ISO/IEC Руководство для аудитора СМИБ; ISO/IEC Руководящие указания по управлению защитой информации организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC

3 Здесь и далее красным цветом выделены новые термины, появившиеся в редакции 2014 года по сравнению с редакцией 2009 года. access control (контроль доступа) - обеспечение того, чтобы доступ к активам был санкционирован и ограничен в соответствии с требованиями коммерческой тайны и безопасности; analytical model – алгоритм вычисления, комбинирующий одну или более base measures и/или derived measures с каким-либо подходящим критерием принятия решения; attack - попытка уничтожения, открытия доступа, внесения изменения, вывода из строя, кражи, получения несанкционированного доступа или несанкционированного использования актива; attribute - property or characteristic of an object that can be distinguished quantitatively or qualitatively by human or automated means; audit - systematic, independent and documented process for obtaining audit evidence and evaluating it objectively to determine the extent to which the audit criteria are fulfilled; audit scope - extent and boundaries of an audit; authentication (аутентификация) - обеспечение гарантии того, что заявленные характеристики объекта правильны; authenticity (подлинность) - свойство, гарантирующее, что субъект или ресурс идентичен заявленному; availability (доступность) - свойство быть доступным и готовым к использованию по запросу авторизованного субъекта;

4 base measure - measure defined in terms of an attribute and the method for quantifying it; competence - ability to apply knowledge and skills to achieve intended results; confidentiality (конфиденциальность) - свойство информации быть недоступной и закрытой для неавторизованных лиц, субъектов или процессов; conformity - fulfilment of a requirement; consequence - outcome of an event affecting objectives; continual improvement - recurring activity to enhance performance; control (средства управления) - средства управления риском, включая политики, процедуры, рекомендации, практики или организационные структуры, которые могут носить административный, технический, управленческий или юридический характер. control objective (цель управления) - формулировка, описывающая, что должно быть достигнуто в результате применения средств управления; correction - action to eliminate a detected nonconformity; corrective action (корректирующее действие) - действие по устранению причины несоответствия или другой нежелательной ситуации; data - collection of values assigned to base measures, derived measures and/or indicators; decision criteria - thresholds, targets, or patterns used to determine the need for action or further investigation, or to describe the level of confidence in a given result;

5 derived measure - measure that is defined as a function of two or more values of base measures; documented information - information required to be controlled and maintained by an organization and the medium on which it is contained; effectiveness - степень реализации запланированной деятельности и достижения запланированных результатов; efficiency (результативность) - выброшено из новой редакции. Связь между достигнутым результатом и использованными ресурсами; event (событие) - возникновение специфического набора обстоятельств; executive management - person or group of people who have delegated responsibility from the governing body for implementation of strategies and policies to accomplish the purpose of the organization; external context - external environment in which the organization seeks to achieve its objectives; governance of information security - system by which an organizations information security activities are directed and controlled; governing body - person or group of people who are accountable for the performance and conformance of the organization;