Терминология \ ISSP

Термины и определения, используемые в книге Shon Harris "CISSP All-In-One Exam Guide".

ISSP \ Домен 02. Управление доступом. Часть 1

В этой части рассмотрены следующие вопросы:

• Обзор управления доступом
• Принципы безопасности 
• Идентификация, аутентификация, авторизация и подотчетность

Краеугольный камень, лежащий в основе информационной безопасности – это управление доступом к ресурсам, их защита от несанкционированного изменения и разглашения. Управление доступом может осуществляться на техническом (логическом), физическом или организационном уровне.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Содержание

Домен 01. Информационная безопасность и управление рисками

1. Управление безопасностью

• 1.1. Распределение обязанностей по управлению безопасностью
• 1.2. Подход "сверху-вниз"

2. Администрирование безопасности и защитные меры

• 2.1. Основные принципы безопасности
• 2.2. Определения безопасности
• 2.3. Безопасность посредством неизвестности

3. Организационная модель безопасности

• 3.1. Компоненты программы безопасности
• 3.2. Стандарты безопасности
• 3.3. Управление безопасностью на стратегическом уровне

4. Управление информационными рисками

• 4.1. Кто действительно разбирается в управлении рисками?
• 4.2. Политика управления информационными рисками
• 4.3. Группа управления рисками (IRM-группа)

5. Анализ рисков

• 5.1. Группа анализа рисков
• 5.2. Ценность информации и активов
• 5.3. Определение стоимости и ценности
• 5.4. Идентификация угроз
• 5.5. Анализ сбоев и дефектов
• 5.6. Количественный анализ рисков
• 5.7. Качественный анализ рисков
• 5.8. Количественный или качественный
• 5.9. Защитные механизмы
• 5.10. Обобщая сказанное ранее
• 5.11. Общий риск и Остаточный риск
• 5.12. Обработка риска

6. Политики, стандарты, базисы, руководства и процедуры

• 6.1. Политика безопасности
• 6.2. Стандарты
• 6.3. Базисы
• 6.4. Руководства
• 6.5. Процедуры
• 6.6. Внедрение

7. Классификация информации

• 7.1. Управление классифицированными данными

8. Уровни ответственности

• 8.1. Совет Директоров
• 8.2. Высшее исполнительное руководство
• 8.3. Владелец данных
• 8.4. Ответственный за хранение данных
• 8.5. Владелец системы
• 8.6. Администратор безопасности
• 8.7. Аналитик по безопасности
• 8.8. Владелец приложения
• 8.9. Супервизор
• 8.10. Аналитик управления изменениями
• 8.11. Аналитик данных
• 8.12. Владелец процесса
• 8.13. Поставщик решения
• 8.14. Пользователь
• 8.15. Менеджер по технологиям
• 8.16. Аудитор
• 8.17. Зачем так много ролей?!

9. Персонал

• 9.1. Структура
• 9.2. Правила приема на работу
• 9.3. Контроль сотрудников
• 9.4. Увольнение

10. Обучение (тренинги) по вопросам безопасности

• 10.1. Различные типы обучения (тренинга) по вопросам безопасности
• 10.2. Оценка результатов обучения
• 10.3. Специализированное обучение по безопасности

11. Резюме

12. Тест

Терминология \ Российское законодательство и стандарты

Терминология из российского законодательства и стандартов.

Терминология \ Международные стандарты и ГОСТы на их основе

Часто при разработке очередного документа нужно найти определение того или иного термина. Иногда это не так просто и на поиски уходит значительное время... Чтобы избежать этого, в разделе Терминология буду выкладывать определения терминов различных российских и международных документов, касающихся информационной безопасности. Содержимое постов этого раздела будет периодически обновляться.
Итак, начнем с международных стандартов.

В двух словах \ VISA. PCI: PIN Security Requirements 2.0

Краткое изложение целей и основных требований стандарта безопасности VISA Payment Card Industry: PIN Security Requirements 2.0. Это полный набор обязательных требований по безопасному управлению, обработке и передаче PIN-кодов, применяемых в процессе выполнения любых транзакций с банковскими картами в банкоматах и POS-терминалах.

В двух словах \ РС БР ИББС-2.2-2009

Краткое изложение нового Стандарта Банка России, вступающего в действие с 01.09.2009 г.
С полной версией можно ознакомиться на сайте ABISS.

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ)

РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

РС БР ИББС-2.2-2009

ISSP \ Домен 01. Обновление

На днях стал обладателем новой 4-й редакции книги Shon Harris "CISSP All-In-One Exam Guide". В ней появилось много интересных дополнений. Так как в 3-ю редакцию мы углубились еще не очень сильно, решил сразу добавить в свой перевод все изменения 4-й редакции. В отношении первого домена это почти готово, так что на днях обновлю предыдущие посты.

P.S. Кстати, добрый Google дает возможность безвозмездно полистать эту интереснейшую книгу.