Системи менеджменту інформаційної безпеки

,
.., ..,
.., .., ..

2012
: 966-518-211-0
32.973-018.273
93
:
.., . , ,
- (. );
.., .-. , ,
. .. (. );
.., . , , -
. .. (. )
,

(
)
93
..
: . . / ..,
.., .., .., .. :
, 2012. 260 .
ISBN
,
.

(ISO/IEC 27000) , .
, -
-,
.

, ,
,
.
: 966-518-211-0
32.973-018.273
.., ..,
.., .., ..

ISBN

..................................................................................................................................... 8
1.
......................................................................................... 12
1.1.
............................................................................... 12
1.2. ISO/IEC 27001 .
. . .............. 14
1.2.1. .............................................................................. 14
1.2.2.
.............................................................................................. 15
1.2.3. ISO/IEC 27001 ....................... 17
1.2.4. . ................ 21
1.3. ISO/IEC 27000
....................................................................................................... 30
1.4.
ISO/IEC 27001 ........................... 35
1.5.
ISO/IEC 27001 .............................................................................. 38
1.6. ISO/IEC 27002
. ....................................... 42
1.6.1. ................................................. 43
1.6.2. ............................................................ 43
1.6.3. ............................................................... 44
1.6.4. ............................................................. 45
......................................................................................... 47
2. ................................................. 50
2.1. ...................................................... 50
2.1.1. .................................... 50
2.1.2. .................................................................... 51
2.1.3. .............................................. 51
2.1.4. ................. 52
2.1.5. ........................................................................... 53
2.1.6. ............................................................. 54
2.1.7. ................................................................ 54
2.1.8. .......................................................... 55
2.1.9. .......................................... 55
2.2. ............................................................... 56
2.3. ...................................................................................................... 57
2.3.1. .......................................................................................... 57
2.3.2. ,
.............................................................................................................. 58
2.4. ....................................................... 59
2.4.1. ................................................................................................ 59
2.4.2. ................................... 60
2.4.3. .............................................. 60
2.4.4. ............................................... 61
2.5. .................................................................................. 61
2.6. .................................................................................................. 62
2.7. ............................................................................. 63
2.8. ....................................................................... 64
2.8.1. ................................................................ 64
2.8.2. ................................................................................ 65
2.9. .............................................................................. 66
2.9.1. ........................................................ 66
2.9.2. ............................................................................ 67
2.9.3. ............................................................. 67
2.9.4. ....................................................................... 68
2.10. .......................................................... 68
2.11. ............................................................................... 70
2.11.1. ............................................................... 71
2.11.2. ........................................................... 72
2.11.3. ......................................................... 72
2.12. ................................................................................ 73
2.12.1. ...................................................................................... 74
2.12.2. .................................................................................................. 75
2.12.3. ....................................................................... 76
2.13. ................................................................................................ 76
2.13.1. ................................................................... 76
2.13.2. .................................................. 77
2.13.3. ............................................................... 78
2.13.4. ......................................................... 79
2.13.5. ........................................................................................... 79
2.14. ....................................... 80
2.14.1. ........................... 80
2.14.2. ........................................................ 81
2.15. .............. 82
2.15.1. .................................................................................. 82
2.15.2. ................................. 83
......................................................................................... 84
3. -
ISO/IEC 27001 ............................................................................................ 85
3.1. - ................................................. 85
3.1.1. 1. ....................................................................................... 86
3.1.2. 2. ...................................................................................... 87
3.1.3. 3. .................................................................... 88
3.1.4. 4.
..................................................................................................... 90
3.1.5. 5. ................................................................... 93
3.1.6. 6. - .............................. 94
3.2.
ISO/IEC 27001 ........................................................ 95
....................................................................................... 102
4.
- ..................................................................................... 104
4.1. ..................................................................... 104
4.2. - .............................................. 107
4.3. - ............................................... 107
4.4. ............................................................................. 108
4.4.1. ..................................................................................... 110
4.4.2. ................................................... 111
4.4.3. ..................................................................................... 113
4.4.4. ...................................................................... 114
4.4.5. ............................................................................... 115
4.4.6. ,
.................................................................................................................. 117
4.4.7. ............................................................. 117
4.4.8. -....................................................... 118
4.5. - - ......................... 119
....................................................................................... 121
5.
.................................................... 123
5.1.
ISO/IEC 27001 ............................................................................ 123
5.2.
ISO/IEC 27001 .............................................................................................. 125
5.3. ........................................................................... 126
5.4. ............................................. 127
5.5. ................................................. 128
5.6. .................................................................................. 129
5.7. S/C R 13335:2003 ........................................... 130
....................................................................................... 141
6.
........................................................................................................................... 143
6.1.
............................................................................................................................ 143
6.2. ............... 147
6.3. ............... 154
6.4. ................................ 157
6.5. ........................................................................................... 165
6.6.
ISO 19011 ................................................................. 168
6.6.1.
ISO 19011 ....................................................................... 168
6.6.2. ..................................................................... 169
6.6.3. ...................................................................... 171
6.6.4. ,
....................................................................................................... 174
6.7. .......................................................................................... 176
6.7.1. ............................................................................................... 177
6.7.2. .......................................................................................... 180
6.7.3. ....................................... 180
6.7.4. ............................................ 182
6.7.5. , ................................ 187
6.7.6. ............................. 189
6.8. ............................................................ 189
6.9. ..................................................................................... 204
6.10. QSA- PCI DSS ........................................... 218
....................................................................................... 219
........................................................................................................ 222
A........................................................................................................................ 226
........................................................................................................................ 245
........................................................................................................................ 250
.................................................................... 254

() , ,
.
, ,
.
:
)
;
)
;
)
.
. ,
, ,
. ,
, , ,
, .
, ,
. ,
,
, , .

, .
, / (, ,
); ; / /
, : , , ,
, , ,
/ ,
, ,
/ ,
, ,
,
,
, , .
, .
: , , , ,
, , ,
, , (,
), ,
, (, , , ),
, . ,
.
, ,
,
.
,

.
,
.

, .

.
(ISO International Organization for
Standardization) [1] (IEC International
Electrotechnical Commission) [2]
. , ISO IEC
,
,

, , -
. ISO IEC
. , ,
ISO IEC .
,
ISO/IEC, 2.
ISO
(JTC Joint Technical Committee 1), ISO/IEC JTC 1.
, ,
.
75% -,
[3, 4].
: , ,
/, .

, ,
, .
ISO 27000 [5], ISO 20000 [6],
ISO 9000 [7] ISO 14001 [8]. , ,
. ,
, (IMS Integrated
Management Solutions) [9].
.
,

.
. ,
. , ,
,

.
,
, , ;

.
.
,
, .
(, ),
, ,

.

.
, ,
, , ,
, .
,
.
, ,
,
.
. ,
,
10
.
. ,
.
.
,
, , , ,
,
.

.

,
, ,
.
, ,

, ,
.
11
1.1.

: , ,
/, .

, ,
(), .
ISO 27000 [5],
ISO 20000 [6], ISO 9000 [7] ISO 14001 [8]. , ,
. ,
, (IMS Integrated
Management Solutions) [9].
, ISO 9000
,
ISO/IEC 27001 [3, 4, 10], ISO/IEC 17799 [11].

BS 7799. BS 7799-1

(BSI British Standards Institution) 1995 .
. ,
. 10 127
, ,
.
1998 BS 7799-2
.
,
, .
BS 7799,
,
.
1999 BS 7799
ISO 9001 ISO 14001,
ISO BS 7799-1
ISO/IEC 17799:2000.
12
BS 7799 2002 ., 2005 .

ISO ISO/IEC 27001:2005 .
. . .
. ISO 27001
,
,
ISO 27001.
27000
. ISO ,
, ,
, .
,
27000 . ISO/IEC 17799:2005
ISO/IEC 27002 [12-14].
ISO/IEC 27000, ,

(): COBIT (Control Objectives for Information and Related Technology
) [15] ITIL (IT Infrastructure Library
) [16].
2006 .
BS 7799-3,
27005.
, 27003 27004 [9].
,
27000:
ISO/IEC 27000 ;
ISO/IEC 27001 . .
;
ISO/IEC 27002 . .
;
ISO/IEC 27003
;
ISO/IEC 27004
;
ISO/IEC 27005 . .
;
ISO/IEC 27006 . .

;
13
ISO/IEC 27007
;
ISO/IEC 27011
.

ISO/IEC 27000, , ,
1.0/ISO/IEC 27001:2010 [10].
S/ R 13335 .
[17] ,
, , ,
, ,
.
1.2. ISO/IEC 27001 .
. .
1.2.1.
ISO/IEC 27001 [3] : ,
, ,
,
, ,
ISO/IEC 17799:2005 [11] (ISO/IEC 27002 [12]).
ISO , -
. ,
, : ,
ISO/IEC 27001, -
(Excluding any of
the requirements specified in clauses ... is not acceptable).
, ISO/IEC 27001
,
, ()
. ,
,
, .
,
, .

.
14
,
:
.
ISO/IEC 27001, ,
-

[9].
1.2.2.
ISO/IEC 27001 ,
, , , , ,

. ,
.
, , , ,
. , ,
;
.
/
.
ISO/IEC 27001 ISO 9001:2000 [7]
ISO 14001:2004 [8] , ,
.
, , .
,
[3, 4, 10].
ISO/IEC 27001 ,
, , , ,
.
.
,
, .
,
, :

, ;
15
,
, ;
;
, .
ISO/IEC 27001 -- ( -: PDCA Plan-Do-Check-Act),
. . 1.1 ,

; ,
, .
. 1.1. ---
PDCA ,
(OECD Organisation for
Economic Co-operation and Development),
(. 1.1).
, ,
, ,
[3, 4, 10].
ISO/IEC 27001 (, ,
, , , , -
). , , ,
, ,
.
16
,
.
,
,

[3, 4, 10].
1.1
---
( )
(
)
( )
,
,

.
,
,
.
,

,
.

,
,
.
1.2.3. ISO/IEC 27001

[3, 4, 18].
,
, .
.
.
:
4. .
5. .
6. .
7. .
8. .
17
. .
.
11 , 5-15
ISO/IEC 17799:2005. ISO/IEC 17799:2005
ISO/IEC 27001:2005.
, ,
[18].
. ,
. 4.2.1 ,
.
.
(. 1.2).
)
)

)
)
)

)
)
)
)
)
. 1.2. ISO/IEC 27001:2005: 4.2.1
,
(. 1.3).
.
. .

.
.
18
1- .
15.
14.
13.
12. ,

11.
10.
9.

8.
7.
6.
2- .
5.

ISO/IEC 27001
ISO/IEC 17799,
ISF
3- .

Microsoft 2830
. 1.3.
, ,
,
. .

,
( , , ),
, [18].

. 131, 11
(. 1.4).
,
. ,
, , .
, ,
. , ,
,
.
ISO 27001 [18].
.
.
19
, , ,
.
.
.5
.6
.7
.10
.9
.12 ,

.11
.8

.13
.14
.15
. 1.4.

. , ,
, .

:
, .
.
,
.
( ).
. ,
. [18].
, ISO/IEC 27001
,
, . - ,
,
.
20
- ,
,
,
. - ,
,
, /
, ,
,
[3, 4, 10].
.
(, ISO 9001 ISO 14001),
ISO/IEC 27001
.
1.2.4. .
, , , , ,

, . ,
PDCA (. 1.1) [3, 4, 10].

ISO/IEC 27001 [3, 4, 10]:
1.
, , ,
- .
2.
, , , :

;
,
;
,
;
, ;
.
21
3.
4.
5.
6.
7.
. ,
.
.
:
, ,
,
.
,
;
.
:
, ;
;
, ;
, ,
.
:
,
, ,
;
,
, ,
, ,
;
;
, ,
.
.
:
;
, ,

;
;
, ,
, .
.
,
22
,
.
, , .
, A
, ,
.
, A, ,
.
8. .
9. .
10. .
, :
, ;
, ;
-
A, .
.
.
, .

[3, 4, 10]:
,
, ,
;

, ,
;
, ;
,
, ,
,
.
.
() ,

;
;
;
23
;
,

.

[3, 4, 10]:
1. ,
:
;
;
,
,
, ;
, ,
,
;
, ,
, ;
2. (
, ),
, ,
, .
3. ,
.
4.
, , :
;
;
;
;
;
: -
, ,
.
5. .
. ,
.
24
6. , ,

.
7. ,
.
8. ,
.

;
, , ,
;
, , ,
; , [3, 4, 10].

,
.

, . :
; ;
; ;
; ; ,
, ,
, ,
; , ISO 27001;
[3, 4, 10].
1. ISO 27001
, , ,
.
2.
, : ;
; , .
3. -
- .
25

, , ,
.
, :
;
, ,
;
;
,
;
,
;
, , ,
, , ,
;
;
;
;
,
- .

.
.
-
, . ,
. ,
, , , ,
.

, , .
,
[3, 4, 10].

26

, , , , ,
[3, 4, 10]:
;
;
;

,

;
, ,
, , ,
;

;
;
.

, ,
, , , ,
; ,
;
, ;

; , ,
; ,
[3, 4, 10].
,
, ,
, ,
. ,
, ;
(, ),
; ;
, , .
27
,

, [3, 4, 10].

, :
ISO 27001 ;
; ;
, , , ,
.

, , .
, , .

. !
,
,
, . ,
,
.

[3, 4, 10].

(, ), ,
.
,
. ,
.
:
; ; , ,

; ;
, ;
; ,
28
; - ;
[3, 4, 10].
-
, :
1. ;
2. ;
3. , ,
, ,
, :
,
,
, ,
,
,
/ ;
4. ;
5. .

,
, ,
, ,
.

, .
: ;
; , ,
;
; ; .

, .
.
:
; ,
;
; ;
.
29

, , .
[3, 4, 10].
.
, .
1.3. ISO/IEC 27000

.
.

- .
,
,
. ,
. ,
.

. ,
, .
() ,
.
, .

.

ISO/IEC 27001. ISO/IEC 27001

.

, (. 1.5).

, .
[18].
30
. 1.5. ( )
. ,
,
. , .
. ,
, , .
,
, .
.

, .
, ,
, ,
(). ,
, , . ,
.

. ,
.
.
ISO/IEC 27001:2005
, :
;
, ;
.
31
: ,
, / , ,
, ,
, , ()
,
.

: , , ,
.
.
.
, , .
. ,
,
.
, ,
, (),
.
[18].

, . [18]:
1. .
,
.
-
(. 1.6).
2. .

.
3.
.
4.
, , .
5.
,
.
6. (

).
32

.
8. .
9.
.
10. ,
, .
7.
. 1.6.
ISO 27001 , ,
,
.

[18]. , :
1. ,
.
, ,
, , .
2. ()
. ,
-.
33
3. .

.
4.
.
, , .
5.
.
6.
, .
7.
.

.
8.
,
. ,
.
.
9.
(-, ,
).
10. - , , ,
,
.
11. ,
,
.
12.
, ,
.
13. .
. ,
()
.
.

.
34
14.
,
.
15. , ,
( , , ,
)
.
.
16. .
.
17.
[19].
.
18.
. ,
, .
.
[18].
1.4.
ISO/IEC 27001
-
, .

ISO/IEC 27001. :
, , , , ,
.
.

[20].
.
;

;
.
.
;
;
35
.
.
;
.
.
;
.
.
;
;
.
.
;
.
.
;
;
;
;
;
;
;
()
ISO/IEC 27001;
.
.
(, , ) ;
;
.
.
;
.
.
(, , ).
.
;
;
36
.
.
.
.
.
.
, , .

. ,
. ,
()
(. 1.2) ,
[20].
1.2

II
2-3
III
1-2
IV
3-9
5-12
VI
1-2

.

.
.
.

1.
;
;
;
.
2.
(, , )
;
( ,
, , , ,
).

.
.
37
, .
.
-.
,
. -
www.bsi.de [21].

. , ,
.
1.5.
ISO/IEC 27001

. 1- 2- .
3 9 .
, .

[20].

- .
(. 1.7):
, ,
.

.
[20].
.
.

.
(, )
.
() -.

38
- .
.

,
,

()
.
,
,
. 1.7.

, . .
.
.
()
.
.
.
, , , ,
.
, ,
()
. ,
,
.
39
.
,
.
. .
.
,
,
[20].

.
.
1) ISO/IEC 27001.
.
.
.
,
.
. .
2) .
:
, ,
, , .
.
.
. ,
,
.
.
3) ( ).
.
. ,
,
.
.
ISO/IEC 27001:2005 :
;
;
40
;
;
;
;
,
,

;
, ;
().
: ,
. , .
, :
, .
,
.
.
.
ISO/IEC 27001.
, ,
.
.
,
.
. ()
. .
,
. .
- . :
1. ( , ,
).
2. ( ).
3. ( ).
4. , , .
5. .
6. ( , ,
).
7. ( , ).
8. ( ).
41
9. .
.
. 10 :
1.
.
(1 ) (1-2 ).
2. .
.
3. .
- .
4. . -, .
5. ()
, (, ,
).
6. .
7. .
8.
.
.
9.
.
10. ,
.
.
[20].
1.6. ISO/IEC 27002
.
ISO/IEC 27002
ISO/IEC JTC 1, , SC 27,
.
/ 1/ 27.
, , ,
[12-14].
42
1.6.1.
ISO/IEC 27002
, ,
. , ,
.
,
, . ISO/IEC 27002

,
[12-14].
.
ISO/IEC 27002 [12-14]:
;
;
;
;
;
;
;
, ;
;
;
.
. .
1.6.2.
, ,
; ,
.
[12-14]:

;
,
.
,
, ;
43
,
, ,
.
1.6.3.
,
,
,
.
,
, ,
.
,
.

( )
, ( ).
,
, , , , ,
, , .
,
.
,
,
, .
, ,
, ,
, [12-14].
,
,
, . , ,
, , ,
. .
,
. :
;
44
, ,
;
,
;
, ,
.
,
,
, , .
,
: ;
; ;
, ,
;
, ,
.

, ,
. ,

. ,

, .
,
.
, , ,
. ,
,
, ,

[12-14].
1.6.4.

.

45
,
[12-14].

,
,
.

.
:
1. , ,
,
; ;
2. ,
, ;
, ,
;
3. ,
;
4. , ,
, , :
, ;
, ;
;
;
5.
, ;
6. , , ,

,
.

, ,
.

.
,
.
46

,
, .
,
,
.

,
, .

. ,
[12-14].
: ;
; ;
;
; ,
,
, , , ,
; ,
; ;
, .
:
;
;
/ .

;
.

1.
?
2.
.
3. ,
ISO/IEC 27001? , ?
47
4.
?
5. ISO/IEC 27001 .
6.
.
7.
.
8. PDCA?
9.
.
10. , ,
.
11. ISO/IEC 27001?
12.
ISO/IEC 27001?
13.
.
14.
ISO/IEC 27001?
15.

ISO/IEC 27001?
16.

ISO/IEC 27001?
17.

ISO/IEC 27001?
18.
?
19.
: , , ?
.
20.
ISO/IEC 27000 .
21.
ISO/IEC 27001?
22.
ISO/IEC 27001.
48
23. .
24.
ISO/IEC 27001.
25. ?
26. ISO/IEC 27002?
ISO/IEC 27001?
49
2

2.1.

.
.
, ,
.

.
,
,

.
[12-14].
2.1.1.
.
, ,
.
. :
,
;
,
;

;

;
, ;

;

;
,
.
50

,
. ,

, , .
2.1.2.
.

.
. ,
(), , ,
, ,
: , , ,
. :

;
;
: ,
;
,
;

;
,
;
,
;
.
, ,
, ,
.
2.1.3.
. .
.
.
51

. , ,

.
, ,
.

. ,
.
, , :
,
;
,
, ;
.
.
,
, . ,

.
, ,
.
2.1.4.
.
.
.
:
.
,

;
,
, ;
,
,
( ,
52
) ,
.
2.1.5.
.
,
.
.
,
.
:
, (, );
, , ,
;
;

(, );
, ,
;
, ;
,
;

;

;
, .

, .
.

, .
.

, ,
.
53
2.1.6.
. .
. , ,
(,
, , ), ,
. ,
, ,
(, )
.
.

.
,
, .
,
, , (
), (
), (
).
2.1.7.
. (
)
.
.
:
;
;
;
; ,
, ;
.
.
,
.
.
54
2.1.8.
.
( , , ,
)
.
. .
, ,

.
, .
, ,
, ,
.
, ,
.
, . .
,

,
, .
. ,
.
, .
S 19011 /
[22, 23]
, .
2.1.9.

,
, ,
.

. -
,
.
,
55
,
, ,
.
.
2.2.

.
.
. ,

[12-14].

. ,
,
.
.
,
, , ,
, , ,
, .
,
:
;
;
, ,
;
,
,
;

;

, ,
,
;
56

;
.
,

. , ,
, ,
.
2.3.
.
[12-14].
.
. ,
: ; ;
, ;
;
, ; ,

.

,
. , ,
.
.
.
,
, .
,
, , .
,
,
. ,
, ,
, ,
.
2.3.1.
57
. ,

.
.
.
, ,

. .
.
,
, .
, ,
: , .
, .
2.3.2. ,
. ,
,
.
.
, ,

. :

;

;
,
,
;

, ;

,
, ;
.
58
.
, ,
, .

. ,

,
.

,
.
.

,
. , ,
,
.
2.4.

.
, ,
, ,
[12-14].
2.4.1.
. , ,
,
, , .
.
, .
( ) ,
(, )

. ,
, ,
59

.
2.4.2.
. , , ,
, .
.

, .
,
: , ;
, ,
, ;

, -
;
, , ,
, ; -
.

. ,
,
.
,
, , .
.

, ,
.
, , ,
, ,
, .
.
, ,
, .
2.4.3.
60
. ,
, ,
,
.
.
:
1. , :
;
- ;
;

;
2. :
;
;
/;
;
;
-.
2.4.4.

. ,

.
, .
,
.
2.5.
,
,
[12-14].
.
.
61
.
, .

,
.
,
;
. ,

. ,
,
.
2.6.
.
, ,
() [12-14].
. ,
, ,
. ,
. ,
:
;
,
;

;
;
;
;
,
, , , ,
;
,
;
;
62
,
.
,

.
, ,
.
.
,
.
2.7.

.

[12-14].
.

.
.
,

.
:
;

;
(, )
,

;
, ;

, ,
;
, ,
, ;
63

,
;
,

, ;
, ,
.

,
. ,
, ,
.
, -
.
.
, .
.
2.8.

.
,
, , .
,
[12-14].
2.8.1.
.
, ,
, ,
.
.
,
. ,
:
64

, ;
,
;

,
,
;

;
,

;
, ,
, , ,

.
2.8.2.
. ,
-
, ,
.
.
,
.
, , :
, .
, .
. ,
,
, , ,
/ . ,
.
: ,
, , ,
; ,

65
; ,
.
2.9.

, ,
.
. , (,
), /
, ,
[12-14].
2.9.1.
.
.
.
:
, -
, ,
;
,

;
,
, ;
, ,
, (
) -,
;
,
;

, .
.
. : -,
, CD-, DVD- .
66
2.9.2.
. ,
, .
.
.
, ,
. :
,
, ,
,
;
, ,
;
,
;

, ;
;
, ,
.
,
, ,
, , .
.
.
2.9.3.
.

.
. ,
, ,
. :
;
;
;
,
67
; , ,
;
; ;
;
.
. ,
, , ,
, , , ,
/, - ,
, , -.
2.9.4.
.
.
.
:
;
; ,
,
.
.
, , , , , ,
.
2.10.

, -
.
,
.
, , ,
[12-14].
. ,
,
.
68
. ,

:
1. , ,
, , ;
2. ,
;
3. ,
;
4. ,
;
5. ,
;
6. , -
, , ,
, ;
7.
,
,
, ;
8. ,
;
9. , ,
, ,
;
10. ,
, ,
;
11. ,
, , ,
:
, ,
;

,
;
12. , ,
,
,
;
69
13. ,
:

;
,
;

,
;
, ,
, -
;
,
-
, ,
.
, ,

. .
.
, , ,
.
,
, .
, ,
,
, .
,
, ,
,
, ,
,
.
,
, , .
,
.
2.11.
70
.
[12-14].
.
:
;

;

;
;
;
;
,
, ;

,
;
, ,
;
;
- ,
, , .

, ,
. -
.
.
, .
, ,
.
2.11.1.
. ,

.
71
. ,
:
1. ;
2. ;
3. ;
4. -
, ;
5.
:
;
;
(
- );
,
.
.
, ,
, .
2.11.2.
. ,
, .
: ,
;
; ;
, , ;
,
; ,
.
. , ,
, (EDI)
.
,
.
2.11.3.
72
. ,

.
.
, :
,
;
,
,
,
, ,
, , ;

;
,
;
,
, , ,
;
, ,
, ;
;
, ,
;
, ;
.
.
,
: , ,
, , , ,
, , / .
2.12.

.
,
, - , ,
73
,
[12-14].
2.12.1.
. , ,
,
, .
. :
,
, ,
;
,
;
, ,
,
, , ;
, -;
- ;
- ,
, , ;
, ,
;
,
;
,
;
;
, - ;
.

, .
,
,
.
.
.
.
74
(),
, - ,
.
,
, ,
.
, ,
.
, .
2.12.2.
. , -
, ,
, , .
. - :
1. ,
;
2. , , :

;
;
,
;
3. ;
4. ,
;
5. ,
, , ,
,
, ;
6. (,
/ ),

.
.
, - .
- , , , .
75
2.12.3.
. ,
.
. , ,
,
, , .

, .
, . ,
, , ,
. , ,

, :
; ,
, , ;
, ;
,
.
. ,
, , web-,
, , ,
, ()
().
.
2.13.

.
.

.
,
.

[12-14].
2.13.1.
76
. , ,

,
.
. :
(user IDs); , , ,
;
; ;
;
; ,
; , ;
; , ;
, ,
/ .
.
.
. , ,
.
2.13.2.
.
,
.
. ,
.
. :
1. , :
,
,
,
, ,
/;
2. :
, , ,
, ,
,
/ /;
77
3. :
,
, ,

,
/ ;
4. :

,
,
,
, ;
5. .
,
. , , :
; , ;
,
( );
( );
.
.
, ,
. ,
, , ,

.
2.13.3.
. ,
.
.
,
: , ;
; ,
,
.

.
78
.
, .

/
,
. , ,
,
.
2.13.4.
.
.
. : ,
( ); (, ,
) (, );
, ;
.

.
.
/ ,
.
2.13.5.
. ,
.
. ,
,
.
, ,
, / ;
,
, . ,
, .
.
.
79
, ,
[12-14].
2.14.

, ,
,
.
. ,

, .
-
[12-14].
2.14.1.
.
.
.
,
, ,
.
. ,
,
. ,
-
.
.
:
1. , ,

, ;
2. ,
,
, ;
3. ,
, :
80
(,
, , , );
, ;
4.
, ,
.

,
.
, .
.
: , ;
; ; ;
; ;
; .
,

, ,
.
,
.

, , .
2.14.2.
. ,
-
.
. ,
,
,
.
, . ,
, - , .
. ,
,
.

81
,
[12-14].
2.15.

.
,
, .
,
,
. , ,
[12-14].
2.15.1.
.
,
.
.
,
.

:
1.
:
,
,
,
, ,
,
;
2. , :
,
,
,
,
82
,
, ,
;
3.
:
,

, ,
, ,
,

;
4.
; :

,
, , ,
,
,
.

, ,

.
.
. ,

.
2.15.2.
. ,
,
.
. ,
,
.
.
,
83
, ,
.

1. .
2. ?
3. ,
?
4.
?
5. .
6.
ISO/IEC 27001.
7. ?
8. .
9. ?
10. ?
11.
?
12. ?
13.
?
14. .
15. .
16. .
17.
ISO/IEC 27001.
18. .
19. .
20.
?
21. ?
22.

ISO/IEC 27001?
23. .
24. .
25. .
84
3
-
ISO/IEC 27001
3.1. -
,
-. :
(OHSAS 18001),
(ISO 14001) [8], (BS 25999) [24],
(ISO/IEC 27001) [3].
- , [25]:
;
.

. -
:

;
;
;
.
(, ) ,
,
. :
, , ,
, ,
, ,
. .
. , :
,
,
;
;
, ,
;
85

, ,
.
DPCA [4]: --. -
[25].
3.1.1. 1.
- ,
. ,
, , , , ,
, - .
- .

. ,
, .
- .
, .
ISO/IEC 27001 , :
. ()
, ,
12 : 12 .
.
. ,
.
.
, , : 1,
, 2.
.
. . ,
:
(), () ,
(), (), (),
(), (), ().
. 3.1.
[25]:
86
;
- ,
;
. ,
:
+ + + +
, + ,
.
3.1

15
. 2
. 1
3.1.2. 2.
87
192
2.
1.
3.
49
27
35
21
35
.
- .
, - .
().
. ,
: .
. :
?. ,
4 4.
: , , ,
.
. :
?. , : ,
, .
4:
1. .
2. .
3. .
4. .
, .
50-100 .
, .
2-3 [25].
3.1.3. 3.

. , ,
. :
= * .
,
: .
.
.
.
, .
[25].
88

(. 3.2).
3.2

1 3
1 1

, .
.
. ,
. , . ,
.
. 3.3.
3.3
,

/
( 100$)
( 100$).
, ,
.

() , . 3.4.
89
3.4
()
1
3
5
7
3
9
15
21
5
15
25
35
7
21
35
49
9
27
45
63
.
. , 200 , 3
600 .
. ,

. , ,
-.
3.1.4. 4.
.
. -
, .
- .
, .
.
, .

[25].
.
.
ISO/IEC 27001 . ,
,
. . 3.5 1
63. , , 25.
ISO/IEC 27001 .
:
90
3.5

1-21
25-63

. .

.
.

.

1.
.
, ,
25 ( ).
2. 25 .
,
:
() ;
,
;
;
,
, .

: , , .
.
.
3. , . ,
, .
, ,
. ,
.
4. (
).
91
, .
:
-
, ;
;
,
.
5. , -
.
, , 35.
,
. . ,
.
- .
6. ISO/IEC 27001
.
.
7. . ,
. , .
, .
8.
.
,
. ,
.
.
9.
. ISO/IEC 27001
. .
.
10. . -
.
, .
- (. 3.6)
92
3.6
49
35

192
4.
1.

2.
3.
120$
8 /
.
27
5.
4.
3.
2.
1.
21
27
3.1.5. 5.
,
. ,
.
.
, /.
. , ,
. .
93
.
. ,
. -
, ,
. ,
ISO/IEC 27001.
3.1.6. 6. -

. ISO 27001
.

. -
. ,
,
.
,
, [25].
- . ,
. :
;
, ,
;
,
;
Excel
;

.
- :
( );
, -.
- -
[25]:
ISO 31000. -. .
ISO/IEC Guide 73. -. .
94
-,
:
NIST 800-30. - .
BSI Standard 100-3. - -.
3.2.
ISO/IEC 27001
,
. ,
. .
ISO/IEC 27001
, , ,
.
[26].
.
.

, .
:
:
;

ISO/IEC 27001.
ISO/IEC 27001,
.
. ,
,
ISO/IEC 27001 .

[26].
, .
ISO/IEC 27001.
, , .
. ,
, .

ISO/IEC 27001. .
.
95
, . :
?.
. , .
, . Bridge
Point [27]
ISO/IEC 27001. :
Bridge Point;
, ;

;
( );
;
(, ) ;
, ;
;
;
.
. 3.1 [27]
Bridge Point. Excel,
.
. ,
. [26].
,
, .
Excel.
,
. ,
. : ,
, , , 12
, . .
( ) ( ).

.
. ,
.
.
.
( 1)
96
( 2). 2 25%,
. 2
100% . ,
.
,
, . ,
,
ISO/IEC 27001.
[26].

ISO\IEC 27001

( ,
, )
ISO/IEC
27001
ITIL
. 3.1. ISO/IEC 27001 ( Bridge Point)
, .
, .
97
, ,
. . 3.7 [27]
, () .
20
, , . ,
,
.
.
3.7
(4-8)
.5
.6
.7
.8
.9
.10
.11
.12 ,

.13
.14
.15
1
3
2
2
2
2
3
1
3
3
3
2
2
2
3
2
2
2
2
3

ISO/IEC 27001
1
1
2
2
1
2
3
2
2
3
1
2
1 3 .
,
.
98
3
( ISO/IEC 27001) ;
2
, ;
1
.
,
.
,
.
, ( 150)
( ) (. 3.2).
Compliance Score
ISO 27001 / ISO 17799

Bridge Point Self Assessment Tool Results
ISO 27001 Control Objective
. 3.2. ISO/IEC 27001 (

Bridge Point)
(. 3.2) [27]
ISO/IEC 27001. [26]:

;
99

;
;
( )
;
( )
;
.

. ISO/IEC 27001 12 .
4- 8-. 11

ISO/IEC 27001. 5-15.
(. 3.3)
[27].
[26].
Compliance Score
ISO 27001 / ISO 17799 Control Objective
. 3.3. ISO/IEC 27001

( Bridge Point)
100
,
,
.

.
. ,
. ,
. (. 3.8) [26].
3.8
ISO/IEC 27001
/
1
4.2.

4.2.1. ) 1)
1.
2.
.11.
.11.3.3

,
,

,

,

1.
2.
:
,
. ,
1-4;
.
;
101

. .
.
.
.

ISO/IEC 27001.

( ). . ,
:
[26].
, .
,
. ,
[26].
:

. .
.
,
.

.
,
(,
, ), ,
. , ,
.

. . ISO/IEC 27001
( .15.3.2) ,
. , , .
, .

[26].

1. -? .
102
2. -
?
3. - ?
4. ISO/IEC 27001
?
5. .
6. ?
7. -?
8. .
9.
-.
10. ?
.
11. ,
.
12. () ?
13. ?
?
14. .
15. ?
16. -.
17. -.
18.
.
19. ISO/IEC 27001
?
.
20.
ISO/IEC 27001?
21.
?
22.
?
103
4

4.1.

.
, ,
.
, , ISO: ISO/IEC 27001:2005,
ISO/IEC TR 18044 [28, 29].

,
. ,
, -
. ISO 20000:2005 Service Delivery
and Support .

[30]:
ISO/IEC 27001:2005 Information security management system. Requirements.

,
.
ISO/IEC TR 18044 Information security incident management.

PDCA. ,
, .
-
, ,
.
CMU/SEI-2004-TR-015 Defining incident management processes for CISRT.
, ,
.
CISRT (Critical Incident Stress Response
Team) ,
, .
104
,
, .
NIST SP 800-61 Computer security incident handling guide.

.
, ,
.
, ,
,

.
,
, ,
. , ,
, ,
-, - ,

.

. .

,
.
, , ,
.
,
(). ,
()
.
.

.
,
, :
, ( ,
), ,
.
-
.
105
ISO/IEC 27001:2005.
,
.

.
,
.
, ,
. ,
,
,
.
.

, :
, , ,
,
.
,
:

, ,
, ;

[28].

. ,
. :
, ,
, , .
, , .
- , ,
.
. ,
ISO/IEC 27001 ISO/IEC 20000.
[31].
106
4.2. -
- -
:
?
?
?
(, ), ,
?
(, ,
, )?

?
, - ,
. ,
.
,
- .
-
.
,
. ,
, . ,
.
, .
-
(, , , ).
- .
4.3. -

-:
1. .

.
Call-,
,
107
,
.
2. .

. ,
, ,
, , .
- . 4.1.

1. -
2.
-
,

,

. 4.1. -
,
, ,
- .
4.4.
108
- -
.
. ,
. ,
Word Excel.
- (. 4.2),
.
1.
2.
3.
4.
5.
6. ,

7.
8. -
. 4.2. -
109
.
, -
.
4.4.1.
: ,
.

. , .
.
. ,
, ,
, . ,
.
-
( ),
. .

,
-.
() (. 4.1).
4.1

( )
- , ..

110

.
,

.
(,
)
,
.

, .
,
4.4.2.
:
.

:
;
() ;
;
;
.

? (. 4.3). ,
.
?

.
.
, ,
.
111
(...)
()

()

(...)
()

( )

050 777-77-77
050 777-77-55 ()
032 222-22-22
032 222-33-33
ivanenko@company.com
, 3- , 302

050 888-88-88
050 888-88-77 ()
032 222-22-55
032 222-33-55

( )

..,
( )
(
)
(, )

..,
. 4.3. ?
112

.
, ,
.
, .

, . 4.2.
4.2
,

( )

... ,

( )

(
)
(, )

... ,
4.4.3.
:
.

(. 4.4). ,
.
.
.
.
:
24 .
,
.
3 .
113
114
()
, :
. 4.4.
4.4.4.
: , ,
.
,
.
(. 4.4).
.
:
, ;
;
.

,
.
4.4.5.
: , ,
.
:
;
, .
:
, ;
;
.
, , , ,
:
;
;
;
.

(. 4.4).

.
. 4.3.
,
,
(. 4.5).
115
4.3

(
100 USD)
(
1000 USD)
/

(
10000 USD)

/

,
/

, /

. 4.5.
116

, 3- .
4.4.6. ,
: ,
.
,
:
;
.

(. 4.4).

.
.
.
4.4.7.
: ,
.
,

.
(. 4.6).
117
20
:
, :
1.

( )

( 1 5)
2.

3. ,
( , )
()

(, )
4.
. 4.6.
4.4.8. -
118
: .

:
;
;
;
?.

.
-
.
- ,
, . 4.7.

,

.

.

,

.

,
.
. 4.7.
4.5. - -
119
- -
.
, .
, 12 3
.
- :
,
;

.

. -
.
, ,
. ,
. :
;
;
,
.
,
, .
- -
. -
, ,
.
-
, , .
. -
. ,
.
-
. ,
NIST SP 800-61 [32], ISO / IEC TR 18044
[29] . , ,
-
[31].
120

1. - -?
2. ?
3. -
: ISO/IEC 27001:2005, ISO/IEC TR 18044,
CMU/SEI-2004-TR-015.
4. - -
?
5.
- .
6. ,
.
7.

?
8. ,
, ?
9.

, ,
, ,
?
10. ,
.
11.
.
12. ?
13. - .
14.
.
15. - .
16. -.
17. .
18. ?
19.
?
121
20. ,
?
21. , ?
22. ?
23. ?
24. .
122
5

5.1.
ISO/IEC 27001

ISO/IEC 27001
. .
,
.

.
[33]:
1.
.
.
, .
, .
2. .
3. ,
.
, .
,
.
4. .
,
.
, .
.
:
, .
. ,
. , .
.
, .
,
. . , ,
123

(. 5.1).
5.1

1
2
3
4
5
01.11.2011
05.11.2011
..
05.11.2011
10-12.11.2011
01.11.2011
3
,
,
.
.
, . ,
:
. ,
.
;
,
.
.
,
20 40.
, .
()
,
:
ISO/IEC 27001;
.
. ,
.
124
5.2.
ISO/IEC 27001
,
. ,
[26].
, , (. 5.2).
: ,
.
5.2
.11.
.11.3.
3
1.
2.
1.
2.
01.10.11
1.
/
2.
/
15.11.11
1.
/
130 US
D
2.
/
125
4.2.1. )
4.2.

.
.
(. 5.3). ISO/IEC 27001
.
. .
5.3
49
2-

/
90
USD
10.12.11
10
USD
10.11.11
5.3.
.
,
.
:
; ( ).
126

. (, ,
) ,
.

.
,
.
.
.

. ,
, [33].
5.4.

(. 5.4).
5.4

4-8
5
6
15
01.10.2011
..
10.10.2011
..
01.11.2011
10.11.2011
01.12.2011
10.12.2011
..
..
..
..
01.02.2011
10.02.2011
..
..
.
, .
127
5.5.

. :
, , , ,
, .
(. 5.5) [33].
5.5

01.10.2011
..
10.10.2011
..
01.11.2011
..
10.11.2011
..
10.12.2011
..
01.02.2011
10.02.2011
..
..
,
, .
,
. ,
.
[33]:
/ ;
(, , );
(, , );
(, );
(, , );
(, );
/ ;
// .
128
5.6.

.
,
. ,

. ,
.
. ,
. ,
.
. , .
.
.
, ,
.
.
. , ,
, [33].

.
Microsoft Project. : Spider Project,
Primavera Project Planner, Turbo Project . ,
.
.
, .
,
Microsoft Excel (. 5.6).
[33].

. .
, .
. ,
, . ,
, .
.
129
: ,
, , .
5.6

1
2
3
4
1.1
1.4
1.2
1.2
1.3
3.4
3.1
3.2
4.2
4.3
4.7
3
4
4.5
2.1
2.1
2.8
2.8
2.3
2.6
2.4

.
: (),
, ( ).
, .
.
: ,
, .
.
. Excel.

, [33].
5.7. S/C R 13335:2003
S/C R 13335-1:2003
. . 1.
[17, 34]
,
.

. 1
130
S/C R 13335.
S/C R 13335:2003 :
;

;
;
;
,
;
, ,
.
, ,
.

,
. S/C R 13335
,
[34].
:
, ;
;
;
;
;
,

;
;
.

.
.
:
;
;
, : ,
; , , , , ,
;
131
;
;

;
;
;
, , , , .
, (. 5.1)
.

.

(1)

(n)

. 5.1. ,
, ; ,
; , .
,
.
- ,
132
, , .
,
( , )
[34].
(corporate security police)
.
, ,
, .
IT (corporate IT security police)
,
I .
(IT system security police)
.
, ,
, .
.
,
, ,
, .
, : , , , ,
, [34].
, ,
.
,
. ,
, .
, , ,
. 5.2 [34].
. , ,
, ,
. :
;
;
.
, ,
, .
,
. - , ,
133

, .
. 5.2.
,
. ,
. . 5.3 ,
.
. [34]:
, ,
;
;
;
;
, ;
, .
134
R
S
V
S
RR
V
V
RR
V
V
S
RR
. 5.3. (R , RR , S , T
, V )
. 5.3,
, /
. ,
. , ,
, .
, .
,
[34].
. 5.4 ,
. [34].
. 5.5, 5.6 5.7
, .
[34]. ,
. , . 5.4
2 3
SO/ TR 13335.
135
. 5.4.
. 5.5.
136
. 5.6.
. 5.7.
,
. 2 ISO/ R 13335
[34]. 3 . ,
. 5.8,
.
137
. 5.8.
,
.
,

. S/ TR 13335 ,
.
S/C R 13335-2:2003 .
. 2.
[17] , ,
,
.
.

, .
17 . 5 6
. 7
. 8 16
.
2 ,
.
138
,
.
. ,

. ,
. ,
, . 3
,
, 2.
.
, S/C R 13335-3:2003
.
. 3. [17]
,
.
.
,
, S/C R 13335-1
S/C R 13335-2.
S/C R 13335-3:2003 :
S/C R 13335-3;
;
;
,
;
,
;
;
,
.
S/C R 13335 ,
.
, S/C R 13335-1
, S/C R 13335-2.
S/C R 13335-3
. ,
, . , ,
139
S/C R 13335-3 . ,
.
S/C R 13335-4:2005 .
. 4. [17]
,
.
. , ,
, . , ,
S/C R 13335
, S/C R 13335-3.
.
,
:
;
;
.
, ,
,
.
,
( ).
S/C R 13335-4 ,
,
S/C R 13335-3. S/C R 13335
, ,
. ,
.
S/C R 13335 - ,
, .
S/C R 13335-4:2005 .
. 5.
[17]
, .
,
, .
S/C R 13335-4 , ,
,
.
140

.
, -, ,
, ,
, ,
(
,
S/C R 13335).
, ,
,
. :
;
;
, (
, ).

.
,
.

, .
, , -,
, , ,
.
.
,
. :
;
;
,
, .
,
.
[17].

1.
?
141
2.
.
3.
?
4.
?
5.
?
6. ?
7.
.
8. ,
?
9.
?
10.
ISO/IEC 27001.
11.
.
12. ?
13. ?
14.
ISO/IEC 27001.
15. ?
16.
?
17.
?
18. .
19. ?
20.
S/C R 13335?
21. .
22. ,
S/C R 13335.
142
6

6.1.

,
, , ,
.
,
. ,
, ,
.
,
, , .
,
, ,
, , , .
. ,
,
,
,

. ,
, , , ,
. 70-

,
. 1979 .
, .
XX . ,
, , ,

,

, , .

.
143

(IS0/IEC 15408)
(ISO 17799 BS 7799, ISO 27001).
(CBIT).
,
, .
, ,

, ,

. , ,
, , .
.
(-) ,
, , .
.
,
,
, ,
. ,
, .
80-
BS 17799

.
,
,
, .
ISO 15408,
, .

, ,
,
90- ,
.
, - .
, .
, ,

144
.
,
ISO 17799, BS 7799,
ISO 19011, ISO 27007. ,
.
.
,
. ,
,
, .
:
(),
- ;

;

,
, ;
.

,
( )
20/80, 20% ,
80% (), .
.
, :
.
, , .
,
, .
,
,
, ,
,
. ,
,
. .
.
, .
145
,
, , , ,
, :
,
;

.
.
: ,
, , ,
. ,
, ,
.
, , .
,
, .
, , , ,
,
(), ,

:
; ,
; , [35].

.
:
;
.
, ,
,

, ,
, , .
,
- . ,
. , ,

.
146

, , ,
, ,
, [35].
ISO 9000 14000, ISO 19011, ISO/IEC 27007,
BS 17799
.

/ ,
.
,
,
.
, : , ,
, ,
, ,
/ ,
.
.
, ,
, ,
, .
.
.
6.2.
,

() .
, ,
, .

,
(, )
, .

.
147
,
()

.

, .
, ,

, . ,
, ,
,
.

, , , , ,
.
, , , ,
, , .
Plan-Do-Check-Act (PDCA)
---
IS/IEC 27001 ,
, ,
. ,
.

. ,
, ,
, ,
, ,
, . ,
.
:
;
;
;
;
.
:
148
1. ,
, ; ,
- ;
2. ,
, , ;
3. () ;
4. ;
5. ;
6. ;
7. () ;
8. ;
9. ;
10. .
:
1. , ,
,
;
2.
, ,
;
3. () , ,
;
4. ,
,
;
5.
;
6. ;
7. ;
8. ,
,
.
:
1. ,
, :
;
,
;
149
,
;
, ,
;
2. (
)
, ,
,
;
3. ;
4.
, :
;
;
;
;
;
, ,
, ,
;
5.
;
6.

;
7.
;
8. , .
:
1. ;
2. .
, ,
;
3.
, ,
;
4. , ,
.
150

, . ,

. .
,

[35].

,

. .

, ,
. ,
, , ,
.
,
.

, ,
.
. 6.1 [35].

- c
- ,

- ,
,
- -
-
-

-

-

-

-

. 6.1.
151
:
, ;
;
;
.
,
,
, ,
.

, .

, .
,
.
, , ,
, , : , , , ,
.
,
.

,
, ,
,
.
(,
),
.

, .

,
, .
,
,
.
.
152

.

, , ,

.
.
.

.

. ,

.
, .
, .

. ,
( )
.
.

, ,
. ,
,

[35]:
,
;
,
;
;
,
.
-
. ,
,
.
153
, ,
- ,
.
() ,

.
6.3.

, . ,
,
()
.

,
, , ,
. ,

.

,
,
ISO/IEC 2700X .
7799 ( IS0/IEC 17799) ISO/IEC 27001,
,
. ,
, ,

ISO/IEC 27001. : ,
? ,
, .
,
, .
,
, . ISO/IEC 17799,
ISO/IEC 27001 ,
, .
, ,
154
,
, .
.
,
,
, ,
. ,
IS/IEC 27001, , ,
,
.
IS/IEC 27001 ,
, (,
,
,
). ,
;

. BS 15000 ,
BS 7799 ( 2) UKAS
.
(ISO) ISO.
-7/3 ( ,
)
,
.
.

,
. ,
: ,
?

, ,
.

ISO/IEC 27001 (. 6.2,
. 6.3).
155
RvA
COFRAC
ANAB
PCA
JAB
ENAC
UKAS
IAF International Accreditation Forum
EA European Cooperation for Accreditation
. 6.2.
1.
2.
3.
1.

2.

1.
2.
3.
. 6.3.
156
ISO/IEC 17799/BS 7799:2

(, ).

. , ,
,
, () [35].
6.4.
:

;

(
,
, , ,
,
).

. ,

.
(, ,
), (, ,
) .

, ,
,
.
:
1. .
, , ;
2. (fair presentation)
. ,
.
,
();
157
3. (due professional care)

.
,
.
;
4. (independence)
.
.

,
;
5. , (evidence-based approach)

.
,
.
,
. ,
[35].

. 6.1 [36].
6.1

,

(,
, ,
).
,

,
158
(
,
,
)

,
,

;

- (
, ,
,
)
1. :
( );
( ,
, ).
2. , :
;
;
;
, .
,
.

, ,
.
1. -
.

( ).
159
,
.
2. ,
, ,
; , ,
, ,
. .
3. . .
.
, , : ,
, .

, .
.
:
;
;
;
;
;
, , ;
;
,
;
.

. .
, , ,
,
.
, .
.

.
, . , ,
,
.
,
- :
160
1. . ,
,
, (,
).
, ;
2. .
- ,
, ;
3. ,

. , ,
,
,
.
,

.
. ,
.
:

, .
;
,
,
.
, .

(
);
.
,
,

;
, :

.
161

, ,

.
, ,
, , (,
, , ).
, ,
, .
,

, .
.
:
;

;
;
(, , ,
);
;
, ;
;
.

(. 6.2).
()
(. 6.4) [35]:
;
-
;
, ,
;

.
162
6.2

1.
2.
3.
4.
5.
6.

.

,

.

,

,
,

,

,
; : .
( )
. ,
( ), .
, , ,
(
, ).
, .
.
.
.
.
,
[37].
163
164
ISO 15408
. 6.4.
ISO 17799,
ISO 2700127007
ISO 19011
[35]:
,

, , ;
,
, ,
( ,
, ,
);
, ,
, ,
,
;
, ,
(
, , ,
,
, );
, ,

,
;
,

.
6.5.
, . 6.5 IDEF0
[35],
.
,
:
;
, ;
;

.
165
166
(,
,
)

( )
( )

(,
,
.6.5.
()
,
, , ,
, ,
(, , ), .

( ).
,
,
,
(, , ) ,
.
,
( )

,
.

.
()
:
(, ,
, );
,

,
, ;
.
,

( . 6.5
() ),
,
.

( ) ( . 6.5
) .
(. 6.5)

. , ,
167
, , ,

( )
.

,
.
6.6.
ISO 19011
6.6.1.
ISO 19011
ISO 19011
. ISO 19011
, , ,
.
,
.
,
.
4 ISO 19011 .

5, 6 7. 5
,
,
,
. 6 ,
. 7
.
.

, ,
.

, , ,
, .
168

:
: .
, ,
.
: .
,
. ,
,
.
:
.
,
.
.
, , , .
:
.
, ,
.
,
.
, :
.
.
,
.
, .
6.6.2.

, , .
, .
,
,

. .
169

.
:
, , ,
;
.
. 6.6
.
1. . 6.6 ISO 19011
---.
, ,
, .

.
.
,
, , .
[38].

( ) ( ),
.
.

, .
1.
.
2. ,
,
.
.
3. ,

, [22].
: ,
;
;
/ ,
/ ,
.
170
,
.

-
-
-
-

-
-
-
-

-
-

-
. 6.6.

6.6.3.
171
( )
. , ()
, , ,
.
1. , , :
1)
ISO 19011, ISO 27007, ,
2) .
, ,
.
2. , ,
. ()
, ()
,
( )
ISO 19011, ISO 27007 [22].
,
.
:
;
;
;
, ;
;
;
;
.
:
;
; ;
[38].
,
, , [38]:
, , ;
;
, , ,
, ;
172
, ,
;
/;

;
- , ;
;
.

[22]:

.

()
.
(),
() .
,
.
,
.

.
. ,
: 2 (
).

4-
. 2 3
.
,
:
1. ;
2.
;
3. ,
()
.
173
.
.
, (,
) .
,
, ISO 19011, ISO 27007 [22].
6.6.4. ,

, ,
, .
, ,
, .
:
;
, ;
;
;
, .

:
, , ,
;
;
,
;
,
;
;
, .
:
;
;

;
;
174
, , ;
;
;
.

.
:
;
,
;

;
;
;
;
;

;
, , .
,
:
1. , , :
;
;
;
;
, ;
2. ;
3. , ,
:
;
;
.
.

,
.
.
175
: ;
; ,
.
:
;
;
;
;
;
.

.
6.7.
ISO 19011
. . 6.7
.

.
. , -

176

-
- ,
-
-
-

-
,

-
-
-

-
-
-
-
-
-
-
-
-
. 6.7.
6.7.1.

177
, ,

. ,
,
.
,

, .
, , :
(
) ;

, ;

;
.
, , ,
, , ,
.
, ,
, , , ,
,
/ .
.

. - ,
.
,

.

, , :
;
;
.
178
, ,
, .

, ,
, ,
. ,
. 7 ISO 19011

.

:
, , ;
;
,
;
, , / ;
,
, ;

;
, ,
;
, .

: , ;
,
.
,
.
. -
,
.
,
. , ,
, (
),
.
,
179

.

, ,
, .
:
;
;

;
, ;
;
;

.
6.7.2.

.
, .
, ,
.
, .

.
,
,
.
,
.
6.7.3.

180

,
.
.
,
. , ,
, .
, ,
,
.
:
;
- , ;
,
, ;
;
,
;
-
;
.
, , :
;
, ,
/ ;
;
(, );
, ;
- .

.
-
, . -
.

181
, , .

, ,
- .
.

,
, ,
. :
;
, , ,
.

, ,
. ,
, . ,
,
.
6.7.4.

, , , .
:
;
, ;
;
.
, , ,

.
.
, ,
:
;
, ;
182

, ,
, -
, - ;
, ,
,

;

;
, ;
,
;
,
;
, ;
, ,
;
-
;
, ;
, ;

.

,
.
, , ,
.
, ,
- . ,
(,
, , , ),
, , . ,
,
.
183
,
,
.
,
. , ,
-
,
.

,
.
. , ,
.
:
;
;

;
;
.

, ,
, . ,
. .
.
, , ,
.
. 6.8
.
:
;
;
.
184
. 6.8.

:
;
,
;
, , , , , ,
, , , ;
, , ,
;
, ;
185

;
, , ,
;
-.

, , . ,
, :

;
, ,
, ;

, ;
-
;
;
, (
);

, ;
, , .

. ,
. ,
.
, ,
.
,
, .
,
.
. .
,
.
186
/ ,
.

:
-
; ,
;
, ;
, .
:
; ,
;
, , .
,
, /
, .

,
, , , ,
.
,
.
,
. , ,
,
.

. /
,
, .
. ,
. ,
.
6.7.5. ,
187

. , ,

:
;
, ,
, ,
;
;
;
;
;
;
.
, ,
:
;
;
, / -
, ,
;
,
;
- , ,
;
- ;
, ;
, ;
;
.
.
,
. ,
.
, .
.
.
188
6.7.6.
,
.
- ,
, , .

, - ,
-
, , ,
.
, .
, , ,
.
.
.
.
.
,
.
.
6.8.

,
. .
:
,
;
;
;
, .
,
,
, ,
.
189

,
.

. , ,
,
.

,
, .
,

, ,
.
.

, ,

. :
, ;
;
,
.

,
,
.

.
.
,
.
, , , , ,
, .

, , ,
.
190
, ,
:
1. .
, ,
, ,
, .
, ,
,
;
2. .
:
, ,
;
( ) ,
;
, ;
3. .

-
;
4. , ,
, .
:
IS0/IEC 27001-2005 Information technology.
Security techniques. Information security management systems. Requirements;
ISO/IEC 13335 Information Technology. Security
techniques. Management of information and communications technology
security;
ISO/IEC 17799 Information technology Code of
practice for information security management;
/ 15408-1-2002. .
.
. 1. ;
/ 15408-2-2002. .
.
. 2. ;
/ 15408-3-2002. .
.
. 3. ;
191
19011-2003.
/ .
5. .

, ,
, ,

.

[35].

, .
:
;
, ,
, .
. 6.9.
,
.
. 6.9.
192
,
.

,
. :
, , , , ;
,
;
, ;
,
;
, ;
, ;
, , ;
,
;
,
.

, .
1. , :

. :
, ;
;
;
;
,
, ;

;
;

;
,
;
193

;
;
;

.
2. , :
.
:
;
;
,
, ,
;
, ,
;
, , ;
,
, , , .
3. : ,
. :
, , ;
;
.
4. , , :
, ,
. :
, , ;
;
;
, .

.
.
,
. ,
,
.
194
,
. 6.3.
6.3

1.
2.
3.
4.
5.

5
1-5
1
5
1-5
3
1
0
3
1
0
2
0
5
0
5
1
0

:
1. (. . 6.3)
9;
2.
12;
3.
12;
4. ,
. , 3- .
.
, ,
, , ,
, .

195

. :

;

;
;
-;
;
;
.

, .
1. , :

.
:
;
;

(, ,
).
2. , :
, .
:
;
, ;
.
3. :
.
:
;
;
;
;
196
4. :
, ,
/ .
:
;
;
;
, ;
;
.
, ,
, ,
, .
,
.
, .
,
, ,
, ,
, / .
,
:

;
, .
, ,
.
.

.
. , ,
.
.

, .
197
,
, .

:
,
;
, ,

.
, ,
, ,
,
.
, . 6.4 ,
.
.
6.4
, ,

(. . 1)
5 (. . 2)
2
5

,
,
,
40 . ,

20
-

(.
. 3).

198

15

(. . 3).

.
1. ,
,
.
2. ,
.
3. , (
, ,
, ).
.

, .
, , , ,
, , ,
.
.
,
, .

.

, ,
,
.

.
, :
, ;
;

.
. 6.10 .
199
. 6.10.
.
1 , ,
.

:
, ;
;
/ ;
;
, ;
200
.
2 .
(,
, ,
) (, ,
).
3 .

, . 6.5. . 6.5
, :
,
;
;
,
, , .
6.5

, , ,

, ,
, ,

,
, ,

,

,
201
,
,

,
,
,
4 .
, , ,
2. ,
, /
, . ,

, . 6.6 [38].
6.6

1
,

,

,
,
,
,
,
,
,
, .

202

.
.

.

,
.

,
,

,

,
,

,

,

.
. .

, .

203

,
,
,
,

.

,

,

.

,

,

.
6.9.
,

.
,
:
, ,
, ,
, ;
;

;
204
,

;
IP-,

;
,
;

ISO/IEC 27001:2005
;

.
:
NSA Infosec
( :
, ).

ISO/IEC 27001:2005 ISO/IEC 17799:2005.
( -)
.
- DSECCT (Digital Security
Classification of Threats) [39].

,
: ,
.
. ,

,
,
, .
,
.
.

.

205
( )

.

.
.
,
.
.

ISO/IEC 27001-27007
.
,
( ),
, .
,
.
ISO/IEC 27001
.
,
,

, .

[39].

,
ISO/IEC 27001:2005.

( ) ,
, ,
.

. (
206
, , ISO 19011 NSA INFOSEC Assessment Methodology),

,
,
.
,
, (
) (
).
. 6.7 6.8.
:
() .
,
;
. ,
- ;
.

.
6.7

,
.
.

.

(
).
6.8

207

.

.
, ,
(
)
.

.

, ,
, .

.
.

, .
,
. (,
) (, ,
).
. ,
.

.
( , , ,
), .
( ),
.
,
, ( )
.
, .
,
.
, ,
,
. ,
( ,
)
208
.
, ,
, , .

.
, , ,
. ,
, : ,
, ,
,
( ). ,
.
(
, CVE, OSVDB )
.
.
(
) , .
.

.
.
,
(, , ,
, ).

, .

, .
,
,
:

, ;

,
;
209

.
,
,

.
,
[40].

,
, ,
,
, ,
.
. , ,
, , ,
, .
:
1. .

.

, ,
, ,
, .

,
.
2. .
,
, , .
3. .

. (,
)
,
, .
210
,
,
.
, ,
IP- .

.

.
,
. ,
,
.
[41].

(. 6.11) (
) ,
.

.
.
.
IP- Web. ,
.
,
()
.

,
ISO 17799.
211
. 6.11.

(NIST) Draft Guideline on
Network Security Testing Open-Source Security Testing Methodology (OSSTM) [42].
, (
)
(Black Box White Box)
( Black Hat White Hat). Black Box
IP- , , e-mail
. White Box
.
Black Hat .
,
.
.
White Hat ,
- .

.
212
,
.
,

(security-) .

,
.
, ,
. , ,

. , ,
(
).

. ,
, , .
: ,
, .
security- ,
.
: ,
-.
, , , .
.
, ,
. ,
,
, ,
,
.
,
. , , ,
.
, ,
. :

.
213

.
,
( )
, . , ,
.

.
, -
- ,
.
.
:
, , , .
,

[43].

. ,
, , ,
. , ,
, ,
. ,

.
ISO 27001/ISO 17799 ,
.
. ,
, , NSA
Infosec ( ) [44].
.
. (
).

,
214
. -
( ). ,

ISO 27001/ISO 17799,
,
. -,
, ,

, .

. ,
;
, . ,
, .
.
.

( )
, . ,
, ,
.
, , ,
.
.
, ,
, .
? ,
, ?
, ,
,
, 100%

. ,
( )
( ),
.
. ,
2, 5 8.
215
15,
110 250, 5 (. 6.12).

002
005
008
005
015
110
250
110
250
005
002
005
008
015
001
003
006
020
011
012
013
002
033
010
011
012
016
030
. 6.12.
216
,
5 8 .
2, 3, 6 20. ,
, ,
( , ,
). , 6,
11, 12 13. 12
35,
,
. 5 3,
2 1. 250,
10, 11 12 16.
, - , .
,
.
,
. ,
,
. : 2, 5, 8,
15; 110 250 5. ,
, :
2, 3, 6, 20, 11, 12, 13, 16, 35 ( ,
); 10, 11, 12 250; 1, 2, 3 5.
, !
, ,
( NSA Infosec
).
, :
, ,
.
.
,
, .
, ,
. ? -,

. -,
217
, ,
[45].
6.10. QSA- PCI DSS

PCI DSS (Payment Card Industry Data Security
Standrad) [46]
PCI DSS.
PCI Security Standards Council , QSA1
(Qualified Security Assessor).

PCI DSS .
:
,
,
;
- (,
),
PCI DSS;
,
;
,
;
( )
.
:
;
.

PCI DSS PCI DSS Security Audit Procedure.

PCI DSS,
. :
,
;
,
;
218
802.11X
;
, ;
( ,
, );

;

;

.

PCI DSS
. PCI DSS
,
[47].

.
,
, ,
--, , ERP (
). ,
,
,
:
, ,
, - ;
-;
;
- ,

[48].

1. ?
2. .
219
3. ,
?
4. ?
5. ?
6.
ISO/IEC 27001
?
7. ? .
8. ?
9. ?
10. .
11. .
12.
.
13. . ?
14. ,
?
15.
ISO 19011.
16. ?
17. ?
18. ?
19.
?
20.
.
21.
?
22.
?
23. ? .
24. .
25.
.
26.
.
27. ,

?
220
28.
.
29.
PCI
DSS.
221

ISO/IEC 27000, ISO 19011, ISO 9000, ISO 14050,
[3, 4, 12, 13]:
[asset] -, ;
[risk analysis]
;
[audit] ,

;
1. , ,
,

. , , ,
,
.
2. ,
.
, ,
, , .
, , ,
ISO 9001 ISO 27001.
3. , ,
.
4.
.
[auditor] , ;
[audit conclusion] ,
;
[vulnerability] ,
;
[audit team] ,
, , .
1.
.
2. -.
[audit findings]
;
222
.
.
[audit evidence] , ,
;
. .
[availability]
;
[threat] ,
;
[residual risk] ,
;
[audit client] ,
;
. -
,
.
[control] , ,
, , ,
, , .
.
.
[information processing facilities] -
, ,
, ;
[information security] ,
; , ,
;
[statement of applicability] ,
.
.
,
,
.
[information security incident]
, ,

;
[guideline] , , ,
, ;
223
[competence]
.
[confidentiality] ,
, ;
[audit criteria] , ;
. ,
.
[risk management]
;
[auditee] , ;
[risk treatment]
;
[risk evaluation]
;
[risk assessment]
;
[audit plan] ;
[information security event]
, ,
,
, ;
[policy] ,
;
[risk acceptance] ;
[audit programme] ,
;
. ,
, .
[risk] ;
[Information security management
system ISMS] ,
, , , , ,
, ;
. , ,
, , , , .
[audit scope] ;
. , , ,
, ,
.
224
[technical expert] ,
;
1.
, , .
2. .
[third party] ,
;
[integrity] ;
225
A
()

, . .1,
, 515 ISO/IEC 17799:2005. . .1
, .

. 5-15 ISO/IEC 17799:2005
[3].
A.1

A.5
A.5.1
:
,
.

.5.1.1

,

.5.1.2

,
,
.
A.6
A.6.1
:
.6.1.1

226
.6.1.2

.
.6.1.3

.

,
.6.1.4

,
.
.6.1.5
,
,
.
.6.1.6

.

.6.1.7
,
.

( ,

.6.1.8
, ,

)

.
.6.2
: ,
, ,
,
.
,
.6.2.1

,
,
, ,
227

.6.2.2

,
, ,
,

,
.6.2.3

, ,

,
,
.
.7
.7.1
:
.
,
.7.1.1

.
, ,
.7.1.2

.
.7.1.3

, ,
.
.7.2
: , .

.7.2.1
, ,
.
,

.7.2.2
,

228
.8
.8.1
: , ,
, ,
, .
,

A.8.1.1

,

A.8.1.2
,
,
, ,
, .
, ,

A.8.1.3

.
.8.2
: , ,
,
, ,
, ,
.
.8.2.1

,
, , ,
.8.2.2

,
.
229
.8.2.3

, .
.8.3
: , ,
.

.8.3.1

,
.8.3.2
,
,
, .
,

.8.3.3
, ,

,
.
A.9
A.9.1
: ,
.
,
,
.9.1.1

(, ,
).

.9.1.2
, ,

, ,
.

.9.1.3
,

, .

.9.1.4

, , ,
230
,
.
.9.1.5

.
, ,
, , ,

,
A.9.1.6
,
, ,
,
,
.
.9.2
: , ,
.

.9.2.1
,
,
.

A.9.2.2
,
.
,

A.9.2.3

,
.
A.9.2.4

A.9.2.5

,
, ,

, , .9.2.6
231

,
.9.2.7

( )
.
.10
.10.1
: ,
.
.10.1.1
, ,
,
.
.10.1.2
,
, .
.10.1.3
,

,
,
.10.1.4
,

.
.10.2
:
.
,
, ,
.10.2.1

,
,
.
, ,
.10.2.2
,
;
.

.10.2.3

232
,
,

, .
.10.3
: .
.10.3.1

, ,
.10.3.2

()
.
.10.4
: .

,
, ,
.10.4.1

,

()
.
,
, ,
.10.4.2

.
.10.5
: , ,
.

.10.5.1

.
.10.6
: .
233
.10.6.1
.10.6.2

,
,

, ,
, .
, ,

-
, ,
.
.10.7
: , ,
, .

.10.7.1

.
,
.10.7.2

,
.
.10.7.3
,

.
.10.7.4

.
.10.8
: ,
- .
,
.10.8.1

.10.8.2

.
234

, ,

.10.8.3
,
.10.8.4
,
.

.10.8.5
, ,

.
.10.9
: ,
.
, ,
,
.10.9.1

,

.
, ,
,

.10.9.2
, ,
,
,
.
,
.10.9.3
,
, .
.10.10
: .
,
,

.10.10.1
,
,

.
235
.10.10.2
,

.

.10.10.3
.10.10.4

,
.10.10.5

,
.
,
.10.10.6

.
.11
.11.1
: .

.11.1.1
,
.
.11.2
:
.
.11.2.1
,
.11.2.2

.11.2.3

236

.11.2.4
,
.
.11.3
: ,
, .
.11.3.1

.
,
, ,
A.11.3.2

,
.

A.11.3.3

,
.
.11.4
: .

11.4.1
,

.
A.11.4.2

.

A.11.4.3

.
,

A.11.4.4
.

,
A.11.4.5

.
A.11.4.6
237
, ,
,

.

.11.4.7
, ,

.
.11.5
: .
.11.5.1

(ID )
.11.5.2

.11.5.3

.11.5.4
,

.
.11.5.5
-
.

.11.5.6
,
.
.11.6
: ,
.

.11.6.1
238

.11.6.2
()
.
.11.7
:
.

.11.7.1
,

.
,
.11.7.2

.
.12 ,
.12.1
: , .

.12.1.1

.
.12.2
: , ,
.
, ,
.12.2.1
, ,
.
,
.12.2.2
.12.2.3

,
.

.12.2.4
,
, ,
239
.
.12.3
: , /
.

.12.3.1

,
.12.3.2

.
.12.4
: .

,
.12.4.1

.12.4.2

, .

.12.4.3

.
.12.5
:
.

.12.5.1
.12.5.2

,
,
.12.5.3

,
.
.12.5.4

240

.12.5.5

() .
.12.6
: ,
.

,

.12.6.1
,

,
.
.13
.13.1
: , ,
, ,
.

.13.1.1

,

.13.1.2

-

.
.13.2
:
.

.13.2.1
, ,
,
.13.2.2
,

.
241

.13.2.3

( , ),
, ,
,
().
.14
.14.1
: ,
,
.

.14.1.1
,
.14.1.2
,

.

.14.1.3

,

,
.
.14.1.4
, ,

.
,

.14.1.5
,
,
242

.15
.15.1
: - , ,
- .
,
,

.15.1.1
,

,
A.15.1.2
,

,
.
,

A.15.1.3
,
,
.

,
A.15.1.4

, ,
, .

,
A.15.1.5
,
.

A.15.1.6

, ,
.
.15.2 ,
: .
A.15.2.1

243

.15.2.2

.
.15.3
: /
.
,

.15.3.1
,

,
.

.15.3.2

,
244

.
() .
.
.
.
.
.
1.
2.
3.
4.
5.
6.
7.

8.
9.
10.
11.
12.
13.
14.
.
.
.
.
. .
.
.

15.
16.
17.
18.
19.
.
.
. .
. .
. .

20. .
21. .

22.
23.
24.
25.
.
. .
. .
. .
245
26. . .
27. . .
28. . .

29. .

30. . .
()
6.
31.
32.
33.
34.

. .
. ().
. .
7.
35. . :
,
,
,
.
8.
36. .
37. .
38. .
.
39. .
40. .
41. .

42. ().

43. .
246
44. .
45. .
9.
46.
47.
48.
49.
50.
.
.
, .
.
.
10.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
.
().
.
.
.
.
.
.
. .
. .
.
11.

62. .
63. .
64. .

65.
66.
67.
68.
69.
70.
71.
72.
73.
.
.
.
.
.
.
.
.
.
247
74. . .
75. . .
12. ,
76.
77.
78.
79.
80.
, , , .
() , .
.
.
, , .
13.
81. .
82. . .
83. . .
14.
84.
85.
86.
87.
.
. .
. .
. .
15.
88. . .
89. , ().
90. .
.
91. .
92. .

93. .
94. .
95. .
96. .
97. .
98. .
99. .
100. .
101. .
248
102. .
103. .
104. .
105. .
106. .
107. .
. . .
249
_________
.

:
1.
,

ISO/IEC 27001:2005.
2.

() :
,

();

;
,
;
.
3.
() _______
. ,
.
4.
_______ 20__ ,

.
5.
.

250

__.________.20__
,

ISO/IEC 27001:2005.

.
_____________
()

__002_11

: ... : ... : ...
. , 2011
.
ISO/IEC 27001:2005.
. ,
, , .
251
. __ Serv03, D:\ISMS\ Rezerv

Serv03

1.

.
2.
.
3.

- -.
4.

__, Serv03
D:\ISMS\.
5.

Rezerv, Serv03.
6.
1
17:00 18:00.
7.

.
8.

(
) -
. 1 2 .
.
252

6-10
, 6
,

253

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
International Organization for Standardization [ ] :

http://www.iso.org.
The International Electrotechnical Commission [ ] :
http://www.iec.ch.
International standart ISO/IEC 27001. Information technology Security techniques
Information security management systems Requirements [ ]
: http://www.cert.sd/iso27001.pdf.
/ 27001. .
. . [ ]
: http://www.specon.ru/files/ISO27001.pdf.
International standard ISO/IEC 27000. Information technology Security techniques
Information security management systems Overview and vocabulary [
]
:
http://www.bbs.51cto.com/attachment.php?aid=166807&k...t=1313038425.
International standard ISO/IEC 20000-1. Information technology Service management
Part 1:
Specification
[
]
:
http://www.isothai.com/forums/index.php?act=attach&type=post&id=6665.
International standard ISO 9000. Quality management systems Fundamentals and
vocabulary
[
]
:
http://www.seatone.cn/news/upfile/2006519845492059.pdf.
14001-2007. .
[
]
:
http://waste.samgtu.ru/sites/waste.samgtu.ru/files/gost_r_iso_14001-2007.pdf.
. .
/ . . //
- 21 . :
, 2008. . 1-3.
1.0/ISO/IEC 27001:2010. . .
. [ ] :
http://www.bank.gov.ua/B_zakon/Draft/02022010/27001.pdf.
/ 17799-2005. .
[ ] :
http://www.npo-echelon.ru/common_files/gost/GOST-17799-2005.pdf.
International standart ISO/IEC 27002. Information technology Security techniques Code
of practice for information security management [ ] :
http://bbs.6jc.cn/pdf/g/ISO%2027002.pdf.
/ 27002. .
[ ] :
http://www.pqm-online.com/assets/files/standards/iso_iec_27002-2005.pdf.
254
14. 65.1 2.0:2010. .

[ ] :
http://kyianyn.files.wordpress.com/2010/12/nbu-27002.pdf.
15. COBIT 4.0
[
]
:
http://www.securitycn.net/img/uploadimg/20070831/cobit4.0_en.pdf.
16. Official ITIL Website [ ] : http://www.itilofficialsite.com.
17. . . / . . , . . ,
. . , . . . . 2. . : . , 2009. 355 .
18. . . ISO/IEC 27001 .
/ . . // DAS Management.
2009. 1. . 36-39.
19. [ ]
: http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=3792-12.
20. . .
ISO/IEC 27001:2005 / . . // DAS Management. 2010. 2.
. 72-76.
21. Federal Office for Information Security [ ] : www.bsi.de.
22. International standard ISO 19011. Guidelines for quality and/or environmental management
systems
auditing
[
]
:
http://chemeng.hut.edu.vn/images/stories/iso/tc-tk/ISO19011_2002_Ban%20tien
g%20Anh.pdf.
23. 19011-2003.
/ [ ]
:
http://stroyoffis.ru/gost_ohrana_pr/gost_r_iso_19011_2003/gost_r_iso_19011_2003.php.
24. BSI Management Systems CIS, LLC [ ] :
http://www.bsi-russia.ru.
25. . . -
ISO/IEC 27001. /
. . // DAS Management. 2010. 4. . 79-83.
26. . .
ISO/IEC 27001 / . . // DAS Management.
2010. 3. . 56-60.
27. Bridge
Point
Communications
[
]
:
http://www.bridgepoint.com.au.
28. . :
[ ] : http://iso27000.ru/chitalnyi-zai/upravlenieincidentami-informacionnoi-bezopasnosti/informacionnaya-bezopasnost-upravlenieincidentami/.
29. ISO/IEC TR 18044:2004 [ ] : http://www.npoechelon.ru/common_files/gost/GOST-18044-xxxx.pdf.
255
30. . [ ] :
http://iso27000.ru/chitalnyi-zai/upravlenie-incidentami-informacionnoibezopasnosti/upravlenie-incidentami/.
31. . . .
/ . . // DAS Management. 2011. 1.
. 68-74.
32. Computer Security Incident Handling Guide [ ] :
http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf.
33. . . ,
ISO/IEC 27001 /
. . // DAS Management. 2010. 5. . 70-73.
34. / 13335-1-2006. .
1.
[ ]
: http://faculty.ifmo.ru/csd/files/Gost_13335_1.pdf.
35. . . / . . , . . ,
. . . . : -, 2006. 304 .
36. . . : /
. . , . . . . : , 2005. 184 .
37. . . / . . , . . . . : : -,
2005. 176 .
38. ISO 19011:2003.
/ . . : , 2004. 31 .
39. [ ] : http://www.dsec.ru/consult/audit/.
40. .
/ . // . 2007. 2.
41. [ ] : http://dsec.ru/consult/test/.
42. Open-Source Security Testing Methodology Manual [ ]
: http://isecom.securenetltd.com/osstmm.en.2.1.pdf.
43. . (
) ,
Internet / . // . 2005. 3.
44. Application Of The Nsa Infosec Assessment Methodology [ ]
: http://www.sans.org/reading_room/whitepapers/auditing/application-nsa-infosecassessment-methodology_1045.
45. .
/ . //
Connect! . 2006. 10.
46. Payment Card Industry (PCI) Data Security Standard [ ]
: https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf.
47. [ ] : http://www.dsec.ru/consult/pcidss/audit/
48. [ ] : http://www.dsec.ru/consult/audit-applications/
256

Системи менеджменту інформаційної безпеки

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Системи менеджменту інформаційної безпеки

Enviado por

Direitos autorais:

Formatos disponíveis

,

BS 7799 2002 ., 2005 .

1.2.3. ISO/IEC 27001

. 3.1. ISO/IEC 27001 ( Bridge Point)

ISO 27001 / ISO 17799

ISO 27001 Control Objective

. 3.2. ISO/IEC 27001 (

ISO 27001 / ISO 17799 Control Objective

. 3.3. ISO/IEC 27001

IAF International Accreditation Forum

EA European Cooperation for Accreditation

ISO/IEC 17799/BS 7799:2

3. (due professional care)

, , ISO 19011 NSA INFOSEC Assessment Methodology),

. __ Serv03, D:\ISMS\ Rezerv

International Organization for Standardization [ ] :

14. 65.1 2.0:2010. .

Você também pode gostar