Escolar Documentos
Profissional Documentos
Cultura Documentos
.., ..,
.., .., ..
2012
: 966-518-211-0
32.973-018.273
93
:
.., . , ,
- (. );
.., .-. , ,
. .. (. );
.., . , , -
. .. (. )
,
(
)
93
..
: . . / ..,
.., .., .., .. :
, 2012. 260 .
ISBN
,
.
(ISO/IEC 27000) , .
, -
-,
.
, ,
,
.
: 966-518-211-0
32.973-018.273
.., ..,
.., .., ..
ISBN
..................................................................................................................................... 8
1.
......................................................................................... 12
1.1.
............................................................................... 12
1.2. ISO/IEC 27001 .
. . .............. 14
1.2.1. .............................................................................. 14
1.2.2.
.............................................................................................. 15
1.2.3. ISO/IEC 27001 ....................... 17
1.2.4. . ................ 21
1.3. ISO/IEC 27000
....................................................................................................... 30
1.4.
ISO/IEC 27001 ........................... 35
1.5.
ISO/IEC 27001 .............................................................................. 38
1.6. ISO/IEC 27002
. ....................................... 42
1.6.1. ................................................. 43
1.6.2. ............................................................ 43
1.6.3. ............................................................... 44
1.6.4. ............................................................. 45
......................................................................................... 47
2. ................................................. 50
2.1. ...................................................... 50
2.1.1. .................................... 50
2.1.2. .................................................................... 51
2.1.3. .............................................. 51
2.1.4. ................. 52
2.1.5. ........................................................................... 53
2.1.6. ............................................................. 54
2.1.7. ................................................................ 54
2.1.8. .......................................................... 55
2.1.9. .......................................... 55
2.2. ............................................................... 56
2.3. ...................................................................................................... 57
2.3.1. .......................................................................................... 57
2.3.2. ,
.............................................................................................................. 58
2.4. ....................................................... 59
2.4.1. ................................................................................................ 59
2.4.2. ................................... 60
2.4.3. .............................................. 60
2.4.4. ............................................... 61
2.5. .................................................................................. 61
2.6. .................................................................................................. 62
2.7. ............................................................................. 63
2.8. ....................................................................... 64
2.8.1. ................................................................ 64
2.8.2. ................................................................................ 65
2.9. .............................................................................. 66
2.9.1. ........................................................ 66
2.9.2. ............................................................................ 67
2.9.3. ............................................................. 67
2.9.4. ....................................................................... 68
2.10. .......................................................... 68
2.11. ............................................................................... 70
2.11.1. ............................................................... 71
2.11.2. ........................................................... 72
2.11.3. ......................................................... 72
2.12. ................................................................................ 73
2.12.1. ...................................................................................... 74
2.12.2. .................................................................................................. 75
2.12.3. ....................................................................... 76
2.13. ................................................................................................ 76
2.13.1. ................................................................... 76
2.13.2. .................................................. 77
2.13.3. ............................................................... 78
2.13.4. ......................................................... 79
2.13.5. ........................................................................................... 79
2.14. ....................................... 80
2.14.1. ........................... 80
2.14.2. ........................................................ 81
2.15. .............. 82
2.15.1. .................................................................................. 82
2.15.2. ................................. 83
......................................................................................... 84
3. -
ISO/IEC 27001 ............................................................................................ 85
3.1. - ................................................. 85
3.1.1. 1. ....................................................................................... 86
3.1.2. 2. ...................................................................................... 87
3.1.3. 3. .................................................................... 88
3.1.4. 4.
..................................................................................................... 90
3.1.5. 5. ................................................................... 93
3.1.6. 6. - .............................. 94
3.2.
ISO/IEC 27001 ........................................................ 95
....................................................................................... 102
4.
- ..................................................................................... 104
4.1. ..................................................................... 104
4.2. - .............................................. 107
4.3. - ............................................... 107
4.4. ............................................................................. 108
4.4.1. ..................................................................................... 110
4.4.2. ................................................... 111
4.4.3. ..................................................................................... 113
4.4.4. ...................................................................... 114
4.4.5. ............................................................................... 115
4.4.6. ,
.................................................................................................................. 117
4.4.7. ............................................................. 117
4.4.8. -....................................................... 118
4.5. - - ......................... 119
....................................................................................... 121
5.
.................................................... 123
5.1.
ISO/IEC 27001 ............................................................................ 123
5.2.
ISO/IEC 27001 .............................................................................................. 125
5.3. ........................................................................... 126
5.4. ............................................. 127
5.5. ................................................. 128
5.6. .................................................................................. 129
5.7. S/C R 13335:2003 ........................................... 130
....................................................................................... 141
6.
........................................................................................................................... 143
6.1.
............................................................................................................................ 143
6.2. ............... 147
6.3. ............... 154
6.4. ................................ 157
6.5. ........................................................................................... 165
6.6.
ISO 19011 ................................................................. 168
6.6.1.
ISO 19011 ....................................................................... 168
6.6.2. ..................................................................... 169
6.6.3. ...................................................................... 171
6.6.4. ,
....................................................................................................... 174
6.7. .......................................................................................... 176
6.7.1. ............................................................................................... 177
6.7.2. .......................................................................................... 180
6.7.3. ....................................... 180
6.7.4. ............................................ 182
6.7.5. , ................................ 187
6.7.6. ............................. 189
6.8. ............................................................ 189
6.9. ..................................................................................... 204
6.10. QSA- PCI DSS ........................................... 218
....................................................................................... 219
........................................................................................................ 222
A........................................................................................................................ 226
........................................................................................................................ 245
........................................................................................................................ 250
.................................................................... 254
() , ,
.
, ,
.
:
)
;
)
;
)
.
. ,
, ,
. ,
, , ,
, .
, ,
. ,
,
, , .
, .
, / (, ,
); ; / /
, : , , ,
, , ,
/ ,
, ,
/ ,
, ,
,
,
, , .
, .
: , , , ,
, , ,
, , (,
), ,
, (, , , ),
, . ,
.
, ,
,
.
,
.
,
.
, .
.
(ISO International Organization for
Standardization) [1] (IEC International
Electrotechnical Commission) [2]
. , ISO IEC
,
,
, , -
. ISO IEC
. , ,
ISO IEC .
,
ISO/IEC, 2.
ISO
(JTC Joint Technical Committee 1), ISO/IEC JTC 1.
, ,
.
75% -,
[3, 4].
: , ,
/, .
, ,
, .
ISO 27000 [5], ISO 20000 [6],
ISO 9000 [7] ISO 14001 [8]. , ,
. ,
, (IMS Integrated
Management Solutions) [9].
.
,
.
. ,
. , ,
,
.
,
, , ;
.
.
,
, .
(, ),
, ,
.
.
, ,
, , ,
, .
,
.
, ,
,
.
. ,
,
10
.
. ,
.
.
,
, , , ,
,
.
.
,
, ,
.
, ,
, ,
.
11
1.1.
: , ,
/, .
, ,
(), .
ISO 27000 [5],
ISO 20000 [6], ISO 9000 [7] ISO 14001 [8]. , ,
. ,
, (IMS Integrated
Management Solutions) [9].
, ISO 9000
,
ISO/IEC 27001 [3, 4, 10], ISO/IEC 17799 [11].
BS 7799. BS 7799-1
(BSI British Standards Institution) 1995 .
. ,
. 10 127
, ,
.
1998 BS 7799-2
.
,
, .
BS 7799,
,
.
1999 BS 7799
ISO 9001 ISO 14001,
ISO BS 7799-1
ISO/IEC 17799:2000.
12
;
ISO/IEC 27005 . .
;
ISO/IEC 27006 . .
;
13
ISO/IEC 27007
;
ISO/IEC 27011
.
ISO/IEC 27000, , ,
1.0/ISO/IEC 27001:2010 [10].
S/ R 13335 .
[17] ,
, , ,
, ,
.
1.2. ISO/IEC 27001 .
. .
1.2.1.
ISO/IEC 27001 [3] : ,
, ,
,
, ,
ISO/IEC 17799:2005 [11] (ISO/IEC 27002 [12]).
ISO , -
. ,
, : ,
ISO/IEC 27001, -
(Excluding any of
the requirements specified in clauses ... is not acceptable).
, ISO/IEC 27001
,
, ()
. ,
,
, .
,
, .
.
14
,
:
.
ISO/IEC 27001, ,
-
[9].
1.2.2.
ISO/IEC 27001 ,
, , , , ,
. ,
.
, , , ,
. , ,
;
.
/
.
ISO/IEC 27001 ISO 9001:2000 [7]
ISO 14001:2004 [8] , ,
.
, , .
,
[3, 4, 10].
ISO/IEC 27001 ,
, , , ,
.
.
,
, .
,
, :
, ;
15
,
, ;
;
, .
ISO/IEC 27001 -- ( -: PDCA Plan-Do-Check-Act),
. . 1.1 ,
; ,
, .
. 1.1. ---
PDCA ,
(OECD Organisation for
Economic Co-operation and Development),
(. 1.1).
, ,
, ,
[3, 4, 10].
ISO/IEC 27001 (, ,
, , , , -
). , , ,
, ,
.
16
,
.
,
,
[3, 4, 10].
1.1
---
( )
(
)
( )
,
,
.
,
,
.
,
,
.
,
,
.
17
. .
.
11 , 5-15
ISO/IEC 17799:2005. ISO/IEC 17799:2005
ISO/IEC 27001:2005.
, ,
[18].
. ,
. 4.2.1 ,
.
.
(. 1.2).
)
)
)
)
)
)
)
)
)
)
. 1.2. ISO/IEC 27001:2005: 4.2.1
,
(. 1.3).
.
. .
.
.
18
1- .
15.
14.
13.
12. ,
11.
10.
9.
8.
7.
6.
2- .
5.
ISO/IEC 27001
ISO/IEC 17799,
ISF
3- .
Microsoft 2830
. 1.3.
, ,
,
. .
,
( , , ),
, [18].
. 131, 11
(. 1.4).
,
. ,
, , .
, ,
. , ,
,
.
ISO 27001 [18].
.
.
19
, , ,
.
.
.5
.6
.7
.10
.9
.12 ,
.11
.8
.13
.14
.15
. 1.4.
. , ,
, .
:
, .
.
,
.
( ).
. ,
. [18].
, ISO/IEC 27001
,
, . - ,
,
.
20
- ,
,
,
. - ,
,
, /
, ,
,
[3, 4, 10].
.
(, ISO 9001 ISO 14001),
ISO/IEC 27001
.
1.2.4. .
, , , , ,
, . ,
PDCA (. 1.1) [3, 4, 10].
ISO/IEC 27001 [3, 4, 10]:
1.
, , ,
- .
2.
, , , :
;
,
;
,
;
, ;
.
21
3.
4.
5.
6.
7.
. ,
.
.
:
, ,
,
.
,
;
.
:
, ;
;
, ;
, ,
.
:
,
, ,
;
,
, ,
, ,
;
;
, ,
.
.
:
;
, ,
;
;
, ,
, .
.
,
22
,
.
, , .
, A
, ,
.
, A, ,
.
8. .
9. .
10. .
, :
, ;
, ;
-
A, .
.
.
, .
[3, 4, 10]:
,
, ,
;
, ,
;
, ;
,
, ,
,
.
.
() ,
;
;
;
23
;
,
.
[3, 4, 10]:
1. ,
:
;
;
,
,
, ;
, ,
,
;
, ,
, ;
2. (
, ),
, ,
, .
3. ,
.
4.
, , :
;
;
;
;
;
: -
, ,
.
5. .
. ,
.
24
6. , ,
.
7. ,
.
8. ,
.
;
, , ,
;
, , ,
; , [3, 4, 10].
,
.
, . :
; ;
; ;
; ; ,
, ,
, ,
; , ISO 27001;
[3, 4, 10].
1. ISO 27001
, , ,
.
2.
, : ;
; , .
3. -
- .
25
, , ,
.
, :
;
, ,
;
;
,
;
,
;
, , ,
, , ,
;
;
;
;
,
- .
.
.
-
, . ,
. ,
, , , ,
.
, , .
,
[3, 4, 10].
26
, , , , ,
[3, 4, 10]:
;
;
;
,
;
, ,
, , ,
;
;
;
.
, ,
, , , ,
; ,
;
, ;
; , ,
; ,
[3, 4, 10].
,
, ,
, ,
. ,
, ;
(, ),
; ;
, , .
27
,
, [3, 4, 10].
, :
ISO 27001 ;
; ;
, , , ,
.
, , .
, , .
. !
,
,
, . ,
,
.
[3, 4, 10].
(, ), ,
.
,
. ,
.
:
; ; , ,
; ;
, ;
; ,
28
; - ;
[3, 4, 10].
-
, :
1. ;
2. ;
3. , ,
, ,
, :
,
,
, ,
,
,
/ ;
4. ;
5. .
,
, ,
, ,
.
, .
: ;
; , ,
;
; ; .
, .
.
:
; ,
;
; ;
.
29
, , .
[3, 4, 10].
.
, .
1.3. ISO/IEC 27000
.
.
- .
,
,
. ,
. ,
.
. ,
, .
() ,
.
, .
.
ISO/IEC 27001. ISO/IEC 27001
.
, (. 1.5).
, .
[18].
30
. 1.5. ( )
. ,
,
. , .
. ,
, , .
,
, .
.
, .
, ,
, ,
(). ,
, , . ,
.
. ,
.
.
ISO/IEC 27001:2005
, :
;
, ;
.
31
: ,
, / , ,
, ,
, , ()
,
.
: , , ,
.
.
.
, , .
. ,
,
.
, ,
, (),
.
[18].
, . [18]:
1. .
,
.
-
(. 1.6).
2. .
.
3.
.
4.
, , .
5.
,
.
6. (
).
32
.
8. .
9.
.
10. ,
, .
7.
. 1.6.
ISO 27001 , ,
,
.
[18]. , :
1. ,
.
, ,
, , .
2. ()
. ,
-.
33
3. .
.
4.
.
, , .
5.
.
6.
, .
7.
.
.
8.
,
. ,
.
.
9.
(-, ,
).
10. - , , ,
,
.
11. ,
,
.
12.
, ,
.
13. .
. ,
()
.
.
.
34
14.
,
.
15. , ,
( , , ,
)
.
.
16. .
.
17.
[19].
.
18.
. ,
, .
.
[18].
1.4.
ISO/IEC 27001
-
, .
ISO/IEC 27001. :
, , , , ,
.
.
[20].
.
;
;
.
.
;
;
35
.
.
;
.
.
;
.
.
;
;
.
.
;
.
.
;
;
;
;
;
;
;
()
ISO/IEC 27001;
.
.
(, , ) ;
;
.
.
;
.
.
(, , ).
.
;
;
36
.
.
.
.
.
.
, , .
. ,
. ,
()
(. 1.2) ,
[20].
1.2
II
2-3
III
1-2
IV
3-9
5-12
VI
1-2
.
.
.
.
1.
;
;
;
.
2.
(, , )
;
( ,
, , , ,
).
.
.
37
, .
.
-.
,
. -
www.bsi.de [21].
. , ,
.
1.5.
ISO/IEC 27001
. 1- 2- .
3 9 .
, .
[20].
- .
(. 1.7):
, ,
.
.
[20].
.
.
.
(, )
.
() -.
38
- .
.
,
,
()
.
,
,
. 1.7.
, . .
.
.
()
.
.
.
, , , ,
.
, ,
()
. ,
,
.
39
.
,
.
. .
.
,
,
[20].
.
.
1) ISO/IEC 27001.
.
.
.
,
.
. .
2) .
:
, ,
, , .
.
.
. ,
,
.
.
3) ( ).
.
. ,
,
.
.
ISO/IEC 27001:2005 :
;
;
40
;
;
;
;
,
,
;
, ;
().
: ,
. , .
, :
, .
,
.
.
.
ISO/IEC 27001.
, ,
.
.
,
.
. ()
. .
,
. .
- . :
1. ( , ,
).
2. ( ).
3. ( ).
4. , , .
5. .
6. ( , ,
).
7. ( , ).
8. ( ).
41
9. .
.
. 10 :
1.
.
(1 ) (1-2 ).
2. .
.
3. .
- .
4. . -, .
5. ()
, (, ,
).
6. .
7. .
8.
.
.
9.
.
10. ,
.
.
[20].
1.6. ISO/IEC 27002
.
ISO/IEC 27002
ISO/IEC JTC 1, , SC 27,
.
/ 1/ 27.
, , ,
[12-14].
42
1.6.1.
ISO/IEC 27002
, ,
. , ,
.
,
, . ISO/IEC 27002
,
[12-14].
.
ISO/IEC 27002 [12-14]:
;
;
;
;
;
;
;
, ;
;
;
.
. .
1.6.2.
, ,
; ,
.
[12-14]:
;
,
.
,
, ;
43
,
, ,
.
1.6.3.
,
,
,
.
,
, ,
.
,
.
( )
, ( ).
,
, , , , ,
, , .
,
.
,
,
, .
, ,
, ,
, [12-14].
,
,
, . , ,
, , ,
. .
,
. :
;
44
, ,
;
,
;
, ,
.
,
,
, , .
,
: ;
; ;
, ,
;
, ,
.
, ,
. ,
. ,
, .
,
.
, , ,
. ,
,
, ,
[12-14].
1.6.4.
.
45
,
[12-14].
,
,
.
.
:
1. , ,
,
; ;
2. ,
, ;
, ,
;
3. ,
;
4. , ,
, , :
, ;
, ;
;
;
5.
, ;
6. , , ,
,
.
, ,
.
.
,
.
46
,
, .
,
,
.
,
, .
. ,
[12-14].
: ;
; ;
;
; ,
,
, , , ,
; ,
; ;
, .
:
;
;
/ .
;
.
1.
?
2.
.
3. ,
ISO/IEC 27001? , ?
47
4.
?
5. ISO/IEC 27001 .
6.
.
7.
.
8. PDCA?
9.
.
10. , ,
.
11. ISO/IEC 27001?
12.
ISO/IEC 27001?
13.
.
14.
ISO/IEC 27001?
15.
ISO/IEC 27001?
16.
ISO/IEC 27001?
17.
ISO/IEC 27001?
18.
?
19.
: , , ?
.
20.
ISO/IEC 27000 .
21.
ISO/IEC 27001?
22.
ISO/IEC 27001.
48
23. .
24.
ISO/IEC 27001.
25. ?
26. ISO/IEC 27002?
ISO/IEC 27001?
49
2
2.1.
.
.
, ,
.
.
,
,
.
[12-14].
2.1.1.
.
, ,
.
. :
,
;
,
;
;
;
, ;
;
;
,
.
50
,
. ,
, , .
2.1.2.
.
.
. ,
(), , ,
, ,
: , , ,
. :
;
;
: ,
;
,
;
;
,
;
,
;
.
, ,
, ,
.
2.1.3.
. .
.
.
51
. , ,
.
, ,
.
. ,
.
, , :
,
;
,
, ;
.
.
,
, . ,
.
, ,
.
2.1.4.
.
.
.
:
.
,
;
,
, ;
,
,
( ,
52
) ,
.
2.1.5.
.
,
.
.
,
.
:
, (, );
, , ,
;
;
(, );
, ,
;
, ;
,
;
;
;
, .
, .
.
, .
.
, ,
.
53
2.1.6.
. .
. , ,
(,
, , ), ,
. ,
, ,
(, )
.
.
.
,
, .
,
, , (
), (
), (
).
2.1.7.
. (
)
.
.
:
;
;
;
; ,
, ;
.
.
,
.
.
54
2.1.8.
.
( , , ,
)
.
. .
, ,
.
, .
, ,
, ,
.
, ,
.
, . .
,
,
, .
. ,
.
, .
S 19011 /
[22, 23]
, .
2.1.9.
,
, ,
.
. -
,
.
,
55
,
, ,
.
.
2.2.
.
.
. ,
[12-14].
. ,
,
.
.
,
, , ,
, , ,
, .
,
:
;
;
, ,
;
,
,
;
;
, ,
,
;
56
;
.
,
. , ,
, ,
.
2.3.
.
[12-14].
.
. ,
: ; ;
, ;
;
, ; ,
.
,
. , ,
.
.
.
,
, .
,
, , .
,
,
. ,
, ,
, ,
.
2.3.1.
57
. ,
.
.
.
, ,
. .
.
,
, .
, ,
: , .
, .
2.3.2. ,
. ,
,
.
.
, ,
. :
;
;
,
,
;
, ;
,
, ;
.
58
.
, ,
, .
. ,
,
.
,
.
.
,
. , ,
,
.
2.4.
.
, ,
, ,
[12-14].
2.4.1.
. , ,
,
, , .
.
, .
( ) ,
(, )
. ,
, ,
59
.
2.4.2.
. , , ,
, .
.
, .
,
: , ;
, ,
, ;
, -
;
, , ,
, ; -
.
. ,
,
.
,
, , .
.
, ,
.
, , ,
, ,
, .
.
, ,
, .
2.4.3.
60
. ,
, ,
,
.
.
:
1. , :
;
- ;
;
;
2. :
;
;
/;
;
;
-.
2.4.4.
. ,
.
, .
,
.
2.5.
,
,
[12-14].
.
.
61
.
, .
,
.
,
;
. ,
. ,
,
.
2.6.
.
, ,
() [12-14].
. ,
, ,
. ,
. ,
:
;
,
;
;
;
;
;
,
, , , ,
;
,
;
;
62
,
.
,
.
, ,
.
.
,
.
2.7.
.
[12-14].
.
.
.
,
.
:
;
;
(, )
,
;
, ;
, ,
;
, ,
, ;
63
,
;
,
, ;
, ,
.
,
. ,
, ,
.
, -
.
.
, .
.
2.8.
.
,
, , .
,
[12-14].
2.8.1.
.
, ,
, ,
.
.
,
. ,
:
64
, ;
,
;
,
,
;
;
,
;
, ,
, , ,
.
2.8.2.
. ,
-
, ,
.
.
,
.
, , :
, .
, .
. ,
,
, , ,
/ . ,
.
: ,
, , ,
; ,
65
; ,
.
2.9.
, ,
.
. , (,
), /
, ,
[12-14].
2.9.1.
.
.
.
:
, -
, ,
;
,
;
,
, ;
, ,
, (
) -,
;
,
;
, .
.
. : -,
, CD-, DVD- .
66
2.9.2.
. ,
, .
.
.
, ,
. :
,
, ,
,
;
, ,
;
,
;
, ;
;
, ,
.
,
, ,
, , .
.
.
2.9.3.
.
.
. ,
, ,
. :
;
;
;
,
67
; , ,
;
; ;
;
.
. ,
, , ,
, , , ,
/, - ,
, , -.
2.9.4.
.
.
.
:
;
; ,
,
.
.
, , , , , ,
.
2.10.
, -
.
,
.
, , ,
[12-14].
. ,
,
.
68
. ,
:
1. , ,
, , ;
2. ,
;
3. ,
;
4. ,
;
5. ,
;
6. , -
, , ,
, ;
7.
,
,
, ;
8. ,
;
9. , ,
, ,
;
10. ,
, ,
;
11. ,
, , ,
:
, ,
;
,
;
12. , ,
,
,
;
69
13. ,
:
;
,
;
,
;
, ,
, -
;
,
-
, ,
.
, ,
. .
.
, , ,
.
,
, .
, ,
,
, .
,
, ,
,
, ,
,
.
,
, , .
,
.
2.11.
70
.
[12-14].
.
:
;
;
;
;
;
;
,
, ;
,
;
, ,
;
;
- ,
, , .
, ,
. -
.
.
, .
, ,
.
2.11.1.
. ,
.
71
. ,
:
1. ;
2. ;
3. ;
4. -
, ;
5.
:
;
;
(
- );
,
.
.
, ,
, .
2.11.2.
. ,
, .
: ,
;
; ;
, , ;
,
; ,
.
. , ,
, (EDI)
.
,
.
2.11.3.
72
. ,
.
.
, :
,
;
,
,
,
, ,
, , ;
;
,
;
,
, , ,
;
, ,
, ;
;
, ,
;
, ;
.
.
,
: , ,
, , , ,
, , / .
2.12.
.
,
, - , ,
73
,
[12-14].
2.12.1.
. , ,
,
, .
. :
,
, ,
;
,
;
, ,
,
, , ;
, -;
- ;
- ,
, , ;
, ,
;
,
;
,
;
;
, - ;
.
, .
,
,
.
.
.
.
74
(),
, - ,
.
,
, ,
.
, ,
.
, .
2.12.2.
. , -
, ,
, , .
. - :
1. ,
;
2. , , :
;
;
,
;
3. ;
4. ,
;
5. ,
, , ,
,
, ;
6. (,
/ ),
.
.
, - .
- , , , .
75
2.12.3.
. ,
.
. , ,
,
, , .
, .
, . ,
, , ,
. , ,
, :
; ,
, , ;
, ;
,
.
. ,
, , web-,
, , ,
, ()
().
.
2.13.
.
.
.
,
.
[12-14].
2.13.1.
76
. , ,
,
.
. :
(user IDs); , , ,
;
; ;
;
; ,
; , ;
; , ;
, ,
/ .
.
.
. , ,
.
2.13.2.
.
,
.
. ,
.
. :
1. , :
,
,
,
, ,
/;
2. :
, , ,
, ,
,
/ /;
77
3. :
,
, ,
,
/ ;
4. :
,
,
,
, ;
5. .
,
. , , :
; , ;
,
( );
( );
.
.
, ,
. ,
, , ,
.
2.13.3.
. ,
.
.
,
: , ;
; ,
,
.
.
78
.
, .
/
,
. , ,
,
.
2.13.4.
.
.
. : ,
( ); (, ,
) (, );
, ;
.
.
.
/ ,
.
2.13.5.
. ,
.
. ,
,
.
, ,
, / ;
,
, . ,
, .
.
.
79
, ,
[12-14].
2.14.
, ,
,
.
. ,
, .
-
[12-14].
2.14.1.
.
.
.
,
, ,
.
. ,
,
. ,
-
.
.
:
1. , ,
, ;
2. ,
,
, ;
3. ,
, :
80
(,
, , , );
, ;
4.
, ,
.
,
.
, .
.
: , ;
; ; ;
; ;
; .
,
, ,
.
,
.
, , .
2.14.2.
. ,
-
.
. ,
,
,
.
, . ,
, - , .
. ,
,
.
81
,
[12-14].
2.15.
.
,
, .
,
,
. , ,
[12-14].
2.15.1.
.
,
.
.
,
.
:
1.
:
,
,
,
, ,
,
;
2. , :
,
,
,
,
82
,
, ,
;
3.
:
,
, ,
, ,
,
;
4.
; :
,
, , ,
,
,
.
, ,
.
.
. ,
.
2.15.2.
. ,
,
.
. ,
,
.
.
,
83
, ,
.
1. .
2. ?
3. ,
?
4.
?
5. .
6.
ISO/IEC 27001.
7. ?
8. .
9. ?
10. ?
11.
?
12. ?
13.
?
14. .
15. .
16. .
17.
ISO/IEC 27001.
18. .
19. .
20.
?
21. ?
22.
ISO/IEC 27001?
23. .
24. .
25. .
84
3
-
ISO/IEC 27001
3.1. -
,
-. :
(OHSAS 18001),
(ISO 14001) [8], (BS 25999) [24],
(ISO/IEC 27001) [3].
- , [25]:
;
.
. -
:
;
;
;
.
(, ) ,
,
. :
, , ,
, ,
, ,
. .
. , :
,
,
;
;
, ,
;
85
, ,
.
DPCA [4]: --. -
[25].
3.1.1. 1.
- ,
. ,
, , , , ,
, - .
- .
. ,
, .
- .
, .
ISO/IEC 27001 , :
. ()
, ,
12 : 12 .
.
. ,
.
.
, , : 1,
, 2.
.
. . ,
:
(), () ,
(), (), (),
(), (), ().
. 3.1.
[25]:
86
;
- ,
;
. ,
:
+ + + +
, + ,
.
3.1
15
. 2
. 1
3.1.2. 2.
87
192
2.
1.
3.
49
27
35
21
35
.
- .
, - .
().
. ,
: .
. :
?. ,
4 4.
: , , ,
.
. :
?. , : ,
, .
4:
1. .
2. .
3. .
4. .
, .
50-100 .
, .
2-3 [25].
3.1.3. 3.
. , ,
. :
= * .
,
: .
.
.
.
, .
[25].
88
(. 3.2).
3.2
1 3
1 1
, .
.
. ,
. , . ,
.
. 3.3.
3.3
,
/
( 100$)
( 100$).
, ,
.
() , . 3.4.
89
3.4
()
1
3
5
7
3
9
15
21
5
15
25
35
7
21
35
49
9
27
45
63
.
. , 200 , 3
600 .
. ,
. , ,
-.
3.1.4. 4.
.
. -
, .
- .
, .
.
, .
[25].
.
.
ISO/IEC 27001 . ,
,
. . 3.5 1
63. , , 25.
ISO/IEC 27001 .
:
90
3.5
1-21
25-63
. .
.
.
.
1.
.
, ,
25 ( ).
2. 25 .
,
:
() ;
,
;
;
,
, .
: , , .
.
.
3. , . ,
, .
, ,
. ,
.
4. (
).
91
, .
:
-
, ;
;
,
.
5. , -
.
, , 35.
,
. . ,
.
- .
6. ISO/IEC 27001
.
.
7. . ,
. , .
, .
8.
.
,
. ,
.
.
9.
. ISO/IEC 27001
. .
.
10. . -
.
, .
- (. 3.6)
92
3.6
49
35
192
4.
1.
2.
3.
120$
8 /
.
27
5.
4.
3.
2.
1.
21
27
3.1.5. 5.
,
. ,
.
.
, /.
. , ,
. .
93
.
. ,
. -
, ,
. ,
ISO/IEC 27001.
3.1.6. 6. -
. ISO 27001
.
. -
. ,
,
.
,
, [25].
- . ,
. :
;
, ,
;
,
;
Excel
;
.
- :
( );
, -.
- -
[25]:
ISO 31000. -. .
ISO/IEC Guide 73. -. .
94
-,
:
NIST 800-30. - .
BSI Standard 100-3. - -.
3.2.
ISO/IEC 27001
,
. ,
. .
ISO/IEC 27001
, , ,
.
[26].
.
.
, .
:
:
;
ISO/IEC 27001.
ISO/IEC 27001,
.
. ,
,
ISO/IEC 27001 .
[26].
, .
ISO/IEC 27001.
, , .
. ,
, .
ISO/IEC 27001. .
.
95
, . :
?.
. , .
, . Bridge
Point [27]
ISO/IEC 27001. :
Bridge Point;
, ;
;
( );
;
(, ) ;
, ;
;
;
.
. 3.1 [27]
Bridge Point. Excel,
.
. ,
. [26].
,
, .
Excel.
,
. ,
. : ,
, , , 12
, . .
( ) ( ).
.
. ,
.
.
.
( 1)
96
( 2). 2 25%,
. 2
100% . ,
.
,
, . ,
,
ISO/IEC 27001.
[26].
ISO\IEC 27001
( ,
, )
ISO/IEC
27001
ITIL
, .
, .
97
, ,
. . 3.7 [27]
, () .
20
, , . ,
,
.
.
3.7
(4-8)
.5
.6
.7
.8
.9
.10
.11
.12 ,
.13
.14
.15
1
3
2
2
2
2
3
1
3
3
3
2
2
2
3
2
2
2
2
3
ISO/IEC 27001
1
1
2
2
1
2
3
2
2
3
1
2
1 3 .
,
.
98
3
( ISO/IEC 27001) ;
2
, ;
1
.
,
.
,
.
, ( 150)
( ) (. 3.2).
Compliance Score
(. 3.2) [27]
ISO/IEC 27001. [26]:
;
99
;
;
( )
;
( )
;
.
. ISO/IEC 27001 12 .
4- 8-. 11
ISO/IEC 27001. 5-15.
(. 3.3)
[27].
[26].
Compliance Score
100
,
,
.
.
. ,
. ,
. (. 3.8) [26].
3.8
ISO/IEC 27001
/
1
4.2.
4.2.1. ) 1)
1.
2.
.11.
.11.3.3
,
,
,
,
1.
2.
:
,
. ,
1-4;
.
;
101
. .
.
.
.
ISO/IEC 27001.
( ). . ,
:
[26].
, .
,
. ,
[26].
:
. .
.
,
.
.
,
(,
, ), ,
. , ,
.
. . ISO/IEC 27001
( .15.3.2) ,
. , , .
, .
[26].
1. -? .
102
2. -
?
3. - ?
4. ISO/IEC 27001
?
5. .
6. ?
7. -?
8. .
9.
-.
10. ?
.
11. ,
.
12. () ?
13. ?
?
14. .
15. ?
16. -.
17. -.
18.
.
19. ISO/IEC 27001
?
.
20.
ISO/IEC 27001?
21.
?
22.
?
103
4
4.1.
.
, ,
.
, , ISO: ISO/IEC 27001:2005,
ISO/IEC TR 18044 [28, 29].
,
. ,
, -
. ISO 20000:2005 Service Delivery
and Support .
[30]:
ISO/IEC 27001:2005 Information security management system. Requirements.
,
.
ISO/IEC TR 18044 Information security incident management.
PDCA. ,
, .
-
, ,
.
CMU/SEI-2004-TR-015 Defining incident management processes for CISRT.
, ,
.
CISRT (Critical Incident Stress Response
Team) ,
, .
104
,
, .
NIST SP 800-61 Computer security incident handling guide.
.
, ,
.
, ,
,
.
,
, ,
. , ,
, ,
-, - ,
.
. .
,
.
, , ,
.
,
(). ,
()
.
.
.
,
, :
, ( ,
), ,
.
-
.
105
ISO/IEC 27001:2005.
,
.
.
,
.
, ,
. ,
,
,
.
.
, :
, , ,
,
.
,
:
, ,
, ;
[28].
. ,
. :
, ,
, , .
, , .
- , ,
.
. ,
ISO/IEC 27001 ISO/IEC 20000.
[31].
106
4.2. -
- -
:
?
?
?
(, ), ,
?
(, ,
, )?
?
, - ,
. ,
.
,
- .
-
.
,
. ,
, . ,
.
, .
-
(, , , ).
- .
4.3. -
-:
1. .
.
Call-,
,
107
,
.
2. .
. ,
, ,
, , .
- . 4.1.
1. -
2.
-
,
,
. 4.1. -
,
, ,
- .
4.4.
108
- -
.
. ,
. ,
Word Excel.
- (. 4.2),
.
1.
2.
3.
4.
5.
6. ,
7.
8. -
. 4.2. -
109
.
, -
.
4.4.1.
: ,
.
. , .
.
. ,
, ,
, . ,
.
-
( ),
. .
,
-.
() (. 4.1).
4.1
( )
- , ..
110
.
,
.
(,
)
,
.
, .
,
4.4.2.
:
.
:
;
() ;
;
;
.
? (. 4.3). ,
.
?
.
.
, ,
.
111
(...)
()
()
(...)
()
( )
050 777-77-77
050 777-77-55 ()
032 222-22-22
032 222-33-33
ivanenko@company.com
, 3- , 302
050 888-88-88
050 888-88-77 ()
032 222-22-55
032 222-33-55
( )
..,
( )
(
)
(, )
..,
. 4.3. ?
112
.
, ,
.
, .
, . 4.2.
4.2
,
( )
... ,
( )
(
)
(, )
... ,
4.4.3.
:
.
(. 4.4). ,
.
.
.
.
:
24 .
,
.
3 .
113
114
()
, :
. 4.4.
4.4.4.
: , ,
.
,
.
(. 4.4).
.
:
, ;
;
.
,
.
4.4.5.
: , ,
.
:
;
, .
:
, ;
;
.
, , , ,
:
;
;
;
.
(. 4.4).
.
. 4.3.
,
,
(. 4.5).
115
4.3
(
100 USD)
(
1000 USD)
/
(
10000 USD)
/
,
/
, /
. 4.5.
116
, 3- .
4.4.6. ,
: ,
.
,
:
;
.
(. 4.4).
.
.
.
4.4.7.
: ,
.
,
.
(. 4.6).
117
20
:
, :
1.
( )
( 1 5)
2.
3. ,
( , )
()
(, )
4.
. 4.6.
4.4.8. -
118
: .
:
;
;
;
?.
.
-
.
- ,
, . 4.7.
,
.
.
,
.
,
.
. 4.7.
4.5. - -
119
- -
.
, .
, 12 3
.
- :
,
;
.
. -
.
, ,
. ,
. :
;
;
,
.
,
, .
- -
. -
, ,
.
-
, , .
. -
. ,
.
-
. ,
NIST SP 800-61 [32], ISO / IEC TR 18044
[29] . , ,
-
[31].
120
1. - -?
2. ?
3. -
: ISO/IEC 27001:2005, ISO/IEC TR 18044,
CMU/SEI-2004-TR-015.
4. - -
?
5.
- .
6. ,
.
7.
?
8. ,
, ?
9.
, ,
, ,
?
10. ,
.
11.
.
12. ?
13. - .
14.
.
15. - .
16. -.
17. .
18. ?
19.
?
121
20. ,
?
21. , ?
22. ?
23. ?
24. .
122
5
5.1.
ISO/IEC 27001
ISO/IEC 27001
. .
,
.
.
[33]:
1.
.
.
, .
, .
2. .
3. ,
.
, .
,
.
4. .
,
.
, .
.
:
, .
. ,
. , .
.
, .
,
. . , ,
123
(. 5.1).
5.1
1
2
3
4
5
01.11.2011
05.11.2011
..
05.11.2011
10-12.11.2011
01.11.2011
3
,
,
.
.
, . ,
:
. ,
.
;
,
.
.
,
20 40.
, .
()
,
:
ISO/IEC 27001;
.
. ,
.
124
5.2.
ISO/IEC 27001
,
. ,
[26].
, , (. 5.2).
: ,
.
5.2
.11.
.11.3.
3
1.
2.
1.
2.
01.10.11
1.
/
2.
/
15.11.11
1.
/
130 US
D
2.
/
125
4.2.1. )
4.2.
.
.
(. 5.3). ISO/IEC 27001
.
. .
5.3
49
2-
/
90
USD
10.12.11
10
USD
10.11.11
5.3.
.
,
.
:
; ( ).
126
. (, ,
) ,
.
.
,
.
.
.
. ,
, [33].
5.4.
(. 5.4).
5.4
4-8
5
6
15
01.10.2011
..
10.10.2011
..
01.11.2011
10.11.2011
01.12.2011
10.12.2011
..
..
..
..
01.02.2011
10.02.2011
..
..
.
, .
127
5.5.
. :
, , , ,
, .
(. 5.5) [33].
5.5
01.10.2011
..
10.10.2011
..
01.11.2011
..
10.11.2011
..
10.12.2011
..
01.02.2011
10.02.2011
..
..
,
, .
,
. ,
.
[33]:
/ ;
(, , );
(, , );
(, );
(, , );
(, );
/ ;
// .
128
5.6.
.
,
. ,
. ,
.
. ,
. ,
.
. , .
.
.
, ,
.
.
. , ,
, [33].
.
Microsoft Project. : Spider Project,
Primavera Project Planner, Turbo Project . ,
.
.
, .
,
Microsoft Excel (. 5.6).
[33].
. .
, .
. ,
, . ,
, .
.
129
: ,
, , .
5.6
1
2
3
4
1.1
1.4
1.2
1.2
1.3
3.4
3.1
3.2
4.2
4.3
4.7
3
4
4.5
2.1
2.1
2.8
2.8
2.3
2.6
2.4
.
: (),
, ( ).
, .
.
: ,
, .
.
. Excel.
, [33].
5.7. S/C R 13335:2003
S/C R 13335-1:2003
. . 1.
[17, 34]
,
.
. 1
130
S/C R 13335.
S/C R 13335:2003 :
;
;
;
;
,
;
, ,
.
, ,
.
,
. S/C R 13335
,
[34].
:
, ;
;
;
;
;
,
;
;
.
.
.
:
;
;
, : ,
; , , , , ,
;
131
;
;
;
;
;
, , , , .
, (. 5.1)
.
.
(1)
(n)
. 5.1. ,
, ; ,
; , .
,
.
- ,
132
, , .
,
( , )
[34].
(corporate security police)
.
, ,
, .
IT (corporate IT security police)
,
I .
(IT system security police)
.
, ,
, .
.
,
, ,
, .
, : , , , ,
, [34].
, ,
.
,
. ,
, .
, , ,
. 5.2 [34].
. , ,
, ,
. :
;
;
.
, ,
, .
,
. - , ,
133
, .
. 5.2.
,
. ,
. . 5.3 ,
.
. [34]:
, ,
;
;
;
;
, ;
, .
134
R
S
V
S
RR
V
V
RR
V
V
S
RR
. 5.3. (R , RR , S , T
, V )
. 5.3,
, /
. ,
. , ,
, .
, .
,
[34].
. 5.4 ,
. [34].
. 5.5, 5.6 5.7
, .
[34]. ,
. , . 5.4
2 3
SO/ TR 13335.
135
. 5.4.
. 5.5.
136
. 5.6.
. 5.7.
,
. 2 ISO/ R 13335
[34]. 3 . ,
. 5.8,
.
137
. 5.8.
,
.
,
. S/ TR 13335 ,
.
S/C R 13335-2:2003 .
. 2.
[17] , ,
,
.
.
, .
17 . 5 6
. 7
. 8 16
.
2 ,
.
138
,
.
. ,
. ,
. ,
, . 3
,
, 2.
.
, S/C R 13335-3:2003
.
. 3. [17]
,
.
.
,
, S/C R 13335-1
S/C R 13335-2.
S/C R 13335-3:2003 :
S/C R 13335-3;
;
;
,
;
,
;
;
,
.
S/C R 13335 ,
.
, S/C R 13335-1
, S/C R 13335-2.
S/C R 13335-3
. ,
, . , ,
139
S/C R 13335-3 . ,
.
S/C R 13335-4:2005 .
. 4. [17]
,
.
. , ,
, . , ,
S/C R 13335
, S/C R 13335-3.
.
,
:
;
;
.
, ,
,
.
,
( ).
S/C R 13335-4 ,
,
S/C R 13335-3. S/C R 13335
, ,
. ,
.
S/C R 13335 - ,
, .
S/C R 13335-4:2005 .
. 5.
[17]
, .
,
, .
S/C R 13335-4 , ,
,
.
140
.
, -, ,
, ,
, ,
(
,
S/C R 13335).
, ,
,
. :
;
;
, (
, ).
.
,
.
, .
, , -,
, , ,
.
.
,
. :
;
;
,
, .
,
.
[17].
1.
?
141
2.
.
3.
?
4.
?
5.
?
6. ?
7.
.
8. ,
?
9.
?
10.
ISO/IEC 27001.
11.
.
12. ?
13. ?
14.
ISO/IEC 27001.
15. ?
16.
?
17.
?
18. .
19. ?
20.
S/C R 13335?
21. .
22. ,
S/C R 13335.
142
6
6.1.
,
, , ,
.
,
. ,
, ,
.
,
, , .
,
, ,
, , , .
. ,
,
,
,
. ,
, , , ,
. 70-
,
. 1979 .
, .
XX . ,
, , ,
,
, , .
.
143
(IS0/IEC 15408)
(ISO 17799 BS 7799, ISO 27001).
(CBIT).
,
, .
, ,
, ,
. , ,
, , .
.
(-) ,
, , .
.
,
,
, ,
. ,
, .
80-
BS 17799
.
,
,
, .
ISO 15408,
, .
, ,
,
90- ,
.
, - .
, .
, ,
144
.
,
ISO 17799, BS 7799,
ISO 19011, ISO 27007. ,
.
.
,
. ,
,
, .
:
(),
- ;
;
,
, ;
.
,
( )
20/80, 20% ,
80% (), .
.
, :
.
, , .
,
, .
,
,
, ,
,
. ,
,
. .
.
, .
145
,
, , , ,
, :
,
;
.
.
: ,
, , ,
. ,
, ,
.
, , .
,
, .
, , , ,
,
(), ,
:
; ,
; , [35].
.
:
;
.
, ,
,
, ,
, , .
,
- . ,
. , ,
.
146
, , ,
, ,
, [35].
ISO 9000 14000, ISO 19011, ISO/IEC 27007,
BS 17799
.
/ ,
.
,
,
.
, : , ,
, ,
, ,
/ ,
.
.
, ,
, ,
, .
.
.
6.2.
,
() .
, ,
, .
,
(, )
, .
.
147
,
()
.
, .
, ,
, . ,
, ,
,
.
, , , , ,
.
, , , ,
, , .
Plan-Do-Check-Act (PDCA)
---
IS/IEC 27001 ,
, ,
. ,
.
. ,
, ,
, ,
, ,
, . ,
.
:
;
;
;
;
.
:
148
1. ,
, ; ,
- ;
2. ,
, , ;
3. () ;
4. ;
5. ;
6. ;
7. () ;
8. ;
9. ;
10. .
:
1. , ,
,
;
2.
, ,
;
3. () , ,
;
4. ,
,
;
5.
;
6. ;
7. ;
8. ,
,
.
:
1. ,
, :
;
,
;
149
,
;
, ,
;
2. (
)
, ,
,
;
3. ;
4.
, :
;
;
;
;
;
, ,
, ,
;
5.
;
6.
;
7.
;
8. , .
:
1. ;
2. .
, ,
;
3.
, ,
;
4. , ,
.
150
, . ,
. .
,
[35].
,
. .
, ,
. ,
, , ,
.
,
.
, ,
.
. 6.1 [35].
- c
- ,
- ,
,
- -
-
-
-
-
-
-
. 6.1.
151
:
, ;
;
;
.
,
,
, ,
.
, .
, .
,
.
, , ,
, , : , , , ,
.
,
.
,
, ,
,
.
(,
),
.
, .
,
, .
,
,
.
.
152
.
, , ,
.
.
.
.
. ,
.
, .
, .
. ,
( )
.
.
, ,
. ,
,
[35]:
,
;
,
;
;
,
.
-
. ,
,
.
153
, ,
- ,
.
() ,
.
6.3.
, . ,
,
()
.
,
, , ,
. ,
.
,
,
ISO/IEC 2700X .
7799 ( IS0/IEC 17799) ISO/IEC 27001,
,
. ,
, ,
ISO/IEC 27001. : ,
? ,
, .
,
, .
,
, . ISO/IEC 17799,
ISO/IEC 27001 ,
, .
, ,
154
,
, .
.
,
,
, ,
. ,
IS/IEC 27001, , ,
,
.
IS/IEC 27001 ,
, (,
,
,
). ,
;
. BS 15000 ,
BS 7799 ( 2) UKAS
.
(ISO) ISO.
-7/3 ( ,
)
,
.
.
,
. ,
: ,
?
, ,
.
ISO/IEC 27001 (. 6.2,
. 6.3).
155
RvA
COFRAC
ANAB
PCA
JAB
ENAC
UKAS
. 6.2.
1.
2.
3.
1.
2.
1.
2.
3.
. 6.3.
156
157
,
(,
, ,
).
,
,
158
(
,
,
)
,
,
;
- (
, ,
,
)
1. :
( );
( ,
, ).
2. , :
;
;
;
, .
,
.
, ,
.
1. -
.
( ).
159
,
.
2. ,
, ,
; , ,
, ,
. .
3. . .
.
, , : ,
, .
, .
.
:
;
;
;
;
;
, , ;
;
,
;
.
. .
, , ,
,
.
, .
.
.
, . , ,
,
.
,
- :
160
1. . ,
,
, (,
).
, ;
2. .
- ,
, ;
3. ,
. , ,
,
,
.
,
.
. ,
.
:
, .
;
,
,
.
, .
(
);
.
,
,
;
, :
.
161
, ,
.
, ,
, , (,
, , ).
, ,
, .
,
, .
.
:
;
;
;
(, , ,
);
;
, ;
;
.
(. 6.2).
()
(. 6.4) [35]:
;
-
;
, ,
;
.
162
6.2
1.
2.
3.
4.
5.
6.
.
,
.
,
,
,
,
,
; : .
( )
. ,
( ), .
, , ,
(
, ).
, .
.
.
.
.
,
[37].
163
164
ISO 15408
. 6.4.
ISO 17799,
ISO 2700127007
ISO 19011
[35]:
,
, , ;
,
, ,
( ,
, ,
);
, ,
, ,
,
;
, ,
(
, , ,
,
, );
, ,
,
;
,
.
6.5.
, . 6.5 IDEF0
[35],
.
,
:
;
, ;
;
.
165
166
(,
,
)
( )
( )
(,
,
.6.5.
()
,
, , ,
, ,
(, , ), .
( ).
,
,
,
(, , ) ,
.
,
( )
,
.
.
()
:
(, ,
, );
,
,
, ;
.
,
( . 6.5
() ),
,
.
( ) ( . 6.5
) .
(. 6.5)
. , ,
167
, , ,
( )
.
,
.
6.6.
ISO 19011
6.6.1.
ISO 19011
ISO 19011
. ISO 19011
, , ,
.
,
.
,
.
4 ISO 19011 .
5, 6 7. 5
,
,
,
. 6 ,
. 7
.
.
, ,
.
, , ,
, .
168
:
: .
, ,
.
: .
,
. ,
,
.
:
.
,
.
.
, , , .
:
.
, ,
.
,
.
, :
.
.
,
.
, .
6.6.2.
, , .
, .
,
,
. .
169
.
:
, , ,
;
.
. 6.6
.
1. . 6.6 ISO 19011
---.
, ,
, .
.
.
,
, , .
[38].
( ) ( ),
.
.
, .
1.
.
2. ,
,
.
.
3. ,
, [22].
: ,
;
;
/ ,
/ ,
.
170
,
.
-
-
-
-
-
-
-
-
-
-
-
. 6.6.
6.6.3.
171
( )
. , ()
, , ,
.
1. , , :
1)
ISO 19011, ISO 27007, ,
2) .
, ,
.
2. , ,
. ()
, ()
,
( )
ISO 19011, ISO 27007 [22].
,
.
:
;
;
;
, ;
;
;
;
.
:
;
; ;
[38].
,
, , [38]:
, , ;
;
, , ,
, ;
172
, ,
;
/;
;
- , ;
;
.
[22]:
.
()
.
(),
() .
,
.
,
.
.
. ,
: 2 (
).
4-
. 2 3
.
,
:
1. ;
2.
;
3. ,
()
.
173
.
.
, (,
) .
,
, ISO 19011, ISO 27007 [22].
6.6.4. ,
, ,
, .
, ,
, .
:
;
, ;
;
;
, .
:
, , ,
;
;
,
;
,
;
;
, .
:
;
;
;
;
174
, , ;
;
;
.
.
:
;
,
;
;
;
;
;
;
;
, , .
,
:
1. , , :
;
;
;
;
, ;
2. ;
3. , ,
:
;
;
.
.
,
.
.
175
: ;
; ,
.
:
;
;
;
;
;
.
.
6.7.
ISO 19011
. . 6.7
.
.
. , -
176
-
- ,
-
-
-
-
,
-
-
-
-
-
-
-
-
-
-
-
-
. 6.7.
6.7.1.
177
, ,
. ,
,
.
,
, .
, , :
(
) ;
, ;
;
.
, , ,
, , ,
.
, ,
, , , ,
,
/ .
.
. - ,
.
,
.
, , :
;
;
.
178
, ,
, .
, ,
, ,
. ,
. 7 ISO 19011
.
:
, , ;
;
,
;
, , / ;
,
, ;
;
, ,
;
, .
: , ;
,
.
,
.
. -
,
.
,
. , ,
, (
),
.
,
179
.
, ,
, .
:
;
;
;
, ;
;
;
.
6.7.2.
.
, .
, ,
.
, .
.
,
,
.
,
.
6.7.3.
180
,
.
.
,
. , ,
, .
, ,
,
.
:
;
- , ;
,
, ;
;
,
;
-
;
.
, , :
;
, ,
/ ;
;
(, );
, ;
- .
.
-
, . -
.
181
, , .
, ,
- .
.
,
, ,
. :
;
, , ,
.
, ,
. ,
, . ,
,
.
6.7.4.
, , , .
:
;
, ;
;
.
, , ,
.
.
, ,
:
;
, ;
182
, ,
, -
, - ;
, ,
,
;
;
, ;
,
;
,
;
, ;
, ,
;
-
;
, ;
, ;
.
,
.
, , ,
.
, ,
- . ,
(,
, , , ),
, , . ,
,
.
183
,
,
.
,
. , ,
-
,
.
,
.
. , ,
.
:
;
;
;
;
.
, ,
, . ,
. .
.
, , ,
.
. 6.8
.
:
;
;
.
184
. 6.8.
:
;
,
;
, , , , , ,
, , , ;
, , ,
;
, ;
185
;
, , ,
;
-.
, , . ,
, :
;
, ,
, ;
, ;
-
;
;
, (
);
, ;
, , .
. ,
. ,
.
, ,
.
,
, .
,
.
. .
,
.
186
/ ,
.
:
-
; ,
;
, ;
, .
:
; ,
;
, , .
,
, /
, .
,
, , , ,
.
,
.
,
. , ,
,
.
. /
,
, .
. ,
. ,
.
6.7.5. ,
187
. , ,
:
;
, ,
, ,
;
;
;
;
;
;
.
, ,
:
;
;
, / -
, ,
;
,
;
- , ,
;
- ;
, ;
, ;
;
.
.
,
. ,
.
, .
.
.
188
6.7.6.
,
.
- ,
, , .
, - ,
-
, , ,
.
, .
, , ,
.
.
.
.
.
,
.
.
6.8.
,
. .
:
,
;
;
;
, .
,
,
, ,
.
189
,
.
. , ,
,
.
,
, .
,
, ,
.
.
, ,
. :
, ;
;
,
.
,
,
.
.
.
,
.
, , , , ,
, .
, , ,
.
190
, ,
:
1. .
, ,
, ,
, .
, ,
,
;
2. .
:
, ,
;
( ) ,
;
, ;
3. .
-
;
4. , ,
, .
:
IS0/IEC 27001-2005 Information technology.
Security techniques. Information security management systems. Requirements;
ISO/IEC 13335 Information Technology. Security
techniques. Management of information and communications technology
security;
ISO/IEC 17799 Information technology Code of
practice for information security management;
/ 15408-1-2002. .
.
. 1. ;
/ 15408-2-2002. .
.
. 2. ;
/ 15408-3-2002. .
.
. 3. ;
191
19011-2003.
/ .
5. .
, ,
, ,
.
[35].
, .
:
;
, ,
, .
. 6.9.
,
.
. 6.9.
192
,
.
,
. :
, , , , ;
,
;
, ;
,
;
, ;
, ;
, , ;
,
;
,
.
, .
1. , :
. :
, ;
;
;
;
,
, ;
;
;
;
,
;
193
;
;
;
.
2. , :
.
:
;
;
,
, ,
;
, ,
;
, , ;
,
, , , .
3. : ,
. :
, , ;
;
.
4. , , :
, ,
. :
, , ;
;
;
, .
.
.
,
. ,
,
.
194
,
. 6.3.
6.3
1.
2.
3.
4.
5.
5
1-5
1
5
1-5
3
1
0
3
1
0
2
0
5
0
5
1
0
:
1. (. . 6.3)
9;
2.
12;
3.
12;
4. ,
. , 3- .
.
, ,
, , ,
, .
195
. :
;
;
;
-;
;
;
.
, .
1. , :
.
:
;
;
(, ,
).
2. , :
, .
:
;
, ;
.
3. :
.
:
;
;
;
;
196
4. :
, ,
/ .
:
;
;
;
, ;
;
.
, ,
, ,
, .
,
.
, .
,
, ,
, ,
, / .
,
:
;
, .
, ,
.
.
.
. , ,
.
.
, .
197
,
, .
:
,
;
, ,
.
, ,
, ,
,
.
, . 6.4 ,
.
.
6.4
, ,
(. . 1)
5 (. . 2)
2
5
,
,
,
40 . ,
20
-
(.
. 3).
198
15
(. . 3).
.
1. ,
,
.
2. ,
.
3. , (
, ,
, ).
.
, .
, , , ,
, , ,
.
.
,
, .
.
, ,
,
.
.
, :
, ;
;
.
. 6.10 .
199
. 6.10.
.
1 , ,
.
:
, ;
;
/ ;
;
, ;
200
.
2 .
(,
, ,
) (, ,
).
3 .
, . 6.5. . 6.5
, :
,
;
;
,
, , .
6.5
, , ,
, ,
, ,
,
, ,
,
,
201
,
,
,
,
,
4 .
, , ,
2. ,
, /
, . ,
, . 6.6 [38].
6.6
1
,
,
,
,
,
,
,
,
,
, .
202
.
.
.
,
.
,
,
,
,
,
,
,
.
. .
, .
203
,
,
,
,
.
,
,
.
,
,
.
6.9.
,
.
,
:
, ,
, ,
, ;
;
;
204
,
;
IP-,
;
,
;
ISO/IEC 27001:2005
;
.
:
NSA Infosec
( :
, ).
ISO/IEC 27001:2005 ISO/IEC 17799:2005.
( -)
.
- DSECCT (Digital Security
Classification of Threats) [39].
,
: ,
.
. ,
,
,
, .
,
.
.
.
205
( )
.
.
.
,
.
.
ISO/IEC 27001-27007
.
,
( ),
, .
,
.
ISO/IEC 27001
.
,
,
, .
[39].
,
ISO/IEC 27001:2005.
( ) ,
, ,
.
. (
206
,
.
.
.
(
).
6.8
207
.
.
, ,
(
)
.
.
, ,
, .
.
.
, .
,
. (,
) (, ,
).
. ,
.
.
( , , ,
), .
( ),
.
,
, ( )
.
, .
,
.
, ,
,
. ,
( ,
)
208
.
, ,
, , .
.
, , ,
. ,
, : ,
, ,
,
( ). ,
.
(
, CVE, OSVDB )
.
.
(
) , .
.
.
.
,
(, , ,
, ).
, .
, .
,
,
:
, ;
,
;
209
.
,
,
.
,
[40].
,
, ,
,
, ,
.
. , ,
, , ,
, .
:
1. .
.
, ,
, ,
, .
,
.
2. .
,
, , .
3. .
. (,
)
,
, .
210
,
,
.
, ,
IP- .
.
.
,
. ,
,
.
[41].
(. 6.11) (
) ,
.
.
.
.
IP- Web. ,
.
,
()
.
,
ISO 17799.
211
. 6.11.
(NIST) Draft Guideline on
Network Security Testing Open-Source Security Testing Methodology (OSSTM) [42].
, (
)
(Black Box White Box)
( Black Hat White Hat). Black Box
IP- , , e-mail
. White Box
.
Black Hat .
,
.
.
White Hat ,
- .
.
212
,
.
,
(security-) .
,
.
, ,
. , ,
. , ,
(
).
. ,
, , .
: ,
, .
security- ,
.
: ,
-.
, , , .
.
, ,
. ,
,
, ,
,
.
,
. , , ,
.
, ,
. :
.
213
.
,
( )
, . , ,
.
.
, -
- ,
.
.
:
, , , .
,
[43].
. ,
, , ,
. , ,
, ,
. ,
.
ISO 27001/ISO 17799 ,
.
. ,
, , NSA
Infosec ( ) [44].
.
. (
).
,
214
. -
( ). ,
ISO 27001/ISO 17799,
,
. -,
, ,
, .
. ,
;
, . ,
, .
.
.
( )
, . ,
, ,
.
, , ,
.
.
, ,
, .
? ,
, ?
, ,
,
, 100%
. ,
( )
( ),
.
. ,
2, 5 8.
215
15,
110 250, 5 (. 6.12).
002
005
008
005
015
110
250
110
250
005
002
005
008
015
001
003
006
020
011
012
013
002
033
010
011
012
016
030
. 6.12.
216
,
5 8 .
2, 3, 6 20. ,
, ,
( , ,
). , 6,
11, 12 13. 12
35,
,
. 5 3,
2 1. 250,
10, 11 12 16.
, - , .
,
.
,
. ,
,
. : 2, 5, 8,
15; 110 250 5. ,
, :
2, 3, 6, 20, 11, 12, 13, 16, 35 ( ,
); 10, 11, 12 250; 1, 2, 3 5.
, !
, ,
( NSA Infosec
).
, :
, ,
.
.
,
, .
, ,
. ? -,
. -,
217
, ,
[45].
6.10. QSA- PCI DSS
PCI DSS (Payment Card Industry Data Security
Standrad) [46]
PCI DSS.
PCI Security Standards Council , QSA1
(Qualified Security Assessor).
PCI DSS .
:
,
,
;
- (,
),
PCI DSS;
,
;
,
;
( )
.
:
;
.
PCI DSS PCI DSS Security Audit Procedure.
PCI DSS,
. :
,
;
,
;
218
802.11X
;
, ;
( ,
, );
;
;
.
PCI DSS
. PCI DSS
,
[47].
.
,
, ,
--, , ERP (
). ,
,
,
:
, ,
, - ;
-;
;
- ,
[48].
1. ?
2. .
219
3. ,
?
4. ?
5. ?
6.
ISO/IEC 27001
?
7. ? .
8. ?
9. ?
10. .
11. .
12.
.
13. . ?
14. ,
?
15.
ISO 19011.
16. ?
17. ?
18. ?
19.
?
20.
.
21.
?
22.
?
23. ? .
24. .
25.
.
26.
.
27. ,
?
220
28.
.
29.
PCI
DSS.
221
ISO/IEC 27000, ISO 19011, ISO 9000, ISO 14050,
[3, 4, 12, 13]:
[asset] -, ;
[risk analysis]
;
[audit] ,
;
1. , ,
,
. , , ,
,
.
2. ,
.
, ,
, , .
, , ,
ISO 9001 ISO 27001.
3. , ,
.
4.
.
[auditor] , ;
[audit conclusion] ,
;
[vulnerability] ,
;
[audit team] ,
, , .
1.
.
2. -.
[audit findings]
;
222
.
.
[audit evidence] , ,
;
. .
[availability]
;
[threat] ,
;
[residual risk] ,
;
[audit client] ,
;
. -
,
.
[control] , ,
, , ,
, , .
.
.
[information processing facilities] -
, ,
, ;
[information security] ,
; , ,
;
[statement of applicability] ,
.
.
,
,
.
[information security incident]
, ,
;
[guideline] , , ,
, ;
223
[competence]
.
[confidentiality] ,
, ;
[audit criteria] , ;
. ,
.
[risk management]
;
[auditee] , ;
[risk treatment]
;
[risk evaluation]
;
[risk assessment]
;
[audit plan] ;
[information security event]
, ,
,
, ;
[policy] ,
;
[risk acceptance] ;
[audit programme] ,
;
. ,
, .
[risk] ;
[Information security management
system ISMS] ,
, , , , ,
, ;
. , ,
, , , , .
[audit scope] ;
. , , ,
, ,
.
224
[technical expert] ,
;
1.
, , .
2. .
[third party] ,
;
[integrity] ;
225
A
()
, . .1,
, 515 ISO/IEC 17799:2005. . .1
, .
. 5-15 ISO/IEC 17799:2005
[3].
A.1
A.5
A.5.1
:
,
.
.5.1.1
,
.5.1.2
,
,
.
A.6
A.6.1
:
.6.1.1
226
.6.1.2
.
.6.1.3
.
,
.6.1.4
,
.
.6.1.5
,
,
.
.6.1.6
.
.6.1.7
,
.
( ,
.6.1.8
, ,
)
.
.6.2
: ,
, ,
,
.
,
.6.2.1
,
,
, ,
227
.6.2.2
,
, ,
,
,
.6.2.3
, ,
,
,
.
.7
.7.1
:
.
,
.7.1.1
.
, ,
.7.1.2
.
.7.1.3
, ,
.
.7.2
: , .
.7.2.1
, ,
.
,
.7.2.2
,
228
.8
.8.1
: , ,
, ,
, .
,
A.8.1.1
,
A.8.1.2
,
,
, ,
, .
, ,
A.8.1.3
.
.8.2
: , ,
,
, ,
, ,
.
.8.2.1
,
, , ,
.8.2.2
,
.
229
.8.2.3
, .
.8.3
: , ,
.
.8.3.1
,
.8.3.2
,
,
, .
,
.8.3.3
, ,
,
.
A.9
A.9.1
: ,
.
,
,
.9.1.1
(, ,
).
.9.1.2
, ,
, ,
.
.9.1.3
,
, .
.9.1.4
, , ,
230
,
.
.9.1.5
.
, ,
, , ,
,
A.9.1.6
,
, ,
,
,
.
.9.2
: , ,
.
.9.2.1
,
,
.
A.9.2.2
,
.
,
A.9.2.3
,
.
A.9.2.4
A.9.2.5
,
, ,
, , .9.2.6
231
,
.9.2.7
( )
.
.10
.10.1
: ,
.
.10.1.1
, ,
,
.
.10.1.2
,
, .
.10.1.3
,
,
,
.10.1.4
,
.
.10.2
:
.
,
, ,
.10.2.1
,
,
.
, ,
.10.2.2
,
;
.
.10.2.3
232
,
,
, .
.10.3
: .
.10.3.1
, ,
.10.3.2
()
.
.10.4
: .
,
, ,
.10.4.1
,
()
.
,
, ,
.10.4.2
.
.10.5
: , ,
.
.10.5.1
.
.10.6
: .
233
.10.6.1
.10.6.2
,
,
, ,
, .
, ,
-
, ,
.
.10.7
: , ,
, .
.10.7.1
.
,
.10.7.2
,
.
.10.7.3
,
.
.10.7.4
.
.10.8
: ,
- .
,
.10.8.1
.10.8.2
.
234
, ,
.10.8.3
,
.10.8.4
,
.
.10.8.5
, ,
.
.10.9
: ,
.
, ,
,
.10.9.1
,
.
, ,
,
.10.9.2
, ,
,
,
.
,
.10.9.3
,
, .
.10.10
: .
,
,
.10.10.1
,
,
.
235
.10.10.2
,
.
.10.10.3
.10.10.4
,
.10.10.5
,
.
,
.10.10.6
.
.11
.11.1
: .
.11.1.1
,
.
.11.2
:
.
.11.2.1
,
.11.2.2
.11.2.3
236
.11.2.4
,
.
.11.3
: ,
, .
.11.3.1
.
,
, ,
A.11.3.2
,
.
A.11.3.3
,
.
.11.4
: .
11.4.1
,
.
A.11.4.2
.
A.11.4.3
.
,
A.11.4.4
.
,
A.11.4.5
.
A.11.4.6
237
, ,
,
.
.11.4.7
, ,
.
.11.5
: .
.11.5.1
(ID )
.11.5.2
.11.5.3
.11.5.4
,
.
.11.5.5
-
.
.11.5.6
,
.
.11.6
: ,
.
.11.6.1
238
.11.6.2
()
.
.11.7
:
.
.11.7.1
,
.
,
.11.7.2
.
.12 ,
.12.1
: , .
.12.1.1
.
.12.2
: , ,
.
, ,
.12.2.1
, ,
.
,
.12.2.2
.12.2.3
,
.
.12.2.4
,
, ,
239
.
.12.3
: , /
.
.12.3.1
,
.12.3.2
.
.12.4
: .
,
.12.4.1
.12.4.2
, .
.12.4.3
.
.12.5
:
.
.12.5.1
.12.5.2
,
,
.12.5.3
,
.
.12.5.4
240
.12.5.5
() .
.12.6
: ,
.
,
.12.6.1
,
,
.
.13
.13.1
: , ,
, ,
.
.13.1.1
,
.13.1.2
-
.
.13.2
:
.
.13.2.1
, ,
,
.13.2.2
,
.
241
.13.2.3
( , ),
, ,
,
().
.14
.14.1
: ,
,
.
.14.1.1
,
.14.1.2
,
.
.14.1.3
,
,
.
.14.1.4
, ,
.
,
.14.1.5
,
,
242
.15
.15.1
: - , ,
- .
,
,
.15.1.1
,
,
A.15.1.2
,
,
.
,
A.15.1.3
,
,
.
,
A.15.1.4
, ,
, .
,
A.15.1.5
,
.
A.15.1.6
, ,
.
.15.2 ,
: .
A.15.2.1
243
.15.2.2
.
.15.3
: /
.
,
.15.3.1
,
,
.
.15.3.2
,
244
.
() .
.
.
.
.
.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
.
.
.
.
. .
.
.
15.
16.
17.
18.
19.
.
.
. .
. .
. .
20. .
21. .
22.
23.
24.
25.
.
. .
. .
. .
245
26. . .
27. . .
28. . .
29. .
30. . .
()
6.
31.
32.
33.
34.
. .
. ().
. .
7.
35. . :
,
,
,
.
8.
36. .
37. .
38. .
.
39. .
40. .
41. .
42. ().
43. .
246
44. .
45. .
9.
46.
47.
48.
49.
50.
.
.
, .
.
.
10.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
.
().
.
.
.
.
.
.
. .
. .
.
11.
62. .
63. .
64. .
65.
66.
67.
68.
69.
70.
71.
72.
73.
.
.
.
.
.
.
.
.
.
247
74. . .
75. . .
12. ,
76.
77.
78.
79.
80.
, , , .
() , .
.
.
, , .
13.
81. .
82. . .
83. . .
14.
84.
85.
86.
87.
.
. .
. .
. .
15.
88. . .
89. , ().
90. .
.
91. .
92. .
93. .
94. .
95. .
96. .
97. .
98. .
99. .
100. .
101. .
248
102. .
103. .
104. .
105. .
106. .
107. .
. . .
249
_________
.
:
1.
,
ISO/IEC 27001:2005.
2.
() :
,
();
;
,
;
.
3.
() _______
. ,
.
4.
_______ 20__ ,
.
5.
.
250
__.________.20__
,
ISO/IEC 27001:2005.
.
_____________
()
__002_11
: ... : ... : ...
. , 2011
.
ISO/IEC 27001:2005.
. ,
, , .
251
252
6-10
, 6
,
253
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
:
http://www.bbs.51cto.com/attachment.php?aid=166807&k...t=1313038425.
International standard ISO/IEC 20000-1. Information technology Service management
Part 1:
Specification
[
]
:
http://www.isothai.com/forums/index.php?act=attach&type=post&id=6665.
International standard ISO 9000. Quality management systems Fundamentals and
vocabulary
[
]
:
http://www.seatone.cn/news/upfile/2006519845492059.pdf.
14001-2007. .
[
]
:
http://waste.samgtu.ru/sites/waste.samgtu.ru/files/gost_r_iso_14001-2007.pdf.
. .
/ . . //
- 21 . :
, 2008. . 1-3.
1.0/ISO/IEC 27001:2010. . .
. [ ] :
http://www.bank.gov.ua/B_zakon/Draft/02022010/27001.pdf.
/ 17799-2005. .
[ ] :
http://www.npo-echelon.ru/common_files/gost/GOST-17799-2005.pdf.
International standart ISO/IEC 27002. Information technology Security techniques Code
of practice for information security management [ ] :
http://bbs.6jc.cn/pdf/g/ISO%2027002.pdf.
/ 27002. .
[ ] :
http://www.pqm-online.com/assets/files/standards/iso_iec_27002-2005.pdf.
254
:
http://www.securitycn.net/img/uploadimg/20070831/cobit4.0_en.pdf.
16. Official ITIL Website [ ] : http://www.itilofficialsite.com.
17. . . / . . , . . ,
. . , . . . . 2. . : . , 2009. 355 .
18. . . ISO/IEC 27001 .
/ . . // DAS Management.
2009. 1. . 36-39.
19. [ ]
: http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=3792-12.
20. . .
ISO/IEC 27001:2005 / . . // DAS Management. 2010. 2.
. 72-76.
21. Federal Office for Information Security [ ] : www.bsi.de.
22. International standard ISO 19011. Guidelines for quality and/or environmental management
systems
auditing
[
]
:
http://chemeng.hut.edu.vn/images/stories/iso/tc-tk/ISO19011_2002_Ban%20tien
g%20Anh.pdf.
23. 19011-2003.
/ [ ]
:
http://stroyoffis.ru/gost_ohrana_pr/gost_r_iso_19011_2003/gost_r_iso_19011_2003.php.
24. BSI Management Systems CIS, LLC [ ] :
http://www.bsi-russia.ru.
25. . . -
ISO/IEC 27001. /
. . // DAS Management. 2010. 4. . 79-83.
26. . .
ISO/IEC 27001 / . . // DAS Management.
2010. 3. . 56-60.
27. Bridge
Point
Communications
[
]
:
http://www.bridgepoint.com.au.
28. . :
[ ] : http://iso27000.ru/chitalnyi-zai/upravlenieincidentami-informacionnoi-bezopasnosti/informacionnaya-bezopasnost-upravlenieincidentami/.
29. ISO/IEC TR 18044:2004 [ ] : http://www.npoechelon.ru/common_files/gost/GOST-18044-xxxx.pdf.
255
30. . [ ] :
http://iso27000.ru/chitalnyi-zai/upravlenie-incidentami-informacionnoibezopasnosti/upravlenie-incidentami/.
31. . . .
/ . . // DAS Management. 2011. 1.
. 68-74.
32. Computer Security Incident Handling Guide [ ] :
http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf.
33. . . ,
ISO/IEC 27001 /
. . // DAS Management. 2010. 5. . 70-73.
34. / 13335-1-2006. .
1.
[ ]
: http://faculty.ifmo.ru/csd/files/Gost_13335_1.pdf.
35. . . / . . , . . ,
. . . . : -, 2006. 304 .
36. . . : /
. . , . . . . : , 2005. 184 .
37. . . / . . , . . . . : : -,
2005. 176 .
38. ISO 19011:2003.
/ . . : , 2004. 31 .
39. [ ] : http://www.dsec.ru/consult/audit/.
40. .
/ . // . 2007. 2.
41. [ ] : http://dsec.ru/consult/test/.
42. Open-Source Security Testing Methodology Manual [ ]
: http://isecom.securenetltd.com/osstmm.en.2.1.pdf.
43. . (
) ,
Internet / . // . 2005. 3.
44. Application Of The Nsa Infosec Assessment Methodology [ ]
: http://www.sans.org/reading_room/whitepapers/auditing/application-nsa-infosecassessment-methodology_1045.
45. .
/ . //
Connect! . 2006. 10.
46. Payment Card Industry (PCI) Data Security Standard [ ]
: https://www.pcisecuritystandards.org/pdfs/pci_audit_procedures_v1-1.pdf.
47. [ ] : http://www.dsec.ru/consult/pcidss/audit/
48. [ ] : http://www.dsec.ru/consult/audit-applications/
256