ISO IEC 27033-1-2015 PDF

Полное наименование и описание

ISO/IEC 27033-1:2015 — Information technology — Security techniques — Network security — Part 1: Overview and concepts. Стандарт даёт обзор проблем сетевой безопасности, определяет термины и ключевые понятия, а также предоставляет управленческие рекомендации и «дорожную карту» к остальным частям серии ISO/IEC 27033.

Аннотация

Часть 1 предназначена для описания концепций сетевой безопасности и для оказания руководящей помощи менеджменту при определении требований к безопасности сетей. Включает руководство по идентификации и анализу рисков, обзор поддерживающих контролей (технических и нетехнических) и вводные рекомендации по проектированию, внедрению, эксплуатации и мониторингу сетевых решений. Стандарт служит вводной частью и связующим звеном с другими документами семейства ISO/IEC 27000.

Общая информация

• Статус: Published (действующий, подтверждён в процессе подтверждения стандартов при последующих обзорах).
• Дата публикации: 10 августа 2015 г. (издание 2, 2015).
• Организация-издатель: Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC), разработка в рамках ISO/IEC JTC 1/SC 27.
• ICS / категории: 35.030 (IT Security); сопутствующие классификации приводятся также как 35.040 в ряде описаний.
• Редакция / версия: 2-е издание (2015), заменяет предыдущую редакцию 2009 г.
• Количество страниц: 48 страниц (приблизительный объём официального издания PDF/печатной версии).

Область применения

Стандарт применим к организации сетевой безопасности на уровне политики, архитектуры и управления. Охватывает защиту устройств, управление ими, приложения/сервисы, конечных пользователей и защиту информации при её передаче по коммуникационным каналам. Релевантен владельцам и операторам сетей, менеджерам (как техническим, так и нетехническим), архитекторам сетей и специалистам по информационной безопасности, участвующим в планировании, проектировании и внедрении сетевых архитектур и контролей.

Ключевые темы и требования

• Определение терминологии и ключевых концепций сетевой безопасности (конфиденциальность, целостность, доступность).
• Процесс идентификации и анализа сетевых рисков; сопоставление требований к сети с бизнес‑политиками безопасности.
• Обзор поддерживающих контролей: управление уязвимостями, аутентификация, аудит и мониторинг сети, IDS/IPS, защита от вредоносного ПО, криптографические услуги и т.д.
• Принципы построения качественной технической архитектуры сетевой безопасности и соответствие архитектуры выбранным контролям.
• Справочные сетевые сценарии и «технологические» темы с анализом рисков, проектных приёмов и практических вопросов внедрения и эксплуатации.

Эти темы призваны дать руководящую основу для дальнейшего выбора и детализации контролей в последующих частях серии.

Применение и пользователи

Типичные пользователи стандарта: руководители и менеджеры (включая нетехнических), владельцы процессов и активов, менеджеры по информационной безопасности, сетевые администраторы и инженеры, архитекторы решений, консультанты и аудиторы. Документ полезен при подготовке требований к сетевой безопасности, оценке архитектурных вариантов и выборе технических и организационных мер защиты.

Связанные стандарты

Часть 1 является вводной для серии ISO/IEC 27033 (включая части 2, 3, 4, 5, 6 и др.), а также тесно связана с управленческими стандартами семейства ISO/IEC 27000 (в частности ISO/IEC 27001, ISO/IEC 27002 и ISO/IEC 27005). Исторически часть 1 заменила ISO/IEC 18028-1; другие части серии детализируют проектирование, сценарии и отдельные технологические области (VPN, шлюзы, беспроводные сети и т.д.).

Ключевые слова

сетевая безопасность, network security, архитектура безопасности, риски сети, поддерживающие контроли, IDS/IPS, VPN, безопасные шлюзы, беспроводные сети, ISO/IEC 27033.

FAQ

В: Что это за стандарт?

О: Введение и обзор по сетевой безопасности — управленческие и концептуальные руководящие указания для определения требований и выбора контролей в области сетевой безопасности.

В: Что он регулирует?

О: Не регламентирует конкретные технические продукты, а описывает принципы, процессы и наборы поддерживающих контролей для проектирования, внедрения, эксплуатации и мониторинга безопасности сетей; даёт рамки для выбора конкретных технических и организационных мер.

В: Кто обычно использует?

О: Руководители, менеджеры по безопасности, сетевые архитекторы и инженеры, специалисты по эксплуатации сетей, консультанты и аудиторы — везде, где нужно формализовать требования к сетевой безопасности и разработать архитектуру защитных мер.

В: Он актуален или заменён?

О: Действующее издание — 2015 года (2-е издание). Документ рассматривается как действующий стандарт серии; в описаниях отмечаются процессы периодического подтверждения/обзора стандартов. При внедрении рекомендуется сверяться с последними выпусками и подтверждениями серии ISO/IEC 27033 и смежных стандартов.

В: Это часть серии?

О: Да — это первая (вводная) часть серии ISO/IEC 27033. Серия включает дальнейшие части, которые детализируют руководство по проектированию и конкретным сценариям/технологиям (например, части, посвящённые проектированию и реализации сетевой безопасности, VPN, шлюзам, беспроводным сетям и т.д.).

В: Какие ключевые слова?

О: Сетевая безопасность, архитектура безопасности, риск‑анализ сети, поддерживающие контроли, управление уязвимостями, VPN, IDS/IPS, беспроводные сети, ISO/IEC 27033.