ISO/IEC TR 13335 ang. Guidelines for the Management of IT Security, GMITS

ISO/IEC TR 13335raport techniczny o istotnym znaczeniu dla funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji (ISMS). Został wydany wspólnie przez Międzynarodową Organizację Normalizacyjną (ISO) oraz Międzynarodową Komisję Elektrotechniczną (IEC). W Polsce posiada status normy i jest oznaczony PN-I-13335. Składa się z pięciu części.

Spis treści

Zarządzanie bezpieczeństwem systemów informatycznych

Każdy system informatyczny posiada zasoby podatne na zagrożenia pochodzące zarówno z zewnątrz, jak i wewnątrz tegoż systemu. Zasoby posiadają pewne słabości, które mogą zostać wykorzystane przez zagrożenie. Prawdopodobieństwo takiego wykorzystania nazywamy ryzykiem. W celu zminimalizowania ryzyka stosuje się zabezpieczenia, rozumiane jako praktyki, procedury oraz mechanizmy redukujące ryzyko. Jednakże żadne zabezpieczenie nie jest idealne, zawsze istnieje ryzyko szczątkowe. Zdarza się również tak, że słabości nie są wykorzystywane przez żadne znane ryzyko - wówczas zabezpieczenia nie są konieczne. Kompleksowy proces przeciwdziałania zagrożeniom, polegający na stworzeniu i podtrzymaniu systemu bezpieczeństwa informatycznego instytucji, nazywany jest zarządzaniem bezpieczeństwem.

Zawartość raportu

ISO/IEC TR 13335-1 (PN-I-13335-1:1999) – zawiera wytyczne zarządzania bezpieczeństwem systemów informatycznych. Omawia terminologię, związki między pojęciami oraz podstawowe modele.

ISO/IEC TR 13335-2 (PN-I-13335-2:2003) – stanowi szczegółowy opis planowania i zarządzania bezpieczeństwem systemów informatycznych. Część ta omawia zagadnienia dotyczące:
  • określenia celów, strategii i polityki bezpieczeństwa;
  • określenia wymagań w zakresie bezpieczeństwa;
  • różnych podejść do przeprowadzania analizy ryzyka;
  • omówienia różnego rodzaju planów zabezpieczeń;
  • sposobów organizacji służb bezpieczeństwa;
  • znaczenia szkoleń i działań uświadamiających;
  • wykrywania i reagowania na incydenty.


ISO/IEC TR 13335-3 – jest opisem technik zarządzania bezpieczeństwem systemów informatycznych. Zawiera szczegółowe informacje dotyczące trójpoziomowej polityki bezpieczeństwa, omówienie metod analizy ryzyka, implementacji zabezpieczeń oraz sposobów reagowania na różne incydenty zagrażające bezpieczeństwu informacji.

ISO/IEC TR 13335-4 – przedstawia zagadnienia związane z wyborem właściwych zabezpieczeń. Omówiono tu klasyfikacje i charakterystykę różnych form zabezpieczeń, sposoby doboru zabezpieczeń ze względu na rodzaj zagrożenia lub systemu, a także szczegółowe zalecenia wynikające z innych norm (m.in. BS 7799) oraz branżowych opracowań.

ISO/IEC TR 13335-5 – ostatnia część normy charakteryzuje metody zabezpieczeń dla połączeń z sieciami zewnętrznymi. Omówiono w niej metody zabezpieczenia połączenia sieci wewnętrznej z zewnętrzną.

Zobacz też

Bibliografia

  • ISO/IEC TR 13335, Wikipedia pl
  • Aleksandra Jaworska: ISO 13335, Encyklopedia zarządzania
  • Tomasz Polaczek: Audyt bezpieczeństwa informacji w praktyce, Wydawnictwo Helion, Gliwice 2006, ISBN 83-246-0402-2.
  • Andrzej Białas: Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydanie drugie, Wydawnictwa Naukowo-Techniczne, Warszawa 2007, ISBN 978-83-204-3343-2
ostatnia modyfikacja 20 sierpnia 2016 r.