2014-02-02
421
ISO 17799
СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ
К самым распространенным международным стандартом относятся стандарты управления информационной безопасностью ISO 15408, ISO 17799, BSI. Стандарты аудита информационных систем и информационной безопасности COBIT, COSO, SAC.
В данном стандарте описаны оценки механизмов безопасности организационного уровня. Данный стандарт является официальным документом, описывающим комплексный подход к вопросам информационной безопасности, который рассматривает в качестве элементов технические и организационно-административные меры.
Основные разделы стандарта:
1. Политика безопасности
2. Организационные меры по обеспечению безопасности (управление форумами по ИБ и распределение ответственности за обеспечение безопасности)
3. Классификация и управление ресурсами
4. Безопасность персонала (безопасность при выборе и работе с персоналом, тренинги персонала и реагирование на инциденты)
5. Физическая безопасность
|
|
|
6. Управление коммуникативными процессами
7. Контроль доступа (управление доступом пользователей, управление сетями, безопасность носителей данных)
8. Разработка и техническая поддержка вычислительных систем (безопасность приложений, криптография)
9. Управление непрерывностью бизнеса
10. Соответствие системы основным требованиям
ISO 17799 предлагает 10 средств контроля. Под средствами контроля понимаются механизмы управления информационной безопасностью организации. К ним относятся:
1. Документ о политике ИБ
2. Распределение обязанностей по обеспечению ИБ
3. Обучение и подготовка персонала к поддержанию режима ИБ
4. Уведомление о случаях нарушения защиты
5. Средства защиты от вирусов
6. Планирование бесперебойной работы организации
7. Защита документации организации
8. Защита данных
9. Контроль соответствия политике ИБ
10. Контроль над копированием программного обеспечения, защищенного законом об авторском праве
Процедура аудита безопасности информационной системы включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильность их реализации, а также анализ их адекватности риском, существующим в данной среде.
Данный стандарт обобщил содержание и опыт использования оранжевой книги. В данном стандарте проведена классификация широкого набора требований по безопасности, определены структуры информационных систем и принципы использования средств защиты.
