Международные стандарты информационной безопасности

В соответствии с международными и национальными стандартами обеспечение информационной безопасности в любой компании предполагает следующее:
• определение целей обеспечения информационной безопасности компьютерных систем;
• создание эффективной системы управления информационной безопасностью;
• расчет совокупности детализированных качественных и количественных показателей для оценки соответствия информационной безопасности поставленным целям;
• применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
• использование методик управления безопасностью, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.
Рассмотрим наиболее известные международные стандарты в области защиты информации, которые могут быть использованы в отечественных условиях.

Стандарты ISO/IEC 17799:2002 (BS 7799:2000)

Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью — Информационные технологии» («Information technology — Information security management*) является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799—1:1995 «Практические рекомендации по управлению информационной безопасностью» («lnformation security management — Part 1: Code of practice for information security management*) и относится к новому поколению стандартов информационной безопасности компьютерных ИС.
Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799—1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безопасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предприятии;
• классификация и управление корпоративными информационными ресурсами;
• кадровый менеджмент и информационная безопасность;
• физическая безопасность;
• администрирование безопасности КИС;
• управление доступом;
• требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;
• управление бизнес-процессами компании с точки зрения информационной безопасности;
• внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью» («Information security management — Part 2: Specification for information security management systems»), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита КИС.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:
• «Введение в проблему управления информационной безопасностью» («Information security managment: an introduction*);
• «Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);
• «Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management*);
• «Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing*);
• «Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management*).

В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях. По мнению специалистов, обновление международного стандарта ISO 17799 (BS 7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.


Страницы: 1 2 3 4

Эта статья была опубликована Воскресенье, Август 9th, 2009 at 16:56 в рубрике Стандарты информационной безопасности. Вы можете следить за ответами через RSS 2.0 feed.

Написать ответ