Главная » Безопасность » Защита6 » Критерии для оценки механизмов безопасности организационного уровня в международном стандарте ISO 17799

Критерии для оценки механизмов безопасности организационного уровня в международном стандарте ISO 17799

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Практические правила управления информационной безопасностью (Code of Practice for Information Security Management — razgovorodele.ru). ISO 17799 был разработан на основе британского стандарта BS 7799.

Этот стандарт является официальным документом, описывающим комплексный подход к вопросам информационной безопасности и рассматривающим в качестве элементов управления как технические, так и организационно-административные меры, обеспечивающие конфиденциальность, целостность, достоверность и доступность информации. Стандарт ISO 17799 не зависит от конкретных технических средств и решений и не описывает конкретных реализаций защиты того или иного элемента информационной системы предприятия, что позволяет внедряющим его предприятиям выбирать любые аппаратные и программные средства обеспечения информационной безопасности.

В соответствии со стандартом ISO 17799, основными областями управления информационной безопасностью являются планирование непрерывности бизнеса, управление доступом, разработка и поддержка системных и прикладных средств, безопасность среды, соответствие документам и стандартам, управление персоналом, безопасность на уровне компании, управление инфраструктурой, классификация и контроль материальных средств, наличие политики безопасности. Кроме того, в стандарте содержится подробная детализация элементов каждой из перечисленных областей. ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Ниже приведены основные разделы стандарта ISO 17799.

1. Политика безопасности

2. Организационные меры по обеспечению безопасности:

— управление форумами по информационной безопасности;
— координация вопросов, связанных с информационной безопасностью;
— распределение ответственности за обеспечение безопасности;

3. Классификация и управление ресурсами:

— инвентаризация ресурсов;
— классификация ресурсов.

4. Безопасность персонала:

— безопасность при выборе и работе с персоналом;
— тренинги персонала по вопросам безопасности;
— реагирование на инциденты и неисправности.

5. Физическая безопасность.

6. Управление коммуникациями и процессами:

— рабочие процедуры и ответственность;
— системное планирование;
— защита от злонамеренного программного обеспечения (вирусов, троянских коней);
— управление внутренними ресурсами;
— управление сетями;
— безопасность носителей данных;
— передача информации и программного обеспечения.

7. Контроль доступа:

— бизнес требования для контроля доступа;
— управление доступом пользователя;
— ответственность пользователей;
— контроль и управление удаленного (сетевого) доступа;
— контроль доступа в операционную систему;
— контроль и управление доступом к приложениям;
— мониторинг доступа и использования систем;
— мобильные пользователи.

8. Разработка и техническая поддержка вычислительных систем:

— требования по безопасности систем;
— безопасность приложений;
— криптография;
— безопасность системных файлов;
— безопасность процессов разработки и поддержки.

9. Управление непрерывностью бизнеса:

— процесс управления непрерывного ведения бизнеса;
— непрерывность бизнеса и анализ воздействий;
— создание и внедрение плана непрерывного ведения бизнеса;
— тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса.

10. Соответствие системы основным требованиям:

— соответствие требованиям законодательства;
— анализ соответствия политики безопасности;
— анализ соответствия техническим требованиям;
— анализ соответствия требованиям системного аудита.

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации. При использовании некоторых из средств контроля, например, шифрования данных, могут потребоваться советы специалистов по безопасности и оценка рисков, чтобы определить, нужны ли они и каким образом их следует реализовывать — razgovorodele.ru. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799.

Оставить комментарий