Международный стандарт ISO 17799 (BS 7799) и новая культура защиты информационных активов компании

— документ о политике информационной безопасности;
— распределение обязанностей по обеспечению информационной безопасности;
— обучение и подготовка персонала к поддержанию режима информационной безопасности;
— уведомление о случаях нарушения защиты;
— средства защиты от вирусов;
— планирование бесперебойной работы организации;
— контроль над копированием программного обеспечения, защищенного законом об авторском праве;
— защита документации организации;
— защита данных;
— контроль соответствия политике безопасности.

Процедура аудита безопасности ИС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности ИС также является анализ и управление рисками.

Текущая версия стандарта ISO17799 рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

— Необходимость обеспечения информационной безопасности.
— Основные понятия и определения информационной безопасности.
— Политика информационной безопасности компании.
— Организация информационной безопасности на предприятии.
— Классификация и управление корпоративными информационными ресурсами.
— Кадровый менеджмент и информационная безопасность.
— Физическая безопасность.
— Администрирование безопасности корпоративных информационных систем.
— Управление доступом.
— Требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения.
— Управление бизнес-процессами компании с точки зрения информационной безопасности.
— Внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799 «Спецификации систем управления информационной безопасностью определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта — razgovorodele.ru. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем. Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов:

— Введение в проблему управления информационной безопасности.
— Возможности сертификации на требования стандарта BS 7799.
— Руководство по оценке и управлению рисками.
— Готовы ли вы к аудиту на требования стандарта.
— Руководство для проведения аудита на требования стандарта.
— Практические рекомендации по управлению безопасностью информационных технологий.

Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет совместно с Британским Институтом Стандартов, и в частности служба UK AS. Названная служба производит аккредитацию организаций на право аудита информационной безопасностью в соответствии со стандартом BS 7799. Сертификаты, выданные этими органами, признаются во многих странах — razgovorodele.ru. Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS 7799 разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS 7799. При этом в планах совместного тестирования должно быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.

Сегодня международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта много внимания уделено вопросам повышения культуры защиты информации в различных международных компаниях, в том числе вопросам обучения и изначальной интеграции процедур и механизмов оценки и управления информационной безопасности в информационные технологии корпоративных систем. По мнению специалистов, обновление этого международного стандарта позволило не только создать новую культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.