Критерии для оценки механизмов безопасности организационного уровня в международном стандарте ISO 17799

Этот стандарт является официальным документом, описывающим комплексный подход к вопросам информационной безопасности и рассматривающим в качестве элементов управления как технические, так и организационно-административные меры, обеспечивающие конфиденциальность, целостность, достоверность и доступность информации. Стандарт ISO 17799 не зависит от конкретных технических средств и решений и не описывает конкретных реализаций защиты того или иного элемента информационной системы предприятия, что позволяет внедряющим его предприятиям выбирать любые аппаратные и программные средства обеспечения информационной безопасности.

В соответствии со стандартом ISO 17799, основными областями управления информационной безопасностью являются планирование непрерывности бизнеса, управление доступом, разработка и поддержка системных и прикладных средств, безопасность среды, соответствие документам и стандартам, управление персоналом, безопасность на уровне компании, управление инфраструктурой, классификация и контроль материальных средств, наличие политики безопасности. Кроме того, в стандарте содержится подробная детализация элементов каждой из перечисленных областей. ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Ниже приведены основные разделы стандарта ISO 17799.

1. Политика безопасности

2. Организационные меры по обеспечению безопасности:

– управление форумами по информационной безопасности;
– координация вопросов, связанных с информационной безопасностью;
– распределение ответственности за обеспечение безопасности;

3. Классификация и управление ресурсами:

– инвентаризация ресурсов;
– классификация ресурсов.

4. Безопасность персонала:

– безопасность при выборе и работе с персоналом;
– тренинги персонала по вопросам безопасности;
– реагирование на инциденты и неисправности.

5. Физическая безопасность.

6. Управление коммуникациями и процессами:

– рабочие процедуры и ответственность;
– системное планирование;
– защита от злонамеренного программного обеспечения (вирусов, троянских коней);
– управление внутренними ресурсами;
– управление сетями;
– безопасность носителей данных;
– передача информации и программного обеспечения.

7. Контроль доступа:

– бизнес требования для контроля доступа;
– управление доступом пользователя;
– ответственность пользователей;
– контроль и управление удаленного (сетевого) доступа;
– контроль доступа в операционную систему;
– контроль и управление доступом к приложениям;
– мониторинг доступа и использования систем;
– мобильные пользователи.

8. Разработка и техническая поддержка вычислительных систем:

– требования по безопасности систем;
– безопасность приложений;
– криптография;
– безопасность системных файлов;
– безопасность процессов разработки и поддержки.

9. Управление непрерывностью бизнеса:

– процесс управления непрерывного ведения бизнеса;
– непрерывность бизнеса и анализ воздействий;
– создание и внедрение плана непрерывного ведения бизнеса;
– тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса.

10. Соответствие системы основным требованиям:

– соответствие требованиям законодательства;
– анализ соответствия политики безопасности;
– анализ соответствия техническим требованиям;
– анализ соответствия требованиям системного аудита.

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации. При использовании некоторых из средств контроля, например, шифрования данных, могут потребоваться советы специалистов по безопасности и оценка рисков, чтобы определить, нужны ли они и каким образом их следует реализовывать – razgovorodele.ru. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799.