Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Практические правила управления информационной безопасностью (Code of Practice for Information Security Management — razgovorodele.ru). ISO 17799 был разработан на основе британского стандарта BS 7799.
Этот стандарт является официальным документом, описывающим комплексный подход к вопросам информационной безопасности и рассматривающим в качестве элементов управления как технические, так и организационно-административные меры, обеспечивающие конфиденциальность, целостность, достоверность и доступность информации. Стандарт ISO 17799 не зависит от конкретных технических средств и решений и не описывает конкретных реализаций защиты того или иного элемента информационной системы предприятия, что позволяет внедряющим его предприятиям выбирать любые аппаратные и программные средства обеспечения информационной безопасности. В соответствии со стандартом ISO 17799, основными областями управления информационной безопасностью являются планирование непрерывности бизнеса, управление доступом, разработка и поддержка системных и прикладных средств, безопасность среды, соответствие документам и стандартам, управление персоналом, безопасность на уровне компании, управление инфраструктурой, классификация и контроль материальных средств, наличие политики безопасности. Кроме того, в стандарте содержится подробная детализация элементов каждой из перечисленных областей. ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Ниже приведены основные разделы стандарта ISO 17799. 1. Политика безопасности 2. Организационные меры по обеспечению безопасности: — управление форумами по информационной безопасности; 3. Классификация и управление ресурсами: — инвентаризация ресурсов; 4. Безопасность персонала: — безопасность при выборе и работе с персоналом; 5. Физическая безопасность. 6. Управление коммуникациями и процессами: — рабочие процедуры и ответственность; 7. Контроль доступа: — бизнес требования для контроля доступа; 8. Разработка и техническая поддержка вычислительных систем: — требования по безопасности систем; 9. Управление непрерывностью бизнеса: — процесс управления непрерывного ведения бизнеса; 10. Соответствие системы основным требованиям: — соответствие требованиям законодательства; Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации. При использовании некоторых из средств контроля, например, шифрования данных, могут потребоваться советы специалистов по безопасности и оценка рисков, чтобы определить, нужны ли они и каким образом их следует реализовывать — razgovorodele.ru. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799. |
Главная » Безопасность » Защита6 » Критерии для оценки механизмов безопасности организационного уровня в международном стандарте ISO 17799