Международные стандарты информационной безопасности

В соответствии с международными и национальными стандартами обеспечение информационной безопасности в любой компании предполагает следующее:

  • • определение целей обеспечения информационной безопасности компьютерных систем;
  • • создание эффективной системы управления информационной безопасностью;
  • • расчет совокупности детализированных качественных и количественных показателей для оценки соответствия информационной безопасности поставленным целям;
  • • применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;
  • • использование методик управления безопасностью, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.

Рассмотрим наиболее известные международные стандарты в области защиты информации, которые могут быть использованы в отечественных условиях [52].

Стандарты ISO/IEC 17799:2002 (BS 7799:2000)

Международный стандарт ISO/IEC 17799:2000 (BS 7799—1:2000) «Управление информационной безопасностью — Информационные технологии» («Information technology — Information security management») является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799—1:1995 «Практические рекомендации по управлению информационной безопасностью» («Information security management — Part 1: Code of practice for information security management») и относится к новому поколению стандартов информационной безопасности компьютерных И С.

Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799—1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

  • • необходимость обеспечения информационной безопасности;
  • • основные понятия и определения информационной безопасности;
  • • политика информационной безопасности компании;
  • • организация информационной безопасности на предприятии;
  • • классификация и управление корпоративными информационными ресурсами;
  • • кадровый менеджмент и информационная безопасность;
  • • физическая безопасность;
  • • администрирование безопасности КИС;
  • • управление доступом;
  • • требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;
  • • управление бизнес-процессами компании с точки зрения информационной безопасности;
  • • внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью» («Information security management — Part 2: Specification for information security management systems»), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита КИС.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:

  • • «Введение в проблему управления информационной безопасностью» («Information security managment: an introduction»);
  • • «Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);
  • • «Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management»);
  • • «Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing»);
  • • «Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management»).

В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях. По мнению специалистов, обновление международного стандарта ISO 17799 (BS 7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.

 
< Пред   СОДЕРЖАНИЕ     След >