Журнал "Бизнес Энтропия" > Безопасность бизнеса, Информационная безопасность > Международные стандарты по информационной безопасности
Международные стандарты по информационной безопасности |
Автор: Вячеслав Панкратьев, специалист в области безопасности бизнеса, преподаватель-консультант по вопросам корпоративной безопасности, автор и ведущий обучающих программ по проблемам безопасности бизнеса, автор книг и методических пособий по безопасности предпринимательской деятельности.
Какие существуют международные стандарты по информационной безопасности? Международный стандарт безопасности информационных систем ISO 17799 В 1995 г. был принят британский стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. СБ, IT-отдел, руководство компании начинают работать согласно общему регламенту. Британский стандарт BS 7799 поддерживается в 27 странах мира. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Поэтому сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO. Основные разделы стандарта ISO 17799 следующие: • политика безопасности; • организационные меры по обеспечению безопасности (управление форумами по информационной безопасности, координация вопросов, связанных с информационной безопасностью, распределение ответственности за обеспечение безопасности и т.д.); • классификация и управление ресурсами (инвентаризация ресурсов, классификация ресурсов и т.д.); • безопасность персонала (безопасность при выборе и работе с персоналом, тренинги персонала по вопросам безопасности, реагирование на инциденты и неисправности и т.д.); • физическая безопасность; • управление коммуникациями и процессами (рабочие процедуры и ответственность, системное планирование, защита от злонамеренного программного обеспечения (вирусов, троянских коней), управление внутренними ресурсами, управление сетями, безопасность носителей данных, передача информации и программного обеспечения и т.д.); • контроль доступа (требования для контроля доступа, управление доступом пользователя, ответственность пользователей, контроль и управление удаленного (сетевого) доступа, контроль доступа в операционную систему, контроль и управление доступом к приложениям, мониторинг доступа и использования систем, мобильные пользователи и т.д.); • разработка и техническая поддержка вычислительных систем (требования по безопасности систем, безопасность приложений, криптография, безопасность системных файлов, безопасность процессов разработки и поддержки и т.д.); • управление непрерывностью бизнеса (процесс управления непрерывного ведения бизнеса, непрерывность бизнеса и анализ воздействий, создание и внедрение плана непрерывного ведения бизнеса, тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса и т.д.); • соответствие системы основным требованиям (соответствие требованиям законодательства, анализ соответствия политики безопасности, анализ соответствия техническим требованиям, анализ соответствия требованиям системного аудита и т.д.). Что такое OPSEC? OPSEC – Operation Security – американская концепция системного подхода к обеспечению защиты конфиденциальной информации. В американском бизнесе существует универсальная концепция системного подхода к информационной безопасности, которая строится на 7 этапах ее реализации. Первый этап (анализ объекта защиты) состоит в определении – что нужно защищать? – и проводится по следующим направлениям: • какая информация нуждается в защите; • наиболее важные (критические) элементы защищаемой информации; • срок жизни критической информации (время, необходимое конкуренту для реализации добытых сведений); • определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений; • классифицируются индикаторы по функциональным зонам компании (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения управления и т.д.). Второй этап – осуществляется "выявление угроз". Он происходит по следующим направлениям: • определяется, кого может заинтересовать защищаемая информация; • оцениваются методы, используемые конкурентами для получения этой информации; • оцениваются вероятные каналы утечки информации; • разрабатывается система мероприятий по пресечению действий конкурента. Третий этап – анализируется эффективность принятых и постоянно действующих подсистем безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т.д.). Четвертый этап – определение необходимых мер защиты. На основании проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности компании. Пятый этап – руководителями компании рассматриваются представленные предложения по всем необходимым мерам безопасности и расчет их стоимости и эффективности. Шестой этап – реализация принятых дополнительных мер безопасности с учетом установленных приоритетов. Седьмой этап – осуществление контроля и доведение до персонала компании реализуемых мер безопасности. Вернуться назад |