Главная

О проекте

Контакты

Авторам

Форум

Подписка
Логин
Пароль
 
Забыли пароль?
Опрос

Извлечение прибыли
Удовлетворение интересов и амбиций владельцев
Изменение окружающего мира
Создание рабочих мест и благоприятное социальное влияние
Выживание в условиях агрессивной внешней среды
Захват новых территорий и ресурсов
Повышение капитализации и стоимости
Другая


Популярные статьи

Новости партнеров
журнал "Бизнес Энтропия" » Статьи » Безопасность бизнеса » Международные стандарты по информационной безопасности

Международные стандарты по информационной безопасности
Автор: Вячеслав Панкратьев, специалист в области безопасности бизнеса, преподаватель-консультант по вопросам корпоративной безопасности, автор и ведущий обучающих программ по проблемам безопасности бизнеса, автор книг и методических пособий по безопасности предпринимательской деятельности.

Какие существуют международные стандарты по информационной безопасности?

Международный стандарт безопасности информационных систем ISO 17799
В 1995 г. был принят британский стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. СБ, IT-отдел, руководство компании начинают работать согласно общему регламенту. Британский стандарт BS 7799 поддерживается в 27 странах мира. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Поэтому сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO. Основные разделы стандарта ISO 17799 следующие:

• политика безопасности;

• организационные меры по обеспечению безопасности (управление форумами по информационной безопасности, координация вопросов, связанных с информационной безопасностью, распределение ответственности за обеспечение безопасности и т.д.);

• классификация и управление ресурсами (инвентаризация ресурсов, классификация ресурсов и т.д.);

• безопасность персонала (безопасность при выборе и работе с персоналом, тренинги персонала по вопросам безопасности, реагирование на инциденты и неисправности и т.д.);

• физическая безопасность;

• управление коммуникациями и процессами (рабочие процедуры и ответственность, системное планирование, защита от злонамеренного программного обеспечения (вирусов, троянских коней), управление внутренними ресурсами, управление сетями, безопасность носителей данных, передача информации и программного обеспечения и т.д.);

• контроль доступа (требования для контроля доступа, управление доступом пользователя, ответственность пользователей, контроль и управление удаленного (сетевого) доступа, контроль доступа в операционную систему, контроль и управление доступом к приложениям, мониторинг доступа и использования систем, мобильные пользователи и т.д.);

• разработка и техническая поддержка вычислительных систем (требования по безопасности систем, безопасность приложений, криптография, безопасность системных файлов, безопасность процессов разработки и поддержки и т.д.);

• управление непрерывностью бизнеса (процесс управления непрерывного ведения бизнеса, непрерывность бизнеса и анализ воздействий, создание и внедрение плана непрерывного ведения бизнеса, тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса и т.д.);

• соответствие системы основным требованиям (соответствие требованиям законодательства, анализ соответствия политики безопасности, анализ соответствия техническим требованиям, анализ соответствия требованиям системного аудита и т.д.).


Что такое OPSEC?

OPSEC – Operation Security – американская концепция системного подхода к обеспечению защиты конфиденциальной информации.

В американском бизнесе существует универсальная концепция системного подхода к информационной безопасности, которая строится на 7 этапах ее реализации.

Первый этап (анализ объекта защиты) состоит в определении – что нужно защищать? – и проводится по следующим направлениям:

• какая информация нуждается в защите;

• наиболее важные (критические) элементы защищаемой информации;

• срок жизни критической информации (время, необходимое конкуренту для реализации добытых сведений);

• определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;

• классифицируются индикаторы по функциональным зонам компании (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения управления и т.д.).

Второй этап – осуществляется "выявление угроз". Он происходит по следующим направлениям:

• определяется, кого может заинтересовать защищаемая информация;

• оцениваются методы, используемые конкурентами для получения этой информации;

• оцениваются вероятные каналы утечки информации;

• разрабатывается система мероприятий по пресечению действий конкурента.

Третий этап – анализируется эффективность принятых и постоянно действующих подсистем безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т.д.).

Четвертый этап – определение необходимых мер защиты. На основании проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности компании.

Пятый этап – руководителями компании рассматриваются представленные предложения по всем необходимым мерам безопасности и расчет их стоимости и эффективности.

Шестой этап – реализация принятых дополнительных мер безопасности с учетом установленных приоритетов.

Седьмой этап – осуществление контроля и доведение до персонала компании реализуемых мер безопасности.
 
Другие новости по теме:

  • Конфиденциальное делопроизводство в компании
  • Информационная безопасность с нуля: мысли о "высоком"
  • Безопасность бизнеса: основополагающие параметры
  • Качество в процессах управления проектами
  • Конкуренты не спят, или Как защитить свой бизнес от шпионов



  • RSS | Главная страница | Авторам | Новое на сайте Бизнес Энтропия © 2009