Международный стандарт ISO 17799

   Одним из наиболее развитых и широко используемых во всех странах мира стал международный стандарт ISO 17799.
Code of Practice for Information Security Management (Практические рекомендации по управлению  безопасностью информации). ISO 17799 был разработан на  основе британского стандарта BS 7799 и принят в 2000 году.


   ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности  организационного уровня, включая административные, процедурные и физические меры защиты. Практические правила разбиты на следующие 10 разделов:

  • Политика безопасности.

  • Организация защиты.

  • Классификация ресурсов и их контроль.

  • Безопасность персонала.

  • Физическая безопасность объекта.

  • Администрирование компьютерных систем и вычислительных сетей.

  • Управление доступом.

  • Разработка и сопровождение информационных систем.

  • Планирование бесперебойной работы организации.

  • Контроль выполнения требований политики безопасности.

   Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно  важными. Под средствами контроля в данном контексте понимаются механизмы управления  информационной безопасностью организации. При использовании некоторых из средств контроля, например шифрования данных, могут потребоваться  советы специалистов по безопасности и оценка рисков, чтобы определить, нужны ли они и каким образом  их следует реализовывать. Для обеспечения более высокого уровня защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться  более сильные средства контроля, которые выходят за рамки ISO 17799.
   Десять ключевых средств контроля, перечисленные далее, представляют собой либо обязательные  требования, например требования действующего законодательства, либо считаются основными  структурными элементами информационной безопасности, например обучение правилам безопасности.  Эти средства контроля актуальны для всех организаций и сред функционирования АС и составляют основу системы управления информационной безопасностью.
   Ключевыми являются следующие средства контроля:

- документ о политике информационной безопасности;
-
распределение обязанностей по обеспечению информационной безопасности;
-
обучение и подготовка персонала к поддержанию режима информационной безопасности;
-
уведомление о случаях нарушения защиты;
-
средства защиты от вирусов;
-
планирование бесперебойной работы организации;
-
контроль над копированием программного обеспечения, защищенного законом об авторском праве;
-
защита документации организации;
-
защита данных;
-
контроль соответствия политике безопасности.

  Процедура аудита безопасности ИС включает в себя проверку наличия перечисленных ключевых средств  контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам,  существующим в данной среде функционирования. Составной частью работ по аудиту безопасности ИС  также является анализ и управление рисками.