Системы менеджмента информационной безопасности. Требования

Международный стандарт ISO/IEC 27001:2005 «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования представляет собой дополнение к стандарту ISO/IES 17799:2005 «Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью».

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность – обеспечение точности и полноты информации, а также методов ее обработки;

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

ГОСТ Р ИСО МЭК 27001 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ГОСТР Р ИСО МЭК 17799 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности.

Стандарт ИСО 27001 определяет процессы, представляющие возможность бизнесу устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.

Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:

· Сделать большинство информационных активов наиболее понятными для менеджмента компании

· Выявлять основные угрозы безопасности для существующих бизнес-процессов

· Рассчитывать риски и принимать решения на основе бизнес-целей компании

· Обеспечить эффективное управление системой в критичных ситуациях

· Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)

· Четко определить личную ответственность

· Достигнуть снижения и оптимизации стоимости поддержки системы безопасности

· Облегчить интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000

· Продемонстрировать клиентам, партнерам, владельцам бизнеса свою приверженность к информационной безопасности

· Получить международное признание и повышение авторитета компании, как на внутреннем рынке, так и на внешних рынках

· Подчеркнуть прозрачность и чистоту бизнеса перед законом благодаря соответствию стандарту

Наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Требования данного стандарта имеют общий характер и могут быть использованы широким кругом организаций – малых, средних и больших – коммерческих и индустриальных секторов рынка: финансовом и страховом, в сфере телекоммуникаций, коммунальных услуг, в секторах розничной торговли и производства, различных отраслях сервиса, транспортной сфере, органах власти и многих других.

Дата добавления: 2014-01-05; Просмотров: 438; Нарушение авторских прав?; Мы поможем в написании вашей работы!