Информационная безопасность

Первый национальный стандарт в области менеджмента информационной безопасности — британский BS 7799 [72]. Он состоит из двух частей. Первая (BS 7799-1:1999) была принята в качестве международного стандарта ИСО/МЭК 17799:2000 «Информационные технологии. Свод правил по управлению инфор­мационной безопасностью». Этот документ составлен как набор апробированных и универсальных базовых рекомендаций по инициации, внедрению и обеспечению защиты информации. Вторая часть — BS 7799-2:2002 «Системы менеджмента ин­формационной безопасности. Спецификации и руководство для применения» — по­служила основой модели для налаживания и управления эффективной системой менеджмента информационной безопасности (СМИБ).

Информационная безопасность характеризуется в стандарте как обеспечение:

• конфиденциальности, т. е. предоставления возможности доступа к информации только авторизированным пользователям;

• целостности, т. е. защищенности, точности и полноты информации и методов работы с ней;

• доступности, т. е. обеспечения авторизированным пользователям доступа
к информации и сопутствующим активам, когда это требуется.

Пересмотренный ИСО/МЭК 17799:2005 стал основой для защиты информации в сфере международной электронной торговли. Он аккумулирует новейшие до­стижения, что позволило прообразовать свод правил в международный стан­дарт.

Объект стандартизации — информация современной среды электронной тор­говли, уязвимой к различным угрозам. Стандарт предусматривает наилучший менеджмент мероприятий по защите внешней коммерческой деятельности, свя­занный: с проблемами оплаты, использования мобильных средств и беспроводной технологии, правилами средств Интернета, совершенствованием методов управ­ления людскими ресурсами и т. п. ИСО/МЭК 17799:2005 не предназначен для целей сертификации.

Любая организация имеет активы, существенные с точки зрения ее существо­вания. Информация в ее различных формах, возможно, есть наиважнейший актив; она может быть напечатана на бумаге, сохранена на электронном носителе, по­слана обычной или электронной почтой, показана на фото- или видеопленке или сообщена в разговоре. Для большинства видов коммерческой деятельности за­щищенность информации важна для поддержания конкурентоспособности, по­ступления наличных денег, прибыльности, юридических обязательств и делового имиджа. У многих коммерческих и большинства некоммерческих организаций сохраненная информация может быть их единственным активом. Незащищенность информации угрожает существованию этих компаний.

ИСО/МЭК 17799:2005 признает, что уровень безопасности, достигнутый лишь через технические средства, является ограниченным. Требуемый уровень, уста­новленный путем оценивания рисков, затрат, вызванных нарушением безопас­ности и затрат на осуществление мероприятий по защите, следует сопровождать соответствующими управленческими процедурами и контролем. Управление безопасностью информации требует участия всех сотрудников организации. Также может стать необходимым вовлечение акционеров, поставщиков, третьих лиц и клиентов.

ИСО/МЭК 17799:2005 определяет факторы, которые формируют систему безо­пасности информации. Он охватывает критичные факторы, организацию безопас­ности информации, менеджмент активов, людские ресурсы, физическую и эколо­гическую защиту, менеджмент связей и функционирование информационных си­стем, их развитие и обслуживание, менеджмент инцидентов, постоянный менедж­мент бизнеса, согласованность. Стандарт должен стать существенным инструмен­том в деятельности компаний любого типа и размера, общественных и частных. Внедряя его, можно демонстрировать деловым партнерам, потребителям и постав­щикам, что фирма является безопасной с точки зрения ведения с ней дел.

В 2005 г. был принят также стандарт ИСО/МЭК 27001:2005 на системы ме­неджмента информационной безопасности, который поможет остановить суще­ствующие утечки информации и предотвратить связанные с этим возможные угрозы. ИСО/МЭК 27001:2005 «Информационные технологии. Системы менедж­мента информационной безопасности. Требования» может пригодиться для таких секторов рынка, как финансы и страхование, связь, транспорт, коммунальное обслуживание, производство, торговля, сфера услуг, правительственные органы и др. Внедрение требований ИСО/МЭК 27001:2005 должно убедить потребителей и поставщиков в том, что в организациях, с которыми они имеют дело, к вопро­сам информационной безопасности относятся серьезно и что в их распоряжении есть современные способы борьбы с утечкой информации.

Информация, как и другие деловые активы, добавляет ценность компании и поэтому должна быть защищена. Это обеспечивает деловую непрерывность, сводит к минимуму затраты и увеличивает отдачу от инвестиций и деловых возможностей. СМИБ обеспечивает системный подход к менеджменту уязвимой информации организации, охватывая людей, процессы и информационные технологии. ИСО/ МЭК 27001:2005 регламентирует процессы, которые позволяют устанавливать, вы­полнять, анализировать, контролировать и обслуживать эффективные СМИБ. Этот стандарт воспроизводит основополагающие подходы стандартов ИСО серий 9000 и 14000, включая цикл PDCA и принцип постоянных улучшений.

Стандарт ИСО/МЭК 27001 необходимо использовать совместно с ИСО/МЭК 17799. Эти стандарты разработаны совместным техническим комитетом ИСО/МЭК ОТК 1 (ISO/IEC JTC 1, JTC - Joint Technical Committee) «Информационные технологии», его подкомитетом ПК 27 (SC 27, SC — subcommittee) «Методы безо­пасности», рабочей группой РГ 1 (WG 1, WG — Working Group) «Требования, рекомендации по безопасности».

Дата добавления: 2015-05-26; Просмотров: 458; Нарушение авторских прав?; Мы поможем в написании вашей работы!