Разработчики международных стандартов

ISO (Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ISO или IEC, участвуют в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности. Технические комитеты ISO и IEC сотрудничают в областях взаимных интересов. Другие международные организации, правительственные и не правительственные, совместно с ISO и IEC также принимают участие в этой работе. В области информационных технологий, ISO и IEC организован совместный технический комитет, ISO/IEC JTC 1. Основной задачей совместного технического комитета является подготовка Международных Стандартов. Проекты Международных Стандартов принятые совместным техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. Международные Стандарты проектируются в соответствии с правилами, установленными Директивами ISO/IEC, Часть 2.

«Информационная технология. Практические правила управления информационной безопасностью»

Данный стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности.

В соответствии со стандартом основное внимание при проектировании и создании эффективной системы безопасности организации уделяется комплексному подходу к управлению ИБ, которое должно осуществляться с применением технических и организационных мер, направленных на обеспечение конфиденциальности, целостности и доступности защищаемой информации. Нарушение любого из этих принципов может привести как к незначительным убыткам организации, так и к ее банкротству.

С целью формирования комплексных требований к безопасности информации стандарт определяет три основных показателя:

· оценка рисков, с которыми сталкивается организация (определение угрозы для ресурсов, их уязвимость и вероятность возникновения угроз,а также возможный ущерб);

· соблюдение законодательных, нормативных и договорных требований, которые должны выполняться самой организацией, ее партнерами по бизнесу, подрядчиками и поставщиками услуг;

· формирование комплекса принципов, целей и требований к обработке информации, разработанных организацией для поддержки своей деятельности.

Оценка рисков должна помочь определить необходимые действия и приоритеты для управления ИБ и для реализации выбранных средств защиты. Процесс оценки рисков и выбора средств защиты может выполняться несколько раз, чтобы охватить различные части организации или отдельные информационные системы. Средства защиты должны выбираться с учетом затрат на реализацию. При этом затраты должны соответствовать степени рисков и потенциальным убыткам при нарушении безопасности. С целью определения необходимого уровня защиты информационных ресурсов должны быть составлены их перечни и проведена классификация информации по уровням конфиденциальности. Кроме технической реализации средств защиты информации на основе результатов оценки рисков и выбранного уровня защиты должны быть разработаны организационные меры обеспечения ИБ, которые должны включать в себя следующие положения:

· разработка политики ИБ;

· распределение ответственности;

· обучение и подготовка персонала;

· создание отчетов об инцидентах;

· поддержка непрерывности бизнеса.

· определение ИБ, ее целей и области действия;

· общее описание принципов управления ИБ;

· краткое описание политики безопасности, принципов, стандартов, требований;

· описание обязанностей, правила распределения ответственности;

· ссылки на более детальные инструкции и описания правил безопасности.

В разделах стандарта приведены практические рекомендации по организации ИБ, которые, как правило, отражаются в политике безопасности организации или в отдельных инструкциях с учетом специфики самой организации. Представим некоторые из них:

1.Вопросы безопасности, связанные с персоналом

· Безопасность при формулировке заданий и наборе сотрудников.

· Обучение пользователей.

· Реакция на инциденты и сбои в работе.

2.Физическая безопасность и защита территорий

· Защищенные территории.

· Безопасность оборудования.

· Общие меры.

3.Обеспечение безопасности при эксплуатации

· Правила работы и обязанности.

· Планирование разработки и приемка системы.

· Защита от злонамеренного программного обеспечения.

· Служебные процедуры.

· Управление вычислительными сетями.

· Обращение с носителями и их безопасность.

· Обмен информацией и программным обеспечением.

4. Контроль доступа

· Требования к контролю доступа в организации.

· Управление доступом пользователей.

· Обязанности пользователей.

· Контроль доступа к вычислительной сети.

· Контроль доступа к операционным системам.

· Контроль доступа к приложениям.

· Мониторинг доступа и использования системы.

· Мобильные компьютеры и средства удаленной работы.

5.Разработка и обслуживание систем

· Требования к безопасности систем.

· Безопасность в прикладных системах.

· Криптографические средства.

· Безопасность системных файлов.

· Безопасность при разработке и поддержке.

6. Обеспечение непрерывности бизнеса

· Аспекты обеспечения непрерывности бизнеса.

7.Соответствие требованиям

· Соответствие требованиям законодательства.

· Проверка политики безопасности и соответствие техническим требованиям.

· Рекомендации по аудиту систем.

Дата добавления: 2014-01-07; Просмотров: 253; Нарушение авторских прав?; Мы поможем в написании вашей работы!