Наиболее важные стандарты и спецификации в области безопасности

Стандарт — образец, эталон, модель, принимаемые за исходные для сопоставления с ними др. подобных объектов.

спецификация — основной конструкторский документ, определяющий состав сборочной единицы, комплекса, комплекта. В спецификации содержится подробное перечисление узлов и деталей какого-либо изделия, конструкции, установки и т. п., входящих в состав сборочного или монтажного чертежа.

ISO/IEC 17799 — стандарт информационной безопасности, опубликованный в 2005 году организациями ISO и IEC. Он озаглавлен Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности (англ. Information technology - Security techniques - Code of practice for information security management). Текущая версия стандарта является переработкой версии, опубликованной в 2000 году, которая являлась полной копией Британского стандарта BS 7799-1:1999.

Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности. Информационная безопасность определяется стандартом как «сохранение конфиденциальности (уверенности в том, что информация доступна только тем, кто уполномочен иметь такой доступ), целостности (гарантии точности и полноты информации и методов её обработки) и доступности (гарантии в том, что уполномоченные пользователи имеют доступ к информации и связанным ресурсам)».

Текущая версия стандарта состоит из следующих основных разделов:

· Политика безопасности (Security policy)

· Организация информационной безопасности (Organization of information security)

· Управление ресурсами (Asset management)

· Безопасность человеческих ресурсов (Human resources security)

· Физическая безопасность и безопасность окружения (Physical and environmental security)

· (Communications and operations management)

· Контроль доступа (Access control)

ISO 27001 — международный стандарт по информационной безопасности разработанный совместно Международной Организацией по Стандартизации (ISO) и Международной электротехнической комиссией (IEC). Подготовлен к выпуску подкомитетом SC27 Объединенного технического комитета JTC 1.

Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности.

Сертификация

Организация может быть сертифицированна аккредитованными агентствами в соответствии с этим стандартом. Процесс сертификации состоит из трех стадий:

· Стадия 1 изучение аудитором ключевых документов Системы Менеджмента Информационной Безопасности — Положение о применимости (SoA), План Обработки Рисков (RTP), и др. Может выполняться как на территории организации так и путём высылки этих документов внешнему аудитору.

· Стадия 2 детальный, глубокий аудит включая тестирование внедренных мер и оценка их эффективности. Включает полное изучение документов, которые требует стандарт.

· Стадия 3 выполнение инспекционного аудита для подтверждения, что сертифицированная организация соответствует заявленным требованиям. Выполняется на периодической основе.