Менеджмент інформаційної безпеки

International Standard ISO/EC 17799.2000 Information technology - Code of practice for information security magement

ПОЛІТИКА БЕЗПЕКИ security polity

ОРГАНІЗАЦІЯ ЗАХИСТУ organizational security

]

КЛАСИФІКАЦІЯ РЕСУРСІВ ТА ЇХ КОНТРОЛЬ asset classification and control

БЕЗПЕКА ПЕРСОНАЛУ personal security

] ]

ФІЗИЧНА БЕЗПЕКА ТА БЕЗПЕКА НАВКОЛИШНЬОГО СЕРЕДОВИЩА physical and environmmetal security

АДМІНІСТРУВАННЯ КОМП'ЮТЕРНИХ СИСТЕМ ТА

ОБЧИСЛЮВАЛЬНИХ МЕРЕЖ communication and operational management

УПРАВЛІННЯ ДОСТУПОМ ДО СИСТЕМ access control

]

РОЗРОБКА ТА СУПРОВОДЖЕННЯ ІНФОРМАЦІЙНИХ СИСТЕМ systems development and management

ПЛАНУВАННЯ БЕЗПЕРЕБІЙНОЇ РОБОТИ business continuity management

ВИКОНАННЯ ВИМОГ

Рис. 9.1. Структура стандарту ISO/IEC 17799

Частина, II Основи безпеки інформаційних технологій

ймовірність того, що ця втрата відбудеться. Під втратами розуміють матеріальні втрати, зв'язані з порушенням наступних властивостей інформаційного ресурсу:

• конфіденційність [confidentiality] — захищеність інформації від несанкціонованого доступу;

• цілісність [integrity] — захищеність інформації від несанкціонованої зміни, забезпечення її точності та повноти;

• доступності [availability] — можливість використання інформації, коли в цьому виникає необхідність, працездатність системи. Стандарт не зосереджується тільки на забезпеченні конфіденційності. У комерційних організаціях з точки зору матеріальних втрат питання цілісності та доступності найчастіше більш критичні. У спрощеному вигляді аналіз ризику зводиться до відповідей на наступні питання:

• Що може загрожувати інформаційним ресурсам?

• Яка піддатливість цим загрозам, тобто що може відбутися з тим чи іншим інформаційним ресурсом?

• Якщо це відбудеться, то наскільки важкими будуть наслідки? Які можливі збитки?

• Наскільки часто слід очікувати подібні випадки?

Для одержання сертифіката система менеджменту інформацій­ної безпеки підприємства оцінюється аудитором ISO 17799. Аудитор не може одночасно бути консультантом. Аудит по ISO 17799 склада­ється з аналізу документації з системи менеджменту інформаційної безпеки, а також; вибіркового контролю в організації, який дозволяє впевнитися, що реальна практика відповідає опису системи.

Акредитовану сертифікацію можуть здійснювати лише ті серти­фікаційні товариства, які пройшли акредитацію ISO. сертифікат, ви­даний такою організацією, признається на міжнародному рівні. Сут­тєве зростання сертифікації відповідно очікується у зв'язку з роз­витком електронної комерції. Одночасно серйозний інтерес до ISO 17799 проявляється і з сторони інших секторів державної та комер­ційної діяльності. До таких галузей відносяться: державні податкові органи та органи внутрішніх справ; банки, фінансові компанії, тор­говельні фірми, телекомунікаційні компанії, медичні заклади, під­приємства транспорту та туристичні фірми і т.ін.

На теперішній час, у зв'язку з апробацією стандарту ISO 17799, іде широка полеміка з метою удосконалення стандарту та розробки його наступної версії.

Розділ 9 Основи управління інформаційною безпекою