Главная страница
Форум
Промиздат
Опережения рынка
Архитектура отрасли
Формирование
Тенденции
Промстроительство
Нефть и песок
О стали
Компрессор - подбор и ошибки
Из истории стандартизации резьб
Соперник ксерокса - гектограф
Новые технологии производства стали
Экспорт проволоки из России
Прогрессивная технологическая оснастка
Цитадель сварки с полувековой историей
Упрочнение пружин
Способы обогрева
Назначение, структура, характеристики анализаторов
Промышленные пылесосы
Штампованные гайки из пружинной стали
Консервация САУ
Стандарты и качество
Технология производства
Водород
Выбор материала для крепежных деталей
Токарный резец в миниатюре
Производство проволоки
Адгезия резины к металлокорду
Электролитическое фосфатирование проволоки
Восстановление корпусных деталей двигателей
Новая бескислотная технология производства проката
Синие кристаллы
Автоклав
Нормирование шумов связи
Газосварочный аппарат для тугоплавких припоев
|
Главная страница / Архитектура отрасли Особенности аудита систем информационной безопасности Независимо от того, на каком этапе развития находится информационная система компании, она должна соответствовать определенному набору минимальных требований к режиму информационной безопасности (ИБ), которые могут быть продиктованы корпоративными, отраслевыми или даже международными стандартами. Проверка текущего состояния информационной безопасности на соответствие тому, как эти требования исполняются, и есть аудит. На проведение аудита компанию может подвигнуть ряд причин. Во-первых, наличие сертификата соответствия тому или иному стандарту зачастую является требованием партнеров, клиентов, законодательства или отраслевого стандарта. Во-вторых, бывают ситуации, когда в результате слияния или поглощения компаний необходимо оценить уровень безопасности информационной системы присоединяемого сегмента. В-третьих, внутренний аудит системы ИБ обычно проводится с целью выяснения руководством степени соблюдения внутренних нормативных требований по безопасности каким-либо филиалом или подразделением компании. По результатам аудита формируется аудиторский отчет, который содержит описание текущего состояния информационной безопасности в организации, а также обнаруженных уязвимостей, рекомендации по их устранению или сертификат, удостоверяющий соответствие обследуемой информационной системы требованиям определенного стандарта. Среди международных стандартов по информационной безопасности наиболее известным является британский – BS 7799. Стандарт для создания системы управления ИБ компании BS 7799 разработан Британским институтом стандартов (British Standards Institution – BSI) при участии таких коммерческих организаций, как Shell UK, National Westminster Group, Unilever, British Telecommunications, British Computer Society, Association of British Insurers, Marks & Spencer, Logica и др. В качестве государственного он был утвержден в Великобритании в 1995 г. Стандарт BS 7799 состоит из двух частей. Первая – BS 7799 Part 1// Code of Practice for Information Security Management (практические правила управления информационной безопасностью). В 1999 г. она была переработана и передана в Международную организацию по стандартизации (ISO). В 2000 г. BS 7799 Part 1 была утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией, принятой в 2005 г., является ISO/IEC 17799:2005. Стандарт ISO 17799 описывает более 100 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, которые определены на основе лучших примеров мирового опыта в данной области. Этот документ устанавливает основные принципы и представляет собой руководство по созданию системы обеспечения информационной безопасности организации. Отметим, что сертификация по ISO 17799 не проводится. Данный документ является сборником так называемых best practices и не предъявляет конкретных требований к системам защиты и их настройкам. ISO/IEC 17799:2000 включает 10 разделов, охватывающих все основные аспекты обеспечения безопасности информации: политика безопасности; организация активов и ресурсов; классификация и контроль ресурсов; безопасность персонала; физическая безопасность и безопасность окружающей среды; управление коммуникациями и операциями; контроль доступа; разработка и сопровождение систем; разработка и сопровождение систем; управление непрерывностью бизнес-процессов; соблюдение требований законодательства и технических требований. С 5 сентября 2002 г. в силу вступила вторая часть Стандарта BS 7799 Part 2// Information Security management – specification for information security management systems (Спецификация системы управления информационной безопасностью). А с 15 октября 2005 г. ISO приняла стандарт BSI BS 7799-2:2002 в качестве международного – ISO/IEC 27001:2005. В этом международном стандарте определены требования для разработки, реализации, эксплуатации, мониторинга, ревизии, поддержания и совершенствования документированной СУИБ в контексте общего делового риска организации. В соответствии с этим документом, система управления информационной безопасностью изначально должна проектироваться таким образом, чтобы обеспечить выбор адекватных и соразмерных мер по обеспечению безопасности, которые защищают информационные ресурсы и гарантируют конфиденциальность заинтересованным сторонам. Приложением к данному стандарту является созданный на основе ISO/IEC 17799 перечень требований и соответствующих мер, которые могут быть приняты в компании. Главная страница / Архитектура отрасли |