Особенности аудита систем информационной безопасности - Металлургический журнал. Исследования рынка.

Главная страница Форум Промиздат Опережения рынка Архитектура отрасли Формирование Тенденции Промстроительство

Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев

Главная страница / Архитектура отрасли

Особенности аудита систем информационной безопасности

Независимо от того, на каком этапе развития находится информационная система компании, она должна соответствовать определенному набору минимальных требований к режиму информационной безопасности (ИБ), которые могут быть продиктованы корпоративными, отраслевыми или даже международными стандартами. Проверка текущего состояния информационной безопасности на соответствие тому, как эти требования исполняются, и есть аудит.

На проведение аудита компанию может подвигнуть ряд причин. Во-первых, наличие сертификата соответствия тому или иному стандарту зачастую является требованием партнеров, клиентов, законодательства или отраслевого стандарта. Во-вторых, бывают ситуации, когда в результате слияния или поглощения компаний необходимо оценить уровень безопасности информационной системы присоединяемого сегмента. В-третьих, внутренний аудит системы ИБ обычно проводится с целью выяснения руководством степени соблюдения внутренних нормативных требований по безопасности каким-либо филиалом или подразделением компании.

По результатам аудита формируется аудиторский отчет, который содержит описание текущего состояния информационной безопасности в организации, а также обнаруженных уязвимостей, рекомендации по их устранению или сертификат, удостоверяющий соответствие обследуемой информационной системы требованиям определенного стандарта. Среди международных стандартов по информационной безопасности наиболее известным является британский – BS 7799.

Стандарт для создания системы управления ИБ компании BS 7799 разработан Британским институтом стандартов (British Standards Institution – BSI) при участии таких коммерческих организаций, как Shell UK, National Westminster Group, Unilever, British Telecommunications, British Computer Society, Association of British Insurers, Marks & Spencer, Logica и др. В качестве государственного он был утвержден в Великобритании в 1995 г.

Стандарт BS 7799 состоит из двух частей. Первая – BS 7799 Part 1// Code of Practice for Information Security Management (практические правила управления информационной безопасностью). В 1999 г. она была переработана и передана в Международную организацию по стандартизации (ISO). В 2000 г. BS 7799 Part 1 была утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000).

Последней версией, принятой в 2005 г., является ISO/IEC 17799:2005.

Стандарт ISO 17799 описывает более 100 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, которые определены на основе лучших примеров мирового опыта в данной области. Этот документ устанавливает основные принципы и представляет собой руководство по созданию системы обеспечения информационной безопасности организации.

Отметим, что сертификация по ISO 17799 не проводится. Данный документ является сборником так называемых best practices и не предъявляет конкретных требований к системам защиты и их настройкам. ISO/IEC 17799:2000 включает 10 разделов, охватывающих все основные аспекты обеспечения безопасности информации: политика безопасности; организация активов и ресурсов; классификация и контроль ресурсов; безопасность персонала; физическая безопасность и безопасность окружающей среды; управление коммуникациями и операциями; контроль доступа; разработка и сопровождение систем; разработка и сопровождение систем; управление непрерывностью бизнес-процессов; соблюдение требований законодательства и технических требований.

С 5 сентября 2002 г. в силу вступила вторая часть Стандарта BS 7799 Part 2// Information Security management – specification for information security management systems (Спецификация системы управления информационной безопасностью). А с 15 октября 2005 г. ISO приняла стандарт BSI BS 7799-2:2002 в качестве международного – ISO/IEC 27001:2005. В этом международном стандарте определены требования для разработки, реализации, эксплуатации, мониторинга, ревизии, поддержания и совершенствования документированной СУИБ в контексте общего делового риска организации.

В соответствии с этим документом, система управления информационной безопасностью изначально должна проектироваться таким образом, чтобы обеспечить выбор адекватных и соразмерных мер по обеспечению безопасности, которые защищают информационные ресурсы и гарантируют конфиденциальность заинтересованным сторонам. Приложением к данному стандарту является созданный на основе ISO/IEC 17799 перечень требований и соответствующих мер, которые могут быть приняты в компании.

Главная страница / Архитектура отрасли