Международный стандарт ISO/IEC 17799 (BS 7799)
«Информационные технологии. Практические правила управления информационной безопасностью».
Стандарт BS 7799 определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т.д. в контексте информационной безопасности.
В процессе внедрения стандарта создается так называемая система менеджмента информационной безопасности, цель которой - обеспечить бесперебойную работу организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности.
Важно, что стандарт призван как раз сэкономить предприятию средства, а в некоторых случаях даже спасти от банкротства, и не является каким-то внешним обязательным требованием, приводящим к появлению дополнительной статьи расходов.
BS 7799 – это модель системы менеджмента, и в этом смысле не является техническим стандартом. Например, BS 7799 не предписывает использование каких-то определенных алгоритмов шифрования. Единственный пункт стандарта (всего их более 100), непосредственно регламентирующий шифрование, содержит буквально следующее требование: «Особо важная информация должна быть зашифрована».
Что считать важной информацией и как производить шифрование предприятие должно решить самостоятельно, основываясь на общих принципах применения стандарта.
Следует подчеркнуть, что данный подход к информационной безопасности на основе целей менеджмента, а не фиксированных технических спецификаций, является принципиальным для BS 7799 как стандарта системы управления.
Какие преимущества дает внедрение системы менеджмента ISO/IEC 17799 (BS 7799):
- улучшение качества информационных процессов в части их надежности, безопасности и сохранности информации;
- обеспечение защиты информационных, финансовых ресурсов организации в случае несанкционированного, преднамеренного или непреднамеренного доступа к рабочей информации, ее утери или искажения;
- повышение ответственности персонала за систему информационной безопасности организации;
- снижение затрат и ресурсов, сокращение времени рабочего цикла за счет эффективного использования информационных, материальных и иных ресурсов;
- предотвращение (минимизация) непредвиденных финансовых потерь в случае форс - мажорных обстоятельств;
- повышение производственной и финансовой дисциплины персонала.
Сертификацию систем информационной безопасности на соответствие требованиям международного стандарта ISO/IEC 17799 (BS 7799) проводит ООО «Центр качества».
Этапы и последовательность работ:
1. Разработка политики организации по обеспечению информационной безопасности и с идентификацией возможных опасностей. Определение степени этих опасностей, классификация рисков.
2. Цели по обеспечению информационной безопасности, программы по их реализации.
3. Планирование работ.
4. Проектирование системы информационной безопасности.
5. Введение в действие системы информационной безопасности.
6. Определение результативности и эффективности системы информационной безопасности.
6. Получение внешнего признания созданной системы.