Политики безопасности компании при работе в Интернет
Шрифт:
• предмет политики безопасности, основные цели и задачи политики безопасности;
• условия применения политики безопасности и возможные ограничения;
• описание позиции руководства компании по отношению к выполнению политики безопасности и организации режима информационной безопасности компании в целом;
• права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;
• порядок действий в чрезвычайных ситуациях в случае нарушения политики безопасности.
В этой главе нам предстоит рассмотреть, насколько рекомендации перечисленных стандартов безопасности могут быть полезны для разработки политик безопасности в отечественных компаниях.
3.1. Стандарты ISO/IEC 17799:2005 (BS 7799-1:2002)
В настоящее время международный стандарт ISO/IEC 17799:2005 (BS 7799-1:2002) «Управление информационной безопасностью – Информационные технологии» («Information Technology – Information Security Management») является наиболее известным стандартом в области защиты информации (см. рис. 3.1). Алгоритм применения стандарта ISO 17799 представлен на рис. 3.2. Данный стандарт был разработан на основе первой части британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» («Information Security Management – Part 1: Code of Practice for Information Security Management») и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем. Текущая версия стандарта ISO/IEC 17799:2005 (BS 7799-1:2002) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий (см. рис. 3.3):
• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безопасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предприятии;
• классификация и управление корпоративными информационными ресурсами;
• вопросы безопасности, связанные с персоналом;
Рис. 3.1. Характеристика современных стандартов безопасности
Рис. 3.2. Алгоритм применения стандарта ISO 17799
Рис. 3.3. Основные области применения стандарта ISO 17799
• физическая безопасность;
• администрирование безопасности корпоративных информационных систем;
• управление доступом;
• требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения;
• управление бизнес-процессами компании с точки зрения информационной безопасности;
• внутренний аудит информационной безопасности компании;
• обеспечение непрерывности бизнеса;
• соответствие требованиям.
Вторая часть стандарта BS 7799-2:2002 «Спецификации систем управления информационной безопасностью» («Information Security Management – Part 2: Specification for Information Security Management Systems») определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта (см. рис. 3.4).
Рис. 3.4. Состав рабочей документации для сертификации по требованиям стандарта BS 7799-2
В соответствии с положениями этого стандарта также регламентируется процедура аудита безопасности информационных корпоративных систем (рис. 3.5).
Рис. 3.5. Рекомендуемые этапы проверки режима информационной безопасности компании
Стандарт ISO 17799 (BS 7799) позволяет задать правила безопасности и определить политики безопасности компании. Так, например, в табл. 3.1 представлены контрольные вопросы согласно стандарта BS 7799-2, позволяющие оценить систему управления информационной безопасностью компании и задать правила безопасности.
Дополнительные рекомендации по разработке корпоративных политик безопасности содержат руководства Британского института стандартов (British Standards Institution, BSI) (www.bsi-global.com). изданные в период 1995–2005 годов в виде следующей серии:
• «Введение в проблему управления информационной безопасностью» («Information Security Management: An Introduction»);
• «Возможности сертификации на соответствие требованиям стандарта BS 7799» («Preparing for BS 7799 Certification»);
• Подготовка к сертификации по требованиям стандарта BS 7799-2 («Preparing for BS 7799-2 Certification (PD3001:2002)»);
• «Руководство по оценке и управлению рисками в соответствии с требованиями BS 7799» («Guide to BS 7799 Risk Assessment and Risk Management»);
• «Готовы ли вы к аудиту на соответствие требованиям стандарта BS 7799» («Are You Ready for a BS 7799 Audit»);
• «Руководство для проведения аудита на соответствие требованиям стандарта BS 7799» («Guide to BS 7799 Auditing»);
• «Руководство по внедрению средств обеспечения информационной безопасности и их аудиту на соответствие BS 7799», («Guide to the Implementation and Auditing of BS 7799 Controls (PD3004:2002)»);
• «Руководство по выбору средств обеспечения информационной безопасности в соответствии с BS 7799-2» («Guide on the Selection of BS 7799 Part 2 Controls (PD3005:2002)»);
• «Практические рекомендации по управлению безопасностью информационных технологий» («Code of Practice for IT Security Management»).
Таблица 3.1. Примеры контрольных вопросов согласно стандарта BS 7799-2 для задания правил безопасности
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1