Базовые документы в области политики информационной безопасности
Использование существующих международных стандартов, обобщающих опыт зарубежных компаний, при создании системы информационной безопасности позволяет не только упростить её создание, но и обеспечивает гарантию её надежности и простоты сопровождения. Кроме того, для многих организаций использование соответствующих нормативных документов является одним из условий их функционирования. При создании системы информационной безопасности необходимо также учитывать, что в различных странах действуют различные специфические нормы, регламентирующие применение информационных технологий на своих территориях. Такие особенности имеются и в законодательстве Российской Федерации.
Наиболее часто при аудите информационных систем и создании положений об информационной безопасности используются следующие стандарты - СТО БР ИББС-1.0–2006, ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC 13335, ГОСТ Р ИСО/МЭК 15408, стандарты BS и ГОСТ Р, описывающих общий подход к реализации наиболее часто используемых организационных и технических средств и методов защиты информации, позволяющих создать необходимую для компании политику информационной безопасности.
Так в стандарте ISO/IEC 17799-2005 «Управление информационной безопасностью – Информационные технологии», построенном на основе британского стандарта «Практические рекомендации по управлению информационной безопасностью», приведены рекомендации по классификации объектов защиты и указаны аспекты информационной безопасности, которые должны быть определены в политике безопасности конкретной организации:
- определение информационной безопасности и перечень составляющих ее элементов;
- разъяснение основных положений политики информационной безопасности компании, принципов ее построения и используемых стандартов в области ИБ:
- реализуемая инфрастуктура ИБ;
- классификация информационными ресурсами и система управления ими;
- порядок подготовки персонала по вопросам информационной безопасности и порядок их допуска к работе;
- порядок обеспечения физической безопасности информационных ресурсов и обеспечивающих систем;
- порядок администрирования информационных ресурсов;
- порядок управления доступом к средствам вычислительной техники, программному обеспечению и корпоративным данным;
- порядок разработки и сопровождения информационных систем;
- система организации защиты от вредоносных программ;
- система обеспечения непрерывности функционирования информационных систем;
- порядок управления инцидентами в области ИБ;
- порядок изменения политики информационной безопасности.
- должностные обязанности ответственных за обеспечение информационной безопасности лиц и сотрудников организации;
- организационно-распорядительные документы, регламентирующие политику информационной безопасности.
Стандарт ГОСТ Р ИСО/МЭК 15408 (ISO 15408) «Общие критерии оценки безопасности информационных технологий» позволяет оценить адекватность встроенных в информационную систему компании механизмов информационной защиты политикам безопасности предприятия. Стандарт позволяет провести анализ угроз безопасности КИС, определить необходимый профиль защиты информационной системы, произвести оценку соответствия требований безопасности существующей модели угроз и информационных рисков, на основании которой разрабатывается система защиты информации.
Использование руководящего документа Гостехкомиссии России «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» позволяет определить необходимый класс защищенности информационной системы предприятия, установить степени конфиденциальности различной информации и условия ее обработки
Использование руководящего документа Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), позволяет определить необходимые работы по защите конфиденциальной информации.
При создании системы информационной безопасности необходимо использовать и другие стандарты - ITIL, СММ и тд, непрямую не описывающие системы информационной безопасности, но обеспечивающие качество функционирования сервисов и служб компании, в том числе и обеспечивающих политику информационной безопасности в соответствии с установленными стандартами, непрерывное совершенствование качества реализованных систем
Более подробную информацию вы можете получить, связавшись со специалистами нашей компании.