4.2. Міжнародні стандарти інформаційної безпеки

Відповідно до міжнародних і національних стандартів забезпечення інформаційної безпеки у будь-якій компанії припускає наступне:

•        визначення цілей забезпечення інформаційної безпеки комп'ютерних систем;

•        створення ефективної системи управління інформаційною безпекою;

•        розрахунок сукупності деталізованих якісних і кількісних показників для оцінки відповідності інформаційної безпеки поставленим цілям;

•        застосування інструментарію забезпечення інформаційної безпеки і оцінки її поточного стану;

•        використання методик управління безпекою, що дозволяють об'єктивно оцінити захищеність інформаційних активів і управляти інформаційною безпекою компанії.

Розглянемо найбільш відомі міжнародні стандарти в області захисту інформації, які можуть бути використані у вітчизняних умовах [52].

4.2.1. Стандарти iso/iec 17799:2002(bs 7799:2000)

Міжнародний стандарт ISO/IEC 17799:2000(BS 7799-1:2000) «Управління інформаційною безпекою — Інформаційні технології»(«Information technology — Information security management») є одним з найбільш відомих стандартів в області захисту інформації. Цей стандарт був розроблений на основі першої частини Британського стандарту BS 7799-1:1995 «Практичні рекомендації по управлінню інформаційною безпекою»(«Information security management — Part 1: Code of practice for information security management») і відноситься до нового покоління стандартів інформаційної безпеки комп'ютерних ІС.

Поточна версія стандарту ISO/IEC 17799:2000(BS 7799-1:2000) розглядає наступні актуальні питання забезпечення інформаційної безпеки організацій і підприємств :

•        необхідність забезпечення інформаційної безпеки;

•        основні поняття і визначення інформаційної безпеки;

•        політика інформаційної безпеки компанії;

•        організація інформаційної безпеки на підприємстві;

•        класифікація і управління корпоративними інформаційними ресурсами;

•        кадровий менеджмент і інформаційна безпека;

•        фізична безпека;

•        адміністрування безпеки КИЦЬ;

•        управління доступом;

•        вимоги по безпеці до КИЦЬ в ході їх розробки, експлуатації і супроводу;

•        управління бізнеспроцессами компанії з точки зору інформаційної безпеки;

•        внутрішній аудит інформаційної безпеки компанії.

Друга частина стандарту BS 7799-2:2000 «Специфікації систем управління інформаційною безпекою»(«Information security management — Part 2: Specification for information security management systems»), визначає можливі функціональні специфікації корпоративних систем управління інформаційною безпекою з точки зору їх перевірки на відповідність вимогам першої частини цього стандарту. Відповідно до положень цього стандарту також регламентується процедура аудиту КИЦЬ.

Додаткові рекомендації для управління інформаційною безпекою містять керівництво Британського інституту стандартів — British Standards Institution(BSI), видані в 1995-2003 рр. у вигляді наступної серії :

•        «Введення в проблему управління інформаційною безпекою«(»Information security managment: an introduction«);

•        «Можливості сертифікації на вимоги стандарту BS 7799«(»Preparing for BS 7799 sertification«);

•        «Керівництво BS 7799 за оцінкою і управлінням рисками«(»Guide to BS 7799 risk assessment and risk management«);

•        «Керівництво для проведення аудиту на вимоги стандарту«(»BS 7799 Guide to BS 7799 auditing«);

•        «Практичні рекомендації по управлінню безпекою інформаційних технологій«(»Code of practice for IT management«).

У 2002 р. міжнародний стандарт ISO 17799(BS 7799) був переглянутий і істотно доповнений. У новому варіанті цього стандарту велика увага приділена питанням підвищення культури захисту інформації в різних міжнародних компаніях. На думку фахівців, оновлення міжнародного стандарту ISO 17799(BS 7799) дозволить не лише підвищити культуру захисту інформаційних активів компанії, але і скоординувати дії різних ведучих державних і комерційних структур в області захисту інформації.