Другие стандарты ISO, требования которых положены в основу систем менеджмента
Угроза благополучию организации от неадекватной системы информационной безопасности чрезвычайно серьезна. Так, только за один 1995 г. в результате деятельности хакеров потери делового мира составили около $800 миллионов [13]. К этому нужно добавить потери от компьютерного пиратства, вирусов, недобросовестных сотрудников, сбоев в работе оборудования, промышленного шпионажа, отключения питания, стихийных бедствий и т.п.
В 1995 г. в Великобритании был разработан стандарт BS 7799 Стандарт управления информационной безопасностью. Он сразу был адаптирован рядом стран Британского Содружества (в том числе, Австралией и Новой Зеландией), Нидерландами. Системы менеджмента по защите информации компаний сертифицируются по стандарту BS 7799. Стандарт был использован в качестве основы для национальных стандартов странами Скандинавии и многими другими. Огромный интерес проявили к нему в США и Канаде.
Учитывая значение стандарта BS 7799 в условиях революционного развития информационных технологий, всеобщего охвата компьютерными сетями всех стран, на его основе в 2002 г. был разработан и издан международный стандарт ISO 17799:2002 Информационные технологии. Свод правил по управлению информационной безопасностью. Этот стандарт является моделью системы менеджмента, в котором обобщен мировой опыт в организации систем информационной безопасности. Стандарт определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т.д. - в контексте информационной безопасности.
Цель стандарта ISO 17799:2002 заключается в создании общей основы для разработки, внедрения и оценки эффективности систем управления безопасностью информации, применяемой в организации. Перед системой управления информационной безопасностью ставятся следующим задачи:
) в отношении конфиденциальности - защита информации от несанкционированного доступа;
) в отношении целостности - защита информации от несанкционированного изменения, обеспечение ее точности и полноты;
) в отношении доступности - возможность пользования информацией, когда это требуется, обеспечение высокой работоспособности системы.
Стандарт ISO 17799:2002 основан на анализе риска, для которого угрозы и ущерб имуществу оценен в соотношении с деловыми перспективами компании. Таким образом, анализ определяет жизненно важную для компании информацию и создает стратегию для ее сохранения, даже если ключевые сотрудники покинут компанию. Основанный на анализе риска, бизнес план должен обеспечивать безопасность во многих областях, даже при непредвиденных обстоятельствах. Компания должна показать, что установленная практика, процедуры и процессы функционируют. При этом следует учитывать, что не важно, как хранится информация фирмы (в компьютере, в программах, на бумаге или в голове у сотрудников), главное - она должна быть надежно защищена.
. Стандарт ISO 17799:2002 содержит требования по следующим вопросам:
формулирование политики организации в области безопасности информации;
инструменты и методы управления безопасностью информации;
управление компьютерными сетями;
разработка и поставка программного обеспечения и информационных систем;
соответствие стандарту.
. Базируется на анализе риска.
. Не ограничивается информацией, хранимой на компьютерах.
В настоящее время внедрение системы управления информационной безопасностью создает для организации ряд преимуществ перед конкурентами, в том числе:
. Появляется возможность избежать прямых потерь, связанных с нарушением конфиденциальности, несанкционированным доступом и утечкой информации, неконтролируемыми изменениями данных, простоями информационной системы.