نشریه اینترنتی در مورد فن آوری های بالا. انتشارات آنلاین با فناوری پیشرفته استاندارد بریتانیا bs تدوین استانداردهای بریتانیا

اجداد استانداردهای بین المللیمدیریت امنیت اطلاعات - BS 7799 بریتانیا - مدتهاست که از چارچوب ملی فراتر رفته است. بخش اول، BS 7799-1، در سال 1995 به دستور دولت انگلستان ساخته شد. در آغاز سال 2006، انگلیسی ها معرفی کردند استاندارد جدیددر مدیریت ریسک امنیت اطلاعات- BS 7799-3 که بعداً شاخص 27005 را دریافت خواهد کرد.

حوزه های مدیریتی زیادی وجود دارد: تولید، مالی، فروش، خرید، پرسنل و غیره. به لطف توسعه تجارت مدرن با فناوری پیشرفته، اهمیت حوزه هایی مانند فناوری اطلاعات، امنیت اطلاعات، کیفیت و محیط زیست به تدریج درک می شود. این امر با محبوبیت روزافزون استانداردهای بین المللی مربوطه سری ISO 2700x، ISO 2000x، ISO 900x و ISO 1400x در سراسر جهان مشهود است. اصول اساسی مدیریت، به طور کلی، برای همه حوزه ها یکسان است، بنابراین سیستم های مدیریت مربوطه مکمل یکدیگر هستند و یک سیستم مدیریت یکپارچه سازمان (IMS) را تشکیل می دهند. به سختی می توان سهم مؤسسه استاندارد بریتانیا (BSI) را در توسعه استانداردهای بین المللی برای مدیریت سازمان، از جمله سیستم های مدیریت یکپارچه، که موضوع مجموعه ای از انتشارات BSIBIP 2000 است، بیش از حد برآورد کرد.

پس از انتشار گسترده ISO 9001 و سیستم های مدیریت کیفیت، استانداردهای بین المللی مدیریت امنیت اطلاعات ISO / IEC 27001/17799 سرانجام در روسیه شروع به ریشه یابی کردند. آنها به زبان روسی در دسترس قرار گرفتند، بحث عمومی در مورد پیش نویس استانداردهای مربوط به امنیت اطلاعات ملی GOST R ISO/IEC 27001 و GOST R ISO/IEC 17799 آغاز شد و خدمات صدور گواهینامه به تدریج در حال گسترش است.

مولد استانداردهای بین المللی مدیریت امنیت اطلاعات، استاندارد بریتانیایی BS 7799 است. بخش اول آن - BS 7799-1 "قوانین عملی برای مدیریت امنیت اطلاعات" - توسط BSI در سال 1995 به دستور دولت بریتانیا توسعه یافت. همانطور که از نام آن پیداست، این سند یک راهنمای عملی برای مدیریت امنیت اطلاعات در یک سازمان است. این 10 منطقه و 127 کنترل مورد نیاز برای ساخت یک ISMS را توصیف می کند که بر اساس بهترین نمونه هااز رویه جهانی در سال 1998، بخش دوم این استاندارد بریتانیا ظاهر شد - BS 7799-2 "سیستم های مدیریت امنیت اطلاعات. راهنمای مشخصات و کاربرد» که مشخص شد مدل کلیایجاد یک ISMS و مجموعه ای از الزامات اجباری برای انطباق با آنها که صدور گواهینامه باید انجام شود. با ظهور قسمت دوم BS 7799 که تعریف می کرد ISMS چیست، توسعه فعال یک سیستم صدور گواهینامه در زمینه مدیریت امنیت آغاز شد. در سال 1999، هر دو بخش BS 7799 با استانداردهای سیستم مدیریت بین المللی ISO 9001 و ISO 14001 بازنگری و هماهنگ شدند و یک سال بعد، کمیته فنی ISO BS 7799-1 را بدون تغییر به عنوان استاندارد بین المللی ISO / IEC 17799:2000 تصویب کرد.

بخش دوم BS 7799 در سال 2002 بازنگری شد و در پایان سال 2005 توسط ISO به عنوان استاندارد بین المللی ISO/IEC 27001:2005 پذیرفته شد. فناوری اطلاعات- روش های امنیتی - سیستم های مدیریت امنیت اطلاعات - الزامات. در همان زمان، بخش اول استاندارد نیز به روز شد. با انتشار ISO 27001، مشخصات ISMS جایگاه بین المللی پیدا کرده است و اکنون می توان انتظار افزایش چشمگیر نقش و اعتبار ISMS دارای گواهی ISO 27001 را داشت.

خانواده 2700x استانداردهای مدیریت امنیت بین المللی به تکامل خود ادامه می دهد. همانطور که توسط ISO برنامه ریزی شده است، شامل استانداردهایی است که الزامات ISMS، سیستم مدیریت ریسک، معیارها و اندازه گیری های اثربخشی کنترل ها و راهنمایی های پیاده سازی را تعریف می کنند. این خانواده از استانداردها از طرح شماره گذاری ترتیبی از 27000 به بعد استفاده خواهند کرد. ISO/IEC 17799:2005 بعداً به ISO/IEC 27002 تغییر نام خواهد داد. یک پیش نویس استاندارد ISO/IEC 27000 نیز در دست توسعه است که شامل اصول و تعاریف اساسی خواهد بود و با استانداردهای مدیریت فناوری اطلاعات معروف COBIT و ITIL یکپارچه خواهد شد.

در اوایل سال 2006، یک بریتانیایی جدید استاندارد ملیدر زمینه مدیریت ریسک امنیت اطلاعات BS 7799-3 که متعاقباً شاخص 27005 را دریافت خواهد کرد. همچنین کار بر روی استانداردهایی برای پیاده سازی و اندازه گیری اثربخشی ISMS در حال انجام است که به ترتیب شاخص های 27003 و 27004 را دریافت خواهند کرد. این استانداردهای بین المللی برای سال 2007 برنامه ریزی شده است.

تاریخچه BS 7799

طبق گزارش گروه کاربری ISMS که ثبت بین المللی گواهینامه ها را حفظ می کند، تا اوت 2006، بیش از 2800 سازمان از 66 کشور دارای گواهینامه ISO 27001 (BS 7799) در جهان به ثبت رسیده اند که شامل چهار سازمان می باشد. شرکت های روسی. از جمله موسسات معتبر می توان به بزرگترین شرکت های IT، بانکی و حوزه مالی، شرکت های مجتمع سوخت و انرژی و بخش مخابرات. انتظار می رود که تعداد دارندگان گواهینامه در روسیه در سال 2007 به چندین ده برسد.

7799/17799/27001: موافق و مخالف

BS 7799 به تدریج به "استاندارد برتر امنیت اطلاعات" تبدیل شده است. با این حال، زمانی که اولین ویرایش استاندارد بین المللی ISO 17799 در آگوست 2000 در ISO مورد بحث قرار گرفت، اجماع به سختی حاصل شد. این سند انتقادات زیادی را از سوی نمایندگان قدرت های پیشرو فناوری اطلاعات به همراه داشت و آنها استدلال می کردند که معیارهای اساسی استانداردهای بین المللی را برآورده نمی کند.

Gene Troy، نماینده ایالات متحده در کمیته فنی ISO می گوید: «حتی امکان مقایسه این سند با تمام کارهای امنیتی دیگری که تاکنون توسط ISO در نظر گرفته شده بود، وجود نداشت.

چندین ایالت به طور همزمان، از جمله ایالات متحده آمریکا، کانادا، فرانسه و آلمان، با پذیرش ISO 17799 مخالفت کردند. به نظر آنها، این سند به عنوان مجموعه ای از توصیه ها خوب است، اما نه به عنوان یک استاندارد. در ایالات متحده و کشورهای اروپایی، قبل از سال 2000، کارهای زیادی برای استانداردسازی امنیت اطلاعات انجام شده بود. "چند وجود دارد رویکردهای مختلفبه امنیت فناوری اطلاعات ما معتقد بودیم که برای به دست آوردن یک استاندارد بین المللی واقعا قابل قبول، به جای اینکه یکی از اسناد را بگیریم و سریعاً روی آن توافق کنیم، باید همه آنها را در نظر گرفت. تروی می گوید: «استاندارد اصلی ایمنی به عنوان یک اتفاق انجام شده ارائه شد و استفاده از نتایج کارهای دیگر انجام شده در این زمینه به سادگی امکان پذیر نبود.

نمایندگان BSI اعتراض کردند که کار مورد بحث عمدتا جنبه فنی است و BS 7799 هرگز به عنوان یک استاندارد فنی در نظر گرفته نشده است. بر خلاف سایر استانداردهای امنیتی مانند قوانین و مقررات امنیتی پذیرفته شده متداول (CASPR) یا ISO 15408/معیارهای مشترک، جنبه های غیر فنی اساسی حفاظت از اطلاعات ارائه شده به هر شکلی را تعریف می کند. استیو تایلر، سخنگوی BSI، می‌گوید: «این یک سند مدیریت امنیت اطلاعات است، نه یک کاتالوگ محصولات فناوری اطلاعات».

علی‌رغم همه مخالفت‌ها، اقتدار BSI (که بنیان‌گذار ISO، توسعه‌دهنده اصلی استانداردهای بین‌المللی و مرجع اصلی صدور گواهینامه در جهان است) غالب شد. یک رویه تأیید سریع راه اندازی شد و استاندارد به زودی به تصویب رسید.

نقطه قوت اصلی ISO 17799 انعطاف پذیری و تطبیق پذیری آن است. مجموعه ای از بهترین شیوه های توصیف شده در آن تقریباً برای هر سازمانی، صرف نظر از مالکیت، نوع فعالیت، اندازه و شرایط خارجی. از نظر فناوری خنثی است و همیشه انتخاب فناوری ها را رها می کند.

هنگامی که سؤالاتی مطرح می شود: "از کجا شروع کنیم؟"، "چگونه امنیت اطلاعات را مدیریت کنیم؟"، "بر اساس چه معیارهایی باید حسابرسی شود؟" - این استاندارد به تعیین جهت صحیح و از دست ندادن نکات ضروری کمک می کند. همچنین می توان از آن به عنوان منبع معتبر و یکی از ابزارهای «فروش» امنیت به مدیریت سازمان، تعیین معیارها و توجیه هزینه های امنیت اطلاعات استفاده کرد.

با این حال، انعطاف پذیری و تطبیق پذیری نیز «پاشنه آشیل» این استاندارد است. منتقدان می گویند ISO 17799 بیش از حد انتزاعی و ساختار مبهم است که ارزش واقعی ندارد. استفاده ناکافی از آن می تواند احساس امنیت کاذبی را ایجاد کند.

ISO 17799 اقداماتی را برای اطمینان از ایمنی در تشریح می کند نمای کلی، اما در مورد جنبه های فنی اجرای آنها چیزی نمی گوید. به عنوان مثال، استاندارد استفاده از مکانیزم های کنترل دسترسی را توصیه می کند و تعریف می کند فن آوری های خاصمانند کلیدهای USB، کارت های هوشمند، گواهی ها و غیره. با این حال، او مزایا و معایب این فناوری ها، ویژگی ها و روش های کاربرد آنها را در نظر نمی گیرد.

الکساندر آستاخوف

یکی از اولین استانداردهای بین المللی مدیریت امنیت اطلاعات - استاندارد بریتانیایی BS 7799 - مدت هاست که از چارچوب ملی فراتر رفته است. بخش اول آن، BS 7799-1 "قوانین عملی برای مدیریت امنیت اطلاعات" - در سال 1995 به دستور دولت بریتانیا توسط موسسه استاندارد بریتانیا توسعه یافت. بریتانیاییاستانداردهاموسسه، نهاد (BSI) ستاره دار سازمان های تجاری، مانند پوسته, ملیوست مینستربانک, میدلندبانک, یونیلیور, بریتانیاییمخابرات, علامت گذاری می کند & اسپنسر, منطقو غیره.

همانطور که از عناوین آن پیداست، این سند یک راهنمای عملی برای مدیریت امنیت اطلاعات در یک سازمان، بدون توجه به مشخصات عملکرد آن است. این 10 حوزه و 127 مکانیسم کنترلی لازم برای ایجاد یک سیستم مدیریت امنیت اطلاعات را توصیف می کند که بر اساس بهترین نمونه ها از رویه جهانی شناسایی شده است.

طبق این استاندارد، هر سرویس امنیتی، آی تی– بخش، مدیریت شرکت باید طبق مقررات عمومی شروع به کار کند. مهم نیست که ما در مورد حفاظت از اسناد کاغذی صحبت می کنیم یا داده های الکترونیکی.

در سال 1998، بخش دوم این استاندارد بریتانیایی ظاهر شد - BS7799-2 "سیستم های مدیریت امنیت اطلاعات. راهنمای مشخصات و کاربرد» که مدل کلی ساخت یک سیستم مدیریت امنیت اطلاعات و مجموعه ای از الزامات اجباری را برای انطباق با آنها تعیین می کند که صدور گواهینامه باید انجام شود. با ظهور قسمت دوم BS 7799 که مشخص می کرد سیستم مدیریت امنیت اطلاعات چگونه باید باشد، توسعه فعال سیستم صدور گواهینامه در زمینه مدیریت امنیت آغاز شد. در سال 1999 هر دو بخش BS7799 با استانداردهای بین المللی سیستم های مدیریت ISO 9001 و ISO 14001 و یک سال بعد بازنگری و هماهنگ شدند. کمیته فنی ISO BS 7799-1 را بدون تغییر به عنوان استاندارد بین المللی ISO/IEC 17799:2000 پذیرفت.

بخش دوم BS 7799 در سال 2002 بازنگری شد و در پایان سال 2005 ISO به عنوان استاندارد بین المللی ISO / IEC 27001:2005 "فناوری اطلاعات - روش های امنیتی - سیستم های مدیریت امنیت اطلاعات - الزامات" پذیرفته شد. در همان زمان، بخش اول استاندارد نیز به روز شد. با انتشار ISO 27001، مشخصات سیستم مدیریت امنیت اطلاعات جایگاه بین المللی پیدا کرده است و اکنون باید منتظر افزایش چشمگیر نقش و اعتبار یک سیستم مدیریت امنیت اطلاعات گواهی شده بر اساس استاندارد ISO 27001 باشیم.

خانواده 2700x استانداردهای مدیریت امنیت بین المللی به تکامل خود ادامه می دهد. طبق برنامه های ایزو، شامل موارد زیر خواهد بود:

استانداردهایی که الزامات سیستم مدیریت امنیت اطلاعات را تعریف می کنند.

سیستم مدیریت ریسک؛

معیارها و اندازه گیری های اثربخشی مکانیسم های کنترلی؛

راهنمای پیاده سازی. این خانواده از استانداردها از طرح شماره گذاری ترتیبی از 27000 به بعد استفاده خواهند کرد. ISO/IEC 17799:2005 متعاقباً به ISO/IEC 27002 تغییر نام خواهد داد.

در ابتدای سال 2006 استاندارد ملی جدید بریتانیا در زمینه مدیریت ریسک امنیت اطلاعات BS 7799-3 به تصویب رسید که بعداً شاخص 27005 را دریافت کرد.

در حال حاضر استاندارد بریتانیا لیسانس 7799 پشتیبانی شده در 27 کشورهای جهان، از جمله کشورهای مشترک المنافع بریتانیا، و همچنین سوئد، هلند، روسیه.

با این حال، باید به محتوای اصلی استاندارد توجه داشت لیسانس 7799, که هنوز در تعدادی از کشورها مورد استفاده قرار می گیرد.

از دو بخش تشکیل شده است.

جنبه های زیر از امنیت اطلاعات تعریف و در نظر گرفته شده است:

    خط مشی امنیتی.

    سازمان دفاع

    طبقه بندی و مدیریت منابع اطلاعاتی.

    مدیریت شخصی.

    امنیت فیزیکی.

    مدیریت سیستم های کامپیوتریو شبکه ها

    کنترل دسترسی به سیستم

    توسعه و نگهداری سیستم ها.

    برنامه ریزی تداوم سازمانی

    بررسی سیستم برای انطباق با الزامات IS.

بخش 2: مشخصات سیستم (1998)

جنبه های ذکر شده در " قسمت های 1” در این قسمت از نظر تایید یک سیستم اطلاعاتی برای انطباق با الزامات استاندارد در نظر گرفته شده است.

مشخصات عملکردی ممکن در اینجا تعریف شده است. سیستم های شرکتیمدیریت امنیت اطلاعات از نقطه نظر

از نظر تأیید آنها برای انطباق با الزامات بخش اول این استاندارد. مطابق با مفاد این استاندارد، روال حسابرسی اطلاعات را تنظیم می کندسیستم های شرکتی

راهنمایی های اضافی برای مدیریت امنیت اطلاعات توسط دستورالعمل های موسسه استاندارد بریتانیا ارائه شده است - بریتانیاییاستانداردهاموسسه، نهاد(BSI) http:// www. bsi- جهانی. com/ در طول دوره منتشر شده است 1995-2003 سال به عنوان سری زیر:

    مقدمه ای بر مسئله مدیریت امنیت اطلاعات - اطلاعاتامنیتمدیریت: یکمعرفی.

    امکان صدور گواهینامه مطابق با الزامات استاندارد لیسانس 7799 - آماده سازیبرایلیسانس 7799 صدور گواهینامه.

    مدیریت BS 7799برای ارزیابی و مدیریت ریسک - راهنمای ارزیابی ریسک و ریسک BS 7799مدیریت.

    آیا برای ممیزی مطابق با الزامات استاندارد آماده هستید؟ لیسانس 7799- هستندشماآمادهبرایآلیسانس 7799 حسابرسی?

    راهنمای حسابرسی الزامات استاندارد - لیسانس 7799 راهنمابهلیسانس 7799 حسابرسی.

امروز سوالات عمومیمدیریت امنیت اطلاعات شرکت ها و سازمان ها و همچنین توسعه ممیزی های امنیتی برای برآوردن الزامات استاندارد لیسانس 7799 توسط یک کمیته بین المللی اداره می شود مفصلفنیکمیتهISO/ IECJTC 1 با همکاری موسسه استاندارد بریتانیا بریتانیاییاستانداردهاموسسه، نهاد(BSI) – (www. bsi- جهانی. com), و به ویژه خدمات UKAS (یونایتدپادشاهیمعتبرسرویس). سرویس نامبرده سازمان ها را برای حق ممیزی امنیت اطلاعات مطابق با استاندارد معتبر می کند لیسانسISO/ IEC 7799:2000 (لیسانس 7799-1:2000) . گواهی های صادر شده توسط این ارگان ها در بسیاری از کشورها به رسمیت شناخته شده است. توجه داشته باشید که در صورت صدور گواهینامه یک شرکت طبق استانداردها ISO 9001 یا ISO 9002 استاندارد لیسانسISO/ IEC 7799:2000 (لیسانس 7799-1:2000) به شما این امکان را می دهد که گواهینامه سیستم امنیت اطلاعات را با صدور گواهینامه برای انطباق با استانداردها ترکیب کنید ISO 9001 یا ISO/9002 هم در مرحله اولیه و هم در حین بررسی های کنترلی. برای انجام این کار، احراز شرط مشارکت در گواهینامه ترکیبی حسابرس ثبت شده طبق استاندارد ضروری است. لیسانسISO/ IEC 7799:2000 (لیسانس 7799-1:2000). در عین حال، برنامه‌های آزمایش مشترک باید به وضوح رویه‌های بررسی سیستم امنیت اطلاعات را نشان دهد و نهادهای تأییدکننده باید از کامل بودن بررسی امنیت اطلاعات اطمینان حاصل کنند.

مدیریت تداوم کسب و کار (BCM) یک فرآیند مدیریت کل نگر است که تهدیدهای بالقوه برای یک سازمان را شناسایی می کند و در صورت تحقق این تهدیدها تأثیر احتمالی بر عملیات تجاری را تعیین می کند و پایه ای را برای اطمینان از توانایی سازمان برای بازیابی و واکنش موثر به حوادث ایجاد می کند که تضمین می کند. ذینفعان کلیدی، حفظ شهرت، نام تجاری و فعالیت های ارزش افزوده. UNB شامل بازیابی و مدیریت ادامه است فعالیت اقتصادیدر صورت بروز اختلال در کسب و کار، و مدیریت کلی برنامه تداوم کسب و کار از طریق آموزش، تمرین ها و بررسی ها برای به روز نگه داشتن طرح(های) تداوم کسب و کار.

BS 25999-1:2006، مدیریت تداوم کسب و کار - قسمت 1: قوانین عمل

BS 25999-1:2006 فرآیند، اصول و اصطلاحات را در زمینه مدیریت تداوم کسب و کار تعریف می کند، پایه ای را برای درک، طراحی و پیاده سازی سیستم تداوم کسب و کار در یک سازمان و ایجاد اطمینان در قابلیت اطمینان آن از سوی مشتریان و شرکا ایجاد می کند. این استاندارد مجموعه ای جامع از کنترل ها را توصیف می کند و همه را پوشش می دهد چرخه زندگیفرآیند مدیریت تداوم کسب و کار این توسط پزشکان از سراسر جامعه جهانی بر اساس بهترین شیوه ها در این زمینه ایجاد شده است و برای سازمان ها در هر نوع و اندازه مناسب است.

BS 25999-2:2007، "مدیریت تداوم کسب و کار - قسمت 2: مشخصات"

در حالی که بخش اول استاندارد (BS 25999-1:2006) حاوی توصیه‌های کلی برای مدیریت تداوم کسب‌وکار است، بخش دوم الزامات یک سیستم مدیریت تداوم کسب‌وکار را تعیین می‌کند، و فقط آن الزاماتی را که می‌توان به طور عینی تأیید کرد. با استفاده از این الزامات، شرکت ها می توانند ارزیابی کنند سیستم موجودمدیریت تداوم کسب و کار، هم به صورت مستقل و هم با مشاوران خارجی. بر اساس بخش دوم استاندارد، مراجع صدور گواهی در مورد انطباق سیستم مدیریت تداوم کسب و کار با الزامات استاندارد BS 25999 نظر خواهند داد.

BS 25777:2008، "مدیریت تداوم فناوری اطلاعات و ارتباطات - آیین نامه عمل"

استاندارد بریتانیا BS 25777 از استانداردهای تداوم کسب و کار موجود BS 25999 و مشخصات عمومی تکمیلی PAS 77 که بهترین ها را خلاصه می کند، ایجاد شده است. تمرین جهانیدر زمینه تضمین تداوم خدمات فناوری اطلاعات.

مدیریت تداوم فناوری اطلاعات و ارتباطات، دوام لازم فناوری‌ها و خدمات اطلاعات و ارتباطات و امکان بازگرداندن آن‌ها به سطح از پیش تعیین‌شده را در بازه زمانی مورد نیاز مورد توافق با مدیریت سازمان تضمین می‌کند. مدیریت موثر تداوم کسب و کار به مدیریت تداوم فناوری اطلاعات و ارتباطات بستگی دارد تا اطمینان حاصل شود که یک سازمان همیشه قادر به دستیابی به اهداف خود است، به ویژه در لحظات اختلال.

BS 25777 به مسائلی از قبیل:

  • دفتر نرم افزار تداوم فناوری اطلاعات و ارتباطات
  • اصول مدیریت تداوم فناوری اطلاعات و ارتباطات را در فرهنگ سازمان بگنجانید
  • مستندسازی سیستم مدیریت تداوم فناوری اطلاعات و ارتباطات
  • تعریف الزامات تداوم فناوری اطلاعات و ارتباطات
  • توسعه و اجرای استراتژی تداوم فناوری اطلاعات و ارتباطات
  • برنامه های تداوم فناوری اطلاعات و ارتباطات را توسعه و آزمایش کنید
  • برگزاری تمرین برای بازیابی خدمات ICT
  • نگهداری، تجزیه و تحلیل و بهبود سیستم مدیریت تداوم فناوری اطلاعات و ارتباطات
  • و غیره.

PAS 77:2006، "مدیریت تداوم خدمات فناوری اطلاعات"

راهنمای مدیریت تداوم خدمات فناوری اطلاعات اصول و برخی از اقدامات توصیه شده برای مدیریت خدمات فناوری اطلاعات را توضیح می دهد. در نظر گرفته شده است که توسط افرادی که مسئول پیاده سازی، ارائه و مدیریت تداوم خدمات فناوری اطلاعات در یک سازمان هستند، استفاده شود.

این راهنما برای تکمیل (اما نه جایگزین) سایر نشریات در مورد این موضوع مانند PAS 56، BS ISO/IEC 20000، BS ISO/IEC 17799:2005 و ISO 9001 در نظر گرفته شده است. نباید به عنوان اجرای گام به گام تلقی شود. فرآیندهای مدیریت تداوم خدمات فناوری اطلاعات، بلکه به عنوان راهنمایی برای برخی از جنبه های ITSCM که سازمان ها باید هنگام سرمایه گذاری در این زمینه در نظر بگیرند.

بخش اول استاندارد، به زبان روسی به نام "مدیریت امنیت اطلاعات". قواعد عمل" شامل نظام، یک لیست بسیار کامل و جهانی تنظیم کننده های ایمنی، برای سازمان هایی با هر اندازه، ساختار و زمینه فعالیت مفید است. در نظر گرفته شده است که به عنوان استفاده شود سند پس زمینهمدیران و کارکنان خط مسئول برنامه ریزی، پیاده سازی و حفظ سیستم امنیت اطلاعات داخلی.

بر اساس این استاندارد، هدف امنیت اطلاعات تضمین عملکرد روان سازمان و در صورت امکان جلوگیری و یا به حداقل رساندن آسیب های ناشی از نقض امنیت است.

مدیریت امنیت اطلاعاتبه شما این امکان را می دهد که داده ها را در حین محافظت از آنها و محافظت از منابع محاسباتی به اشتراک بگذارید.

تأکید می شود که اقدامات حفاظتی در صورت گنجاندن بسیار ارزان تر و مؤثرتر می شود سیستم های اطلاعاتی و خدمات در الزامات و مراحل طراحی.

در بخش اول استاندارد پیشنهاد شده است تنظیم کننده های ایمنیبه ده گروه تقسیم می شوند:

  • خط مشی امنیتی ;
  • جنبه های امنیتی شرکت؛
  • طبقه بندی داراییو مدیریت آنها؛
  • ایمنی پرسنل ;
  • امنیت فیزیکیو ایمنی محیط ;
  • مدیریت سیستم هاو شبکه ها؛
  • کنترل دسترسیبه سیستم ها و شبکه ها؛
  • توسعه و نگهداری سیستم های اطلاعاتی ;
  • مدیریت عملکرد روان سازمان؛
  • کنترل انطباق.

این استاندارد ده تنظیم کننده کلیدی را مشخص می کند که یا مطابق با اجباری هستند قانون فعلی، یا اصلی محسوب می شوند بلوک های ساختمانامنیت اطلاعات. این شامل:

  • سند سیاست امنیت اطلاعات؛
  • تقسیم وظایفبرای تضمین امنیت اطلاعات؛
  • آموزش و آموزش پرسنل برای حفظ رژیم امنیت اطلاعات؛
  • اطلاعیه نقض امنیتی ;
  • عوامل ضد ویروسی ;
  • روند برنامهریزی تداوم کسبوکارسازمان های؛
  • کنترل کپی نرم افزارتحت حمایت قانون کپی رایت؛
  • حفاظت از اسناد؛
  • حفاظت از داده ها؛
  • کنترل انطباق با سیاست های امنیتی.

برای ایجاد سطح حفاظتی افزایش یافته برای منابع با ارزش خاص یا برای مقابله با مهاجمی با پتانسیل حمله فوق العاده بالا، ممکن است به ابزارهای (قوی تر) دیگری نیاز باشد که در استاندارد در نظر گرفته نشده است.

عوامل زیر به عنوان تعیین کننده اجرای موفقیت آمیز یک سیستم امنیت اطلاعات در یک سازمان شناسایی می شوند:

  • اهداف ایمنی و تضمین آن باید بر اساس وظایف و الزامات تولید باشد. وظایف مدیریت امنیت باید توسط مدیریت سازمان به عهده گرفته شود.
  • پشتیبانی روشن و تعهد به امنیت از سوی مدیریت ارشد مورد نیاز است.
  • درک خوب از خطرات (هم تهدیدها و هم آسیب پذیری ها) که دارایی های سازمان در معرض آن هستند و درک کافی از ارزش این دارایی ها لازم است.
  • لازم است کلیه مدیران و کارکنان عادی سازمان با سیستم امنیتی آشنا شوند.

بخش دوم BS 7799-2:2002 "سیستم ها