Читаем Политики безопасности компании при работе в Интернет полностью

...

• физическая безопасность;

• администрирование безопасности корпоративных информационных систем;

• управление доступом;

• требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения;

• управление бизнес-процессами компании с точки зрения информационной безопасности;

• внутренний аудит информационной безопасности компании;

• обеспечение непрерывности бизнеса;

• соответствие требованиям.

Вторая часть стандарта BS 7799-2:2002 «Спецификации систем управления информационной безопасностью» («Information Security Management – Part 2: Specification for Information Security Management Systems») определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта (см. рис. 3.4).

...

В соответствии с положениями этого стандарта также регламентируется процедура аудита безопасности информационных корпоративных систем (рис. 3.5).

...

Стандарт ISO 17799 (BS 7799) позволяет задать правила безопасности и определить политики безопасности компании. Так, например, в табл. 3.1 представлены контрольные вопросы согласно стандарта BS 7799-2, позволяющие оценить систему управления информационной безопасностью компании и задать правила безопасности.

Дополнительные рекомендации по разработке корпоративных политик безопасности содержат руководства Британского института стандартов (British Standards Institution, BSI) (www.bsi-global.com). изданные в период 1995–2005 годов в виде следующей серии:

• «Введение в проблему управления информационной безопасностью» («Information Security Management: An Introduction»);

• «Возможности сертификации на соответствие требованиям стандарта BS 7799» («Preparing for BS 7799 Certification»);

• Подготовка к сертификации по требованиям стандарта BS 7799-2 («Preparing for BS 7799-2 Certification (PD3001:2002)»);

• «Руководство по оценке и управлению рисками в соответствии с требованиями BS 7799» («Guide to BS 7799 Risk Assessment and Risk Management»);

• «Готовы ли вы к аудиту на соответствие требованиям стандарта BS 7799» («Are You Ready for a BS 7799 Audit»);

• «Руководство для проведения аудита на соответствие требованиям стандарта BS 7799» («Guide to BS 7799 Auditing»);

• «Руководство по внедрению средств обеспечения информационной безопасности и их аудиту на соответствие BS 7799», («Guide to the Implementation and Auditing of BS 7799 Controls (PD3004:2002)»);

• «Руководство по выбору средств обеспечения информационной безопасности в соответствии с BS 7799-2» («Guide on the Selection of BS 7799 Part 2 Controls (PD3005:2002)»);

• «Практические рекомендации по управлению безопасностью информационных технологий» («Code of Practice for IT Security Management»).

Таблица 3.1. Примеры контрольных вопросов согласно стандарта BS 7799-2 для задания правил безопасности

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1

Продолжение табл. 3.1