Международный стандарт iso 17799
жүктеу/скачать 0.79 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- Основа информационной безопасности
| ISO/EIC 17799:2000
© ISO/EIC 2000, © Перевод компании Информзащита 2004 11 Выбор средств защиты После определения требований к безопасности необходимо выбрать и реализовать средства, которые помогут снизить риск до приемлемого уровня. Применять можно средства, описанные в данном документе и в других источниках; кроме того, при необходимости можно разработать новые средства, отвечающие конкретным целям. Существует множество различных способов управления рисками. В данном документе приведены примеры распространенных подходов. Однако следует помнить, что некоторые средства подходят не для всех информационных систем и сред и могут оказаться неприменимыми или непрактичными в некоторых организациях. Например, в разделе 8.1.4 описан метод разделения полномочий для предотвращения мошенничества и ошибок. В небольших организациях разделение всех полномочий может оказаться невозможным, и для реализации той же цели придется применить другие средства. Другой пример: в разделах 9.7 и 12.1 описаны способы наблюдения за использованием системы и сбора улик. Описанные методы (например, ведение журнала событий) могут противоречить действующему законодательству – например, правилам обеспечения неприкосновенности частной информации клиентов или рабочих мест. Средства необходимо выбирать с учетом затрат на реализацию в отношении к уменьшаемым рискам и потенциальным убыткам при нарушении безопасности. Кроме того, следует учитывать и такие нефинансовые факторы, как потеря репутации. Некоторые методы, описанные в данном документе, могут считаться основополагающими для управления информационной безопасностью. Они подойдут для большинства организаций. Эти методы более подробно описаны ниже в разделе «Основа информационной безопасности». Основа информационной безопасности Существуют методы, которые можно считать основополагающими, позволяющие создать надежную основу для реализации информационной безопасности. Эти методы либо основаны на важных законодательных требованиях, либо относятся к общепризнанным методам работы в области информационной безопасности. С законодательной точки зрения важнейшими для организации считаются следующие меры: a) защита данных и неразглашение личной информации (см. раздел 12.1.4); b) защита организационных записей (см. раздел 12.1.3); c) защита прав на интеллектуальную собственность (см. раздел 12.1.2). К общепризнанным методам обеспечения информационной безопасности относятся следующие: a) создание документа, определяющего политику информационной безопасности (см. раздел 3.1); b) распределение ответственности за информационную безопасность (см. раздел 4.1.3); c) обучение и подготовка в области информационной безопасности (см. раздел 6.2.1); d) создание отчетов об инцидентах (см. раздел 6.3.1); e) поддержка непрерывности бизнеса (см. раздел 11.1). Эти методы могут применяться в большинстве организаций и в большинстве сред. Заметим, что несмотря на то, что все описанные в данном документе методы являются важными, значимость каждого метода следует определять в свете конкретных рисков, с которыми сталкивается организация. Таким образом, хотя описанный выше подход и может послужить |