Обобщая изложенное выше, отметим, что в современных стандартах управления информационной безопасностью (см. табл. 3.4) вопросам разработки политик безопасности уделяется достаточное внимание (см. табл. 3.5).

Таблица 3.4. Новые стандарты в области защиты информации

BS 7799 - British Standards Institute

NFPA- National Fire Protection Association

AICPA- Association of Independent Auditors

FIPS - Federal Information Processing Standards

ISO - International Standards Organization

SunTone - Sun Microsystems E-commerce Certification

FIDNet - PDD-63 Guidelines

Таблица 3.5. Роль политик безопасности в новых стандартах безопасности

Например, в стандарте ISO 17799 (BS 7799-1) рекомендуется управление информационной безопасностью компании осуществлять на основе политик безопасности

(рис. 3.12).

Рис. 3.12. Роль политики безопасности согласно стандарту ISO 17799 Для детализации требований к политикам безопасности можно воспользоваться специальными справочниками. Вид подобного справочника согласно рекомендациям стандарта ISO 17799

представлен на рис. 3.13.

Рис. 3.13. Справочник «VONLINEV SECURITY POLICIES AND SUPPORT»

Демонстрационные версии (Evaluation version) Information Security Police SOS -Interactive «VONLINEV SECURITY POLICIES AND SUPPORT» Security Professionals Guide можно загрузить с сайта www.rusecure.com. Явным достоинством справочника является гипертекстовая структура и удобная навигация. Еще один аналогичный продукт - «ISO 17799VTOOLKIT POLICY TEMPLATES» - представляет электронную версию документа с примерными текстами политик безопасности в соответствии с рекомендациями стандарта ISO 17799. Содержание документа представлено ниже.

Contents

INTRODUCTION

Chapter 01 Classifying Information and Data SECTION 01 SETTING CLASSIFICATION STANDARDS

Chapter 02 Controlling Access to Information and Systems SECTION 01 CONTROLLING ACCESS TO INFORMATION AND SYSTEMS

Chapter 03 Processing Information and Documents SECTION 01 NETWORKS

SECTION 02 SYSTEM OPERATIONS AND ADMINISTRATION

SECTION 04 TELEPHONES & FAX

SECTION 05 DATA MANAGEMENT

SECTION 06 BACKUP, RECOVERY AND ARCHIVING

SECTION 07 DOCUMENT HANDLING

SECTION 08 SECURING DATA

SECTION 09 OTHER INFORMATION HANDLING AND PROCESSING Chapter 04 Purchasing and Maintaining commercial Software SECTION 01 PURCHASING AND INSTALLING SOFTWARE

SECTION 02 SOFTWARE MAINTENANCE & UPGRADE SECTION 03 OTHER SOFTWARE ISSUES

Chapter 05 Securing Hardware, Peripherals and Other Equipment SECTION 01 PURCHASING AND INSTALLING HARDWARE

SECTION 02 CABLING, UPS, PRINTERS AND MODEMS SECTION 03 CONSUMABLES

SECTION 04 WORKING OFF PREMISES OR USING OUTSOURCED PROCESSING SECTION 05 USING SECURE STORAGE SECTION 06 DOCUMENTING HARDWARE SECTION 07 OTHER HARDWARE ISSUES

Chapter 06 Combating Cyber Crime SECTION 01 COMBATING CYBER CRIME Chapter 07 Controlling e?Commerce Information Security SECTION 01 ED COMMERCE ISSUES

Chapter 08 Developing and Maintaining In?House Software SECTION 01 CONTROLLING SOFTWARE CODE

SECTION 02 SOFTWARE DEVELOPMENT SECTION 03 TESTING & TRAINING SECTION 04 DOCUMENTATION SECTION 05 OTHER SOFTWARE DEVELOPMENT

Chapter 09 Dealing with Premises related Considerations SECTION 01 PREMISES SECURITY

SECTION 02 DATA STORES SECTION 03 OTHER PREMISES ISSUES

Chapter 10 Addressing Personnel Issues relating to Security SECTION 01 CONTRACTUAL DOCUMENTATION

SECTION 02 CONFIDENTIAL PERSONNEL DATA

SECTION 03 PERSONNEL INFORMATION SECURITY RESPONSIBILITIES

SECTION 04 HR MANAGEMENT

SECTION 05 STAFF LEAVING EMPLOYMENT

SECTION 06 HR ISSUES OTHER

Chapter 11 Delivering Training and Staff Awareness SECTION 01 AWARENESS SECTION 02 TRAINING

Chapter 12 Complying with Legal and Policy Requirements SECTION 01 COMPLYING WITH LEGAL OBLIGATIONS

SECTION 02 COMPLYING WITH POLICIES SECTION 03 AVOIDING LITIGATION SECTION 04 OTHER LEGAL ISSUES

Chapter 13 Detecting and Responding to IS Incidents SECTION 01 REPORTING INFORMATION SECURITY INCIDENTS

SECTION 02 INVESTIGATING INFORMATION SECURITY INCIDENTS SECTION 03 CORRECTIVE ACTIVITY

SECTION 04 OTHER INFORMATION SECURITY INCIDENT ISSUES Chapter 14 Planning for Business Continuity SECTION 01 BUSINESS CONTINUITY MANAGEMENT (BCP)

Стандарт cobit | Политики информационной безопасности | Проблемы разработки политик безопасности


Политики информационной безопасности



Новости за месяц

  • Июль
    2019
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс