"Человек - самое уязвимое место в системе безопасности.."

BS 7799-1

Структура стандарта BS 7799-1

Первая часть стандарта, называется Информационная технология. Практический кодекс по менеджменту информационной безопасности. Он имеет полный список регуляторов безопасности, который будет полезен для предприятий любых размеров, сфер и структур работы. Эта часть есть справочным документом для работников которые реализуют реализацию, поддержание или планирование внутренней системы безопасности.

Стандарт подразумевает то, что целью информационной безопасности есть обеспечение бесперебойной работы системы, и минимизировать или предотвратить ущерб от нарушений этой безопасности. Для успешной реализации системы безопасности на предприятии нужно реализовать следующие пункты:

  • Цели защиты и ее реализация должны быть основаны на задачах и требования производства или руководства.
  • Нужно отличное понимание рисков и угроз.
  • Нужно поддержка к контроль соблюдения режима безопасности всех сотрудников.

Вторая часть этого стандарта описывает общую часть системы управления, которая основана на анализе рисков. В основе алгоритма управления лежит модель, которая включает:

  • планирование
  • реализация
  • оценка
  • корректировка

стандарт BS 7799-1. Четырехфазная модель процесса управления информационной безопасностью

Процесс имеет циклический характер. Первый этап планирования есть отправной точкой в цикле. Первым шагом определяется политика безопасности и документация предприятия. Потом нужно выделить область работы системы управления информационной безопасностью. К примеру она может действовать по всему предприятию, или же только в отдельных частях/помещениях. Также нужно уделить внимание границе которая прикасается к области системы ИБ. Результат анализа рисков — это выбор регуляторов безопасности. Планирование должно включать приоритеты, детальные отчеты по внедрению тех или других механизмов обеспечения безопасности.

Второй этап это этап реализации. Руководство предприятия выделяет определенные ресурсы для выполнения поставленных задач в плане СБИ. С сотрудниками проводят беседы по поводу важности проблем информационной безопасности. Основная задача этапа — ввести риски в границы.

Стандарт BS 7799-1 в четерехвазной модели на третьем этапе выполняет свою роль в нескольких обликах:

  • проверки вызванные из-за конкретных проблем
  • регулярные проверки
  • изучение практики других предприятий
  • анализ тенденций
  • внутренний аудит СУИБ

Аудит должен проводится по графику регулярно, но не реже одного раза в год. Процесс аудита подразумевает проверку следующих пунктов:

  • результаты анализа рисков учитываются
  • политика безопасности отвечает производственным требованиям
  • технические регуляторы безопасности работают в правильном ключе
  • документированные схемы работают и отвечают требованиям
  • работы которые были запланированы от предыдущих проверок, сделаны

Даже если при этом критичных отклонений не найдено и уровень безопасности есть приятным, нужно зафиксировать все моменты которые можно будет улучшить.

Четвертый этап цикла — корректировка. Он может вернуть цикл на первый этап к планированию, если к примеру появились новые угрозы. Коррекция проводится если обнаружено хоть один из следующих действий:

  • риски вышли за допустимые рамки
  • найдены внутренние не стыковки в документации СУИБ

На данном этапе главное сделать следующие действия:

  • устранить невозможность реализации определенных требований СУИБ
  • устранить невозможность обеспечения жизни политики безопасности или обслуживания целей производства

Смотрите также: