ГОСТ Р ИСО/МЭК 17799—2005
Введение
Что такое информационная безопасность?
Информация — это актив, который, подобно другим активам организации, имеет ценность и. сле
довательно. должен быть защищен надлежащим образом. Информационная безопасность защищает
информацию от широкогодиапазона угроз с цельюобеспеченияуверенностив непрерывности бизнеса,
минимизацииущерба, получения максимальнойотдачиот инвестиций, а также реализации потенциаль
ных возможностей бизнеса.
Информация может существоватьв различныхформах. Она можетбытьнапечатана илинаписана
на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных
средствсвязи, демонстрироваться на пленке или бытьвыражена устно. Безотносительноформы выра
жения информации, средств ее распространения или хранения она должна всегда быть
адекватно защищена.
Информационная безопасность — механизм защиты, обеспечивающий:
- конфиденциальность: доступ к информации только авторизованных пользователей;
- целостность: достоверность и полноту информации и методов ее обработки;
- доступность: доступ к информации исвязанным с ней активамавторизованных пользователейпо
мере необходимости.
Информационная безопасность достигается путем реализации соответствующего комплекса
мероприятий поуправлению информационнойбезопасностью, которыемогутбытьпредставлены поли
тиками, методами, процедурами, организационными структурамиифункциямипрограммногообеспече
ния. Указанные мероприятия должны обеспечить достижение целей информационной безопасности
организации.
Необходимость информационной безопасности
Информация, поддерживающиеее процессы, информационные системыи сетевая инфраструкту
ра являются существенными активами организации. Конфиденциальность, целостность идоступность
информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности,
доходности, соответствия законодательству и деловой репутации организации.
Организации, ихинформационныесистемы исети всечаще сталкиваются с различными угрозами
безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары
или наводнения. Такие источники ущерба, каккомпьютерные вирусы, компьютерный взлом иатакитипа
отказа в обслуживании, становятся более распространенными, более агрессивными и все более изо
щренными.
Зависимость от информационныхсистем и услугозначает, что организации становятся всеболее
уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и част
ных сетей, а также совместное использование информационных ресурсов затрудняетуправление дос
тупом к информации. Тенденция к использованию распределенной обработки данных ослабляет
эффективность централизованного контроля.
При проектированиимногихинформационныхсистем вопросы безопасностинеучитывались. Уро
веньбезопасности, которыйможет бытьдостигнуттехническими средствами, имеет рядограничений и,
следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходи
мых мероприятий поуправлению информационной безопасностью требует тщательного планирования и
внимания к деталям.
Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудни
ков организации. Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме
того, могут потребоваться консультации специалистов сторонних организаций.
Мероприятия по управлению в области информационной безопасности обойдутся значительно
дешевле иокажутсяболееэффективными, если будутвключены вспецификацию требованийна стадии
проектирования системы.
Как определить требования к информационной безопасности
Организациядолжна определить свои требования к информационной безопасности сучетом сле
дующих трех факторов.
Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз
активам организации, оценкауязвимостисоответствующихактивов ивероятностивозникновения угроз,
а также оценка возможных последствий.
IV