Главная Партнеры Контакты  
Юридическая компания — «Основной закон», консультации и помощь в возвращении депозитов, защита по кредиту

ЮК
"ОСНОВНОЙ ЗАКОН"  

г. Киев, бул. Пушкина, 2а                
тел.: (044) 334-99-77                               
         (095) 407-407-3
         (096) 703-11-82

график работы: пн.- пт. с 9:00 до 18:00
          
                           

 












Рассматривается вопрос о предоставление нотариусам права выдачи извлечения из Реестра прав на недвижимое имущество.
Министерством юстиции был разработан проект Закона «О внесении изменений в некоторые Законы Украины относительно предоставления информации о государст...


Держреєстрація речових прав на нерухоме майно та їх обтяжень у 2014 році буде здійснюватись за новою - удосконаленою та спрощеною - процедурою.
Постанова Кабінету Міністрів "Про затвердження порядку державної реєстрації прав на нерухоме майно та їх обтяжень і Порядку надання інформації з Держа...




Система Orphus


Аудит і сертифікація систем безпеки

  1. Аудит систем інформаційної безпеки і їх сертифікація на відповідність міжнародним і російським стандартам...
  2. Статус кво
  3. проблема стандартизації
  4. Ситуація в Росії
  5. Сертифікація - бізнесу

Аудит систем інформаційної безпеки і їх сертифікація на відповідність міжнародним і російським стандартам допомагають не тільки вдосконалити управління компанією, а й зміцнити довіру з боку партнерів і клієнтів ...

Аудит систем інформаційної безпеки і їх сертифікація на відповідність міжнародним і російським стандартам допомагають не тільки вдосконалити управління компанією, а й зміцнити довіру з боку партнерів і клієнтів

В даний час аудит інформаційної безпеки корпоративних систем є одним з найбільш актуальних і динамічно розвиваються, у галузі ІТ-менеджменту. Основна мета аудиту - дати не тільки об'єктивну оцінку поточного стану інформаційної безпеки компанії, але і можливість ефективного забезпечення і управління системою безпеки в реальних умовах експлуатації корпоративної системи.

Проведення аудиту системи інформаційної безпеки компанії дозволить обгрунтувати витрати на цю систему, перевірити її ефективність, переглянути акценти в інформаційній безпеці. Наприклад, часто рівень безпеки можна значно підвищити організаційними заходами (аудит, аналіз ризиків, процедури і регламенти), не вдаючись при цьому до істотних капіталовкладень. Аудит системи інформаційної безпеки - один з етапів при сертифікації системи.

Статус кво

Перехід на якісно новий рівень у розвитку інформаційної безпеки стався в 1995 році: він ознаменований появою першої версії британського стандарту BS 7799 на основі Code of Practice (вона 2000 року трансформувалася в міжнародний стандарт з безпеки ISO 17799) і поняття аудиту інформаційної безпеки компанії, яке в даний час викликає інтерес фахівців в області менеджменту і безпеки корпоративних систем. У тому ж 1995 році в країнах «великої вісімки» (головним чином в США, Великобританії, Німеччини, Японії) почалося проведення щорічних слухань і нарад спеціально створених комітетів і комісій з питань аудиту інформаційної безпеки корпоративних систем.

Сьогодні кілька десятків різних стандартів і специфікацій присвячені аудиту системи інформаційної безпеки: COBIT, COSA, SAC, SAS 78/94, OSSTTM, GAO, NIST SP800-30 і ін. Проблема полягає в тому, що не існує єдиного міжнародного стандарту з аудиту інформаційної безпеки .

Однією з головних складових системи управління інформаційною безпекою (Information Security Management System ISMS) є аналіз і управління інформаційних ризиків. У Росії цієї проблеми поки не приділяється належної уваги. Два стандарту: ГОСТ Р 51897-2002 «Менеджмент ризику. Терміни та визначення »і ГОСТ Р 51901-2002« Управління надійністю. Аналіз ризику технологічних систем »практично не застосовуються до систем управління інформаційною безпекою. Але інтерес до даної проблеми починає з'являтися. Наприклад, в Росії вже пропонуються програмні продукти з аналізу інформаційних ризиків - «Гриф» і «Авангард». До їх нестачі варто віднести відсутність широкої практики використання і, як наслідок, труднощі оцінки об'єктивності одержуваних за допомогою них результатів.

проблема стандартизації

Незважаючи на існування міжнародного стандарту з інформаційної безпеки, проблема стандартизації стоїть дуже гостро. В даний час сертифікація на відповідність ISO 17799 не проводиться, тому що не випущена його друга частина, де повинні бути описані специфікації на систему інформаційної безпеки. Замість цього проводиться сертифікація на відповідність британському стандарту BS 7799. Коли вийде стандарт ISO 17799-2, компанії, що пройшли сертифікацію за стандартом BS 7799, отримають сертифікат відповідності ISO 17799 автоматично.

Перевірку на відповідність BS 7799 можуть виконувати аудиторські або консалтингові фірми - члени United Kingdom Accreditation Service (UKAS), уповноваженого державного органу Великобританії. Однак зараз існує кілька десятків національних, міжнародних і корпоративних стандартів з безпеки. Серед них - ISO 13335, який також може бути використаний для побудови системи управління інформаційною безпекою, СТР-К (Гостехкомиссии РФ), US TCSEC «райдужна серія», GAISP, ITIL, XBSS, ITSEC, RFC 1296, BSI protection manual, SANS, ISF та т. д.

Можна виділити два підходи до управління системою безпеки. Виклад першого міститься в наборі стандартів, що відносяться до ISO 17799 (BS 7799, AS / NZS 4444 і т. П.), Другого - в американських (і канадських) стандартах, об'єднаних в набір документів NIST Special Publication 800-series. Сперечатися, чий підхід краще, безглуздо. З одного боку, американський пропонує детальне побудова системи безпеки та її аудиту практично в будь-якому напрямку, але залишає місце для маневру, на відміну, наприклад, від німецького стандарту BSI. Основні стандарти цього пакета, що даються в якості аналога ISO 17799:

  • SP 800-12, Computer Security Handbook.
  • SP 800-14, Generally Accepted Security Principles & Practices.
  • SP 800-18, Guide for Developing Security Plans.
  • SP 800-23, Guide to Federal Organizations on Security Assurance and
  • Acquisition of Evaluated Products.
  • SP 800-26, Self-Assessment Guide for IT Systems.

Тут варто зазначити, що в США серйозно підходять до створення стандартів - багато стандартів розроблені NIST за участю Агентства національної безпеки і підтримки уряду США. Більш того, проблема сертифікації на ISO 17999 в США важко вирішуваної, особливо в світлі прийнятого в травні 2004 стандарту SP 800-37 (Guide for Security Certification and Accreditation of Federal Information Systems). Мабуть, це пояснює, чому в США існує невелика кількість сертифікатів BS 7799-2: 2002 - всього дев'ять (за даними ISMS International User Group на 11 червня 2004 роки)! Не можна сказати, що ISO 17799 який суперечить національним стандартам. Однак саме цей стандарт дає «точку відліку» в області інформаційної безпеки для будь-якої комерційної компанії. Згідно з матеріалами дослідження, проведеного журналом CSO Magazine, 54% опитаних компаній використовують ISO 17799 в якості основи для побудови системи безпеки, 15% висловили бажання сертифікуватися за даним стандартом, 12% використовують інші стандарти і 19% не застосовується ніяких.

Згідно з матеріалами дослідження, проведеного журналом CSO Magazine, 54% опитаних компаній використовують ISO 17799 в якості основи для побудови системи безпеки, 15% висловили бажання сертифікуватися за даним стандартом, 12% використовують інші стандарти і 19% не застосовується ніяких

Більш красномовно про перспективу впровадження ISO 17799 та системи управління інформаційною безпекою говорить статистика виданих сертифікатів.

Здавалося б, не таке велике число. Однак варто взяти до уваги два моменти: вихід остаточної версії BS 7799-2 у вересні 2002 року, і розмір компаній, які пройшли сертифікацію: Siemens, Fujitsu, Vodafone Telecommerce, Canon, Fuji, Hitachi, Mitsubishi, NEC, Sony, KPMG, Gemplus , Royal Mail, Symantec Security Service, Federal Reserve Bank of NY і т. д.

Крім того, тут варто врахувати, що про систему сертифікації і про систему ISMS знають тільки 48% компаній! З них початковими даними володіє 43%, але 78% планують впровадження системи ISMS.

Виходячи з взаємозв'язку стандартів в системі сертифікатів управління компанією (ISO 9000, ISO 14000), можна сказати, що через дев'ять років кількість компаній, що мають сертифікат системи безпеки, перевищить 130 тис., За умови що в даний момент таких компаній не більше 800 (це і враховано в прогнозі розвитку). Передбачається, що кількість виданих сертифікатів буде збільшуватися в геометричній прогресії.

Ситуація в Росії

Сертифікація по BS 7799-2 передбачає найбільш якісний і комплексний підхід до побудови системи управління інформаційною безпекою. В основному підхід до проблеми безпекою вирішує технічні питання, не кажучи вже про прив'язку до бізнес-процесів. Державного стандарту на управління системою інформаційної безпеки не існує, тому аналогом до ISO 17799 для компаній виступають Спеціальні вимоги і рекомендації з технічного захисту конфіденційної інформації Гостехкомиссии РФ (СТР-К). Для захисту конфіденційної інформації, що міститься в недержавних інформаційних ресурсах, режим захисту якої визначає власник цих ресурсів, дані СТР-К носять рекомендаційний характер. Вони не позбавлені деяких недоліків - припускають технічні рішення, без урахування компонентів системи менеджменту. Основний акцент зроблений на конфіденційність, а не на доступність. Чи не приділено належної уваги, особливо в застосуванні до бізнесу, питання аналізу та управління ризиками і відповідно оптимізації побудови системи безпеки за критеріями ціна / якість.

У Росії поки немає компанії, що має сертифікат BS 7799, хоча багато російських підприємств проходять аудит системи інформаційної безпеки у великих аудиторських фірм. Варто, наприклад, згадати сертифікат CyberProcess, на основі принципів і критеріїв безпеки Trust Services компанії Ernst & Young, виданий системі Beeoffice компанії «ВимпелКом».

Проте ситуація з аудитом і сертифікацією систем інформаційної безпеки поступово змінюється в кращу сторону. В якості основної складової системи інформаційної безпеки беруться не технічні аспекти, а саме менеджерські складові. Компанії замислюються про опис і аналізі ризиків, аналізі безперервності бізнесу і т. П. Наступний логічний крок - стандартизація і сертифікація систем інформаційної безпеки. Тут важливо не помилитися з вибором стандарту, можливо, слід орієнтуватися на BS 7799, як на єдиного кандидата міжнародного стандарту ISO 17799.

Андрій Голов - провідний фахівець компанії TopS BI, [email protected]

Сертифікація - бізнесу

Сертифікація на відповідність стандарту ISO 17799 (BS 7799) дозволяє наочно показати діловим партнерам, інвесторам і клієнтам, що в компанії налагоджено ефективне управління інформаційною безпекою. Це забезпечує компанії наступні переваги.

  • Партнери та клієнти бачать, що вимоги до безпеки дотримані, а компанія демонструє прагнення зменшити їх ризики.
  • Компанія отримує можливість відстежувати процес виконання політики безпеки (знаходити і виправляти слабкі місця в системі інформаційної безпеки).
  • Забезпечується ефективне управління системою в критичних ситуаціях.
  • Досягається зниження і оптимізація вартості підтримки системи безпеки.
  • Полегшуються інтеграція підсистеми безпеки в бізнес-процеси і інтеграція з ISO9001: 2000.

Сертифікація за стандартом BS 7799 незалежним аудитором продемонструє ринку і самої компанії, що створена система управління інформаційною безпекою дійсно ефективно працює. Сертифікація дозволить переконатися в тому, що система управління інформаційною безпекою правильно розроблена і впроваджена і що вона дає реальні поліпшення в компанії.

Главная Партнеры Контакты    
Cистема управления сайта от студии «АртДизайн»