Технологические процессы и стандарты обеспечения функциональной безопасности

       

Управление информационной безопасностью. Практические правила


В стандарте ISO 17799 — Управление информационной безопасностью. Практические правила — основное внимание сосредоточено на организационных и административных задачах обеспечения общей безопасности систем . При этом функциональная безопасность даже не упоминается. Однако некоторые рекомендации могут быть полезными при формировании и организации процессов анализа и обеспечения функциональной безопасности, как дополнения к приведенным выше стандартам.

В стандарте рассмотрена инфраструктура безопасности систем. Рекомендуются совещания руководства по проблемам защиты информации для координации действий разработчиков и распределения обязанностей по обеспечению информационной безопасности. Рекомендации специалистам содержат предложения по независимому анализу безопасности, а также по инвентаризации информационных ресурсов и классификации информации. Выделены анализ и задание требований к безопасности, проверка достоверности входных данных и внутренней обработки данных.

Отмечается необходимость регламентирования обеспечения безопасности в должностных инструкциях и при выделении ресурсов, а также обучение специалистов правилам информационной безопасности, реагированию на события, таящие угрозу безопасности и уведомлению об отказах программного обеспечения. Разделены физическая безопасность системы и безопасность окружающей среды, программных средств разработки и рабочих программ. Значительное внимание уделено администрированию безопасности компьютерных систем и вычислительных сетей, документированию операционных процедур и работе со сторонними организациями. Отмечается необходимость планирования перехода на аварийный режим и слежения за окружающей средой, за доступом к системам и их использованием. Описаны процедуры управления процессом внесения изменений, технический анализ изменений, вносимых в операционную систему, ограничения на внесение изменений в программы, а также техническая проверка на соответствие иным стандартам безопасности информационных систем и программных средств.

содержание       назад       вперед


Содержание раздела