КАКВО ПРЕДСТАВЛЯВА ISO 17799? ISO 17799 e международно признат, изключително подробен и широкоприложим стандарт за сигурност и защита на информацията. Поради тази причина, за да се постигне съответствие с изискванията му е необходимо прилагането на добре обмислен методологичен подход. Прилагането на този стандарт изисква ангажираност и достъп до подходящи инструменти и продукти. ISO 17799 е стандарт, чиято основна цел е постигане на сигурнаст и защита на информацията в една организация. Неговото предназначение е да бъде единствен критерий за идентификация на методи за контрол по сигурността. Стандартът се състои от две части: Код на практиката – ISO 17799 и Спецификация за система за управление на информационната сигурност и защита – BS 7799-2. За първи път е публикуван като DTI Code of Practice в Обединеното кралство, ревизиран и публикуван като Версия 1 на BS 7799, издадена през февруари 1995 г. През 1999 г. се извършва основна редакция, на BS 7799, чрез Версия 2, публикувана през май 1999 г. През същата година се задействат и формалните сертификационни и акредитационни схеми на ISO 17799, като международен стандарт, което довежда до публикуването на неговата Част 1 през декември 2000 г. и Част 2- през 2002 г. Първоначално ISO 17799 е организиран в 10 основни раздела, а по-късно – в 12 раздела, покриващи различни теми и области: 1. Оценка и управление на риска. Целта на този раздел е обобщаването и прилагането на най-новите виждания и методи за анализ и оценка на риска, осъществявянето на непрекъснат планов процес, с цел противодействие на на големи системни сривове, които биха довели до прекъсване дейността на организацията и появата на критични за бизнеса процеси.
2. Политика на системата. Целта на този раздел е провеждане на политика на системата, която да осигури правилна насока и поддръжка на информационната сигурност.
3. Организиране на информационната сигурност. Целите на този раздел са: да организира и ръководи информационната сигурност вътре в Организацията; да контролира сигурността на информацията и процесите на податливост на външни прониквания.
4. Управление на активите. Целите на този раздел са: да се достигне и осигури адекватна защита на активите на Организацията; да се постигне убеденост, че информацията е получила необходимото ниво на защита. 5. Защита на човешките ресурси. Целите на този раздел са: да се постигне убеденост, че служителите, доставчиците и трети лица са подходящи за длъжностите, на които са назначени, респ. работата, която изпълняват и осъзнават задълженията и отговорностите си; да се намали риска от злоупотреби, кражби и аварии; да се постигне убеденост, че изброените по-горе осъзнават заплахите за информационната сигурност и отговорностите си по поддържане политиката на сигурност на Организацията; да се постигне убеденост, че има създаден надлежно работещ пропускателен режим и изброените по-горе контролирано напускат Организацията.
6. Физическа и защита на инфраструктурата. Целите на този раздел са: да се предотврати неупълномощения физически достъп до Организацията и щети по информацианните масиви и инфраструктурата; да се предотвратят загуби и кражби на авоари; да се избегне риска от загуби на активи и прекъсване на бизнес дейността.
7. Комуникации и управление на операциите. Целите на този раздел са: да създаде благоприятни условия и сигурност при протичането на информационните процеси; да пригоди съответстващото ниво на информационна сигурност спрямо външни доставки и услуги от трета страна; да намали до минимум риска от грешки; защита на целостта на информацията и софтуера; да пригоди и улесни процесите чрез пълнота и цялост на информацията; да осигури защита на мрежите и съпътстващата инфраструктура; предотвратяване на неоторизирано разкриване, променяне, прехвърляне и унищожаване на активи; предотвратяване на неоторизиран разриз на бизнес дейностите; да управлява сигурността на информацията и/или софтуера свързана с промени отвътре или отвън; да осигури сигурност на електронните разплащания; да засече неоторизирани информационни процеси.
8. Система за контрол върху достъпа. Целите на този раздел са: да се контролира достъпа до информацията; да се предотврати неупълномощен достъп до информационните системи и база данни; да се осигури защита на мрежовите услуги; да се предотврати неупълномощен достъп до дадено лично работно място (компютър); да се разкриват всички неупълномощени действия; да се осигури защита на информацията чрез използване на различни компютърни и мрежови технологии за защита.
9. Разработване и поддържане на системата. Целите на този раздел са: да се осигури вградена защита в операционните системи; да се предотврати загуба, промяна или неправилна употреба на потребителски данни; да се запази конфиденциалността, достоверността и целостта на информацията; да се осигури контрол и сигурност на информационно-технологичните процеси; да се поддържа защитата на софтуера на системата.
10. Адекватно административнo управление, свързано със защитата на информацията. Целта на раздела е: да се постигне убеденост, че с класифицираната информация в Организацията се работи по начин позволяващ навременни корективни действия при необходимост и по всяко време; да се постегне убеденост за съвършена и ефективна близост до изискванията на IS изданията.
11. Управление целостта на бизнеса. Целта на раздела е: Противодействие срещу прекъсването и спирането на бизнес дейностите и защита срещу критични процеси, предизвикани от генерални аварии и бедствия; Осигуряване своевременно възстановяване от горното.
12. Съгласуваност. Целта на раздела е: Избягване на всякакви нарушения на закони, разпоредби или договорни отношения, а също и на изисквания на сигурността; Увеличаване на резултатността и намаляване на вътрешните намеси, свързани с одитни процеси в организацията.
