Каким образом использовать этот стандарт

Стандарт ISO 17799 используется как стартовая точка для разработки программ безопасности. При построении программы безопасности необходимо ознакомиться с этим документом и использовать его в качестве руководства при работе в той или иной области. Если уже имеется разработанная программа безопасности, то с помощью стандарта ISO 17799 можно проверить, не упущены ли какие-либо важные вопросы.

Во введении в документ говорится о том, что некоторые меры контроля могут не понадобиться, и что могут потребоваться некоторые дополнительные меры, не включенные в материал стандарта. Точный набор средств, мер и действий по управлению, включаемый в каждую программу безопасности, определяется в процессе оценки угроз.

Внимание!

Не используйте стандарт ISO 17799 или какой-либо другой рекомендательный документ в качестве требований, соответствие которым должно быть полным и безусловным. Всегда проводите оценку угроз и определяйте действительные требования безопасности для вашей конкретной организации.

Проведение анализа уязвимостей

Этот проект покажет, насколько рассматриваемая организация соответствует авторитетным рекомендациям. Имейте в виду, что это несколько иная задача, нежели оценка угроз. Вы не будете пытаться выявить угрозы, а будете искать вещи, о которых раньше могли и не знать.

Шаг за шагом

1. Начните прорабатывать рекомендации, приводимые в данной лекции или в стандарте ISO 17799, если у вас имеется этот документ.

2. При работе с каждым разделом определите, соответствует ли ваша организация (или последняя проведенная оценка угроз) приводимым рекомендациям.

3. Если рассматриваемая организация не соответствует какой-либо рекомендации, попробуйте понять причину. Возможно, имеются другие меры и средства контроля, или степень угрозы для организации очень мала, вследствие чего неэффективно применять рекомендуемое средство или метод контроля. Кроме того, какая-либо рекомендация могла попросту ранее нигде не приводиться.

4. Для тех рекомендаций, явная причина применения которых в организации отсутствует, разработайте рекомендацию, обеспечивающую соответствующий уровень контроля.

Выводы

Как уже упоминалось выше, этот проект не является повторным проведением оценки угроз, а представляет собой наименее дорогостоящий способ рассмотреть под другим ракурсом имеющуюся программу безопасности. Даже самые опытные сотрудники отдела безопасности могут слишком " зацикливаться" на имеющейся программе, и день ото дня бороться с проблемами, возникающими при поддержке этой программы. Внешний наблюдатель, как правило, может внести " свежую струю" в виде рекомендаций, которые позволят усовершенствовать программу безопасности лишь потому, что не будут скованы ежедневным функционированием этой программы. Точно таким же образом может использоваться и документ с авторитетными рекомендациями.

Контрольные вопросы

1. Что такое " авторитетные рекомендации"?

2. Назовите четыре необходимых политики безопасности.

3. Назовите шесть навыков, которыми должны обладать сотрудники отделов безопасности.

4. Является ли закономерностью, что приобретение средств обеспечения безопасности снизит затраты на работу персонала отдела безопасности?

5. Кто должен нести ответственность за безопасность внутри организации?

6. Какова длительность занятия по изучению вопросов безопасности?

7. Должны ли планы восстановления после сбоев включать резервные " горячие сайты"?

8. Каким образом необходимо обеспечивать защиту постоянных соединений с внешними организациями?

9. На каких системах должны устанавливаться антивирусные программы?

10. Какой длины должны быть пароли?

11. Если информация очень секретна, какой метод аутентификации следует использовать?

12. Где должны храниться записи аудита в идеальном случае?

13. Должны ли программные обновления немедленно устанавливаться на все системы после их выпуска производителем?

14. Перечислите четыре аспекта защиты компьютерных систем, размещенных в информационном центре.

15. Что представляет собой стандарт ISO, в котором говорится об информационной безопасности?