BS 7799 в умовах революційного розвитку інформаційних технологій, загального охоплення комп'ютерними мережами усіх країн, на його основі в 2002 р. було розроблено і видано міжнародний стандарт ISO 17799:2002 Інформаційні технології. Звід правил з управління інформаційною безпекою. Цей стандарт є моделлю системи менеджменту, в якому узагальнено світовий досвід в організації систем інформаційної безпеки. Стандарт визначає загальну організацію, класифікацію даних, системи доступу, напрями планування, відповідальність співробітників, використання оцінки ризику і т.д. - У контексті інформаційної безпеки. p> Мета стандарту ISO 17799:2002 полягає у створенні загальної основи для розробки, впровадження та оцінки ефективності систем управління безпекою інформації, застосовуваної в організації. Перед системою управління інформаційною безпекою ставляться наступним завдання:
) щодо конфіденційності - захист інформації від несанкціонованого доступу;
) щодо цілісності - захист інформації від несанкціонованого зміни, забезпечення її точності і повноти;
) щодо доступності - можливість користування інформацією, коли це потрібно, забезпечення високої працездатності системи.
Стандарт ISO 17799:2002 заснований на аналізі ризику, для якого загрози і збиток майну оцінений в співвідношенні з діловими перспективами компанії. Таким чином, аналіз визначає життєво важливу для компанії інформацію і створює стратегію для її збереження, навіть якщо ключові співробітники покинуть компанію. Заснований на аналізі ризику, бізнес план повинен забезпечувати безпеку в багатьох областях, навіть при непередбачених обставинах. Компанія повинна показати, що встановлена ​​практика, процедури і процеси функціонують. При цьому слід враховувати, що не важливо, як зберігається інформація фірми (у комп'ютері, у програмах, на папері або в голові у співробітників), головне - вона повинна бути надійно захищена. p>. Стандарт ISO 17799:2002 містить вимоги з наступних питань:
формулювання політики організації в області безпеки інформації;
інструменти і методи управління безпекою інформації;
управління комп'ютерними мережами;
розробка і постачання програмного забезпечення та інформаційних систем;
відповідність стандарту.
. Базується на аналізі ризику. p>. Не обмежується інформацією, що зберігається на комп'ютерах. p> У даний час впровадження системи управління інформаційною безпекою створює для організації ряд переваг перед конкурентами, у тому числі:
. З'являється можливість уникнути прямих втрат, пов'язаних з порушенням конфіденційності, несанкціонованим доступом і витоком інформації, неконтрольованими змінами даних, простоями інформаційної системи. p>. Надається можливість приймати рішення, які грунтуються на більш високій якості інформації та інформаційних послуг. p>. Виявляється благотворний вплив на загальну організацію робіт і професійний рівень співробітник...
