Расширенный поиск
Тел.: +7 (925) 203-9511
Факс: +7 (495) 967-7600
E-mail: shop@globaltrust.ru
ICQ: 195623651

Не смогли дозвониться? Мы позвоним сами!
   Главная    Каталог    Ваши вопросы    Новинки    Словарь терминов     Статьи 

                      ВАША КОРЗИНА
    Товаров: 0 шт., 
    Сумма: 0 у.е.
  
    Оформить заказ

      Каталог
  Русские редакции стандартов
  Типовые документы и политики безопасности
  Программные средства менеджмента информационной безопасности
  Антивирусные программы для защиты от вредоносного ПО
  Программные средства управления доступом и идентификационной информацией
  ПО для мониторинга событий безопасности
  ПО для мониторинга действий пользователей
  СЗИ от НСД к информации. Комплексная защита конечных точек
  Средства контроля защищенности и сканеры безопасности
  Средства аутентификации и управление ключевой инфраструктурой
  Программные межсетевые экраны
  Средства предотвращения утечки информации (DLP-системы)
  Криптографические средства (шифрование, дешифрование, электронная подпись, восстановление паролей)
  Средства резервного копирования и восстановления данных
  Операционные системы и приложения
  Универсальные программно-аппаратные комплексы (UTM) для защиты периметра корпоративной сети
  Программно-аппаратные межсетевые экраны
  Системы предотвращения вторжений (IDS/IPS)
  Серверы защищенного удаленного доступа, VPN-шлюзы, SSL-VPN шлюзы
  Антивирусные шлюзы и котентные фильтры
  Аппаратные идентификаторы, токены, смарт-карты, генераторы одноразовых паролей, защищенные флэшки
  Учебные курсы
  Услуги по анализу защищенности корпоративной сети
  Услуги по обеспечению соответствия ФЗ-152 О персональных данных
  Услуги по разработке и внедрению Системы Управления Информационной Безопасностью
  Стандарты и руководства на английском
  Инструментальные комплекты (на английском)
  Книги по информационной безопасности и защите информации

      Разделы
  Оплата и доставка
  О магазине
  Контакты
  Партнерская программа
  Поставщики
  Бонусная программа
  Политика возврата платежа
  Обратная связь
  Партнерам

      Покупателям
  Логин:
     Пароль:
  

  
  Забыли пароль?
  Зарегистрироваться



 Статьи, Международный опыт управления информационной безопасностью для российских компаний
  • Антивирусная защита
    Безопасность от Microsoft: шаг к обновленному миру?
    Выбор оптимального антивирусного решения для малого и среднего бизнеса
  • Аппаратные и программные файрволлы
    Актуальные тенденции: средства сетевой защиты
    Шесть советов от Stonesoft
    Как защитить удаленный банкинг?
    Защита по-крупному. Воплощение стандарта XTM для large-сегмента
    Практические преимущества Fireware® XTM
    Использование сервиса WatchGuard's Gateway Antivirus для защиты электронной почты
    Когда брандмауэры конфликтуют
  • Аудит информационной безопасности
    Фарминг DNS. Кто-то отравил источник!
    COBIT для ИТ аудиторов
    Аудит безопасности информационных систем
    Анализ защищенности корпоративных автоматизированных систем
  • Защита конечных пользователей
    Как защищать персональные данные в интернете
    Информационный бронежилет для простых пользователей
    Мы уверенны в безопасности мобильных устройств, утверждают пользователи
    Пользователи и безопасность
    Новые вопросы, старые ответы
  • Защита от инсайдеров
    WikiLeaks, нормы и глобальная конкурентоспособность. Причины для пересмотра вашей стратегии предотвращения утери данных (DLP)
    Внутренние угрозы: новый вызов корпоративным службам ИБ
    Шифрование мобильных устройств
    Новый подход к защите ПК от Symantec
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Как защищаться от инсайдера?
  • Кибератаки и кибертерроризм
    Черный DDOS
    Атака c воздуха
    Остерегайтесь обратных каналов
    Хаки, фрики и черви: события, которые изменили безопасность Интернет
    Свобода киберпространства
    Самые успешные проекты американского правительства в области информационной безопасности
    Реалии и мифы кибертерроризма
    Особенности обеспечения информационной безопасности промышленных систем
  • Мнения
    Нужен ли пользователю интернет-паспорт?
    Facebook и бесконечные разговоры о тайне частной жизни
    Боб Мур знает, как не быть уволенным
    Что мешает развитию ИБ в России?
    InfoSecurity Europe 2006: свежие впечатления
    Почему ВУЗ не способен подготовить специалиста по информационной безопасности?
  • Новинки программного обеспечения
    Microsoft Windows Server 2008. Обзор новых возможностей и некоторые практические заметки.
  • Стандарты информационной безопасности
    Увлекательное путешествие по страницам российского банковского стандарта информационной безопасности – Часть первая
    Введение в COBIT
    Международный опыт управления информационной безопасностью для российских компаний
    История стандарта BS 7799
    BSI и BS 7799 – Видение разработчиков
  • Управление информационной безопасностью
    Как управлять рисками информационной безопасности?
    Как построить и сертифицировать систему управления информационной безопасностью?
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Разработка и внедрение эффективных политик информационной безопасности
    Практика управления информационной безопасностью
  • Управление событиями, изменениями и инцидентами
    Программные средства аудита изменений компании NetWrix для обеспечения соответствия нормативным требованиям в области информационной безопасности
  •  Статья   Международный опыт управления информационной безопасностью для российских компаний

    Михаил Пышкин,
    директор направления информационной безопасности INLINE Technologies

    Введение

    Грядущее вступление России во Всемирную торговую организацию определяет насущную потребность в принятии у нас новых международных стандартов серии ГОСТ Р ИСО/МЭК, в том числе в области управления информационной безопасностью, основанных на известном стандарте BS 7799. Разработанный более 11 лет назад стандарт по управлению информационной безопасностью BS 7799 не только стал одним из государственных стандартов Великобритании, но и получил заслуженное признание в международном сообществе.

    Стандарт был создан на основе документа PD 0003 «Практические правила управления информационной безопасностью», разработанного Министерством торговли и промышленности Великобритании при участии специалистов ряда ведущих компаний и организаций, таких как Shell UK, Unilever, British Telecommunications, Британского компьютерного общества, Ассоциации британских страховщиков и др.

    Согласно замыслу, основной задачей стандарта является разработка инструмента для создания эффективных систем информационной безопасности государственных и коммерческих организаций на основе современных методов менеджмента. В этом нормативном документе содержится исчерпывающий набор подходов к управлению безопасностью, которые включают в себя самые совершенные процедуры обеспечения информационной безопасности, используемые в разных странах.

    Стандарт состоит из двух частей — BS 7799-1 и BS 7799-2, которые были приняты в 2005 году Международной организацией по стандартизации (кстати, Британский институт стандартов является одним из основателей ISO) и Международной электротехнической комиссией как ISO/IEC 17799 и ISO/IEC 27001 соответственно.

    Первая часть стандарта

    ISO/IEC 17799 содержит свод правил по управлению информационной безопасностью и используется в качестве критерия для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Этот стандарт не является техническим, поскольку не предписывает использование каких-то определенных способов шифрования данных или устройств защиты от сбоев питания. ISO/IEC 17799 определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т. д. в контексте информационной безопасности. Данный стандарт представлен в форме руководящих принципов и практических рекомендаций.

    В его тексте подчеркивается: «Особое внимание следует уделять тому, чтобы заявления о соответствии данному стандарту не вводили в заблуждение относительно уровня защиты информационной системы». Акцентируется также мысль о том, что управление информационной безопасностью — это не набор мер или продуктов по защите информации, а процесс.

    Стандарт по своей идее является добровольным, то есть государства, где он адаптирован, не требуют его обязательного выполнения субъектами внутри страны.

    Несмотря на это, в большинстве случаев выполнение требований ISO/IEC 17799 выгодно самим компаниям, так как достаточно часто инвесторам и клиентам компании отнюдь небезразлично то, каким образом предприятие обеспечивает информационную безопасность.

    В таких случаях соответствие стандарту можно рассматривать как одно из условий договора, контракта или участия в конкурсе или тендере на поставку продуктов или проведения работ.

    Такая практика уже существует на рынке, она касается не только соответствующих лицензий, но и сертификатов на саму компанию, ее продукцию, а также документов, полученных ее специалистами. В данном случае на первое место ставятся условия производства продукции или оказания услуг, в частности, их соответствие стандартам серии ISO 9000 (управление качеством продукции и услуг), ISO 27001 (управление информационной безопасностью), ISO 14000 (управление экологической безопасностью), ISO 22000 (управление пищевой безопасностью) и другим (OHSAS 18001, TL 9000, TS 16949).

    В функции системы управления информационной безопасностью входит развертывание, осуществление, управление, контроль, мониторинг, поддержка и совершенствование информационной безопасности бизнеса. Важно иметь в виду, что система управления информационной безопасностью может и должна рассматриваться как часть общей интегрированной системы управления,- основанной на анализе бизнес-рисков. В связи с этим полезно помнить общие принципы, характерные для всех систем управления (в том числе безопасности):

    • управляемость;
    • конкурентоспособность;
    • развитие;
    • прозрачность.
    Вторая часть стандарта

    ISO/IEC 27001 рассматривает аспекты информационной безопасности (ИБ) с точки зрения сертификации или аудита системы на соответствие требованиям этого стандарта. В этом документе указаны условия создания системы управления для проведения ее аудита или сертификации, а также перечислены требования, применительно к которым проводится проверка соответствия. Процесс сертификации на соответствие требованиям стандарта предполагает несколько этапов:

    • предварительная оценка системы управления ИБ и диагностика;
    • сертификационный аудит;
    • поддержка действия сертификата.
    Организация, решившая провести аудит ИБ, должна привести в соответствие с требованиями стандарта документацию и систему управления ИБ. После того приглашается аккредитованный аудитор.

    Многие организации, желающие пройти сертификацию на соответствие требованиям ISO 27001, уже внедрили у себя системы управления качеством, сертифицированные по стандартам ISO 9001 или 9002. В таких компаниях аудит системы ИБ можно совместить с сертификацией на соответствие этим стандартам и на первоначальном этапе, и при контрольных проверках. Если организация уже имеет сертификаты CMMI, ITIL (ISO/ IEC 20000) или ISO 9000, то создание информационной безопасности, отвечающей требованиям ISO 27001, и ее последующий периодический аудит (или сертификация) окажутся задачами, которые решаются достаточно быстро и требуют относительно небольшого объема ресурсов.

    Несмотря на то, что стандарт ISO/ IEC 27001 не предписывает прохождение сертификации (достаточно проведения регулярных внутренних аудитов), большинство организаций все же выбирают сертификацию в качестве способа независимой оценки правильности реализованных мер и их актуальности.

    Стоит отметить, что сегодня стандарт используется в трех десятках стран мира: Великобритании, Франции, Германии, Италии, Нидерландах, Канаде, Австралии, Новой Зеландии, скандинавских странах, Корее, Сингапуре, Индии и т. д. Наибольшую популярность этот стандарт приобрел в Японии — на ее долю приходится больше половины (1338 из 2312) всех выданных сертификатов (для сравнения: в Великобритании выдано 230 сертификатов, в Индии — 163). Среди стран бывшего СССР стандарт принят на территории Молдовы и Белоруссии. В настоящее время также ожидается его принятие в качестве стандарта Евросоюза.

    Стандарт управления информационной безопасностью, наконец, начал приживаться и в России. Он уже переведен на русский язык, созданы сертифицированные курсы разработчиков стандарта на нашем языке. Стали появляться отраслевые стандарты России, разработанные на основе BS 7799 (в частности, в банковской сфере), а не так давно начался процесс адаптации стандарта на государственном уровне. За последний год сертификацию по стандарту ISO 27001 прошли три российские компании.

    Такой интерес отечественных компаний к стандарту оправдан. Вот лишь некоторые преимущества, получаемые от создания системы управления информационной безопасности:

    • повышение конкурентоспособности организации в своей отрасли;
    • улучшение имиджа компании в глазах инвесторов и клиентов;
    • повышение роли и значимости службы информационной безопасности в структуре организации;
    • улучшение понимания руководством организации задач обеспечения информационной безопасности;
    • повышение устойчивости бизнеса организации по отношению к угрозам безопасности, в том числе техногенным авариям;
    • повышение управляемости компании за счет документированных процедур деятельности, внутреннего контроля и оценке эффективности;
    • повышение внутрикорпоративной культуры и зрелости организации, в том числе благодаря большей удовлетворенности сотрудников от работы, снижению внутренних конфликтов и т. п.;
    • повышение качества услуг и продуктов компании в части их безопасности (бесперебойности, конфиденциальности и контролируемости);
    • признание компании на международном уровне.
    Особая роль международных стандартов отмечается в отчетах Всемирной торговой организации: сертификация по международным стандартам оценивается в них как основа конкуренции на новых рынках и залог сохранения своих позиций на локальном рынке.

    Сертифицированное обучение - важная часть плана внедрения

    При разработке данного стандарта предполагалось, что реализация его положений будет доверена специалистам, обладающим необходимой квалификацией и опытом. Практика показывает, что для успешного построения системы информационной безопасности организации решающее значение имеют хорошее понимание требований стандарта, распространение разъяснений к стандарту и политике информационной безопасности среди всех сотрудников и подрядчиков, а также проведение необходимого обучения и тренингов (кстати, это обязательное требование BS 7799-2).

    В ходе обучения разработчики стандарта рекомендуют освоить требования стандарта, методику его внедрения (включая анализ рисков, разработку политик и процедур, планов обеспечения непрерывности бизнеса, управления инцидентами, способов решения организационных вопросов, выстраивание взаимосвязей с процессами ITIL и системой управления качеством), а также принципы аудита и контроля эффективности внедренной системы. Разработчики стандарта рекомендуют, как минимум, проводить обучение следующих категорий специалистов организаций, принявших решение о внедрении стандарта: внутренних аудиторов информационных систем, специалистов служб поддержки качества, специалистов по информационной безопасности, аналитиков по рискам информационных систем, специалистов по планированию восстановления после чрезвычайных ситуаций, архитекторов информационных систем. Знания о стандарте желательно получить также руководителям служб автоматизации, безопасности, работникам службы внутреннего контроля и хотя бы в общих чертах — менеджерам высшего звена.

    Первые шаги к аудиту и сертификации

    Допустим, организация уже обучила несколько своих специалистов и осознала важность стандарта ISO/IEC 27001 для своего бизнеса. Следующим шагом должен стать ознакомительный доклад для руководства, целью которого является получение поддержки будущих работ, а также осознание руководством необходимости таких начинаний.

    Далее следует приступить к формированию и обучению проектной команды, которая будет контролировать работы по внедрению стандарта или осуществлять их собственными силами. После желательно провести ознакомительный тренинг для всех сотрудников организации, которых так или иначе охватывает система управления информационной безопасности, а затем приступить к реализации проекта.

    Оригинал статьи опубликован в журнале "Директор информационной службы", № 8, 2006

    Все статьи  



    Каталог по брендам    
       8man
       Acronis
       ActivIdentity
       Aladdin
       BSI
       CA
       Check Point
       Digital Security
       DrWeb
       eEye
       ElcomSoft
       eScan
       ESET
       Falcongaze
       Fortinet
       GFI
       GlobalTrust
       Handy Backup
       Imperva
       InfoGov
       Information Shield
       IronKey
       IT Governance
       Juniper
       Kaspersky
       Kerio
       KTE Labs
       Lumension Security
       McAfee
       Microsoft
       MobileIron
       NetworkProfi
       NetWrix
       Outpost24
       Panda
       PineApp
       Positive Technologies
       Q1 Labs
       SearchInform
       SonicWALL
       Sourcefire
       SpectorSoft
       Stonesoft
       Strohl Systems
       Symantec
       Trend Micro
       WatchGuard
       Websense
       Zecurion
       АлтэксСофт
       Аналитические бизнес решения
       АтомПарк
       Газинформсервис
       Код Безопасности
       Конфидент
       Цифровые Технологии

    Новости    
    01.07.2015 GFI LanGuard получил награду «Лучший инструмент для управления уязвимостями»
    30.06.2015 GlobalTrust присвоен статус золотого партнера компании GFI
    23.07.2014 Специальная акция: VIP-клиент GFI Software
    17.07.2014 Fortinet: сертифицированные ФСТЭК решения
    17.06.2014 Продукты линеек eToken ГОСТ и JaCarta ГОСТ от "Аладдин Р.Д." сертифицированы ФСБ России в соответствии с требованиями 63-ФЗ "Об электронной подписи"
    05.06.2014 Stonesoft, McAfee Group Company, объявляет о получении продленного сертификата ФСТЭК России на систему предотвращения вторжений с функцией межсетевого экрана StoneGate IPS
    Архив новостей  

    Товары дня    
    SpectorSoft Spector 360 Recon

    SpectorSoft Spector 360 Recon
     Купить0 руб.
    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской

    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской
     Купить245850 руб.
    SPS 53102 SpectorSoft Spector 360 для сетей, 1 лицензия (при покупке 50-99 корпоративных лицензий)

    SPS 53102 SpectorSoft Spector 360 v.8,1 лицензия (при покупке 100-249 лицензий)
     Купить5300 руб.

      Copyright 2006-2012 © GTrust.ru Создание интернет магазина: BORNET.ru  
    Тел.: +7 (925) 203-9511 Факс: (495) 967-7600
    E-mail: shop@globaltrust.ru; ICQ: 195623651