В стандарте ISO 17799 — Управление информационной безопасностью.
Практические правила — основное внимание сосредоточено на организационных
и административных задачах обеспечения общей безопасности систем .
При этом функциональная безопасность даже не упоминается. Однако некоторые
рекомендации могут быть полезными при формировании и организации процессов
анализа и обеспечения функциональной безопасности, как дополнения к приведенным
выше стандартам.
В стандарте рассмотрена инфраструктура безопасности систем. Рекомендуются
совещания руководства по проблемам защиты информации для координации действий
разработчиков и распределения обязанностей по обеспечению информационной
безопасности. Рекомендации специалистам содержат предложения по независимому
анализу безопасности, а также по инвентаризации информационных ресурсов и
классификации информации. Выделены анализ и задание требований к безопасности,
проверка достоверности входных данных и внутренней обработки данных.
Отмечается необходимость регламентирования обеспечения безопасности в должностных
инструкциях и при выделении ресурсов, а также обучение специалистов правилам
информационной безопасности, реагированию на события, таящие угрозу безопасности
и уведомлению об отказах программного обеспечения. Разделены физическая безопасность
системы и безопасность окружающей среды, программных средств разработки и
рабочих программ. Значительное внимание уделено администрированию безопасности
компьютерных систем и вычислительных сетей, документированию операционных
процедур и работе со сторонними организациями. Отмечается необходимость планирования
перехода на аварийный режим и слежения за окружающей средой, за доступом
к системам и их использованием. Описаны процедуры управления процессом внесения
изменений, технический анализ изменений, вносимых в операционную систему,
ограничения на внесение изменений в программы, а также техническая проверка
на соответствие иным стандартам безопасности информационных систем и программных
средств.
содержание назад вперед