ГОСТ Р ИСО/МЭК 17779-2005.

Основой для разработки стандартов безопасности и эффективных методов управления безопасностью в конкретной организации служит стандарт ГОСТ Р ИСО/МЭК 17779-2005. Данный стандарт (Стандарт ISO/IEC 27002) предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности.

Данный документ подготовлен Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и утвержден Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 г. N 447-ст.

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты".

На территории РФ стандарт действует с 1 января 2007.

Под информационной безопасностью здесь подразумевается сохранение следующих характеристик:

· конфиденциальность: предоставление доступа к информации только тем, у кого есть право на доступ к ней;

· целостность: защита точности и полноты информации и методов обработки;

· доступность: обеспечение доступа к информации и связанным с ней ресурсам авторизованным пользователям по мере необходимости.

Информационная безопасность достигается путем внедрения совокупности необходимых средств защиты, в число которых могут входить политики, рекомендации, инструкции, организационные структуры и программные функции. Эти средства необходимо реализовать для того, чтобы гарантировать выполнение требований к безопасности в конкретной организации.

Текущая версия стандарта состоит из следующих основных разделов:

· Политика безопасности (Security policy)

· Организационные вопросы безопасности (Organization of information security)

· Классификация и управление активами (Asset management)

· Вопросы безопасности связанные с персоналом (Human resources security)

· Физическая защита и защита от воздействий окружающей среды (Physical and environmental security)

· Управление передачей данных и операционной деятельностью (Communications and operations management)

· Контроль доступа (Access control)

· Разработка и обслуживание систем (Information systems acquisition, development and maintenance)

· Управление непрерывностью бизнеса (Business continuity management)

· Соответствие требованиям (Compliance)