Kas ir ISO 17799
Kas ir ISO 17799
2000. gada
decembrī Starptautiskā standartizācijas organizācija (International
Organization for Standartization ISO) pirmo reizi publicēja ISO
17799 starptautiski atzītu standartu informācijas
drošības pārvaldībai. Šis standarts satur plašu,
konceptuālu un precīzu vadlīniju aprakstu, kas būtu
jāievēro drošas informācijas sistēmas izveidei.
No
standarta vēstures
Standarta
ISO 17799 vēsture aizsākās 1993. gadā
Lielbritānijā, kad tika sākta informācijas
drošības pārvaldības kodeksa izstrāde. Darbs
vainagojās ar Britu standartu institūta (British Standard
Institute BSI) informācijas drošības
pārvaldības standarta BS 7799 apstiprināšanu 1995. gadā.
BS 7799 sastāv no divām daļām:
informācijas
drošības pārvaldības prakses kodekss (Code of practice
for information security management),
informācijas
drošības pārvaldības sistēmu instrukcija (Specification
for information security management systems).
Starp
abām standarta daļām pastāv būtiska
atšķirība 1. daļa satur norādes un vadlīnijas
informācijas drošības pārvaldības ieviešanai, 2. daļa
ir uz prasībām balstīta rokasgrāmata informācijas
drošības pārvaldības sistēmu auditēšanai.
Standarts ISO 17799 ir balstīts uz standarta BS 7799
1.daļu[L1].
Kāpēc tas ir
svarīgi
ISO
17799 neizvirza
prasības informācijas sistēmās lietojamām
tehnoloģijām, iekārtām un nesniedz informācijas
tehnoloģiju pārvaldības konceptuālu struktūru.
Šis standarts aplūko informāciju kā vienu kopumu, kas var
eksistēt visdažādākajos veidos, bet kurai, neatkarīgi
no tās veida, ir noteikta vērtība. Standarts noteic, ka
informācijas drošību raksturo trīs parametri:
Ÿ
konfidencialitāte informācija ir pieejama
vienīgi tiem, kuriem tā ir paredzēta;
Ÿ
integritāte informācija ir uzticama;
Ÿ
pieejamība informācija ir pieejama
tad, kad tā ir nepieciešama.
Nosakot
informācijas drošības kritērijus, jāpieņem, ka
absolūta drošība nav iespējama (absolūti droša
var būt informācija, kas ir absolūti nepieejama vai arī
tāda, kas nevienam nav vajadzīga). Informācijas
drošība ir kompromiss starp informācijas drošības
trīs vaļiem konfidencialitāti, integritāti un
pieejamību. ISO 17799 apraksta etalonu, kā veidot
informācijas drošības kontroles un vadības mehānismus
organizācijās, uzņēmumos un iestādēs, bet kā
sabalansēt drošības trīs vaļus ir informācijas
īpašnieka pārziņā. Standarts satur starptautiski
atzītu, strukturētu metodoloģiju, kuras pareiza lietošana
ļauj izveidot sistēmu, kas spēs uzturēt nepieciešamo
drošību informācijai un apliecināt to partneriem un
klientiem.
Ko satur ISO 17799
Informācija
jebkurā informācijas sistēmā ik dienu tiek apdraudēta.
Šo sistēmu īpašniekiem, lietotājiem, sadarbības
partneriem, kā arī citām juridiskām un fiziskām
personām, kuras kaut kādā mērā ir atkarīgas no to
apritē esošās informācijas vai darbaspējām,
pastāv varbūtība ciest lielākus vai mazākus
zaudējumus. Tehnoloģiskie risinājumi spēj tikai
daļēji aizsargāt sistēmas (tie var novērst aptuveni piekto
daļu pastāvošo drošības draudu).
Kamēr
informācijas īpašnieks vai turētājs nespēj
novērtēt vairumu apdraudējumu, kas vērsti pret šo
informāciju, tikmēr nav iespējams uzturēt pienācīgā
līmenī informācijas drošību. Apdraudējumu
realizēšanās varbūtību un iespējamās sekas
nosaka, veicot drošības risku novērtēšanu. Ja riski ir
apzināti un novērtēti, tad iespējams izvēlēties atbilstošākās
kontroles metodes un līdzekļus. ISO 17799 apraksta
informācijas drošības 10 kontroles jomas:
Ÿ
drošības
politika;
Ÿ
drošības
organizatoriskā struktūra;
Ÿ
resursu
klasifikācija;
Ÿ
personāla
drošums;
Ÿ
fiziskā
un vides drošība;
Ÿ
komunicēšanās
un darbību pārvaldība;
Ÿ
piekļuves
kontrole;
Ÿ
sistēmas
risinājums un uzturēšana;
Ÿ
darbības
nepārtrauktības pārvaldība;
Ÿ
atbilstība
normatīviem.
ISO
17799
noteiktās kontroles jomas ir saskaņotas ar citiem
pārvaldības sistēmu standartiem ISO 9001:2000 un ISO
14001:1996. ISO 17799 ieviešana ir darbietilpīgs process
un [L2]rezultāts ir atkarīgs no
ieviesēju profesionālajām zināšanām un
praktiskās pieredzes informācijas drošībā, jo ISO
17799 nav uzskatāms par tādu rokasgrāmatu informācijas
drošības pārvaldības sistēmas izveidošanai, kuras
burtiska izpilde garantē rezultātu.
Drošības politika
Organizācijas,
iestādes vai uzņēmuma informācijas sistēmas
drošības politika ir dokumentu kopums, kas nosaka pamatnostādnes
informācijas drošības pārvaldības izveidei un
uzturēšanai. Šie dokumenti satur konceptuālu
drošības pārvaldības principu, nosacījumu un galveno
mērķu aprakstu. Tie satur prasības, kuras noteicis
informācijas īpašnieks vai turētājs, un apraksta pasākumus
šo prasību uzturēšanai.
Drošības organizatoriskā struktūra
Informācijas
sistēmas drošības organizatoriskā struktūra veido
pamatu drošības pārvaldībai, šīs sistēmas
drošības infrastruktūras izveidei, uzturēšanai un
attīstībai. Organizatoriskā struktūra nosaka personu lomas,
tiesības un pienākumus informācijas drošības uzturēšanā.
Šajā
struktūrā tiek paredzēta viena centrālā
atbildīgā persona, kuras uzdevums ir sekot informācijas
drošības stāvoklim informācijas sistēmā un kura
kontrolē informācijas sistēmas drošības stāvokli,
drošības problēmas, šo problēmu novēršanas
scenārijus un attīstības plānus. Struktūrai
jāparedz sadarbības mehānismi ar citām
organizācijām, iestādēm un personām, kas izmanto
informācijas sistēmas pakalpojumus, kā arī ar tādām,
kas var sniegt nepieciešamo palīdzību drošības
problēmu novēršanā, attīstības plānu
realizācijā un ārpakalpojumu sniegšanā.
Resursu klasifikācija
Standarts
ISO17799 noteic, ka informācijas sistēmas resursiem
(informācijas un tehnoloģiskajiem) jābūt
klasificētiem. Klasifikācijai ir jānorāda uz šo
resursu nozīmi uzņēmuma vai organizācijas darbībā.
Resursiem ir jābūt uzskaitītiem, norādot to piederību
un konkrētus atbildīgos. Lai nepārprotami norādītu uz
konkrēta resursa klasifikācijas pakāpi, ir jānodrošina
resursu marķēšana.
Resursu
klasifikācijas principi veido pamatu šo resursu drošības
uzturēšanas prasībām. Neveiksmīgi izstrādāti
klasifikācijas noteikumi var padarīt neiespējamu šo resursu
drošības pārvaldības uzturēšanu, kas atbilstu to
patiesajām vērtībām un būtu realizējama
optimāliem līdzekļiem.
Personāla drošums
ISO
17799 noteic, ka
organizācijai vai uzņēmumam jākontrolē personu
darbības saskarsmē ar informācijas sistēmas resursiem. Kontroli
var realizēt, balstoties uz amatu aprakstiem vai/un resursu
klasifikāciju. Personālam jābūt informētam par tā
pienākumiem informācijas drošības
uzturēšanā, ieskaitot nosacījumus par informācijas
neizpaušanu. Viens no nozīmīgākajiem personāla
drošuma uzlabošanas faktoriem ir labi organizēts
apmācību process.
Fiziskā un vides drošība
Informācijas
sistēmas drošība ir nesaraujami saistīta ar tās
fiziskās atrašanās vietas īpašībām telpu
un ēku tehnisko stāvokli, tehnisko un komunālo nodrošinājumu,
ģeogrāfisko izvietojumu utt. Fiziskās drošības
pasākumiem jābūt precīzi definētiem, tiem
jābalstās uz fiziskās drošības perimetru
jēdzienu, kuros drošības prasības tiek noteiktas
atkarībā no tajos izvietoto resursu klasifikācijas un
informācijas sistēmas īpašnieka prasībām.
Komunicēšanās un darbību pārvaldība
Komunicēšanās
un darbību pārvaldībai jānodrošina informācijas
sistēmu resursu pareiza un kontrolējama izmantošana
paredzētajiem mērķiem. Pārvaldība tiek uzturēta, realizējot
korekti sastādītas darbību procedūras atbilstoši
standartu un normatīvo aktu prasībām, kas ir attiecināmi uz
konkrēto informācijas sistēmu. Procedūrām ir
jāreglamentē drošības incidentu pārvaldība,
sistēmas resursu lietošanas un uzturēšanas kontrole,
informācijas apmaiņas procesi un jauninājumu ieviešana,
kā arī izmaiņu pārvaldība.
Piekļuves kontrole
Standarts
noteic, ka piekļuves kontrolei ir jābūt balstītai uz
uzņēmuma vai organizācijas darbības
nodrošināšanas vajadzībām un principa nepieciešamība
zināt. Piekļuves kontrole ietver informācijas sistēmas
lietotāju pārvaldības mehānismus lietotāju
tiesību akceptēšana un anulēšana, paroļu
(identifikatoru) pārvaldība, darbību kontrole.
Tīkla
resursu izmantošanai ir jānotiek saskaņā ar noteikumiem,
kas nosaka ārējo iekārtu un lietotāju autentifikāciju,
prasības tīkla pieslēgumiem, aprīkojumam un servisiem.
Jāreglamentē lietotājiem pieejamo aplikāciju, lietojumu un
programmatūru izmantošana. Lietotājiem jābūt
informētiem par tiem piešķirtajām tiesībām,
pienākumiem un atbildību.
Sistēmas risinājums un uzturēšana
Prasības
informācijas sistēmas risinājumu izstrādei un
uzturēšanai noteic, ka, specificējot sistēmas izveidi un
attīstību, jāparedz drošības normu iestrāde,
ieskaitot sistēmas komponentu savstarpējo savietojamību un
savietojamību ar saistīto sistēmu prasībām.
Kriptogrāfisko līdzekļu izmantošanai jābūt
precīzi aprakstītai un stingri reglamentētai. Organizējot
programmnodrošinājuma izstrādi, jāparedz izstrādes
procesa pārraudzība un drošības kontroles mehānismu
integrēšana.
Darbības nepārtrauktības pārvaldība
ISO
17799 noteic, ka
jāparedz pretpasākumi informācijas sistēmas darbības
pārtraukumiem. Jābūt izstrādātam darbības
nepārtrauktības plānam, kas apraksta pretpasākumu
stratēģiju, balstoties uz organizācijas vai iestādes
darbības ietekmējošo faktoru analīzi. Jāparedz
regulāra darbības nepārtrauktības pasākumu
efektivitātes testēšana.
Atbilstība normatīviem
Informācijas
sistēmai un tās drošības pasākumiem jābūt
saskaņotiem ar valsts un starptautiskajiem normatīvajiem aktiem,
prasībām un normām. Jābūt ievērotām
normām, kas ir attiecināmas uz informācijas privātumu,
intelektuālā īpašuma tiesībām, organizāciju
un iestāžu informācijas uzglabāšanu un
publiskošanu, valsts informācijas sistēmām, valsts
noslēpumu, auditu u. c.
Standarta ieviešana
Standarta
ISO 17799 ieviešana ir ilgstošs un sarežģīts
process. Tas aizsākas ar situācijas analīzi, dokumentācijas
izstrādi un organizatoriskās struktūras izveidi
saskaņā ar standarta prasībām, ievērojamu lomu
piešķirot personāla apmācību procesam. Visām
normām, kas reglamentē informācijas sistēmu darbību,
jābūt dokumentētām. Informācijas drošības
pārvaldība atbilstoši ISO 17799 prasībām
nozīmē, ka organizācija vai iestāde, kas to realizē,
izvirzījusi drošību kā vienu no augstākajām prioritātēm.
Standarta ieviešana ļauj iegūt gan partneru un klientu
uzticību, gan daudz augstākā ticamības pakāpē
prognozējamu attīstību.
Informācijas
drošības pārvaldība ir komplekss un nepārtraukts
process, kura realizēšana ļauj precīzi un laikus
plānot informācijas sistēmas un tās drošības
risinājumu attīstību, saskaņojot to ieviešanai
nepieciešamo līdzekļu apjomu ar iespējamiem
zaudējumiem, kas organizācijai vai iestādei varētu rasties,
neieviešot šos risinājumus.
Dainis
RUMENTS,
IS
drošības konsultants
SIA
E-protect
dainis.ruments@e-protect.lv
2000. gada decembrī Starptautiskā standartizācijas organizācija (International Organization for Standartization ISO) pirmo reizi publicēja ISO 17799 starptautiski atzītu standartu informācijas drošības pārvaldībai. Šis standarts satur plašu, konceptuālu un precīzu vadlīniju aprakstu, kas būtu jāievēro drošas informācijas sistēmas izveidei.
No standarta vēstures
Standarta ISO 17799 vēsture aizsākās 1993. gadā Lielbritānijā, kad tika sākta informācijas drošības pārvaldības kodeksa izstrāde. Darbs vainagojās ar Britu standartu institūta (British Standard Institute BSI) informācijas drošības pārvaldības standarta BS 7799 apstiprināšanu 1995. gadā. BS 7799 sastāv no divām daļām:
informācijas drošības pārvaldības prakses kodekss (Code of practice for information security management),
informācijas drošības pārvaldības sistēmu instrukcija (Specification for information security management systems).
Starp abām standarta daļām pastāv būtiska atšķirība 1. daļa satur norādes un vadlīnijas informācijas drošības pārvaldības ieviešanai, 2. daļa ir uz prasībām balstīta rokasgrāmata informācijas drošības pārvaldības sistēmu auditēšanai. Standarts ISO 17799 ir balstīts uz standarta BS 7799 1.daļu[L1].
Kāpēc tas ir svarīgi
ISO 17799 neizvirza prasības informācijas sistēmās lietojamām tehnoloģijām, iekārtām un nesniedz informācijas tehnoloģiju pārvaldības konceptuālu struktūru. Šis standarts aplūko informāciju kā vienu kopumu, kas var eksistēt visdažādākajos veidos, bet kurai, neatkarīgi no tās veida, ir noteikta vērtība. Standarts noteic, ka informācijas drošību raksturo trīs parametri:
Ÿ konfidencialitāte informācija ir pieejama vienīgi tiem, kuriem tā ir paredzēta;
Ÿ integritāte informācija ir uzticama;
Ÿ pieejamība informācija ir pieejama tad, kad tā ir nepieciešama.
Nosakot informācijas drošības kritērijus, jāpieņem, ka absolūta drošība nav iespējama (absolūti droša var būt informācija, kas ir absolūti nepieejama vai arī tāda, kas nevienam nav vajadzīga). Informācijas drošība ir kompromiss starp informācijas drošības trīs vaļiem konfidencialitāti, integritāti un pieejamību. ISO 17799 apraksta etalonu, kā veidot informācijas drošības kontroles un vadības mehānismus organizācijās, uzņēmumos un iestādēs, bet kā sabalansēt drošības trīs vaļus ir informācijas īpašnieka pārziņā. Standarts satur starptautiski atzītu, strukturētu metodoloģiju, kuras pareiza lietošana ļauj izveidot sistēmu, kas spēs uzturēt nepieciešamo drošību informācijai un apliecināt to partneriem un klientiem.
Ko satur ISO 17799
Informācija jebkurā informācijas sistēmā ik dienu tiek apdraudēta. Šo sistēmu īpašniekiem, lietotājiem, sadarbības partneriem, kā arī citām juridiskām un fiziskām personām, kuras kaut kādā mērā ir atkarīgas no to apritē esošās informācijas vai darbaspējām, pastāv varbūtība ciest lielākus vai mazākus zaudējumus. Tehnoloģiskie risinājumi spēj tikai daļēji aizsargāt sistēmas (tie var novērst aptuveni piekto daļu pastāvošo drošības draudu).
Kamēr informācijas īpašnieks vai turētājs nespēj novērtēt vairumu apdraudējumu, kas vērsti pret šo informāciju, tikmēr nav iespējams uzturēt pienācīgā līmenī informācijas drošību. Apdraudējumu realizēšanās varbūtību un iespējamās sekas nosaka, veicot drošības risku novērtēšanu. Ja riski ir apzināti un novērtēti, tad iespējams izvēlēties atbilstošākās kontroles metodes un līdzekļus. ISO 17799 apraksta informācijas drošības 10 kontroles jomas:
Ÿ drošības politika;
Ÿ drošības organizatoriskā struktūra;
Ÿ resursu klasifikācija;
Ÿ personāla drošums;
Ÿ fiziskā un vides drošība;
Ÿ komunicēšanās un darbību pārvaldība;
Ÿ piekļuves kontrole;
Ÿ sistēmas risinājums un uzturēšana;
Ÿ darbības nepārtrauktības pārvaldība;
Ÿ atbilstība normatīviem.
ISO 17799 noteiktās kontroles jomas ir saskaņotas ar citiem pārvaldības sistēmu standartiem ISO 9001:2000 un ISO 14001:1996. ISO 17799 ieviešana ir darbietilpīgs process un [L2]rezultāts ir atkarīgs no ieviesēju profesionālajām zināšanām un praktiskās pieredzes informācijas drošībā, jo ISO 17799 nav uzskatāms par tādu rokasgrāmatu informācijas drošības pārvaldības sistēmas izveidošanai, kuras burtiska izpilde garantē rezultātu.
Drošības politika
Organizācijas, iestādes vai uzņēmuma informācijas sistēmas drošības politika ir dokumentu kopums, kas nosaka pamatnostādnes informācijas drošības pārvaldības izveidei un uzturēšanai. Šie dokumenti satur konceptuālu drošības pārvaldības principu, nosacījumu un galveno mērķu aprakstu. Tie satur prasības, kuras noteicis informācijas īpašnieks vai turētājs, un apraksta pasākumus šo prasību uzturēšanai.
Drošības organizatoriskā struktūra
Informācijas sistēmas drošības organizatoriskā struktūra veido pamatu drošības pārvaldībai, šīs sistēmas drošības infrastruktūras izveidei, uzturēšanai un attīstībai. Organizatoriskā struktūra nosaka personu lomas, tiesības un pienākumus informācijas drošības uzturēšanā.
Šajā struktūrā tiek paredzēta viena centrālā atbildīgā persona, kuras uzdevums ir sekot informācijas drošības stāvoklim informācijas sistēmā un kura kontrolē informācijas sistēmas drošības stāvokli, drošības problēmas, šo problēmu novēršanas scenārijus un attīstības plānus. Struktūrai jāparedz sadarbības mehānismi ar citām organizācijām, iestādēm un personām, kas izmanto informācijas sistēmas pakalpojumus, kā arī ar tādām, kas var sniegt nepieciešamo palīdzību drošības problēmu novēršanā, attīstības plānu realizācijā un ārpakalpojumu sniegšanā.
Resursu klasifikācija
Standarts ISO17799 noteic, ka informācijas sistēmas resursiem (informācijas un tehnoloģiskajiem) jābūt klasificētiem. Klasifikācijai ir jānorāda uz šo resursu nozīmi uzņēmuma vai organizācijas darbībā. Resursiem ir jābūt uzskaitītiem, norādot to piederību un konkrētus atbildīgos. Lai nepārprotami norādītu uz konkrēta resursa klasifikācijas pakāpi, ir jānodrošina resursu marķēšana.
Resursu klasifikācijas principi veido pamatu šo resursu drošības uzturēšanas prasībām. Neveiksmīgi izstrādāti klasifikācijas noteikumi var padarīt neiespējamu šo resursu drošības pārvaldības uzturēšanu, kas atbilstu to patiesajām vērtībām un būtu realizējama optimāliem līdzekļiem.
Personāla drošums
ISO 17799 noteic, ka organizācijai vai uzņēmumam jākontrolē personu darbības saskarsmē ar informācijas sistēmas resursiem. Kontroli var realizēt, balstoties uz amatu aprakstiem vai/un resursu klasifikāciju. Personālam jābūt informētam par tā pienākumiem informācijas drošības uzturēšanā, ieskaitot nosacījumus par informācijas neizpaušanu. Viens no nozīmīgākajiem personāla drošuma uzlabošanas faktoriem ir labi organizēts apmācību process.
Fiziskā un vides drošība
Informācijas sistēmas drošība ir nesaraujami saistīta ar tās fiziskās atrašanās vietas īpašībām telpu un ēku tehnisko stāvokli, tehnisko un komunālo nodrošinājumu, ģeogrāfisko izvietojumu utt. Fiziskās drošības pasākumiem jābūt precīzi definētiem, tiem jābalstās uz fiziskās drošības perimetru jēdzienu, kuros drošības prasības tiek noteiktas atkarībā no tajos izvietoto resursu klasifikācijas un informācijas sistēmas īpašnieka prasībām.
Komunicēšanās un darbību pārvaldība
Komunicēšanās un darbību pārvaldībai jānodrošina informācijas sistēmu resursu pareiza un kontrolējama izmantošana paredzētajiem mērķiem. Pārvaldība tiek uzturēta, realizējot korekti sastādītas darbību procedūras atbilstoši standartu un normatīvo aktu prasībām, kas ir attiecināmi uz konkrēto informācijas sistēmu. Procedūrām ir jāreglamentē drošības incidentu pārvaldība, sistēmas resursu lietošanas un uzturēšanas kontrole, informācijas apmaiņas procesi un jauninājumu ieviešana, kā arī izmaiņu pārvaldība.
Piekļuves kontrole
Standarts noteic, ka piekļuves kontrolei ir jābūt balstītai uz uzņēmuma vai organizācijas darbības nodrošināšanas vajadzībām un principa nepieciešamība zināt. Piekļuves kontrole ietver informācijas sistēmas lietotāju pārvaldības mehānismus lietotāju tiesību akceptēšana un anulēšana, paroļu (identifikatoru) pārvaldība, darbību kontrole.
Tīkla resursu izmantošanai ir jānotiek saskaņā ar noteikumiem, kas nosaka ārējo iekārtu un lietotāju autentifikāciju, prasības tīkla pieslēgumiem, aprīkojumam un servisiem. Jāreglamentē lietotājiem pieejamo aplikāciju, lietojumu un programmatūru izmantošana. Lietotājiem jābūt informētiem par tiem piešķirtajām tiesībām, pienākumiem un atbildību.
Sistēmas risinājums un uzturēšana
Prasības informācijas sistēmas risinājumu izstrādei un uzturēšanai noteic, ka, specificējot sistēmas izveidi un attīstību, jāparedz drošības normu iestrāde, ieskaitot sistēmas komponentu savstarpējo savietojamību un savietojamību ar saistīto sistēmu prasībām. Kriptogrāfisko līdzekļu izmantošanai jābūt precīzi aprakstītai un stingri reglamentētai. Organizējot programmnodrošinājuma izstrādi, jāparedz izstrādes procesa pārraudzība un drošības kontroles mehānismu integrēšana.
Darbības nepārtrauktības pārvaldība
ISO 17799 noteic, ka jāparedz pretpasākumi informācijas sistēmas darbības pārtraukumiem. Jābūt izstrādātam darbības nepārtrauktības plānam, kas apraksta pretpasākumu stratēģiju, balstoties uz organizācijas vai iestādes darbības ietekmējošo faktoru analīzi. Jāparedz regulāra darbības nepārtrauktības pasākumu efektivitātes testēšana.
Atbilstība normatīviem
Informācijas sistēmai un tās drošības pasākumiem jābūt saskaņotiem ar valsts un starptautiskajiem normatīvajiem aktiem, prasībām un normām. Jābūt ievērotām normām, kas ir attiecināmas uz informācijas privātumu, intelektuālā īpašuma tiesībām, organizāciju un iestāžu informācijas uzglabāšanu un publiskošanu, valsts informācijas sistēmām, valsts noslēpumu, auditu u. c.
Standarta ieviešana
Standarta ISO 17799 ieviešana ir ilgstošs un sarežģīts process. Tas aizsākas ar situācijas analīzi, dokumentācijas izstrādi un organizatoriskās struktūras izveidi saskaņā ar standarta prasībām, ievērojamu lomu piešķirot personāla apmācību procesam. Visām normām, kas reglamentē informācijas sistēmu darbību, jābūt dokumentētām. Informācijas drošības pārvaldība atbilstoši ISO 17799 prasībām nozīmē, ka organizācija vai iestāde, kas to realizē, izvirzījusi drošību kā vienu no augstākajām prioritātēm. Standarta ieviešana ļauj iegūt gan partneru un klientu uzticību, gan daudz augstākā ticamības pakāpē prognozējamu attīstību.
Informācijas drošības pārvaldība ir komplekss un nepārtraukts process, kura realizēšana ļauj precīzi un laikus plānot informācijas sistēmas un tās drošības risinājumu attīstību, saskaņojot to ieviešanai nepieciešamo līdzekļu apjomu ar iespējamiem zaudējumiem, kas organizācijai vai iestādei varētu rasties, neieviešot šos risinājumus.
Dainis RUMENTS,
IS drošības konsultants
SIA E-protect
dainis.ruments@e-protect.lv