КАКВО ПРЕДСТАВЛЯВА ISO 17799?
ISO 17799 e международно признат, изключително подробен и широкоприложим стандарт за сигурност и защита на информацията. Поради тази причина, за да се постигне съответствие с изискванията му е необходимо прилагането на добре обмислен методологичен подход. Прилагането на този стандарт изисква ангажираност и достъп до подходящи инструменти и продукти.
ISO 17799 е стандарт, чиято основна цел е постигане на сигурнаст и защита на информацията в една организация. Неговото предназначение е да бъде единствен критерий за идентификация на методи за контрол по сигурността. Стандартът се състои от две части: Код на практиката – ISO 17799 и Спецификация за система за управление на информационната сигурност и защита – BS 7799-2. За първи път е публикуван като DTI Code of Practice в Обединеното кралство, ревизиран и публикуван като Версия 1 на BS 7799, издадена през февруари 1995 г.
През 1999 г. се извършва основна редакция, на BS 7799, чрез Версия 2, публикувана през май 1999 г. През същата година се задействат и формалните сертификационни и акредитационни схеми на ISO 17799, като международен стандарт, което довежда до публикуването на неговата Част 1 през декември 2000 г. и Част 2- през 2002 г.
Първоначално ISO 17799 е организиран в 10 основни раздела, а по-късно – в 12 раздела, покриващи различни теми и области:
1. Оценка и управление на риска.
Целта на този раздел е обобщаването и прилагането на най-новите виждания и методи за анализ и оценка на риска, осъществявянето на непрекъснат планов процес, с цел противодействие на на големи системни сривове, които биха довели до прекъсване дейността на организацията и появата на критични за бизнеса процеси.

2. Политика на системата.
Целта на този раздел е провеждане на политика на системата, която да осигури правилна насока и поддръжка на информационната сигурност.

3. Организиране на информационната сигурност.
Целите на този раздел са:
да организира и ръководи информационната сигурност вътре в Организацията;
да контролира сигурността на информацията и процесите на податливост на
външни прониквания.

4. Управление на активите.
Целите на този раздел са:
да се достигне и осигури адекватна защита на активите на Организацията;
да се постигне убеденост, че информацията е получила необходимото ниво на
защита.
5. Защита на човешките ресурси.
Целите на този раздел са:
да се постигне убеденост, че служителите, доставчиците и трети лица са
подходящи за длъжностите, на които са назначени, респ. работата, която
изпълняват и осъзнават задълженията и отговорностите си;
да се намали риска от злоупотреби, кражби и аварии;
да се постигне убеденост, че изброените по-горе осъзнават заплахите за
информационната сигурност и отговорностите си по поддържане политиката на
сигурност на Организацията;
да се постигне убеденост, че има създаден надлежно работещ пропускателен
режим и изброените по-горе контролирано напускат Организацията.

6. Физическа и защита на инфраструктурата.
Целите на този раздел са:
да се предотврати неупълномощения физически достъп до Организацията и щети
по информацианните масиви и инфраструктурата;
да се предотвратят загуби и кражби на авоари;
да се избегне риска от загуби на активи и прекъсване на бизнес дейността.

7. Комуникации и управление на операциите.
Целите на този раздел са:
да създаде благоприятни условия и сигурност при протичането на
информационните процеси;
да пригоди съответстващото ниво на информационна сигурност спрямо външни
доставки и услуги от трета страна;
да намали до минимум риска от грешки;
защита на целостта на информацията и софтуера;
да пригоди и улесни процесите чрез пълнота и цялост на информацията;
да осигури защита на мрежите и съпътстващата инфраструктура;
предотвратяване на неоторизирано разкриване, променяне, прехвърляне и
унищожаване на активи;
предотвратяване на неоторизиран разриз на бизнес дейностите;
да управлява сигурността на информацията и/или софтуера свързана с промени
отвътре или отвън;
да осигури сигурност на електронните разплащания;
да засече неоторизирани информационни процеси.

8. Система за контрол върху достъпа.
Целите на този раздел са:
да се контролира достъпа до информацията;
да се предотврати неупълномощен достъп до информационните системи и база
данни;
да се осигури защита на мрежовите услуги;
да се предотврати неупълномощен достъп до дадено лично работно място (компютър);
да се разкриват всички неупълномощени действия;
да се осигури защита на информацията чрез използване на различни компютърни
и мрежови технологии за защита.

9. Разработване и поддържане на системата.
Целите на този раздел са:
да се осигури вградена защита в операционните системи;
да се предотврати загуба, промяна или неправилна употреба на потребителски
данни;
да се запази конфиденциалността, достоверността и целостта на информацията;
да се осигури контрол и сигурност на информационно-технологичните процеси;
да се поддържа защитата на софтуера на системата.

10. Адекватно административнo управление, свързано със защитата на информацията.
Целта на раздела е:
да се постигне убеденост, че с класифицираната информация в Организацията се работи по начин позволяващ навременни корективни действия при необходимост и по всяко време;
да се постегне убеденост за съвършена и ефективна близост до изискванията на IS изданията.

11. Управление целостта на бизнеса.
Целта на раздела е:
Противодействие срещу прекъсването и спирането на бизнес дейностите и
защита срещу критични процеси, предизвикани от генерални аварии и бедствия;
Осигуряване своевременно възстановяване от горното.

12. Съгласуваност.
Целта на раздела е:
Избягване на всякакви нарушения на закони, разпоредби или договорни отношения, а също и на изисквания на сигурността;
Увеличаване на резултатността и намаляване на вътрешните намеси, свързани с одитни процеси в организацията.