Британский институт стандартов BSI выпустил серию практических рекомендаций [146, 188, 189, 190, 198, 199, 200, 210], посвященных различным вопросам: оценке и управлению рисками, аудиту режима ИБ, сертификации информационной системы на соответствие стандартам BS 7799, организации работы персонала. Эта серия существенно дополняет международный стандарт ISO 17799 [208, 209].
В сентябре 2002 г. стандарт BS 7799 был пересмотрен. В его новом варианте много внимания уделено вопросам обучения и изначальной интеграции процедур и механизмов ИБ в информационные технологии корпоративных систем, а также дальнейшему развитию технологий оценивания рисков и управления ими. По мнению специалистов, обновление этого стандарта позволит не только создать новую культуру ИБ, но и скоординировать действия различных государственных структур и представителей международного бизнеса в области защиты информации.
В табл. 2.1 дается сравнение содержания стандартов BS 7799 (разных версий) и ISO 9001.
Таблица 2.1. Сравнение содержания стандартов BS 7799 и ISO 9001
Разделы BS 7799-2, 1998 г.
| Разделы BS 7799-2, 2002 г.
| Разделы ISO 9001, 2000 г. в части ИБ
|
-
| Введение
| Введение
|
1. Границы применимости
| 1. Границы применимости
| 1. Границы применимости
|
| 2. Нормативные ссылки
| 2. Нормативные ссылки
|
2. Термины и определения
| 3. Термины и определения
| 3. Термины и определения
|
| 3.1. Доступность
|
|
| 3.2. Конфиденциальность
|
|
| 3.3. Информационная безопасность
|
|
| 3.4. Система управления режимом информационной безопасности
|
|
| 3.5. Целостность
|
|
| 3.6. Принятие рисков
|
|
| 3.7. Анализ рисков
|
|
| 3.8. Оценка рисков
|
|
| 3.9. Определение рисков
|
|
| 3.10. Управление рисками
|
|
| 3.11. Действия по уменьшению рисков
|
|
2.1. Ведомость соответствия
| 3.12. Ведомость соответствия
|
|
3. Системные требования в области управления информационной безопасности
| 4. Управление информационной безопасностью
| 4. Требования к системе управления качеством (QMS)
|
3.1. Общие требования
| 4.1. Общие требования
| 4.1. Общие требования
|
3.2. Создание и организация системы управления режимом информационной безопасности
| 4.2. Создание и организация системы управления режимом информационной безопасности
|
|
| 4.2.1. Создание системы управления режимом информационной безопасности
|
|
3.3. Инструментарий
| 4.2.2. Средства и действия в рамках системы управления режимом информационной безопасности
|
|
| 4.2.3. Отслеживание событий в системе управления режимом информационной безопасности
|
|
| 4.2.4. Обслуживание и модернизация системы управления режимом информационной безопасности
|
|
3.4. Документирование
| 4.3. Документирование требований
| 4.2. Документирование требований
|
| 4.3.1. Общие требования
| 4.2.1. Общие требования
|
3.5. Управление документами
| 4.3.2. Управление документами
| 4.2.3. Управление документами
|
3.6. Записи
| 4.3.3. Управление записями
| 4.2.4. Управление записями
|
-
| 5. Распределение обязанностей персонала
| 5. Распределение обязанностей персонала
|
| 5.1. Передача полномочий
| 5.1. Передача полномочий
|
| 5.2. Управление ресурсами
| 5.2. Управление ресурсами
|
| 6. Управление процедурой пересмотра некоторых положений
| 6. Управление процедурой пересмотра некоторых положений
|
| 6.1. Общие положения
| 6.1. Общие положения
|
| 6.2. Пересмотр входа
| 6.2. Пересмотр входа
|
| 6.3. Пересмотр выхода
| 6.3. Пересмотр выхода
|
| 6.4. Внешний аудит
| 6.4. Внешний аудит
|
| 7. Модернизация системы управления режимом информационной безопасности
|
|
| 7.1. Непрерывная модернизация
|
|
| 7.2. Корректирующие действия
|
|
| 7.3. Превентивные действия
|
|
4. Детализированное описание управления
| Приложение А Цели управления и средства управления
|
|
| А1. Введение
|
|
| А2. Обзор передового опыта
|
|
4.1. Политика безопасности
| A3. Политика безопасности
|
|
4.2. Организационные аспекты безопасности
| А4. Организационные аспекты безопасности
|
|
4.3. Классификация ресурсов и управляющих воздействий
| А5. Классификация ресурсов и управляющих воздействий
|
|
4.4. Безопасность персонала
| А6. Безопасность персонала
|
|
4.5. Безопасность инфраструктуры и физическая безопасность
| А7. Безопасность инфраструктуры и физическая безопасность
|
|
4.6. Безопасность инфраструктуры и физическая безопасность
| А8. Управление коммуникациями и процессами
|
|
4.7. Управление доступом
| А9. Управление доступом
|
|
4.8. Развитие системы и обслуживание
| А10. Развитие системы и обслуживание
|
|
4.9. Обеспечение бесперебойной работы
| А11. Обеспечение бесперебойной работы
|
|
4.10. Технические требования
| А12. Технические требования
|
|
| Приложение В
|
|
| Руководство по использованию стандарта
|
|
| Приложение С
| Приложение А
|
| Соответствие между ISO 9001:2000, ISO14001:1996 и BS7799 part 2:2002
| Связь между ISO 14001 и ISO 9001
|