Британский стандарт BS 7799

Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности, который в 1995 г. был принят в качестве национального стандарта BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании.

В соответствии с этим стандартом любая служба безопасности, IT -отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO.

Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран. Он состоит из двух частей.

В "Части 1: Практические рекомендации" (1995г.) определяются и рассматриваются следующие аспекты ИБ:

· Политика безопасности.

· Организация защиты.

· Классификация и управление информационными ресурсами.

· Управление персоналом.

· Физическая безопасность.

· Администрирование компьютерных систем и сетей.

· Управление доступом к системам.

· Разработка и сопровождение систем.

· Планирование бесперебойной работы организации.

· Проверка системы на соответствие требованиям ИБ.

"Часть 2: Спецификации системы" (1998г) рассматривает эти же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта.

Она определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов – British Standards Institution(BSI) http://www.bsi-giobal.com/, изданные в период 1995-2003 в виде следующей серии:

· Введение в проблему управления информационной безопасности – Information security managment: an introduction.

· Возможности сертификации на требования стандарта BS 7799 -Preparing for BS 7799 sertification.

· Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.

· Готовы ли вы к аудиту на требования стандарта BS 7799-Are you ready for a BS 7799 audit?

· Руководство для проведения аудита на требования стандарта -BS 7799Guide to BS 7799 auditing.

· Практические рекомендации по управлению безопасностью информационных технологий -Code of practice for IT management.

Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution(BSI) – (www.bsi-global.com), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасностью в соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах [1].

Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.

Международный стандарт ISO 17799

Одним из наиболее развитых и широко используемых во всех странах мира стал международный стандарт ISO 17799.

Code of Practice for Information Security Management (Практические рекомендации по управлению безопасностью информации). ISO 17799 был разработан на основе британского стандарта BS 7799 и принят в 2000 году.

ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на следующие 10 разделов:

Политика безопасности.

Организация защиты.

Классификация ресурсов и их контроль.

Безопасность персонала.

Физическая безопасность объекта.

Администрирование компьютерных систем и вычислительных сетей.

Управление доступом.

Разработка и сопровождение информационных систем.

Планирование бесперебойной работы организации.