Интернет-издание о высоких технологиях. Интернет-издание о высоких технологиях Присвоены британский стандарт качества bs

Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности, который в 1995 г. был принят в качестве национального стандарта BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании.

В соответствии с этим стандартом любая служба безопасности, IT -отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO.

Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран. Он состоит из двух частей.

· Политика безопасности.

· Организация защиты.

· Классификация и управление информационными ресурсами.

· Управление персоналом.

· Физическая безопасность.

· Администрирование компьютерных систем и сетей.

· Управление доступом к системам.

· Разработка и сопровождение систем.

· Планирование бесперебойной работы организации.

· Проверка системы на соответствие требованиям ИБ.

"Часть 2: Спецификации системы" (1998г) рассматривает эти же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта.

Она определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов – British Standards Institution(BSI) http://www.bsi-giobal.com/, изданные в период 1995-2003 в виде следующей серии:

· Введение в проблему управления информационной безопасности – Information security managment: an introduction.

· Возможности сертификации на требования стандарта BS 7799 -Preparing for BS 7799 sertification.

· Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.

· Готовы ли вы к аудиту на требования стандарта BS 7799-Are you ready for a BS 7799 audit?

· Руководство для проведения аудита на требования стандарта -BS 7799Guide to BS 7799 auditing.

Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution(BSI) – (www.bsi-global.com), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасностью в соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах .

Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.

Один из первых международных стандартов управления информационной безопасностью - британский стандарт ВS 7799 - уже давно вышел за национальные рамки. Первая его часть, ВS 7799-1 «Практические правила управления информационной безопасностью» - была разработана в 1995 г. по заказу правительства Великобритании Британским институтом стандартов (British Standards Institution (BSI ) при участии коммерческих организаций, таких как Shell , National Westminster Bank , Midland Bank , Unilever , British Telecommunications , Marks & Spencer , Logica и др.

Как следует из названий, этот документ является практическим руководством по управлению информационной безопасностью в организации независимо от профиля её практической деятельности. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения системы управления ИБ, определенных на основе лучших примеров из мировой практики.

В соответствии с этим стандартом любая служба безопасности, IT –отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных.

В 1998 году появилась вторая часть этого британского стандарта - ВS7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения системы управления ИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части ВS 7799, определившей, что должна из себя представлять система управления ИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части ВS7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя. технический комитет ISO без изменений принял ВS 7799-1 в качестве международного стандарта ISO/IЕС 17799:2000.

Вторая часть ВS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISО в качестве международного стандарта ISO/IЕС 27001:2005 «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации системы управления ИБ приобрели международный статус, и теперь следует ожидать значительного повышения роли и престижности системы управления ИБ, сертифицированных по стандарту ISO 27001.

Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться. В соответствии с планами ISO оно будет включать:

Стандарты, определяющие требования к системе управления ИБ;

Систему управления рисками;

Метрики и измерения эффективности механизмов контроля;

Руководство по внедрению. Для этого семейства стандартов будет использоваться последовательная схема нумерации, начиная с 27000 и далее. ISO/IЕС 17799:2005 в последующем будет переименован в ISO/IЕС 27002.

В начале 2006 г. был принят новый британский национальный стандарт в области управления рисками информационной безопасности ВS 7799-3, который в дальнейшем получил индекс 27005.

В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также Швеция, Нидерланды, Россия.

Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран.

Он состоит из двух частей.

Определяются и рассматриваются следующие аспекты ИБ:

Политика безопасности.

Организация защиты.

Классификация и управление информационными ресурсами.

Управление персоналом.

Физическая безопасность.

Администрирование компьютерных систем и сетей.

Управление доступом к системам.

Разработка и сопровождение систем.

Планирование бесперебойной работы организации.

Проверка системы на соответствие требованиям ИБ.

"Часть 2: Спецификации системы" (1998г )

Аспекты, перечисленные в “Части 1 ” рассматриваются в этой части с точки зрения сертификации информационной системы на соответствие требованиям стандарта.

Здесь определятся возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки

зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов –British Standards Institution (BSI ) http :// www . bsi - global . com /, изданные в период 1995-2003 г.г. в виде следующей серии:

Введение в проблему управления информационной безопасности – Information security managment : an introduction .

Возможности сертификации на требования стандарта BS 7799 - Preparing for BS 7799 sertification .

Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.

Готовы ли вы к аудиту на требования стандарта BS 7799- Are you ready for a BS 7799 audit ?

Руководство для проведения аудита на требования стандарта -BS 7799 Guide to BS 7799 auditing .

Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO / IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution (BSI ) – (www . bsi - global . com ), и в частности служба UKAS (United Kingdom Accredited Service ). Названная служба производит аккредитацию организаций на право аудита информационной безопасности в соответствии со стандартом BS ISO / IEC 7799:2000 (BS 7799-1:2000) . Сертификаты, выданные этими органами, признаются во многих странах. Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO / IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или ISO /9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO / IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.

Первая часть стандарта, по -русски именуемая "Управление информационной безопасностью" . Практические правила", содержит систематический , весьма полный, универсальный перечень регуляторов безопасности , полезный для организации практически любого размера, структуры и сферы деятельности. Она предназначена для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование , реализацию и поддержание внутренней системы информационной безопасности.

Согласно стандарту, цель информационной безопасности - обеспечить бесперебойную работу организации, по возможности предотвратить и/или минимизировать ущерб от нарушений безопасности.

Управление информационной безопасностью позволяет коллективно использовать данные, одновременно обеспечивая их защиту и защиту вычислительных ресурсов.

Подчеркивается, что защитные меры оказываются значительно более дешевыми и эффективными, если они заложены в информационные системы и сервисы на стадиях задания требований и проектирования.

Предлагаемые в первой части стандарта регуляторы безопасности разбиты на десять групп:

• политика безопасности ;
• общеорганизационные аспекты защиты;
• классификация активов и управление ими ;
• безопасность персонала ;
• физической безопасности и безопасность окружающей среды ;
• администрирование систем и сетей ;
• управление доступом к системам и сетям;
• разработка и сопровождение информационных систем ;
• управление бесперебойной работой организации;
• контроль соответствия требованиям .

В стандарте выделяется десять ключевых регуляторов, которые либо являются обязательными в соответствии с действующим законодательством, либо считаются основными структурными элементами информационной безопасности. К ним относятся:

• документ о политике информационной безопасности;
• распределение обязанностей по обеспечению информационной безопасности;
• обучение и подготовка персонала к поддержанию режима информационной безопасности;
• уведомление о случаях нарушения защиты ;
• антивирусные средства ;
• процесс планирования бесперебойной работы организации;
• контроль за копированием программного обеспечения, защищенного законом об авторском праве;
• защита документации;
• защита данных ;
• контроль соответствия политике безопасности .

Для обеспечения повышенного уровня защиты особо ценных ресурсов или оказания противодействия злоумышленнику с исключительно высоким потенциалом нападения могут потребоваться другие (более сильные) средства, которые в стандарте не рассматриваются.

Следующие факторы выделены в качестве определяющих для успешной реализации системы информационной безопасности в организации:

• цели безопасности и ее обеспечение должны основываться на производственных задачах и требованиях. Функции управления безопасностью должно взять на себя руководство организации;
• необходима явная поддержка и приверженность к соблюдению режима безопасности со стороны высшего руководства;
• требуется хорошее понимание рисков (как угроз, так и уязвимостей), которым подвергаются активы организации, и адекватное представление о ценности этих активов;
• необходимо ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации.

Во второй части стандарта BS 7799-2:2002 "Системы