Precursorul standardelor internaționale de management al securității informațiilor - BS 7799 britanic - a fost demult depășit cadrul national. Prima sa parte, BS 7799-1, a fost dezvoltată în 1995 la ordinul guvernului Regatului Unit. La începutul anului 2006, britanicii au introdus nou standardîn domeniul managementului riscului securitatea informatiei- BS 7799-3, care va primi ulterior indicele 27005.
Există multe domenii de management: producție, finanțe, vânzări, achiziții, personal etc. Datorită dezvoltării afacerilor moderne de înaltă tehnologie, importanța unor domenii precum tehnologia informației, securitatea informației, calitatea și mediu. Acest lucru este dovedit de popularitatea tot mai mare în întreaga lume a standardelor internaționale corespunzătoare din seriile ISO 2700x, ISO 2000x, ISO 900x și ISO 1400x. Principiile de bază ale managementului sunt, în mare, aceleași pentru toate domeniile, astfel încât sistemele de management corespunzătoare se completează reciproc, formând un sistem integrat de management al organizației (IMS). Este dificil de supraestimat contribuția Institutului Britanic de Standarde (BSI) la dezvoltarea standardelor internaționale pentru managementul organizațiilor, inclusiv a sistemelor integrate de management, care fac obiectul seriei de publicații BSIBIP 2000.
În urma răspândirii pe scară largă a ISO 9001 și a sistemelor de management al calității, standardele internaționale de management al securității informațiilor - ISO/IEC 27001/17799 - au început în sfârșit să prindă rădăcini în Rusia. Acestea au devenit disponibile în limba rusă, a început o discuție publică cu privire la proiectele de standarde naționale relevante de securitate a informațiilor GOST R ISO/IEC 27001 și GOST R ISO/IEC 17799, iar serviciile de certificare devin treptat mai răspândite.
Precursorul standardelor internaționale pentru managementul securității informațiilor este standardul britanic BS 7799. Prima sa parte, BS 7799-1 „Reguli practice pentru managementul securității informațiilor”, a fost dezvoltat de BSI în 1995 la cererea guvernului Regatului Unit. După cum sugerează și numele, acest document este ghid practic privind managementul securității informațiilor într-o organizație. Acesta descrie cele 10 zone și 127 de controale necesare pentru a construi un ISMS, definite pe baza cele mai bune exemple din practica mondială. În 1998, a apărut a doua parte a acestui standard britanic - BS 7799-2 „Sisteme de management al securității informațiilor. Ghid de specificații și aplicații”, care a definit modelul general pentru construirea unui ISMS și un set de cerințe obligatorii pentru conformitate cu care trebuie efectuată certificarea. Odată cu apariția celei de-a doua părți a BS 7799, care a definit ce ar trebui să fie un ISMS, a început dezvoltarea activă a unui sistem de certificare în domeniul managementului siguranței. În 1999, ambele părți ale BS 7799 au fost revizuite și armonizate cu standardele internaționale ale sistemului de management ISO 9001 și ISO 14001, iar un an mai târziu, comitetul tehnic ISO a adoptat BS 7799-1 neschimbat ca standard international ISO/IEC 17799:2000.
A doua parte a BS 7799 a fost revizuită în 2002, iar la sfârșitul anului 2005 a fost adoptată de ISO ca standard internațional ISO/IEC 27001:2005 " Tehnologia de informație— Metode de securitate — Sisteme de management al securității informațiilor — Cerințe.” În același timp, prima parte a standardului a fost actualizată. Odată cu lansarea ISO 27001, specificațiile ISMS au devenit statut international, iar acum ne putem aștepta la o creștere semnificativă a rolului și prestigiului ISMS certificat conform ISO 27001.
Familia 2700x de standarde internaționale de management al securității continuă să evolueze rapid. Conform planurilor ISO, acesta va include standarde care definesc cerințele pentru un ISMS, un sistem de management al riscului, metrici și măsurarea eficacității controalelor, precum și îndrumări de implementare. Această familie de standarde va folosi o schemă de numerotare secvențială de la 27000 încolo. ISO/IEC 17799:2005 va fi ulterior redenumit ISO/IEC 27002. Un proiect de standard ISO/IEC 27000 este, de asemenea, în dezvoltare, care va conține principii și definiții de bază și va fi unificat cu standardele populare de management IT: COBIT și ITIL.
La începutul anului 2006, a fost adoptat un nou standard național britanic în domeniul managementului riscului de securitate a informațiilor, BS 7799-3, care va primi ulterior indicele 27005. De asemenea, se lucrează la standarde pentru implementarea și măsurarea eficacității. a unui ISMS, care va primi indicii 27003 și, respectiv, 27004. Emiterea acestor standarde internaționale este planificată pentru 2007.
Istoria BS 7799
Conform grupului de utilizatori ISMS care menține registrul internațional de certificate, în august 2006, existau peste 2.800 de organizații din 66 de țări certificate conform ISO 27001 (BS 7799), inclusiv patru companiile rusești. Printre organizațiile certificate se numără cele mai mari companii IT, bancare și sectorul financiar, întreprinderi din sectorul combustibilului și energiei și din sectorul telecomunicațiilor. Este de așteptat ca numărul deținătorilor de certificate din Rusia în 2007 să ajungă la câteva zeci.
7799/17799/27001: argumente pro și contra
BS 7799 a devenit treptat „standardul principal de securitate a informațiilor”. Cu toate acestea, când ISO a discutat despre prima ediție a standardului internațional ISO 17799 în august 2000, a fost dificil de obținut un consens. Documentul a provocat multe critici din partea reprezentanților puterilor IT de vârf, care au susținut că nu îndeplinește criteriile de bază pentru standardele internaționale.
„Nu a existat nicio modalitate de a compara acest document cu toate celelalte lucrări de siguranță revizuite vreodată de ISO”, spune Gene Troy, reprezentantul SUA în comitetul tehnic ISO.
Mai multe țări, printre care SUA, Canada, Franța și Germania, s-au opus adoptării ISO 17799. În opinia lor, acest document este bun ca set de recomandări, dar nu ca standard. În SUA și ţările europeneÎnainte de 2000, o cantitate imensă de muncă fusese deja făcută pentru standardizarea securității informațiilor. „Există mai multe abordări diferite ale securității IT. Am crezut că, pentru a obține un standard internațional cu adevărat acceptabil, toate acestea ar trebui acceptate pentru a fi luate în considerare, mai degrabă decât să luăm unul dintre documente și să ajungem în grabă asupra lui. Troy îi spune lui Gene: „Standardul Maestru de Siguranță a fost prezentat ca un fapt împlinit și pur și simplu nu a existat nicio modalitate de a construi pe alte lucrări realizate în acest domeniu”.
Reprezentanții BSI au obiectat că lucrarea a raportat despre care vorbim, se ocupă în principal de aspecte tehnice, iar BS 7799 nu a fost niciodată considerat un standard tehnic. Spre deosebire de alte standarde de securitate, cum ar fi practicile și reglementările de securitate acceptate în mod obișnuit (CASPR) sau ISO 15408/criteriile comune, acesta definește aspectele de bază non-tehnice ale protecției informațiilor prezentate sub orice formă. „Ar trebui să fie așa, deoarece este destinat tuturor tipurilor de organizații și medii externe”, spune purtătorul de cuvânt al BSI, Steve Tyler, „Este un document de management al securității informațiilor, nu un catalog de produse IT”.
În ciuda tuturor obiecțiilor, autoritatea BSI (care este fondatorul ISO, principalul dezvoltator de standarde internaționale și principalul organism de certificare din lume) a prevalat. A fost lansată o procedură de aprobare accelerată, iar standardul a fost adoptat în curând.
Principalul avantaj al ISO 17799 este flexibilitatea și versatilitatea acestuia. Setul descris în el cele mai bune practici aplicabil aproape oricărei organizații, indiferent de proprietate, tip de activitate, dimensiune și condiții externe. Este neutru din punct de vedere tehnologic și lasă întotdeauna opțiunea de a alege tehnologii.
Când apar întrebări: „De unde să începem?”, „Cum să gestionăm securitatea informațiilor?”, „În funcție de ce criterii ar trebui auditate?” — acest standard va ajuta la determinarea direcției corecte și nu va pierde din vedere punctele esențiale. De asemenea, poate fi folosit ca sursă autorizată și unul dintre instrumentele pentru „vânzarea” securității către conducerea organizației, definind criterii și justificând costurile securității informațiilor.
Cu toate acestea, flexibilitatea și versatilitatea sunt, de asemenea, călcâiul lui Ahile al acestui standard. Criticii spun că ISO 17799 este prea abstract și slab structurat pentru a fi de valoare reală. Utilizarea insuficientă a acestuia poate da un fals sentiment de securitate.
ISO 17799 descrie măsurile de securitate în termeni generali, dar nu spune nimic despre aspectele tehnice ale implementării acestora. De exemplu, standardul recomandă utilizarea mecanismelor de control al accesului și definește tehnologii specifice precum chei USB, carduri inteligente, certificate etc. Cu toate acestea, el nu ia în considerare avantajele și dezavantajele acestor tehnologii, caracteristici și metode de aplicare a acestora.
Alexandru Astahov
Unul dintre primele standarde internaționale pentru managementul securității informațiilor - standardul britanic BS 7799 - a depășit de mult granițele naționale. Prima sa parte, BS 7799-1 „Reguli practice pentru managementul securității informațiilor”, a fost dezvoltată în 1995, la ordinul guvernului britanic de către Instituția Britanică de Standarde ( britanicStandardeInstituţie (BSI) cu participarea organizatii comerciale, ca Coajă, NaţionalWestminsterBancar, MidlandBancar, Unilever, britanicTelecomunicatii, Marci & Spencer, Logica etc.
După cum sugerează și numele, acest document este un ghid practic pentru gestionarea securității informațiilor într-o organizație, indiferent de profilul activităților sale practice.
Acesta descrie 10 domenii și 127 de controale necesare pentru a construi un sistem de management al securității informațiilor, identificate pe baza celor mai bune practici din întreaga lume. În conformitate cu acest standard, orice serviciu de securitate IT – conducerea departamentului și a companiei trebuie să înceapă să lucreze în conformitate cu reglementările generale. Nu contează dacă este vorba de protecție fluxul documentelor pe hârtie
sau date electronice.
În 1998, a apărut a doua parte a acestui standard britanic - BS7799-2 „Sisteme de management al securității informațiilor. Ghid de specificații și aplicații”, care a definit modelul general de construire a unui sistem de management al securității informațiilor și un set de cerințe obligatorii de conformitate cu care trebuie efectuată certificarea. Odată cu apariția celei de-a doua părți a BS 7799, care a definit ce ar trebui să fie un sistem de management al securității informațiilor, a început dezvoltarea activă a unui sistem de certificare în domeniul managementului securității. În 1999, ambele părți ale BS7799 au fost revizuite și armonizate cu standardele internaționale ale sistemului de management ISO 9001 și ISO 14001 un an mai târziu. Comitetul tehnic ISO a adoptat BS 7799-1 fără modificări ca standardul internațional ISO/IEC 17799:2000.
Familia 2700x de standarde internaționale de management al securității continuă să evolueze rapid. Conform planurilor ISO, acesta va include:
Standarde care definesc cerințele pentru un sistem de management al securității informațiilor;
Sistem de management al riscului;
Metrici și măsurători ale eficacității mecanismelor de control;
Ghid de implementare.
Această familie de standarde va folosi o schemă de numerotare secvențială de la 27000 încolo. ISO/IEC 17799:2005 va fi ulterior redenumit ISO/IEC 27002.
La începutul anului 2006, a fost adoptat un nou standard național britanic în domeniul managementului riscului de securitate a informațiilor, BS 7799-3, care a primit ulterior indicele 27005. În prezent, standardul britanic 7799 B.S. 27 sprijinit in
țări ale lumii, inclusiv țări ale Commonwealth-ului Britanic, precum și Suedia, Țările de Jos și Rusia. În prezent, standardul britanic 7799, Cu toate acestea, trebuie remarcat conținutul original al standardului
care este încă folosit într-un număr de țări.
Este format din două părți.
Următoarele aspecte ale securității informațiilor sunt definite și luate în considerare:
Politica de securitate.
Organizarea protectiei.
Clasificarea și gestionarea resurselor informaționale.
Managementul personalului.
Securitate fizică. Administrare sisteme informatice
și rețele.
Control acces la sistem.
Dezvoltarea si intretinerea sistemelor.
Planificarea bunei funcționări a organizației.
Verificarea conformității sistemului cu cerințele de securitate a informațiilor. („Partea 2: Specificațiile sistemului”)
1998 Aspecte enumerate în „ Partea 1
” sunt considerate în această parte din punctul de vedere al certificării unui sistem informațional pentru conformitatea cu cerințele standardului.
Aici vor fi definite posibile specificații funcționale ale sistemelor de management al securității informațiilor corporative din punctul de vedere al în ceea ce privește verificarea conformității acestora cu cerințele primei părți a acestui standard. În conformitate cu prevederile acestui standard de asemeneaprocedura de auditare a informațiilor
sisteme corporative. britanicStandardeInstituţie(BSI) Îndrumări suplimentare pentru gestionarea securității informațiilor sunt furnizate de ghidurile British Standards Institution -:// http. www- bsi. globală com 1995-2003 /, publicată în perioada
de ex. ca urmatoarea serie:Introducere în managementul securității informațiilor –Informaţii: securitatemanagement.
un În prezent, standardul britanic 7799 - introducereOpțiuni de certificare pentru cerințele standardÎn prezent, standardul britanic 7799 Pregătirea.
pentru certificare management BS 7799privind evaluarea și managementul riscurilor -
Sunteți pregătit pentru un audit pentru a îndeplini cerințele standard? În prezent, standardul britanic 7799- sunttugataOpțiuni de certificare pentru cerințele standardoÎn prezent, standardul britanic 7799 audit?
Ghid pentru efectuarea unui audit conform cerințelor standardului - În prezent, standardul britanic 7799 GhidlaÎn prezent, standardul britanic 7799 auditare.
Astăzi, problemele generale de management al securității informațiilor companiilor și organizațiilor, precum și dezvoltarea auditurilor de securitate pentru a îndeplini cerințele standardului În prezent, standardul britanic 7799 tratate de comitetul internațional ComunTehnicComitetISO/ IECJTC 1 împreună cu Institutul Britanic de Standarde - britanicStandardeInstituţie(BSI) – (http. www- bsi. globală), și în special serviciul UKAS (UnitRegatulAcreditatServiciu). Serviciul numit acreditează organizațiile pentru dreptul de a audita securitatea informațiilor în conformitate cu standardul În prezent, standardul britanicISO/ IEC 7799:2000 (În prezent, standardul britanic 7799-1:2000) . ISO 9001 Certificatele emise de aceste organisme sunt recunoscute în multe țări. Vă rugăm să rețineți că dacă o companie este certificată conform standardelor ISO 9002 sau În prezent, standardul britanicISO/ IEC 7799:2000 (În prezent, standardul britanic 7799-1:2000) standard ISO 9001 permite combinarea certificării sistemului de securitate a informațiilor cu certificarea conformității cu standardele ISO/9002 sau În prezent, standardul britanicISO/ IEC 7799:2000 (În prezent, standardul britanic 7799-1:2000). atât în etapa iniţială cât şi în timpul controalelor de control. Pentru a face acest lucru, este necesar să se îndeplinească condiția de participare la certificarea combinată a unui auditor înregistrat conform standardului
În același timp, planurile comune de testare ar trebui să indice în mod clar procedurile de verificare a sistemelor de securitate a informațiilor, iar autoritățile de certificare ar trebui să se asigure că verificarea securității informațiilor este minuțioasă. Managementul continuității afacerii (BCM) este un proces de management holistic care identifică potențialele amenințări la adresa unei organizații și determină impactul posibil asupra operațiunilor de afaceri dacă acele amenințări se materializează și stabilește baza pentru asigurarea capacității organizației de a recupera și de a răspunde eficient la incidente, asigurând astfel că interesele sale sunt servite de părțile interesate cheie, menținând reputația, marca și activitățile cu valoare adăugată. DSA include gestionarea recuperării și continuării activitate economică
în cazul unei întreruperi de afaceri și gestionarea programului general de continuitate a afacerii prin instruire, exerciții și analize pentru a menține planul (planurile) de continuitate a afacerii la zi.
BS 25999-1:2006 definește procesul, principiile și terminologia pentru managementul continuității afacerii, oferind baza pentru înțelegerea, proiectarea și implementarea unui sistem de continuitate a afacerii în cadrul unei organizații și oferind încredere clienților și partenerilor în fiabilitatea acestuia. Acest standard descrie un set cuprinzător de mecanisme de control și acoperă toate ciclu de viață procesul de management al continuității afacerii. A fost dezvoltat de practicieni la nivel mondial pe baza celor mai bune practici din industrie și este potrivit pentru organizații de toate tipurile și dimensiunile.
BS 25999-2:2007, „Managementul continuității activității - Partea 2: Specificații”
În timp ce prima parte a standardului (BS 25999-1:2006) oferă îndrumări generale privind managementul continuității activității, a doua parte stabilește cerințele pentru un sistem de management al continuității activității și numai cele care pot fi verificate în mod obiectiv. Folosind aceste cerințe, companiile își pot evalua sistemul existent de management al continuității afacerii, fie independent, fie angajând consultanți externi. Pe baza celei de-a doua părți a standardului, organismele de certificare vor emite o concluzie privind conformitatea sistemului de management al continuității activității cu cerințele standardului BS 25999.
BS 25777:2008, „Gestionarea continuității informațiilor și tehnologii de comunicare– Reguli practice”
Standardul britanic BS 25777 a fost dezvoltat pe baza standardelor existente de continuitate a afacerii BS 25999 și a specificației publice complementare PAS 77, care rezumă cele mai bune practici globale în domeniul continuității serviciilor IT.
Managementul continuității TIC asigură viabilitatea necesară a tehnologiilor și serviciilor informației și comunicațiilor și capacitatea de a le restabili la un nivel prestabilit în intervalul de timp necesar, convenit cu conducerea organizației. Managementul eficient al continuității afacerii depinde de managementul continuității TIC pentru a se asigura că organizația este întotdeauna capabilă să-și atingă obiectivele, în special în perioadele de întrerupere.
BS 25777 acoperă probleme precum:
- Controla software Continuitatea TIC
- Încorporarea principiilor de management al continuității TIC în cultura organizației
- Documentarea Sistemului de Management al Continuității TIC
- Definirea cerințelor de continuitate TIC
- Dezvoltarea și implementarea unei strategii de continuitate TIC
- Dezvoltarea și testarea planurilor de continuitate TIC
- Efectuarea exercițiilor de restabilire a serviciilor TIC
- Mentenanta, analiza si imbunatatirea sistemului de management al continuitatii TIC
- etc.
PAS 77:2006, „Gestionarea continuității serviciilor IT”
Ghidul de management al continuității serviciilor IT explică principiile și câteva practici recomandate pentru managementul continuității serviciilor IT. Este destinat utilizării de către persoanele responsabile cu implementarea, furnizarea și gestionarea continuității serviciilor IT într-o organizație.
Acest ghid este destinat să completeze (nu să înlocuiască) alte publicații pe acest subiect, cum ar fi PAS 56, BS ISO/IEC 20000, BS ISO/IEC 17799:2005 și ISO 9001. Nu ar trebui să fie privit ca implementare pas cu pas. instrucțiuni procesele de management al continuității serviciilor IT, ci mai degrabă ca un ghid pentru unele dintre aspectele ITSCM pe care organizațiile ar trebui să le ia în considerare atunci când investesc în acest domeniu.
Institutul Britanic de Standarde (BSI), cu participarea organizațiilor comerciale precum Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica etc., a dezvoltat un standard de securitate a informațiilor, care a fost adoptat ca un standard național în standardul din 1995 BS 7799 gestionarea securității informaționale a unei organizații, indiferent de domeniul de activitate al companiei.
În conformitate cu acest standard, orice serviciu de securitate, departament IT sau management al companiei trebuie să înceapă să lucreze în conformitate cu reglementările generale. Nu contează dacă vorbim despre protejarea documentelor pe hârtie sau a datelor electronice. În prezent, standardul britanic BS 7799 este acceptat în 27 de țări, inclusiv în țările Commonwealth-ului Britanic, precum și în Suedia și Țările de Jos. În anul 2000, institutul internațional de standarde ISO, bazat pe BS 7799 britanic, a dezvoltat și lansat standardul internațional de management al siguranței ISO / IEC 17799. Astăzi se poate susține că BS 7799 și ISO 17799 sunt același standard, care astăzi are recunoaștere mondială. și statutul standard internațional ISO.
Cu toate acestea, trebuie remarcat faptul că conținutul original al standardului BS 7799, care este încă utilizat într-un număr de țări. Este format din două părți.
· Politica de securitate.
· Organizarea protecţiei.
· Clasificarea și gestionarea resurselor informaționale.
· Managementul personalului.
· Securitate fizică.
· Administrarea sistemelor și rețelelor informatice.
· Controlează accesul la sisteme.
· Dezvoltarea si intretinerea sistemelor.
· Planificarea bunei functionari a organizatiei.
· Verificarea conformității sistemului cu cerințele de securitate a informațiilor.
„Partea 2: Specificațiile sistemului”(1998) consideră aceleași aspecte din perspectiva certificării sistem informatic pentru conformitatea cu cerințele standardului.
Acesta definește posibile specificații funcționale ale sistemelor de management al securității informațiilor corporative din punctul de vedere al verificării acestora pentru conformitatea cu cerințele primei părți a acestui standard. În conformitate cu prevederile acestui standard, este reglementată și procedura de auditare a sistemelor informaționale corporative.
Recomandări suplimentare pentru managementul securității informațiilor sunt furnizate de ghidurile British Standards Institution (BSI) http://www.bsi-giobal.com/, publicate între 1995-2003 în următoarea serie:
· Introducere în problema managementului securității informațiilor – Managementul securității informațiilor: o introducere.
· Oportunități de certificare conform cerințelor standardului BS 7799 - Pregătirea pentru certificarea BS 7799.
· Ghid pentru evaluarea și managementul riscurilor BS 7799.
· Ești pregătit pentru un audit BS 7799?
· Ghid pentru auditul BS 7799.
Astăzi, comitetul internațional Joint Technical Committee ISO/IEC JTC 1, împreună cu Institutul Britanic, este implicat în probleme generale de gestionare a securității informațiilor companiilor și organizațiilor, precum și în dezvoltarea auditurilor de securitate bazate pe cerințele BS 7799. standard. Standarde - britanic Instituția de standardizare (BSI) – (www.bsi-global.com), și în special UKAS (Serviciul acreditat al Regatului Unit). Acest serviciu acreditează organizațiile pentru dreptul de a audita securitatea informațiilor în conformitate cu standardul BS ISO/IEC 7799:2000 (BS 7799-1:2000). Certificatele emise de aceste organisme sunt recunoscute în multe țări.
Vă rugăm să rețineți că, în cazul unei companii care este certificată conform standardelor ISO 9001 sau ISO 9002, BS ISO/IEC 7799:2000 (BS 7799-1:2000) permite combinarea certificării unui sistem de securitate a informațiilor cu certificarea conformității cu Standardele ISO 9001 sau 9002 ca în etapa inițială, precum și în timpul verificărilor de control. Pentru a face acest lucru, trebuie să îndepliniți condiția de participare la certificarea combinată a unui auditor înregistrat conform BS ISO/IEC 7799:2000 (BS 7799-1:2000). În același timp, planurile comune de testare ar trebui să indice în mod clar procedurile de verificare a sistemelor de securitate a informațiilor, iar autoritățile de certificare ar trebui să se asigure că verificarea securității informațiilor este minuțioasă.
