Standard britanic bs selecție standard britanic. Publicație online despre tehnologii înalte

Prima parte a standardului, numită în rusă „Managementul securității informațiilor”. Reguli de practică” conține sistematic, o listă foarte completă, universală regulatori de siguranta, util pentru organizații de aproape orice dimensiune, structură și domeniu de activitate. Este destinat să fie utilizat ca document de referință de către manageri și personalul responsabil cu planificarea, implementarea și întreținerea sistem intern securitatea informatiei.

Conform standardului, scopul securității informațiilor este de a asigura funcționarea neîntreruptă a organizației și, dacă este posibil, de a preveni și/sau de a minimiza daunele cauzate de breșele de securitate.

Managementul securității informațiilor vă permite să partajați date, protejându-le în același timp și protejându-vă resursele de calcul.

Se subliniază că măsurile de protecție sunt mult mai ieftine și mai eficiente dacă sunt incluse în sisteme informaticeși servicii la cerințele și etapele de proiectare.

Propus în prima parte a standardului regulatori de sigurantaîmpărțit în zece grupe:

politica de securitate ;
aspecte ale protecției la nivelul întregii organizații;
clasificarea activelorși gestionarea acestora;
siguranța personalului ;
securitate fizicăŞi siguranța mediului ;
administrarea sistemelorși rețele;
controlul accesului la sisteme și rețele;
dezvoltare și suport sistemelor informatice ;
gestionarea buna functionare a organizatiei;
monitorizarea conformitatii.

Standardul identifică zece autorități cheie de reglementare, care fie sunt obligatorii în conformitate cu legislația în vigoare, fie sunt considerate principalele elemente structurale ale securității informațiilor. Acestea includ:

document de politică de securitate a informațiilor;
repartizarea responsabilitatilor privind asigurarea securității informațiilor;
instruirea și pregătirea personalului pentru menținerea regimului de securitate a informațiilor;
notificarea breselor de securitate ;
agenți antivirus ;
proces planificarea buna a functionarii organizații;
controlul copierii software, protejat de legea dreptului de autor;
protecția documentelor;
protecția datelor;
controla respectarea politicii de securitate.

Pentru a asigura nivel superior protejarea resurselor deosebit de valoroase sau contracararea unui atacator cu un potențial de atac excepțional de mare poate necesita alte mijloace (mai puternice) care nu sunt luate în considerare în standard.

Următorii factori sunt identificați ca determinanți pentru implementare cu succes sisteme de securitate a informațiilor din organizație:

Obiectivele de siguranță și implementarea lor ar trebui să se bazeze pe obiectivele și cerințele de producție. Funcțiile de management al securității trebuie să fie asumate de conducerea organizației;
este necesar sprijin clar și angajament față de siguranță din partea conducerii superioare;
necesită o bună înțelegere a riscurilor (atât amenințările, cât și vulnerabilitățile) la care sunt expuse activele organizației și o înțelegere adecvată a valorii acelor active;
Este necesar să se familiarizeze toți managerii și angajații obișnuiți ai organizației cu sistemul de securitate.

În a doua parte a BS 7799-2:2002 „Sisteme

Unul dintre primii standarde internaționale managementul securității informațiilor - standardul britanic BS 7799 - a depășit de mult granițele naționale. Prima sa parte, BS 7799-1 „Reguli practice pentru managementul securității informațiilor”, a fost dezvoltată în 1995, la ordinul guvernului britanic de către Instituția Britanică de Standarde ( britanicStandardeInstituţie (BSI) cu participarea organizatii comerciale ca Coajă, NaţionalWestminsterBancar, MidlandBancar, Unilever, britanicTelecomunicatii, Marci & Spencer, Logica etc.

După cum sugerează numele, acest document este ghid practic privind managementul securității informațiilor într-o organizație, indiferent de profilul activităților sale practice. Acesta descrie 10 domenii și 127 de mecanisme de control necesare pentru construirea unui sistem de management al securității informațiilor, definite pe baza cele mai bune exemple

din practica mondială. În conformitate cu acest standard, orice serviciu de securitate IT – conducerea departamentului și a companiei trebuie să înceapă să lucreze în conformitate cu reglementările generale. Nu contează, despre care vorbim despre protectie fluxul documentelor pe hârtie

În 1998, a apărut a doua parte a acestui standard britanic - BS7799-2 „Sisteme de management al securității informațiilor. Ghid de specificații și aplicații”, care a definit modelul general de construire a unui sistem de management al securității informațiilor și un set de cerințe obligatorii de conformitate cu care trebuie efectuată certificarea. Odată cu apariția celei de-a doua părți a BS 7799, care a definit ce ar trebui să fie un sistem de management al securității informațiilor, a început dezvoltarea activă a unui sistem de certificare în domeniul managementului securității. În 1999, ambele părți ale BS7799 au fost revizuite și armonizate cu standardele internaționale ale sistemului de management ISO 9001 și ISO 14001 un an mai târziu. Comitetul tehnic ISO a adoptat BS 7799-1 fără modificări ca standardul internațional ISO/IEC 17799:2000.

A doua parte a BS 7799 a fost revizuită în 2002, iar la sfârșitul anului 2005 a fost adoptată de ISO ca standard internațional ISO/IEC 27001:2005 " Tehnologia de informație- Metode de securitate - Sisteme de management al securității informațiilor - Cerințe." În același timp, prima parte a standardului a fost actualizată. Odată cu lansarea ISO 27001, specificațiile sistemului de management al securității informațiilor au devenit statut international, iar acum ar trebui să ne așteptăm la o creștere semnificativă a rolului și prestigiului sistemelor de management al securității informațiilor certificate ISO 27001.

Familia 2700x de standarde internaționale de management al securității continuă să evolueze rapid. Conform planurilor ISO, acesta va include:

Standarde care definesc cerințele pentru un sistem de management al securității informațiilor;

Sistem de management al riscului;

Metrici și măsurători ale eficacității mecanismelor de control;

Ghid de implementare.

Această familie de standarde va folosi o schemă de numerotare secvențială de la 27000 încolo. ISO/IEC 17799:2005 va fi ulterior redenumit ISO/IEC 27002.

La începutul anului 2006, a fost adoptat un nou standard național britanic în domeniul managementului riscului de securitate a informațiilor, BS 7799-3, care a primit ulterior indicele 27005. În prezent, standardul britanic 7799 B.S. 27 sprijinit in

țări ale lumii, inclusiv țări ale Commonwealth-ului Britanic, precum și Suedia, Țările de Jos și Rusia. În prezent, standardul britanic 7799, Cu toate acestea, trebuie remarcat conținutul original al standardului

care este încă folosit într-un număr de țări.

Este format din două părți.

Următoarele aspecte ale securității informațiilor sunt definite și luate în considerare:

Politica de securitate.

Clasificarea și gestionarea resurselor informaționale.

Managementul personalului.

Securitate fizică.

Administrare sisteme informaticeși rețele.

Control acces la sistem.

Dezvoltarea si intretinerea sistemelor.

Planificarea bunei funcționări a organizației.

Verificarea conformității sistemului cu cerințele de securitate a informațiilor.

„Partea 2: Specificațiile sistemului” (1998)

Aspecte enumerate în „ Partea 1” sunt considerate în această parte din punctul de vedere al certificării unui sistem informațional pentru conformitatea cu cerințele standardului.

Aici vor fi definite posibile specificații funcționale ale sistemelor de management al securității informațiilor corporative din punctul de vedere al

în ceea ce privește verificarea conformității acestora cu cerințele primei părți a acestui standard. În conformitate cu prevederile acestui standard de asemenea procedura de auditare a informațiilorsisteme corporative.

Îndrumări suplimentare pentru gestionarea securității informațiilor sunt furnizate de ghidurile British Standards Institution - britanicStandardeInstituţie(BSI) http:// www. bsi- globală. com/, publicată în perioada 1995-2003 de ex.

ca urmatoarea serie: Introducere în managementul securității informațiilor –Informaţiisecuritate: managementun.

introducere În prezent, standardul britanic 7799 - Opțiuni de certificare pentru cerințele standardPregătireaÎn prezent, standardul britanic 7799 pentru.

certificare management BS 7799 privind evaluarea și managementul riscurilor -Ghid pentru evaluarea și riscul BS 7799

management În prezent, standardul britanic 7799- Sunteți pregătit pentru un audit pentru a îndeplini cerințele standard?sunttuPregătireagataÎn prezent, standardul britanic 7799 o?

audit În prezent, standardul britanic 7799 Ghid pentru efectuarea unui audit conform cerințelor standardului -GhidÎn prezent, standardul britanic 7799 la.

auditare În prezent, standardul britanic 7799 Astăzi, problemele generale de management al securității informațiilor companiilor și organizațiilor, precum și dezvoltarea auditurilor de securitate pentru a îndeplini cerințele standardului tratate de comitetul internaționalComunTehnicComitet/ ISOIEC 1 JTC britanicStandardeInstituţie(BSI) – (www. bsi- globală. com), împreună cu Institutul Britanic de Standarde - și în special serviciul (UKASUnitRegatulAcreditat). Serviciu În prezent, standardul britanicComitet/ ISO 7799:2000 (În prezent, standardul britanic 7799-1:2000) Serviciul numit acreditează organizațiile pentru dreptul de a audita securitatea informațiilor în conformitate cu standardul Comitet 9001 . Comitet 9002 Certificatele emise de aceste organisme sunt recunoscute în multe țări. Vă rugăm să rețineți că dacă o companie este certificată conform standardelor În prezent, standardul britanicComitet/ ISO 7799:2000 (În prezent, standardul britanic 7799-1:2000) sau Comitet 9001 standard Comitet/9002 permite combinarea certificării sistemului de securitate a informațiilor cu certificarea conformității cu standardele În prezent, standardul britanicComitet/ ISO 7799:2000 (În prezent, standardul britanic 7799-1:2000). În același timp, planurile comune de testare ar trebui să indice clar procedurile de verificare a sistemului de securitate a informațiilor, iar autoritățile de certificare ar trebui să se asigure că verificarea securității informațiilor este amănunțită.

Precursorul standardelor internaționale de management al securității informațiilor - BS 7799 britanic - a fost demult depășit cadrul national. Prima sa parte, BS 7799-1, a fost dezvoltată în 1995 la ordinul guvernului Regatului Unit. La începutul anului 2006, britanicii au introdus nou standardîn domeniul managementului riscului de securitate a informațiilor - BS 7799-3, care va primi ulterior indicele 27005.

Există multe domenii de management: producție, finanțe, vânzări, achiziții, personal etc. Datorită dezvoltării afacerilor moderne de înaltă tehnologie, importanța unor domenii precum tehnologia informației, securitatea informației, calitatea și mediu. Acest lucru este dovedit de popularitatea tot mai mare în întreaga lume a standardelor internaționale corespunzătoare din seriile ISO 2700x, ISO 2000x, ISO 900x și ISO 1400x. Principiile de bază ale managementului sunt, în mare, aceleași pentru toate domeniile, astfel încât sistemele de management corespunzătoare se completează reciproc, formând un sistem integrat de management al organizației (IMS). Este dificil de supraestimat contribuția Institutului Britanic de Standarde (BSI) la dezvoltarea standardelor internaționale pentru managementul organizațiilor, inclusiv a sistemelor integrate de management, care fac obiectul seriei de publicații BSIBIP 2000.

În urma răspândirii pe scară largă a ISO 9001 și a sistemelor de management al calității, standardele internaționale de management al securității informațiilor - ISO/IEC 27001/17799 - au început în sfârșit să prindă rădăcini în Rusia. Acestea au devenit disponibile în limba rusă, a început o discuție publică cu privire la proiectele de standarde naționale relevante de securitate a informațiilor GOST R ISO/IEC 27001 și GOST R ISO/IEC 17799, iar serviciile de certificare devin treptat mai răspândite.

Precursorul standardelor internaționale pentru managementul securității informațiilor este standardul britanic BS 7799. Prima sa parte, BS 7799-1 „Practical Rules for Information Security Management”, a fost dezvoltat de BSI în 1995 la cererea guvernului Regatului Unit. După cum sugerează și titlul, acest document este un ghid practic pentru gestionarea securității informațiilor într-o organizație. Acesta descrie cele 10 zone și 127 de controale necesare pentru a construi un ISMS, bazat pe cele mai bune practici din întreaga lume. În 1998, a apărut a doua parte a acestui standard britanic - BS 7799-2 „Sisteme de management al securității informațiilor. Ghid de specificații și aplicații”, care a definit modelul general pentru construirea unui ISMS și un set de cerințe obligatorii pentru conformitate cu care trebuie efectuată certificarea. Odată cu apariția celei de-a doua părți a BS 7799, care a definit ce ar trebui să fie un ISMS, a început dezvoltarea activă a unui sistem de certificare în domeniul managementului siguranței. În 1999, ambele părți ale BS 7799 au fost revizuite și armonizate cu standardele internaționale ale sistemelor de management ISO 9001 și ISO 14001, iar un an mai târziu, comitetul tehnic ISO a adoptat BS 7799-1 fără modificare ca standard internațional ISO/IEC 17799:2000.

A doua parte a BS 7799 a fost revizuită în 2002, iar la sfârșitul anului 2005 a fost adoptată de ISO ca Standard Internațional ISO/IEC 27001:2005 Tehnologia informației - Tehnici de securitate - Sisteme de management al securității informațiilor - Cerințe. În același timp, prima parte a standardului a fost actualizată. Odată cu lansarea ISO 27001, specificațiile ISMS au câștigat statut internațional și acum ne putem aștepta la o creștere semnificativă a rolului și prestigiului ISMS certificat conform ISO 27001.

Familia 2700x de standarde internaționale de management al securității continuă să evolueze rapid. Conform planurilor ISO, acesta va include standarde care definesc cerințele pentru un ISMS, un sistem de management al riscului, metrici și măsurarea eficacității controalelor, precum și îndrumări de implementare. Această familie de standarde va folosi o schemă de numerotare secvențială de la 27000 încolo. ISO/IEC 17799:2005 va fi ulterior redenumit ISO/IEC 27002. Un proiect de standard ISO/IEC 27000 este, de asemenea, în dezvoltare, care va conține principii și definiții de bază și va fi unificat cu standardele populare de management IT: COBIT și ITIL.

La începutul anului 2006, a fost adoptat un nou standard național britanic în domeniul managementului riscului de securitate a informațiilor, BS 7799-3, care va primi ulterior indicele 27005. De asemenea, se lucrează la standarde pentru implementarea și măsurarea eficacității. a unui ISMS, care va primi indicii 27003 și, respectiv, 27004. Emiterea acestor standarde internaționale este planificată pentru 2007.

Istoria BS 7799

Conform grupului de utilizatori ISMS care menține registrul internațional de certificate, în august 2006, existau peste 2.800 de organizații din 66 de țări certificate conform ISO 27001 (BS 7799), inclusiv patru companiile rusești. Printre organizațiile certificate se numără cele mai mari companii IT, bancare și sectorul financiar, întreprinderi din sectorul combustibilului și energiei și din sectorul telecomunicațiilor. Este de așteptat ca numărul deținătorilor de certificate din Rusia în 2007 să ajungă la câteva zeci.

7799/17799/27001: argumente pro și contra

BS 7799 a devenit treptat „standardul principal de securitate a informațiilor”. Cu toate acestea, când ISO a discutat despre prima ediție a standardului internațional ISO 17799 în august 2000, a fost dificil de obținut un consens. Documentul a provocat multe critici din partea reprezentanților puterilor IT de vârf, care au susținut că nu îndeplinește criteriile de bază pentru standardele internaționale.

„Nu a existat nicio modalitate de a compara acest document cu toate celelalte lucrări de siguranță revizuite vreodată de ISO”, spune Gene Troy, reprezentantul SUA în comitetul tehnic ISO.

Mai multe țări, printre care SUA, Canada, Franța și Germania, s-au opus adoptării ISO 17799. În opinia lor, acest document este bun ca set de recomandări, dar nu ca standard. În SUA și ţările europeneÎnainte de 2000, o cantitate imensă de muncă fusese deja făcută pentru standardizarea securității informațiilor. „Există mai multe abordări diferite ale securității IT. Am crezut că, pentru a obține un standard internațional cu adevărat acceptabil, toate acestea ar trebui acceptate pentru a fi luate în considerare, mai degrabă decât să luăm unul dintre documente și să ajungem în grabă asupra lui. Troy îi spune lui Gene: „Standardul Maestru de Siguranță a fost prezentat ca un fapt împlinit și pur și simplu nu a existat nicio modalitate de a construi pe alte lucrări realizate în acest domeniu”.

Reprezentanții BSI au replicat că lucrarea în cauză s-a ocupat în primul rând de aspecte tehnice și BS 7799 nu a fost niciodată considerat un standard tehnic. Spre deosebire de alte standarde de securitate, cum ar fi practicile și reglementările de securitate acceptate în mod obișnuit (CASPR) sau ISO 15408/criteriile comune, acesta definește aspectele de bază non-tehnice ale protecției informațiilor prezentate sub orice formă. „Ar trebui să fie așa, deoarece este destinat tuturor tipurilor de organizații și medii externe”, spune purtătorul de cuvânt al BSI, Steve Tyler, „Este un document de management al securității informațiilor, nu un catalog de produse IT”.

În ciuda tuturor obiecțiilor, autoritatea BSI (care este fondatorul ISO, principalul dezvoltator de standarde internaționale și principalul organism de certificare din lume) a prevalat. A fost lansată o procedură de aprobare accelerată, iar standardul a fost adoptat în curând.

Principalul avantaj al ISO 17799 este flexibilitatea și versatilitatea acestuia. Setul descris în el cele mai bune practici aplicabil aproape oricărei organizații, indiferent de proprietate, tip de activitate, dimensiune și condiții externe. Este neutru din punct de vedere tehnologic și lasă întotdeauna opțiunea de a alege tehnologii.

Când apar întrebări: „De unde să începem?”, „Cum să gestionăm securitatea informațiilor?”, „În funcție de ce criterii ar trebui auditate?” — acest standard va ajuta la determinarea direcției corecte și nu va pierde din vedere punctele esențiale. De asemenea, poate fi folosit ca sursă autorizată și unul dintre instrumentele pentru „vânzarea” securității către conducerea unei organizații, definirea criteriilor și justificarea costurilor securității informațiilor.

Cu toate acestea, flexibilitatea și versatilitatea sunt, de asemenea, călcâiul lui Ahile al acestui standard. Criticii spun că ISO 17799 este prea abstract și slab structurat pentru a fi de valoare reală. Utilizarea insuficientă a acestuia poate da un fals sentiment de securitate.

ISO 17799 descrie măsurile de securitate în termeni generali, dar nu spune nimic despre aspectele tehnice ale implementării acestora. De exemplu, standardul recomandă utilizarea mecanismelor de control al accesului și definește tehnologii specifice precum chei USB, carduri inteligente, certificate etc. Cu toate acestea, el nu ia în considerare avantajele și dezavantajele acestor tehnologii, caracteristici și metode de aplicare a acestora.

Alexandru Astahov

Unul dintre primele standarde internaționale pentru managementul securității informațiilor - standardul britanic BS 7799 - a depășit de mult granițele naționale. Prima sa parte, BS 7799-1 „Reguli practice pentru managementul securității informațiilor”, a fost dezvoltată în 1995, la ordinul guvernului britanic de către Instituția Britanică de Standarde ( britanicStandardeInstituţie (BSI) cu participarea organizaţiilor comerciale precum Coajă, NaţionalWestminsterBancar, MidlandBancar, Unilever, britanicTelecomunicatii, Marci & Spencer, Logica etc.

După cum sugerează și numele, acest document este un ghid practic pentru gestionarea securității informațiilor într-o organizație, indiferent de profilul activităților sale practice.

din practica mondială. În conformitate cu acest standard, orice serviciu de securitate Acesta descrie 10 domenii și 127 de controale necesare pentru a construi un sistem de management al securității informațiilor, identificate pe baza celor mai bune practici din întreaga lume.

– conducerea departamentului și a companiei trebuie să înceapă să lucreze în conformitate cu reglementările generale. Nu contează dacă vorbim despre protejarea documentelor pe hârtie sau a datelor electronice.

Familia 2700x de standarde internaționale de management al securității continuă să evolueze rapid. Conform planurilor ISO, acesta va include:

Standarde care definesc cerințele pentru un sistem de management al securității informațiilor;

Sistem de management al riscului;

Metrici și măsurători ale eficacității mecanismelor de control;

Ghid de implementare.

Această familie de standarde va folosi o schemă de numerotare secvențială de la 27000 încolo. ISO/IEC 17799:2005 va fi ulterior redenumit ISO/IEC 27002.

care este încă folosit într-un număr de țări.

Este format din două părți.

Următoarele aspecte ale securității informațiilor sunt definite și luate în considerare:

Politica de securitate.

Clasificarea și gestionarea resurselor informaționale.

Managementul personalului.

Securitate fizică.

A doua parte a BS 7799 a fost revizuită în 2002, iar la sfârșitul anului 2005 a fost adoptată de ISO ca standard internațional ISO/IEC 27001:2005 „Tehnologia informației – Tehnici de securitate – Sisteme de management al securității informațiilor – Cerințe”. În același timp, prima parte a standardului a fost actualizată. Odată cu lansarea ISO 27001, specificațiile sistemului de management al securității informațiilor au dobândit statut internațional, iar acum ne putem aștepta la o creștere semnificativă a rolului și prestigiului sistemelor de management al securității informațiilor certificate conform standardului ISO 27001.

Control acces la sistem.

Dezvoltarea si intretinerea sistemelor.

Planificarea bunei funcționări a organizației.

Verificarea conformității sistemului cu cerințele de securitate a informațiilor.

„Partea 2: Specificațiile sistemului” (1998)

Aspecte enumerate în „ Partea 1” sunt considerate în această parte din punctul de vedere al certificării unui sistem informațional pentru conformitatea cu cerințele standardului.

Administrarea sistemelor și rețelelor de calculatoare. procedura de auditare a informațiilorsisteme corporative.

ca urmatoarea serie: Introducere în managementul securității informațiilor –Informaţiisecuritate: managementun.

introducere În prezent, standardul britanic 7799 - Opțiuni de certificare pentru cerințele standardPregătireaÎn prezent, standardul britanic 7799 pentru.

certificare management BS 7799 privind evaluarea și managementul riscurilor -Ghid pentru evaluarea și riscul BS 7799

management În prezent, standardul britanic 7799- Sunteți pregătit pentru un audit pentru a îndeplini cerințele standard?sunttuPregătireagataÎn prezent, standardul britanic 7799 o?

audit În prezent, standardul britanic 7799 Ghid pentru efectuarea unui audit conform cerințelor standardului -GhidÎn prezent, standardul britanic 7799 la.