На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 1 январь-февраль 2007 г.
Тема номера:
РАЗВИТИЕ СТАНДАРТА ISO 17799 В РОССИИ


МЕТОДОЛОГИЯ ВНЕДРЕНИЯ СТАНДАРТА ISO/IEC 27001:2005
ПРИ ПОСТРОЕНИИ КОРПОРАТИВНОЙ СИСТЕМЫ УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

А. Ю. Чесалов, к. т. н.
ООО «Концептуальные системы»


Предыдущая статьяСледующая статья

Начиная с октября 2005 года на российском рынке информационной безопасности все большую известность при построении корпоративной системы управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Это происходит по нескольким причинам.

С одной стороны, большинство российских компаний становятся более зрелыми и компетентными участниками как внутреннего торгового рынка, так и внешних рынков. К определяющим факторам таких изменений можно отнести процедуру постепенного вхождения России во Всемирную торговую организацию (ВТО) и желание крупных компаний выйти на фондовые рынки, реализовав процедуру первоначального публичного предложения (размещения) своих акций на международных биржах.

С другой стороны, возрос уровень сервиса большинства консалтинговых компаний, которые предлагают свои услуги в области построения корпоративной системы управления информационной безопасностью на базе ISO/IEC 27001:2005 с последующей сертификацией.

Наконец, несомненно, сыграли свою роль те позитивные изменения, которые происходят в законодательстве Российской Федерации в области информационной безопасности за последние несколько лет:

  • в 2002 году Правительством РФ была утверждена «Программа комплексной стандартизации в области защиты информации на 2002–2010 годы», предусматривающая разработку 38 ГОСТ Р;
  • Федеральная служба по техническому и экспортному контролю, лицензирующая деятельность по защите информации и сертификации средств защиты информации, ввела в действие комплексный стандарт ГОСТ ИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», который был разработан на базе международного стандарта ISO/IEC 15408 The common criteria for information technology security evaluation.
  • 28 июня 2006 года Государственной Думой был принят законопроект «Об информации, информационных технологиях и о защите информации» и т. д.

В данной статье мы рассмотрим следующие наиболее актуальные вопросы, возникающие как у менеджеров компаний, так и у технических специалистов в процессе ознакомления со стандартом ISO/IEC 27001: 2005 и в процессе построения СУИБ на его основе:

  • стандарт ISO/IEC 27001:2005 в общей системе государственных стандартов и технических регламентов РФ;
  • история формирования стандарта ISO/IEC 27001:2005;
  • конкурентные преимущества, получаемые от внедрения СУИБ и ее сертификации на соответствие стандарту ISO/IEC 27001:2005;
  • основные направления работ, выполняемых при организации СУИБ и регламентируемых стандартом ISO/IEC 27001:2005;
  • основные этапы работ по созданию СУИБ;
  • требования к консалтинговым компаниям;
  • цель, задачи и регламент аудиторской проверки;
  • создание и (или) внедрение СУИБ в компании;
  • процедура сертификации СУИБ на соответствие требованиям стандарта ISO/IEC 27001:2005.

Стандарт ISO/IEC 27001:2005 в общей системе государственных стандартов и технических регламентов РФ

За последние два-три года все более заметными становятся изменения в области формирования и совершенствования законодательства и, что немаловажно, положительная тенденция в отношении принятия основных положений международных стандартов в качестве основы для разработки государственных:

  • в сфере информационных технологий были приняты или планируются к принятию ГОСТы на базе следующих международных стандартов ISO/IEC 7501-1:1997, ISO/IEC 7501-2:1997, ISO/IEC 7501-3:1997, ISO/IEC TR 19760:2003;
  • в сфере информационно-коммуникационных технологий в образовании были приняты или планируются к принятию ГОСТы на базе международных стандартов ISO/IEC 18056:2005, ISO/IEC 8825-4:2002/Amd.1:2004, ISO/IEC 8825-5:2004;
  • в сфере информационной безопасности были приняты или планируются к принятию ГОСТы на базе международных стандартов ISO/IEC 17799:2005, ISO/IEC 27001: 2005 и т. д.

Федеральным агентством по техническому регулированию и метрологии были разработаны следующие государственные стандарты РФ, в которых есть ссылки на международный стандарт ISO/IEC 27001: 2005:

  • ГОСТ Р ИСО/МЭК 27001 «Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (принятие стандарта Агентством ожидалось в конце прошедшего 2006 года);
  • Стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (необходимо отметить, что стандарт ЦБ России – комплексный и в его основу была положена группа стандартов ISO/IEC, например, ISO/IEC 17799-1:2005, ISO/IEC 18028-1:2006, ISO/IEC 18043, ISO/IEC TR 18044-2004, а также стандарт COBIT, методологии анализа и управления рисками OCTAVE и CRAMM, ГОСТы и т. д.).

История формирования стандарта ISO/IEC 27001:2005

С исторической точки зрения стандарт ISO/IEC 27001:2005 берет свое начало из британского государственного стандарта BS 7799, который был разработан в 1995 году Британским институтом стандартов и рядом других организаций и компаний этой страны.

В 1999 году первая часть стандарта BS 7799 была передана в Международную организацию по стандартизации (ISO – The International Organization for Standardization) и в 2000 году впервые утверждена в качестве международного стандарта как ISO/IEC1 17799:2000 (BS 7799-1:2000) [2]. Следующей его версией стал стандарт ISO/IEC 17799:2005.

В России экспертами в области управления информационной безопасностью стандарт ISO/IEC 17799 начал активно применяться на практике начиная с периода 2001–2002 года.

В том же 1999 году выходит в свет вторая часть стандарта BS 7799 – BS 7799-2:1999 Information Security management – Specification for ISMS (ISMS – Information Security Management System).

В 2002 году стандарт совершенствуется и ему на смену приходит новая редакция – BS 7799-2:2002. На его основе 14 октября 2005 года принимается стандарт ISO/IEC 27001: 2005.

В 2007 году ожидается развитие серии стандартов 27000 и выход стандарта ISO/IEC 27002, который сменит ISO/IEC 17799:2005.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100