|
|
№ 2 март – апрель 2005 г.
Тема номера: СОВРЕМЕННЫЙ ВЗГЛЯД НА СРЕДСТВА ЗАЩИТЫ РЕЧЕВОЙ ИНФОРМАЦИИ
|
BSI и BS 7799 – взгляд разработчиков
Н. И. Горобец |
|
|
Британский стандарт BS 7799 стал стандартом де-факто в области построения систем управления информационной безопасностью. Положения этого стандарта на добровольной основе применяет множество компаний в десятках стран мира. Сертификация системы управления информационной безопасностью на соответствие стандарту BS 7799 позволяет владельцам информационных ресурсов, партнерам убедиться в том, что подсистема информационной безопасности построена правильно и функционирует эффективно.
История создания BS 7799
Уже более 100 лет Британский институт стандартов (British Standards Institution – BSI) создает локальные стандарты – основы для утверждения производственных, технологических и промышленных международных стандартов. Одной из задач, которая требовала до сих пор решения, было создание соответствующего стандарта системы управления информационной безопасностью.
Таким стандартом стал BS 7799, который был разработан Британским институтом стандартов (при участии коммерческих организаций, таких как Shell UK, National Westminster Group, Unilever, British Telecommunications, British Computer Society, Association of British Insurers, Marks & Spencer, Logica и др.) и утвержден в качестве государственного стандарта Великобритании в 1995 году.
BS 7799 Part 1 // Code of Practice for Information Security Management
(Практические правила управления информационной безопасностью)
Описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определенных на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ.
Данный стандарт в большей степени предназначался для определения норм безопасности при ведении коммерческой деятельности. Эксперты посчитали, что он появился несколько раньше времени, когда вопросы безопасности еще никого особенно не интересовали.
В 1999 году первая часть BS 7799 была переработана и передана в Международную организацию по стандартизации (ISO).
В 2000 году BS 7799 Part 1 был утвержден в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000).
В мае 1999 года BSI выпускает вторую версию BS 7799 (BS 7799-2:1999), представляющую собой кардинально пересмотренное первое издание. Эта версия содержала множество поправок и улучшений по сравнению со своей предшественницей.
BS 7799 Part 2 // Information Security management – Specification for ISMS
(Спецификация системы управления информационной безопасностью)
Этот стандарт определяет спецификацию СУИБ.
С 5 сентября 2002 года в силу вступил BS 7799-2:2002 «Системы управления информационной безопасностью. Спецификации с руководством по применению».
Здесь важно отметить, что эта версия гармонизирована с другими международными стандартами Систем менеджмента – BS EN ISO 9001:2000 и BS EN ISO 14001:1996 – с целью обеспечения последовательного и интегрированного внедрения и функционирования этих Систем.
Описание стандарта BS 7799
BS 7799 не является техническим стандартом, он, например, не предписывает использование каких-то определенных способов шифрования данных или устройств защиты от сбоев питания. Стандарт определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т. д. в контексте информационной безопасности.
Этот стандарт дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью и сохранностью важного актива компании – информацией, и может с одинаковым успехом применяться в компаниях разного размера – от индивидуальных предпринимателей до предприятий с численностью сотрудников в десятки тысяч человек.
BS7799 может использоваться для защиты любых видов информации, включая финансовую, кадровую, информацию по поставщикам или любым другим данным компании и, что немаловажно, информацию, принадлежащую вашим партнерам/клиентам – одним словом, все, что является значимым информационным ресурсом любой компании, и все, что уязвимо для угроз безопасности.
Таким образом, основную цель стандарта можно сформулировать как создание общей методологии для разработки, внедрения и оценки эффективности СУИБ, применимую как в условиях коммерческих компаний, так и государственных и некоммерческих структур.
СУИБ – это системный подход к управлению «чувствительной» для компании информацией с целью обеспечения ее конфиденциальности, целостности и сохранности.
СУИБ объединяет воедино людей, процессы и IТ-системы.
СУИБ обеспечивает слаженную работу службы безопасности, IT-отдела и руководства компании.
BS 7799 обеспечивает:
- конфиденциальность: защиту информации от несанкционированного доступа;
- целостность: защиту информации от несанкционированного изменения, обеспечение ее точности и полноты;
- доступность: возможность пользоваться информацией, когда это требуется – работоспособность системы.
Важно, что данный стандарт не концентрируется исключительно на конфиденциальности: в коммерческих организациях с точки зрения возможных материальных потерь целостность и доступность данных зачастую более критичны.
BS 7799 защищает от возможных угроз вашей информационной системе:
- хакеров;
- промышленного шпионажа;
- недобросовестных сотрудников;
- компьютерного пиратства;
- воровства и вандализма;
- отключения питания;
- сбоев в работе оборудования и ПО;
- вирусов;
- стихийных бедствий и многого другого.
СУИБ, разработанная в соответствии с BS 7799-2:2002, обеспечивает наличие хорошо проверенной структуры, которая инициирует, реализует, поддерживает в рабочем состоянии информационную безопасность внутри предприятия и управляет ею.
Основные положения стандарта BS 7799
Приложение «А» к стандарту BS 7799-2:2002 определяет средства управления информационной безопасностью и включает следующие аспекты, перечень которых может быть дополнен на усмотрение компании.
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|