7.5. Британский стандарт bs 7799
Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности, который в 1995 г. был принят в качестве национального стандарта BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании.
В соответствии с этим стандартом любая служба безопасности, IT -отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO.
Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран. Он состоит из двух частей.
В "Части 1: Практические рекомендации" (1995г.) определяются и рассматриваются следующие аспекты ИБ:
Политика безопасности.
Организация защиты.
Классификация и управление информационными ресурсами.
Управление персоналом.
Физическая безопасность.
Администрирование компьютерных систем и сетей.
Управление доступом к системам.
Разработка и сопровождение систем.
Планирование бесперебойной работы организации.
Проверка системы на соответствие требованиям ИБ.
"Часть 2: Спецификации системы" (1998г) рассматривает эти же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта.
Она определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.
Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов – British Standards Institution(BSI) http://www.bsi-giobal.com/, изданные в период 1995-2003 в виде следующей серии:
Введение в проблему управления информационной безопасности – Information security managment: an introduction.
Возможности сертификации на требования стандарта BS 7799 -Preparing for BS 7799 sertification.
Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.
Готовы ли вы к аудиту на требования стандарта BS 7799-Are you ready for a BS 7799 audit?
Руководство для проведения аудита на требования стандарта -BS 7799Guide to BS 7799 auditing.
Практические рекомендации по управлению безопасностью информационных технологий -Code of practice for IT management.
Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution(BSI) – (www.bsi-global.com), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасностью в соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах [1].
Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.
- Брянск Издательство бгту
- Темплан 2007 г., п. 7
- Оглавление
- Предисловие
- Введение
- Глава 1 история развития систем защиты информации в зарубежных странах
- Развитие средств и методов защиты информации
- 3 Период (с 60-х г. XX века до наших дней)
- 1.2. Этапы развития системы защиты информации в настоящее время
- 1.3. Структура систем защиты информации, применяемых в общемировой практике обеспечения информационной безопасности
- Контрольные вопросы:
- Глава 2 Информационное противоборство в системе международных отношений современного общества
- 2.1. Современная картина политических отношений в мире
- 2.2. Основы информационно-психологического воздействия
- 2.3. Типы современного информационного оружия
- Контрольные вопросы:
- Глава 3 системы защиты информации в сша
- 3.1. Современная концепция информационной войны в сша
- 3.2. Правовое регулирование информационной безопасности в сша
- 3.3. Государственные органы обеспечения национальной безопасности сша
- 3.4. Особенности подготовки кадров в области информационной безопасности в сша
- Контрольные вопросы:
- Глава 4 Системы защиты информации в странах евросоюза
- 4.1. Состояние проблемы информационной безопасности в странах Евросоюза
- 4.1.1. Системы защиты информации в Соединённом Королевстве Великобритании и Северной Ирландии
- Парламентский Комитет по разведке и безопасности Великобритании (Intelligence and Security Committee /isc/)
- 4.1.2. Системы защиты информации в Федеративной Республике Германия
- 4.1.3. Системы защиты информации во Французской Республике
- 4.1.4. Системы защиты информации в Швеции
- Контрольные вопросы:
- Глава 5 СистемЫ защиты информации в китайской народной республике
- 5.1. Представление об информационном противоборстве в Китае
- 5.2. Законодательство в сфере информационной безопасности в Китае
- Планирование и разработка компьютерных и информационных систем.
- Управление компьютерными и информационными системами.
- Обеспечение безопасности компьютерных и информационных систем.
- Уголовная и иная ответственность за правонарушения в данной области.
- 5.3. Организационная структура спецслужб Китая
- «Великая стена» информационной безопасности Китая
- Контрольные вопросы:
- Глава 6 Международное сотрудничество в области обеспечения информационной безопасности
- 6.1. Развитие международного сотрудничества в области обеспечения информационной безопасности
- 6.2. Международные организации в области информационной безопасности
- 6.3. Правовое регулирование сети Интернет
- Контрольные вопросы:
- Глава 7 Стандарты информационной безопасности
- 7.1. Предпосылки создания международных стандартов иб
- 7.2. Стандарт «Критерии оценки надежности компьютерных систем» («Оранжевая книга»)
- 7.3. Гармонизированные критерии европейских стран
- 7.4. Германский стандарт bsi
- 7.5. Британский стандарт bs 7799
- 7.6. Международный стандарт iso 17799
- 7.7. Международный стандарт iso 15408 – «Общие критерии»
- 7.8. Стандарт cobit
- Контрольные вопросы:
- Глава 8 системЫ защиты информации в ведущих мировых компаниях
- 8.1. Практика компании ibm в области защиты информации
- 8.2. Практика компании Cisco Systems в разработке сетевой политики безопасности
- 8.3. Практика компании Microsoft в области информационной безопасности
- Контрольные вопросы:
- Заключение
- Список использованной и рекомендуемой литературы
- Приложение 1
- Практическое занятие №1 Изучение зарубежных технических средств защиты информации
- 1. Порядок выполнения работы
- 2. Форма и содержание отчета
- Практическое занятие № 2 Изучение зарубежной практики применения алгоритмов криптографической защиты данных
- 1. Порядок выполнения работы
- 2. Форма и содержание отчета
- Контрразведывательные службы:
- Разведывательные службы:
- Практическое занятие № 4 Изучение информационно-психологической войны и типов информационного оружия
- 1. Порядок выполнения работы
- 2. Форма и содержание отчета
- Практическое занятие №5 Изучение системы международных стандартов информационной безопасности
- 1. Порядок выполнения работы
- 2. Форма и содержание отчета
- Приложение 2 Окинавская Хартия глобального информационного общества
- Использование возможностей цифровых технологий
- Преодоление электронно-цифрового разрыва
- Содействие всеобщему участию
- Дальнейшее развитие
- Формирование политического, нормативного и сетевого обеспечения:
- Приложение 3 Кодекс этики isc
- Приложение 4
- Глава I. Возможности
- Глава II. Авторское право
- Глава III. Своеобразные правовые вопросы
- Глава IV. Общие условия