Обзор подготовлен   CNewsAnalytics

Стандарты ISO/IEC 17799:2002 (BS 7799:2000)

Стандарты ISO/IEC 17799:2002 (BS 7799:2000)В настоящее время Международный стандарт ISO/IEC 17799:2000 (BS 7799–1:2000) «Управление информационной безопасностью — Информационные технологии. — Information technology- Information security management» является наиболее известным стандартом в области защиты информации.

Данный стандарт был разработан на основе первой части Британского стандарта BS 7799–1:1995 "Практические рекомендации по управлению информационной безопасностью и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем. Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799–1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

  • Необходимость обеспечения информационной безопасности
  • Основные понятия и определения информационной безопасности
  • Политика информационной безопасности компании
  • Организация информационной безопасности на предприятии
  • Классификация и управление корпоративными нформационными ресурсами
  • Кадровый менеджмент и информационная безопасность
  • Физическая безопасность
  • Администрирование безопасности корпоративных информационных систем
  • Управление доступом
  • Требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения
  • Управление бизнес-процессами компании с точки зрения информационной безопасности
  • Внутренний аудит информационной безопасности компании

Вторая часть стандарта BS 7799–2:2000 "Спецификации систем управления информационной безопасностью определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов, изданных в период 1995–2003 в виде следующей серии:

  • Введение в проблему управления информационной безопасности;
  • Возможности сертификации на требования стандарта BS 7799;
  • Руководство BS 7799 по оценке и управлению рисками;
  • Готовы ли вы к аудиту на требования стандарта BS 7799;
  • Руководство для проведения аудита на требования стандарта;
  • Практические рекомендации по управлению безопасностью информационных технологий;

Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов (British Standards Institution), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасностью в соответствии со стандартом ВS ISO/IEC 7799:2000 (BS 7799–1:2000). Сертификаты, выданные этими органами, признаются во многих странах.

Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт ВS ISO/IEC 7799:2000 (BS 7799–1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках.

Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту ВS ISO/IEC 7799:2000 (BS 7799–1:2000). При этом в планах совместного тестирования должно быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.

Ниже приведено сравнение содержания стандартов ISO 17799 (BS 7799) разных версий и ISO 9001, в котором рассматривается близкий круг вопросов управления информационной безопасностью.

Сравнение содержания стандартов ISO 17799 и ISO 9001

Сравнение содержания стандартов ISO 17799 и ISO 9001
Кликните по изображению, чтобы увеличить

В сентябре 2002 года международный стандарт ISO 17799 (BS7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта много внимания уделено вопросам повышения культуры защиты информации в различных международных компаниях, в том числе вопросам обучения и изначальной интеграции процедур и механизмов оценки и управления информационной безопасности в информационные технологии корпоративных систем.

По мнению специалистов, обновление международного стандарта ISO 17799 (BS7799) позволит не только создать новую культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.

Сергей Петренко / АйТи

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS