Международная стандартизация. Существует множество областей управления: производство, финансы, продажи, закупки, персонал и т.д

Существует множество областей управления: производство, финансы, продажи, закупки, персонал и т.д. Благодаря развитию современного высокотехнологичного бизнеса постепенно осознается важность и таких областей, как информационные технологии, информационная безопасность, качество и окружающая среда.

Об этом говорит растущая популярность во всем мире соответствующих международных стандартов серии ISO 2700х, ISO 900х и ISO 1400х. Основные принципы управления, по большому счету, для всех областей одинаковы, поэтому соответствующие системы управления дополняют одна другую, образуя интегрированную систему управления организации (IMS).

Прародитель международных стандартов управления информационной безопасностью — британский стандарт BS 7799. Первая его часть — BS 7799-1 «Практические правила управления информационной безопасностью» — была разработана Британским институтом стандартов (BSI) в 1995 г. по заказу правительства Великобритании.

Этот документ является практическим руководством по управлению информационной безопасностью в организации. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения СУИБ, определенных на основе лучших примеров из мировой практики.

В 1998 году появилась вторая часть этого британского стандарта — BS 7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению».

Данный документ определяет общую модель построения СУИБ и набор обязательных требований, на соответствие которым должна производиться сертификация.

С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью.

В 1999 году обе части BS 7799 были пересмотрены и согласованы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя технический комитет ISO без изменений принял BS 7799-1 в качестве международного стандарта ISO/IEC 17799:2000 «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности»..

Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования».

Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться. Для этого семейства стандартов было решено использовать последовательную схему нумерации, начиная с 27000 и далее.

Так ISO/IEC 17799:2005 в июнь 2007 года был переименован в ISO/IEC 27002:2005.

В начале 2006 г. был принят еще один британский национальный стандарт в области управления рисками информационной безопасности BS 7799-3(Руководство по управлению рисками информационной безопасности), который получил индекс 27005. Стандарт содержит разделы по оценке рисков, обработке рисков, непрерывным действиям по управлению рисками, а также имеет приложение с примерами активов, угроз, уязвимостей, методов оценки рисков.