Стандарты ISO/IEC 17799:2002 (BS 7799:2000) – ГОСТ Р ИСО/МЭК 17799

Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью — Информационные технологии» (Information technology — Information security management») является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» (Information security management — Part 1: Code of practice for information security management») и относится к новому поколению стандартов информационной безопасности компьютерных ИС.

Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

· необходимость обеспечения информационной безопасности;

· основные понятия и определения информационной безопасности;

· политика информационной безопасности компании;

· организация информационной безопасности на предприятии;

· классификация и управление корпоративными информационными ресурсами;

· кадровый менеджмент и информационная безопасность;

· физическая безопасность;

· администрирование безопасности КИС;

· управление доступом;

· требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;

· управление бизнес-процессами компании с точки зрения информационной безопасности;

· внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью» («Information security management — Part 2: Specification for information security management systems»), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита ИС.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:

· «Введение в проблему управления информационной безопасностью» (Information security managment: an introduction»);

· «Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);

· «Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management);

· «Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing»);

· «Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management).

В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях.

Международный стандарт ISO 27001 - ГОСТ Р ИСО/МЭК 27001 "Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (этот стандарт принят 31 декабря 2006 г.);

Начиная с осени 2005 г. в России все большую известность при построении корпоративных систем менеджмента информационной безопасностью (СМИБ) завоевывает международный стандарт ISO/IEC 27001:2005 "Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования".

Принят в России в 2006 году как ГОСТ Р ИСО/МЭК 27001.

Истоки ISO/IEC 27001:2005 находятся в британском государственном стандарте BS 7799, который был разработан в 1995 г. Британским институтом стандартов и ведущими организациями и компаниями Великобритании. В 1999-м первая часть BS 7799 была передана в Международную организацию по стандартизации (ISO - The International Organization for Standardization) и в 2000-м утверждена в качестве международного стандарта как ISO/IEC 17799:2000 (BS 7799-1:2000). Следующей его версией стал стандарт ISO/IEC 17799:2005. В 1999 г. вышла в свет вторая часть британского стандарта: BS 7799-2:1999 Information Security management - Specification for ISMS (ISMS - Information Security Management System). В 2002 г. появилась новая, усовершенствованная редакция стандарта - BS 7799-2:2002. На ее основе 14 октября 2005-го был принят стандарт ISO/IEC 27001:2005 . Ожидается развитие серии стандартов 27000 и выпуск ISO/IEC 27002, который сменит ISO/IEC 17799:2005.

Выполнение требований ISO/IEC 27001:2005 позволяет организациям формализовать и структурировать процессы управления ИБ по следующим направлениям:

- разработка политики ИБ;

- организация ИБ;

- организация управления внутренними активами и ресурсами компании, составляющими основу ее ключевых бизнес-процессов;

- защита персонала и снижение внутренних угроз компании;

- физическая безопасность в компании и безопасность окружающей среды;

- управление средствами связи и эксплуатацией оборудования;

- разработка и обслуживание аппаратно-программных систем;

- управление непрерывностью бизнес-процессов в компании;

- соблюдение правовых норм по безопасности.

Цели и комплексы мероприятий ISO/IEC 27001:2005 по каждому направлению работ были заимствованы из стандарта ISO/IEC 17799:2005 (разделы 5-15) и перечислены в его приложении А (Annex A. Control objectives and controls).

Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.

Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее.

ISO(Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ISO или IEC, участвуют в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности. Другие международные организации, правительственные и не правительственные, совместно с ISO и IEC также принимают участие в этой работе. В области информационных технологий, ISO и IEC организован совместный технический комитет, ISO/IEC JTC 1. Основной задачей совместного технического комитета является подготовка Международных Стандартов. Проекты Международных Стандартов принятые совместным техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. Международные Стандарты проектируются в соответствии с правилами, установленными Директивами ISO/IEC.