Стандарты ISO/IEC 17799:2002 (BS 7799:2000) – ГОСТ Р ИСО/МЭК 17799
Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью — Информационные технологии» (Information technology — Information security management») является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» (Information security management — Part 1: Code of practice for information security management») и относится к новому поколению стандартов информационной безопасности компьютерных ИС.
Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
· необходимость обеспечения информационной безопасности;
· основные понятия и определения информационной безопасности;
· политика информационной безопасности компании;
· организация информационной безопасности на предприятии;
· классификация и управление корпоративными информационными ресурсами;
· кадровый менеджмент и информационная безопасность;
· физическая безопасность;
· администрирование безопасности КИС;
· управление доступом;
· требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;
· управление бизнес-процессами компании с точки зрения информационной безопасности;
· внутренний аудит информационной безопасности компании.
Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью» («Information security management — Part 2: Specification for information security management systems»), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита ИС.
Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:
· «Введение в проблему управления информационной безопасностью» (Information security managment: an introduction»);
· «Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);
· «Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management);
· «Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing»);
· «Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management).
В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях.
Международный стандарт ISO 27001 - ГОСТ Р ИСО/МЭК 27001 "Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (этот стандарт принят 31 декабря 2006 г.);
Начиная с осени 2005 г. в России все большую известность при построении корпоративных систем менеджмента информационной безопасностью (СМИБ) завоевывает международный стандарт ISO/IEC 27001:2005 "Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования".
Принят в России в 2006 году как ГОСТ Р ИСО/МЭК 27001.
Истоки ISO/IEC 27001:2005 находятся в британском государственном стандарте BS 7799, который был разработан в 1995 г. Британским институтом стандартов и ведущими организациями и компаниями Великобритании. В 1999-м первая часть BS 7799 была передана в Международную организацию по стандартизации (ISO - The International Organization for Standardization) и в 2000-м утверждена в качестве международного стандарта как ISO/IEC 17799:2000 (BS 7799-1:2000). Следующей его версией стал стандарт ISO/IEC 17799:2005. В 1999 г. вышла в свет вторая часть британского стандарта: BS 7799-2:1999 Information Security management - Specification for ISMS (ISMS - Information Security Management System). В 2002 г. появилась новая, усовершенствованная редакция стандарта - BS 7799-2:2002. На ее основе 14 октября 2005-го был принят стандарт ISO/IEC 27001:2005 . Ожидается развитие серии стандартов 27000 и выпуск ISO/IEC 27002, который сменит ISO/IEC 17799:2005.
Выполнение требований ISO/IEC 27001:2005 позволяет организациям формализовать и структурировать процессы управления ИБ по следующим направлениям:
- разработка политики ИБ;
- организация ИБ;
- организация управления внутренними активами и ресурсами компании, составляющими основу ее ключевых бизнес-процессов;
- защита персонала и снижение внутренних угроз компании;
- физическая безопасность в компании и безопасность окружающей среды;
- управление средствами связи и эксплуатацией оборудования;
- разработка и обслуживание аппаратно-программных систем;
- управление непрерывностью бизнес-процессов в компании;
- соблюдение правовых норм по безопасности.
Цели и комплексы мероприятий ISO/IEC 27001:2005 по каждому направлению работ были заимствованы из стандарта ISO/IEC 17799:2005 (разделы 5-15) и перечислены в его приложении А (Annex A. Control objectives and controls).
Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.
Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее.
ISO27000 | Определения и основные принципы. Планируется унификация со стандартами COBIT и ITIL. Проект стандарта находится в разработке. |
ISO27001 | ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования (BS 7799-2:2005). Выпущен в июле 2005 г. |
ISO27002 | ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью (ранее ISO/IEC 17799:2005). |
ISO27003 | Руководство по внедрению системы управления информационной безопасностью. Выпуск запланирован на 2007 г. |
ISO27004 | Измерение эффективности системы управления информационной безопасностью. Выпуск запланирован на 2007 г. |
ISO27005 | Управление рисками информационной безопасности (на основе BS 7799-3:2006). Выпуск запланирован на 2007 г. |
ISO27006 | ISO/IEC 27006:2007 Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью |
ISO27007 | Руководство для аудитора СУИБ (в разработке). |
ISO27011 | Руководство по управлению информационной безопасностью для телекоммуникаций (в разработке). |
ISO(Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ISO или IEC, участвуют в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности. Другие международные организации, правительственные и не правительственные, совместно с ISO и IEC также принимают участие в этой работе. В области информационных технологий, ISO и IEC организован совместный технический комитет, ISO/IEC JTC 1. Основной задачей совместного технического комитета является подготовка Международных Стандартов. Проекты Международных Стандартов принятые совместным техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. Международные Стандарты проектируются в соответствии с правилами, установленными Директивами ISO/IEC.
Дата добавления: 2015-02-03; просмотров: 4043;