Файловый архив студентов. Файловый архив студентов.
1260 вузов, 4594 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Российский новый университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Митряев лекции / ИБИС гр.445зс 2015 / Л.7. ИБИС,гр.444 (2015).rtf
Скачиваний:
201
Добавлен:
25.03.2016
Размер:
533.16 Кб
Скачать
►Содержание►

3. Британский стандарт bs 7799

Один из первых международных стандартов управления информационной безопасностью — британский стандарт ВS 7799 — уже давно вышел за национальные рамки. Первая его часть, ВS 7799-1 «Практические правила управления информационной безопасностью» - была разработана в 1995 г. по заказу правительства Великобритании Британским институтом стандартов (British Standards Institution (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др.

Как следует из названий, этот документ является практическим руководством по управлению информационной безопасностью в организации независимо от профиля её практической деятельности. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения системы управления ИБ, определенных на основе лучших примеров из мировой практики.

В соответствии с этим стандартом любая служба безопасности, IT –отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных.

В 1998 году появилась вторая часть этого британского стандарта — ВS7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения системы управления ИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части ВS 7799, определившей, что должна из себя представлять система управления ИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части ВS7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя. технический комитет ISO без изменений принял ВS 7799-1 в качестве международного стандарта ISO/IЕС 17799:2000.

Вторая часть ВS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISО в качестве международного стандарта ISO/IЕС 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации системы управления ИБ приобрели международный статус, и теперь следует ожидать значительного повышения роли и престижности системы управления ИБ, сертифицированных по стандарту ISO 27001.

Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться. В соответствии с планами ISO оно будет включать:

- стандарты, определяющие требования к системе управления ИБ;

- систему управления рисками;

- метрики и измерения эффективности механизмов контроля;

- руководство по внедрению. Для этого семейства стандартов будет использоваться последовательная схема нумерации, начиная с 27000 и далее. ISO/IЕС 17799:2005 в последующем будет переименован в ISO/IЕС 27002.

В начале 2006 г. был принят новый британский национальный стандарт в области управления рисками информационной безопасности ВS 7799-3, который в дальнейшем получил индекс 27005.

В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также Швеция, Нидерланды, Россия.

Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран.

Он состоит из двух частей.

"Часть 1: Практические рекомендации" (1995г.)

Определяются и рассматриваются следующие аспекты ИБ:

  • Политика безопасности.

  • Организация защиты.

  • Классификация и управление информационными ресурсами.

  • Управление персоналом.

  • Физическая безопасность.

  • Администрирование компьютерных систем и сетей.

  • Управление доступом к системам.

  • Разработка и сопровождение систем.

  • Планирование бесперебойной работы организации.

  • Проверка системы на соответствие требованиям ИБ.

"Часть 2: Спецификации системы" (1998г)

Аспекты, перечисленные в “Части 1” рассматриваются в этой части с точки зрения сертификации информационной системы на соответствие требованиям стандарта.

Здесь определятся возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов – British Standards Institution(BSI) http://www.bsi-global.com/, изданные в период 1995-2003г.г. в виде следующей серии:

  • Введение в проблему управления информационной безопасности – Information security managment: an introduction.

  • Возможности сертификации на требования стандарта BS 7799 -Preparing for BS 7799 sertification.

  • Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.

  • Готовы ли вы к аудиту на требования стандарта BS 7799-Are you ready for a BS 7799 audit?

  • Руководство для проведения аудита на требования стандарта -BS 7799Guide to BS 7799 auditing.

  • Практические рекомендации по управлению безопасностью информационных технологий -Code of practice for IT management.

Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution(BSI) – (www.bsi-global.com), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасности в соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах. Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или ISO/9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.

Соседние файлы в папке ИБИС гр.445зс 2015
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности