BS 7799-1

BS 7799 был опубликован с целью предоставить руководству и сотрудникам организации модель, позволяющую внедрять и эксплуатировать эффективную систему управления информационной безопасностью (СУИБ). Внедрение СУИБ — важное стратегическое решение, обусловленное стратегией и бизнес-целями организации. BS 7799 применяется для аудита организации, в том числе сертификационными компаниями, имеющими соответствующую аккредитацию.

Отдел Commercial Computer Security Center (CCSC) Департамента торговли и промышленности (DTI) разработал в качестве пионера в области управления ИТ-безопасностью так называемые «Зелёные книги» (Green Books). Они включали британский проект критериев оценки ИТ-безопасности и соответствующую схему оценки и сертификации. Параллельно был разработан «кодекс наилучшей практики безопасности» («code of good security practice»), что привело к созданию книг User’s Code of Practice (V11) и Vendor’s Code of Practice (V31). Английские «Зелёные книги» публиковались с февраля по ноябрь 1989 года как предварительный проект (draft) и не вышли за его пределы^[1][2].

В 1992 году британский DTI созвал комиссию для оценки и внедрения признанных лучших практик в области информационной безопасности совместно с компаниями и организациями Великобритании. Среди этих компаний были Royal Dutch Shell, British Telecom, BOC, Marks & Spencer, Midland Bank, Nationwide Building Society и Unilever^[1].

Результаты были опубликованы в 1993 году в виде «Кодекса практик» («Code of Practice»), который в 1995 году был адаптирован Британским институтом стандартов (BSI) и опубликован как BS 7799:1995. Эта версия стандарта, однако, не получила широкого распространения, главным образом из-за низкой гибкости. В 1998 году началась коренная переработка стандарта: были удалены привязки к реалиям Великобритании и добавлены актуальные темы, например, электронная коммерция. Стандарт был разделён на две части — BS 7799-1:1999 (Часть 1) и BS 7799-2:1998 (Часть 2). В 2000 году Международная организация по стандартизации (ISO) адаптировала первую часть как стандарт ISO/IEC 17799:2000. В 2005 году он получил название ISO/IEC 27002:2005.

С появлением BS 7799-2:1998 появилась спецификация, на основании которой стало возможным проводить аудит и сертификацию. В 2000 году в часть 2 были внесены существенные изменения, в частности, внедрение концепции спланировать-сделать-проверить-действовать (PDCA), что привело к версии BS 7799-2:2002. Дальнейшим развитием BS 7799-2 стала международная норма ISO/IEC 27001, которая с 2005 года является международной основой для сертификации.

Сертификация по информационной безопасности в принципе возможна только по стандарту BS 7799-2:2002. Сертификация по ISO/IEC 17799 принципиально невозможна в рамках «квалифицированной» сертификации. Квалифицированная сертификация возможна только в случае её проведения организацией, находящейся под контролем аккредитующей компании, такой как Служба аккредитации Соединённого Королевства (UKAS) или Немецкая аккредитационная служба (DAkkS). В случае сертификации по BS 7799 сертификат действует три года, промежуточные аудитории (Surveillance Audits) проводятся каждые шесть месяцев, а полная ресертификация — через три года.

0. Введение

• 0.1. Общие положения
• 0.2. Процессный подход
• 0.3. Совместимость с другими системами менеджмента

1. Область применения

• 1.1. Общие положения
• 1.2. Применение

2. Нормативные ссылки

3. Определения

4. Требования к системе управления информационной безопасностью (СУИБ)

• 4.1. Общие требования
• 4.2. Введение и управление СУИБ
• 4.3. Требования к документации

5. Ответственность руководства

• 5.1. Обязательства руководства

6. Оценка менеджмента СУИБ

• 6.1. Общие положения
• 6.2. Порядок оценки
• 6.3. Результаты оценки
• 6.4. Внутренние аудиты СУИБ

7. Улучшение СУИБ

• 7.1. Постоянное совершенствование
• 7.2. Корректирующие действия
• 7.3. Предупредительные действия

Разделы 4-7 содержат основные организационные рамки для внедрения и эксплуатации системы управления информационной безопасностью. Основные элементы:

• Внутренний аудит
• Оценка руководством
• Управление документацией
• Управление рисками

Приложение A BS 7799 содержит перечень контролей, разделённых на технические и организационные меры. Данная детализация контроля в ISO/IEC 17799 представлена в более развитой форме. Главы 3-12 стандарта ISO/IEC 17799-2000 соответствуют разделам A.3.-A.12 стандарта BS 7799-2:2002.