Стандарты ISO/IEC 17799:2002 (BS 7799:2000) – ГОСТ Р ИСО/МЭК 17799 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Стандарты ISO/IEC 17799:2002 (BS 7799:2000) – ГОСТ Р ИСО/МЭК 17799



Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью — Информационные технологии» (Information technology — Information security management») является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» (Information security management — Part 1: Code of practice for information security management») и относится к новому поколению стандартов информационной безопасности компьютерных ИС.

Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

· необходимость обеспечения информационной безопасности;

· основные понятия и определения информационной безопасности;

· политика информационной безопасности компании;

· организация информационной безопасности на предприятии;

· классификация и управление корпоративными информационными ресурсами;

 

· кадровый менеджмент и информационная безопасность;

· физическая безопасность;

· администрирование безопасности КИС;

· управление доступом;

· требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;

· управление бизнес-процессами компании с точки зрения информационной безопасности;

· внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью» («Information security management — Part 2: Specification for information security management systems»), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита ИС.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:

· «Введение в проблему управления информационной безопасностью» (Information security managment: an introduction»);

· «Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);

· «Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management);

· «Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing»);

· «Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management).

В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях.

 

Международный стандарт ISO 27001 - ГОСТ Р ИСО/МЭК 27001 "Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (этот стандарт принят 31 декабря 2006 г.);

 

Начиная с осени 2005 г. в России все большую известность при построении корпоративных систем менеджмента информационной безопасностью (СМИБ) завоевывает международный стандарт ISO/IEC 27001:2005 "Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования".

Принят в России в 2006 году как ГОСТ Р ИСО/МЭК 27001.

Истоки ISO/IEC 27001:2005 находятся в британском государственном стандарте BS 7799, который был разработан в 1995 г. Британским институтом стандартов и ведущими организациями и компаниями Великобритании. В 1999-м первая часть BS 7799 была передана в Международную организацию по стандартизации (ISO - The International Organization for Standardization) и в 2000-м утверждена в качестве международного стандарта как ISO/IEC 17799:2000 (BS 7799-1:2000). Следующей его версией стал стандарт ISO/IEC 17799:2005. В 1999 г. вышла в свет вторая часть британского стандарта: BS 7799-2:1999 Information Security management - Specification for ISMS (ISMS - Information Security Management System). В 2002 г. появилась новая, усовершенствованная редакция стандарта - BS 7799-2:2002. На ее основе 14 октября 2005-го был принят стандарт ISO/IEC 27001:2005. Ожидается развитие серии стандартов 27000 и выпуск ISO/IEC 27002, который сменит ISO/IEC 17799:2005.

Выполнение требований ISO/IEC 27001:2005 позволяет организациям формализовать и структурировать процессы управления ИБ по следующим направлениям:

- разработка политики ИБ;

- организация ИБ;

- организация управления внутренними активами и ресурсами компании, составляющими основу ее ключевых бизнес-процессов;

- защита персонала и снижение внутренних угроз компании;

- физическая безопасность в компании и безопасность окружающей среды;

- управление средствами связи и эксплуатацией оборудования;

- разработка и обслуживание аппаратно-программных систем;

- управление непрерывностью бизнес-процессов в компании;

- соблюдение правовых норм по безопасности.

Цели и комплексы мероприятий ISO/IEC 27001:2005 по каждому направлению работ были заимствованы из стандарта ISO/IEC 17799:2005 (разделы 5-15) и перечислены в его приложении А (Annex A. Control objectives and controls).

 

Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.

 

Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее.

ISO27000 Определения и основные принципы. Планируется унификация со стандартами COBIT и ITIL. Проект стандарта находится в разработке.
ISO27001 ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования (BS 7799-2:2005). Выпущен в июле 2005 г.
ISO27002 ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью (ранее ISO/IEC 17799:2005).
ISO27003 Руководство по внедрению системы управления информационной безопасностью. Выпуск запланирован на 2007 г.
ISO27004 Измерение эффективности системы управления информационной безопасностью. Выпуск запланирован на 2007 г.
ISO27005 Управление рисками информационной безопасности (на основе BS 7799-3:2006). Выпуск запланирован на 2007 г.
ISO27006 ISO/IEC 27006:2007 Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью
ISO27007 Руководство для аудитора СУИБ (в разработке).
ISO27011 Руководство по управлению информационной безопасностью для телекоммуникаций (в разработке).

ISO (Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ISO или IEC, участвуют в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности. Другие международные организации, правительственные и не правительственные, совместно с ISO и IEC также принимают участие в этой работе. В области информационных технологий, ISO и IEC организован совместный технический комитет, ISO/IEC JTC 1. Основной задачей совместного технического комитета является подготовка Международных Стандартов. Проекты Международных Стандартов принятые совместным техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. Международные Стандарты проектируются в соответствии с правилами, установленными Директивами ISO/IEC.

 

Германский стандарт BSI

 

В отличие от ISO 17799 германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.

В германском стандарте BSI представлены:

· общая методика управления информационной безопасностью (организация менеджмента в области информационной безопасности, методология использования руководства);

· описания компонентов современных ИТ;

· описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);

· характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);

· характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение);

· характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).

· характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;

· подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

· Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании — возможные угрозы и уязвимости безопасности — возможные меры и средства контроля и защиты.

 

Стандарты и рекомендации Банка России в области информационной безопасности

Центральный Банк РФ проводит большую работу по созданию системы стандартов и рекомендаций, а также методики проверки организаций банковской системы на соответствие их требованиям.

Приняты:

СТО БР ИББС – 1.0 Общие положения



Поделиться:


Последнее изменение этой страницы: 2019-12-15; просмотров: 554; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.212.87.137 (0.025 с.)