BS 7799
BS 7799 — это британский стандарт в области информационной безопасности, разработанный Британским институтом стандартов (BSI). Он представляет собой свод практических правил и требований к построению, внедрению, эксплуатации, мониторингу и совершенствованию системы управления информационной безопасностью (СУИБ). Стандарт BS 7799 стал основой для международного стандарта ISO/IEC 27001, который в настоящее время является одним из наиболее широко признанных в мире нормативных документов в сфере защиты информации.
История разработки
Разработка BS 7799 началась в середине 1990-х годов в ответ на растущую потребность организаций в систематизированном подходе к управлению информационной безопасностью. Первая версия стандарта, BS 7799-1:1995, была опубликована в 1995 году. Она представляла собой «Практические правила управления информационной безопасностью» (Code of Practice for Information Security Management) и содержала рекомендации по выбору и реализации мер контроля.
В 1998 году была выпущена вторая часть стандарта — BS 7799-2:1998, которая определяла требования к самой системе управления информационной безопасностью (СУИБ). Эта часть описывала процессный подход, основанный на цикле PDCA (Plan-Do-Check-Act), и позволяла организациям проходить сертификацию на соответствие стандарту.
В 1999 году обе части были пересмотрены и опубликованы как BS 7799-1:1999 и BS 7799-2:1999. В 2000 году первая часть стандарта (BS 7799-1) была принята в качестве международного стандарта ISO/IEC 17799:2000. В 2005 году произошло значительное обновление: BS 7799-2:2005 был гармонизирован с другими стандартами систем менеджмента (ISO 9001, ISO 14001), а в 2005 году на его основе был разработан международный стандарт ISO/IEC 27001:2005. Впоследствии, после публикации ISO/IEC 27001:2005, BSI прекратил разработку и актуализацию национального стандарта BS 7799, сосредоточившись на международной версии.
Структура стандарта
BS 7799 состоял из двух основных частей, которые дополняли друг друга.
BS 7799-1: Практические правила (Code of Practice)
Эта часть стандарта носила рекомендательный характер. Она содержала подробное описание целей и мер контроля в области информационной безопасности. Разделы BS 7799-1 охватывали широкий спектр аспектов:
- Политика безопасности — определение и документирование политики организации в области ИБ.
- Организация информационной безопасности — распределение ролей и ответственности, управление инцидентами.
- Управление активами — инвентаризация и классификация информационных активов.
- Безопасность человеческих ресурсов — обучение, проверка персонала, процедуры при приеме и увольнении.
- Физическая и экологическая безопасность — защита помещений, оборудования, контроль доступа.
- Управление коммуникациями и операциями — управление сетями, защита от вредоносного ПО, резервное копирование.
- Контроль доступа — управление учетными записями, аутентификация, контроль доступа к системам.
- Приобретение, разработка и сопровождение информационных систем — безопасность на этапах проектирования и разработки.
- Управление инцидентами информационной безопасности — обнаружение, реагирование и расследование.
- Управление непрерывностью бизнеса — планирование действий в чрезвычайных ситуациях.
- Соответствие требованиям — соблюдение законодательства, внутренних политик и контрактных обязательств.
BS 7799-2: Требования к СУИБ
Эта часть стандарта была нормативной и содержала требования, которым должна соответствовать система управления информационной безопасностью для успешного прохождения сертификации. Ключевые элементы BS 7799-2 включали:
- Область применения СУИБ — четкое определение границ системы.
- Политика СУИБ — формальное заявление руководства о намерениях.
- Оценка рисков — идентификация, анализ и оценка рисков информационной безопасности.
- Обработка рисков — выбор и реализация мер контроля для снижения рисков до приемлемого уровня.
- Аудит и анализ — внутренние проверки, анализ со стороны руководства.
- Корректирующие и предупреждающие действия — непрерывное улучшение системы.
Применение и значение
BS 7799, а затем и его международный аналог ISO/IEC 27001, стали основой для построения систем управления информационной безопасностью в тысячах организаций по всему миру. Стандарт применялся в различных отраслях:
- Государственный сектор — для защиты государственных информационных систем и персональных данных граждан.
- Финансовый сектор — банки, страховые компании и другие финансовые учреждения использовали стандарт для соблюдения регулирующих требований (например, в России — требований ЦБ РФ) и защиты финансовой информации.
- Телекоммуникации — операторы связи применяли стандарт для обеспечения безопасности своих сетей и услуг.
- Промышленность — для защиты коммерческой тайны и производственных данных.
- ИТ-компании — для демонстрации клиентам и партнерам высокого уровня безопасности предоставляемых услуг (например, облачных сервисов).
Сертификация по BS 7799 (позже — по ISO/IEC 27001) позволяла организациям:
- Систематизировать подход к управлению информационной безопасностью.
- Снизить риски утечки данных, финансовых потерь и репутационного ущерба.
- Повысить доверие со стороны клиентов, партнеров и регулирующих органов.
- Демонстрировать соответствие законодательным и нормативным требованиям.
Критика и ограничения
Несмотря на широкое распространение, BS 7799 подвергался критике по ряду направлений:
- Сложность и бюрократизация — внедрение стандарта требовало значительных временных и ресурсных затрат на документирование процессов, что могло быть непропорционально для малых и средних предприятий.
- Фокус на формальное соответствие — некоторые организации воспринимали сертификацию как самоцель, уделяя больше внимания формальному выполнению требований, чем реальному повышению уровня безопасности.
- Общий характер — стандарт предлагал универсальные рекомендации, которые могли быть недостаточно адаптированы к специфике конкретной отрасли или организации.
- Отсутствие жестких технических требований — BS 7799 задавал общие принципы и цели, но не предписывал конкретных технических решений, что оставляло пространство для интерпретации.
Переход к ISO/IEC 27001
После того как в 2005 году был опубликован международный стандарт ISO/IEC 27001, национальный стандарт BS 7799 утратил свою актуальность. Организации, сертифицированные по BS 7799, переходили на ISO/IEC 27001. В настоящее время BS 7799 представляет исторический интерес как предшественник современной серии международных стандартов ISO/IEC 27000, которая включает в себя ISO/IEC 27001 (требования), ISO/IEC 27002 (практические правила) и другие документы.
Источники
- BS 7799-1:1999. Information security management. Code of practice for information security management. BSI.
- BS 7799-2:2002. Information security management. Specification for information security management systems. BSI.
- ISO/IEC 27001:2005. Information technology — Security techniques — Information security management systems — Requirements.
- ISO/IEC 17799:2000. Information technology — Code of practice for information security management.
- Calder, A. (2005). IT Governance: A Manager's Guide to Data Security and BS 7799/ISO 17799. Kogan Page Publishers.
- Humphreys, E. (2008). Information Security Management Standards: A Guide to BS 7799/ISO 17799. BSI.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →