Открыть сервис

BS 7799

BS 7799 — это британский стандарт в области информационной безопасности, разработанный Британским институтом стандартов (BSI). Он представляет собой свод практических правил и требований к построению, внедрению, эксплуатации, мониторингу и совершенствованию системы управления информационной безопасностью (СУИБ). Стандарт BS 7799 стал основой для международного стандарта ISO/IEC 27001, который в настоящее время является одним из наиболее широко признанных в мире нормативных документов в сфере защиты информации.

История разработки

Разработка BS 7799 началась в середине 1990-х годов в ответ на растущую потребность организаций в систематизированном подходе к управлению информационной безопасностью. Первая версия стандарта, BS 7799-1:1995, была опубликована в 1995 году. Она представляла собой «Практические правила управления информационной безопасностью» (Code of Practice for Information Security Management) и содержала рекомендации по выбору и реализации мер контроля.

В 1998 году была выпущена вторая часть стандарта — BS 7799-2:1998, которая определяла требования к самой системе управления информационной безопасностью (СУИБ). Эта часть описывала процессный подход, основанный на цикле PDCA (Plan-Do-Check-Act), и позволяла организациям проходить сертификацию на соответствие стандарту.

В 1999 году обе части были пересмотрены и опубликованы как BS 7799-1:1999 и BS 7799-2:1999. В 2000 году первая часть стандарта (BS 7799-1) была принята в качестве международного стандарта ISO/IEC 17799:2000. В 2005 году произошло значительное обновление: BS 7799-2:2005 был гармонизирован с другими стандартами систем менеджмента (ISO 9001, ISO 14001), а в 2005 году на его основе был разработан международный стандарт ISO/IEC 27001:2005. Впоследствии, после публикации ISO/IEC 27001:2005, BSI прекратил разработку и актуализацию национального стандарта BS 7799, сосредоточившись на международной версии.

Структура стандарта

BS 7799 состоял из двух основных частей, которые дополняли друг друга.

BS 7799-1: Практические правила (Code of Practice)

Эта часть стандарта носила рекомендательный характер. Она содержала подробное описание целей и мер контроля в области информационной безопасности. Разделы BS 7799-1 охватывали широкий спектр аспектов:

BS 7799-2: Требования к СУИБ

Эта часть стандарта была нормативной и содержала требования, которым должна соответствовать система управления информационной безопасностью для успешного прохождения сертификации. Ключевые элементы BS 7799-2 включали:

Применение и значение

BS 7799, а затем и его международный аналог ISO/IEC 27001, стали основой для построения систем управления информационной безопасностью в тысячах организаций по всему миру. Стандарт применялся в различных отраслях:

Сертификация по BS 7799 (позже — по ISO/IEC 27001) позволяла организациям:

Критика и ограничения

Несмотря на широкое распространение, BS 7799 подвергался критике по ряду направлений:

Переход к ISO/IEC 27001

После того как в 2005 году был опубликован международный стандарт ISO/IEC 27001, национальный стандарт BS 7799 утратил свою актуальность. Организации, сертифицированные по BS 7799, переходили на ISO/IEC 27001. В настоящее время BS 7799 представляет исторический интерес как предшественник современной серии международных стандартов ISO/IEC 27000, которая включает в себя ISO/IEC 27001 (требования), ISO/IEC 27002 (практические правила) и другие документы.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →