Открыть сервис

BS 7799-1

BS 7799-1 — это британский стандарт в области информационной безопасности, разработанный Британским институтом стандартов (BSI). Он представлял собой свод практических правил (code of practice) по управлению информационной безопасностью и содержал детальные рекомендации по выбору и внедрению средств защиты информации. Стандарт стал основой для международного стандарта ISO/IEC 17799 (позднее — ISO/IEC 27002) и сыграл ключевую роль в формировании современного подхода к системам менеджмента информационной безопасности (СМИБ).

История

Разработка BS 7799-1 началась в середине 1990-х годов на фоне роста угроз информационной безопасности и необходимости унификации подходов к защите данных в коммерческом секторе. Первая версия стандарта была опубликована в 1995 году под названием «BS 7799-1:1995. Information security management — Part 1: Code of practice for information security management». В 1998 году вышла вторая часть — BS 7799-2, которая устанавливала требования к системе менеджмента информационной безопасности и стала основой для сертификации организаций.

В 2000 году BS 7799-1 был принят Международной организацией по стандартизации (ISO) как международный стандарт ISO/IEC 17799:2000 (Information technology — Security techniques — Code of practice for information security management). В 2005 году он был пересмотрен и переиздан как ISO/IEC 17799:2005, а затем, в 2007 году, вошёл в семейство ISO/IEC 27000 как ISO/IEC 27002:2005. Таким образом, BS 7799-1 прекратил своё существование как самостоятельный британский стандарт, уступив место международным аналогам.

Структура и содержание

BS 7799-1 был организован как набор разделов, каждый из которых охватывал определённую область управления информационной безопасностью. Основные разделы стандарта включали:

  • Политика безопасности — определение целей и принципов защиты информации, разработка и утверждение политики безопасности организации.
  • Организационные мерыраспределение ответственности за безопасность, управление инцидентами, взаимодействие с третьими сторонами.
  • Управление активамиинвентаризация информационных активов, классификация по степени конфиденциальности и критичности.
  • Безопасность персонала — обучение и повышение осведомлённости сотрудников, процедуры приёма и увольнения, контроль доступа.
  • Физическая безопасность — защита помещений, оборудования, носителей информации от несанкционированного доступа, хищения и повреждения.
  • Управление коммуникациями и операциями — процедуры эксплуатации систем, защита от вредоносного ПО, резервное копирование, управление сетями.
  • Контроль доступааутентификация, авторизация, управление паролями, разграничение прав пользователей.
  • Разработка и сопровождение систем — требования безопасности к проектированию, тестированию и эксплуатации информационных систем.
  • Управление инцидентами — процедуры выявления, регистрации, анализа и реагирования на нарушения безопасности.
  • Управление непрерывностью бизнеса — планирование и поддержание работоспособности критических процессов в случае сбоев или катастроф.
  • Соответствие требованиям — соблюдение законодательства, договорных обязательств, внутренних политик и стандартов.

Каждый раздел содержал конкретные рекомендации и примеры реализации мер безопасности, что делало стандарт практическим руководством для специалистов.

Влияние на международные стандарты

BS 7799-1 стал основой для серии стандартов ISO/IEC 27000, которая сегодня является наиболее распространённой в области управления информационной безопасностью. В частности:

  • ISO/IEC 27002 (ранее ISO/IEC 17799) — прямое развитие BS 7799-1, содержащее аналогичные рекомендации, но с учётом международного опыта и современных угроз.
  • ISO/IEC 27001 — стандарт, устанавливающий требования к СМИБ, основанный на BS 7799-2.

Таким образом, BS 7799-1 фактически задал структуру и методологию, которые используются в большинстве систем управления информационной безопасностью по всему миру.

Критика и ограничения

Несмотря на широкое признание, BS 7799-1 подвергался критике по нескольким направлениям:

  • Общий характер — стандарт содержал рекомендации, которые могли быть применимы к организациям любого размера и отрасли, но не учитывал специфику отдельных секторов (например, финансового или здравоохранения).
  • Отсутствие обязательных требований — как кодекс практики, он не устанавливал строгих критериев для сертификации, что снижало его принудительную силу.
  • Устаревание — с развитием технологий (облачные вычисления, мобильные устройства, интернет вещей) некоторые рекомендации стандарта перестали соответствовать современным реалиям, что потребовало его пересмотра и замены на ISO/IEC 27002.

Значение и наследие

BS 7799-1 стал первым комплексным стандартом, объединившим организационные, технические и правовые аспекты информационной безопасности. Он способствовал распространению системного подхода к защите информации, особенно в Великобритании и странах Содружества. Многие организации, внедрившие BS 7799-1, впоследствии успешно перешли на международные стандарты ISO/IEC 27001 и ISO/IEC 27002.

В России стандарт не имел официального статуса, однако его принципы были учтены при разработке национальных нормативных документов, в частности, ГОСТ Р ИСО/МЭК 27002-2012 (аналог ISO/IEC 27002). Сегодня BS 7799-1 представляет исторический интерес как предшественник современных стандартов управления информационной безопасностью.

Источники

  • BSI. BS 7799-1:1995. Information security management — Part 1: Code of practice for information security management. British Standards Institution, 1995.
  • ISO/IEC 17799:2000. Information technology — Security techniques — Code of practice for information security management.
  • ISO/IEC 27002:2005. Information technology — Security techniques — Code of practice for information security management.
  • Calder, A., Watkins, S. IT Governance: A Manager’s Guide to Data Security and BS 7799/ISO 17799. Kogan Page, 2005.
  • Humphreys, E. Implementing the ISO/IEC 27001 Information Security Management System Standard. Artech House, 2007.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →