BS 7799-1
BS 7799-1 — это британский стандарт в области информационной безопасности, разработанный Британским институтом стандартов (BSI). Он представлял собой свод практических правил (code of practice) по управлению информационной безопасностью и содержал детальные рекомендации по выбору и внедрению средств защиты информации. Стандарт стал основой для международного стандарта ISO/IEC 17799 (позднее — ISO/IEC 27002) и сыграл ключевую роль в формировании современного подхода к системам менеджмента информационной безопасности (СМИБ).
История
Разработка BS 7799-1 началась в середине 1990-х годов на фоне роста угроз информационной безопасности и необходимости унификации подходов к защите данных в коммерческом секторе. Первая версия стандарта была опубликована в 1995 году под названием «BS 7799-1:1995. Information security management — Part 1: Code of practice for information security management». В 1998 году вышла вторая часть — BS 7799-2, которая устанавливала требования к системе менеджмента информационной безопасности и стала основой для сертификации организаций.
В 2000 году BS 7799-1 был принят Международной организацией по стандартизации (ISO) как международный стандарт ISO/IEC 17799:2000 (Information technology — Security techniques — Code of practice for information security management). В 2005 году он был пересмотрен и переиздан как ISO/IEC 17799:2005, а затем, в 2007 году, вошёл в семейство ISO/IEC 27000 как ISO/IEC 27002:2005. Таким образом, BS 7799-1 прекратил своё существование как самостоятельный британский стандарт, уступив место международным аналогам.
Структура и содержание
BS 7799-1 был организован как набор разделов, каждый из которых охватывал определённую область управления информационной безопасностью. Основные разделы стандарта включали:
- Политика безопасности — определение целей и принципов защиты информации, разработка и утверждение политики безопасности организации.
- Организационные меры — распределение ответственности за безопасность, управление инцидентами, взаимодействие с третьими сторонами.
- Управление активами — инвентаризация информационных активов, классификация по степени конфиденциальности и критичности.
- Безопасность персонала — обучение и повышение осведомлённости сотрудников, процедуры приёма и увольнения, контроль доступа.
- Физическая безопасность — защита помещений, оборудования, носителей информации от несанкционированного доступа, хищения и повреждения.
- Управление коммуникациями и операциями — процедуры эксплуатации систем, защита от вредоносного ПО, резервное копирование, управление сетями.
- Контроль доступа — аутентификация, авторизация, управление паролями, разграничение прав пользователей.
- Разработка и сопровождение систем — требования безопасности к проектированию, тестированию и эксплуатации информационных систем.
- Управление инцидентами — процедуры выявления, регистрации, анализа и реагирования на нарушения безопасности.
- Управление непрерывностью бизнеса — планирование и поддержание работоспособности критических процессов в случае сбоев или катастроф.
- Соответствие требованиям — соблюдение законодательства, договорных обязательств, внутренних политик и стандартов.
Каждый раздел содержал конкретные рекомендации и примеры реализации мер безопасности, что делало стандарт практическим руководством для специалистов.
Влияние на международные стандарты
BS 7799-1 стал основой для серии стандартов ISO/IEC 27000, которая сегодня является наиболее распространённой в области управления информационной безопасностью. В частности:
- ISO/IEC 27002 (ранее ISO/IEC 17799) — прямое развитие BS 7799-1, содержащее аналогичные рекомендации, но с учётом международного опыта и современных угроз.
- ISO/IEC 27001 — стандарт, устанавливающий требования к СМИБ, основанный на BS 7799-2.
Таким образом, BS 7799-1 фактически задал структуру и методологию, которые используются в большинстве систем управления информационной безопасностью по всему миру.
Критика и ограничения
Несмотря на широкое признание, BS 7799-1 подвергался критике по нескольким направлениям:
- Общий характер — стандарт содержал рекомендации, которые могли быть применимы к организациям любого размера и отрасли, но не учитывал специфику отдельных секторов (например, финансового или здравоохранения).
- Отсутствие обязательных требований — как кодекс практики, он не устанавливал строгих критериев для сертификации, что снижало его принудительную силу.
- Устаревание — с развитием технологий (облачные вычисления, мобильные устройства, интернет вещей) некоторые рекомендации стандарта перестали соответствовать современным реалиям, что потребовало его пересмотра и замены на ISO/IEC 27002.
Значение и наследие
BS 7799-1 стал первым комплексным стандартом, объединившим организационные, технические и правовые аспекты информационной безопасности. Он способствовал распространению системного подхода к защите информации, особенно в Великобритании и странах Содружества. Многие организации, внедрившие BS 7799-1, впоследствии успешно перешли на международные стандарты ISO/IEC 27001 и ISO/IEC 27002.
В России стандарт не имел официального статуса, однако его принципы были учтены при разработке национальных нормативных документов, в частности, ГОСТ Р ИСО/МЭК 27002-2012 (аналог ISO/IEC 27002). Сегодня BS 7799-1 представляет исторический интерес как предшественник современных стандартов управления информационной безопасностью.
Источники
- BSI. BS 7799-1:1995. Information security management — Part 1: Code of practice for information security management. British Standards Institution, 1995.
- ISO/IEC 17799:2000. Information technology — Security techniques — Code of practice for information security management.
- ISO/IEC 27002:2005. Information technology — Security techniques — Code of practice for information security management.
- Calder, A., Watkins, S. IT Governance: A Manager’s Guide to Data Security and BS 7799/ISO 17799. Kogan Page, 2005.
- Humphreys, E. Implementing the ISO/IEC 27001 Information Security Management System Standard. Artech House, 2007.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →