BS 7799-2
BS 7799-2 — это стандарт Британского института стандартов (BSI), который определял требования к системе менеджмента информационной безопасности (СМИБ). Он являлся второй частью серии стандартов BS 7799 и был опубликован в 1998 году. BS 7799-2 стал основой для разработки международного стандарта ISO/IEC 27001, который впоследствии вытеснил его. Стандарт устанавливал требования к процессам планирования, внедрения, эксплуатации, мониторинга, анализа и улучшения СМИБ, а также к документированию системы.
История
Предпосылки появления
В 1990-х годах, с ростом числа компьютерных преступлений и утечек данных, в Великобритании возникла потребность в систематизации подходов к защите информации. Британское правительство инициировало разработку свода правил, который позже лёг в основу первой части стандарта — BS 7799-1 (1995 год), содержащего рекомендации по управлению информационной безопасностью. Однако для сертификации организаций требовался документ, устанавливающий обязательные требования, а не просто рекомендации.
Разработка и публикация
Вторая часть, BS 7799-2, была разработана BSI Group и впервые опубликована в 1998 году. Она представляла собой спецификацию для системы менеджмента информационной безопасности, основанную на цикле PDCA (Plan-Do-Check-Act). В 2002 году вышла вторая редакция стандарта (BS 7799-2:2002), которая была гармонизирована с другими стандартами менеджмента, такими как ISO 9001 и ISO 14001, и включала более чёткие требования к процессам управления рисками.
Переход к международному стандарту
В 2005 году на основе BS 7799-2:2002 был разработан и принят международный стандарт ISO/IEC 27001:2005. После этого национальный стандарт BS 7799-2 был постепенно выведен из обращения, уступив место международному аналогу. Последняя версия BS 7799-2 была отменена в 2008 году, хотя организации, сертифицированные по нему, могли продолжать использовать сертификаты до истечения их срока действия.
Структура и требования
Цикл PDCA
BS 7799-2 базировался на модели непрерывного улучшения PDCA:
- Plan (Планирование): определение политики безопасности, целей, процессов и процедур, связанных с управлением рисками и улучшением СМИБ.
- Do (Выполнение): внедрение и эксплуатация политики, средств контроля, процессов и процедур.
- Check (Проверка): мониторинг и анализ результатов выполнения процессов, оценка эффективности СМИБ.
- Act (Действие): проведение корректирующих и предупреждающих действий для постоянного улучшения системы.
Основные разделы
Стандарт содержал следующие ключевые разделы:
- Область применения: определение границ и применимости СМИБ.
- Нормативные ссылки: указание на BS 7799-1 как на источник рекомендаций по выбору средств контроля.
- Термины и определения: пояснение ключевых понятий, таких как «актив», «риск», «уязвимость».
- Требования к СМИБ:
- Общие требования (политика безопасности, планирование).
- Документация (политики, процедуры, записи).
- Управление операциями (управление активами, персоналом, физической и логической безопасностью).
- Мониторинг и измерение (внутренние аудиты, анализ со стороны руководства).
- Улучшение (корректирующие и предупреждающие действия).
Соответствие с BS 7799-1
BS 7799-2 не содержал конкретных технических мер защиты, а лишь устанавливал требования к процессам управления. Выбор конкретных средств контроля (например, антивирусной защиты, шифрования, контроля доступа) должен был основываться на рекомендациях из BS 7799-1 (часть 1) и результатах оценки рисков организации.
Применение
Сертификация
Основным применением BS 7799-2 была сертификация систем менеджмента информационной безопасности организаций. Сертификат выдавался аккредитованными органами по сертификации (например, BSI, DNV, Lloyd’s Register) после успешного прохождения аудита. Сертификация подтверждала, что организация внедрила и поддерживает СМИБ, соответствующую требованиям стандарта.
Области использования
Стандарт применялся в различных отраслях, включая:
- Финансовый сектор (банки, страховые компании) — для защиты данных клиентов и транзакций.
- Государственные учреждения — для обеспечения безопасности государственных информационных систем.
- Телекоммуникационные компании — для защиты сетей и данных абонентов.
- Промышленные предприятия — для защиты коммерческой тайны и технологических процессов.
Преимущества для организаций
Внедрение BS 7799-2 позволяло организациям:
- Систематизировать подход к управлению информационной безопасностью.
- Снизить риски утечек данных и финансовых потерь.
- Повысить доверие клиентов и партнёров.
- Соответствовать требованиям законодательства (например, в Великобритании — Закону о защите данных 1998 года).
Критика и ограничения
Сложность внедрения
Критики отмечали, что BS 7799-2 был слишком формализован и требовал значительных ресурсов для внедрения, особенно для малых и средних предприятий. Документирование процессов и проведение внутренних аудитов могли быть непропорционально затратными по сравнению с реальными рисками.
Отсутствие специфических мер
Стандарт не предписывал конкретных технических решений, что оставляло организациям свободу в выборе средств защиты, но также создавало риск неполного охвата угроз при неправильной оценке рисков.
Устаревание
С появлением новых угроз (например, атак на цепочки поставок, облачных технологий) и развитием законодательства (например, GDPR) требования BS 7799-2 стали недостаточными. Это стимулировало переход к более современным стандартам, таким как ISO/IEC 27001:2013 и ISO/IEC 27001:2022.
Наследие
BS 7799-2 стал основой для международного стандарта ISO/IEC 27001, который сегодня является одним из самых распространённых стандартов в области информационной безопасности. Многие принципы и требования BS 7799-2, такие как цикл PDCA, управление рисками и документирование, были сохранены и развиты в ISO/IEC 27001. В России стандарт BS 7799-2 не имел официального статуса, но его положения учитывались при разработке национальных стандартов, в частности ГОСТ Р ИСО/МЭК 27001-2006 (сейчас — ГОСТ Р ИСО/МЭК 27001-2021).
Источники
- BS 7799-2:2002. Information security management systems — Specification with guidance for use. British Standards Institution, 2002.
- BS 7799-1:1999. Information security management — Code of practice for information security management. British Standards Institution, 1999.
- ISO/IEC 27001:2005. Information technology — Security techniques — Information security management systems — Requirements. International Organization for Standardization, 2005.
- Calder, A., Watkins, S. IT Governance: An International Guide to Data Security and ISO 27001/ISO 27002. Kogan Page, 2015.
- Humphreys, E. Implementing the ISO/IEC 27001 Information Security Management System Standard. Artech House, 2007.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →