Открыть сервис

BS 7799-2

BS 7799-2 — это стандарт Британского института стандартов (BSI), который определял требования к системе менеджмента информационной безопасности (СМИБ). Он являлся второй частью серии стандартов BS 7799 и был опубликован в 1998 году. BS 7799-2 стал основой для разработки международного стандарта ISO/IEC 27001, который впоследствии вытеснил его. Стандарт устанавливал требования к процессам планирования, внедрения, эксплуатации, мониторинга, анализа и улучшения СМИБ, а также к документированию системы.

История

Предпосылки появления

В 1990-х годах, с ростом числа компьютерных преступлений и утечек данных, в Великобритании возникла потребность в систематизации подходов к защите информации. Британское правительство инициировало разработку свода правил, который позже лёг в основу первой части стандарта — BS 7799-1 (1995 год), содержащего рекомендации по управлению информационной безопасностью. Однако для сертификации организаций требовался документ, устанавливающий обязательные требования, а не просто рекомендации.

Разработка и публикация

Вторая часть, BS 7799-2, была разработана BSI Group и впервые опубликована в 1998 году. Она представляла собой спецификацию для системы менеджмента информационной безопасности, основанную на цикле PDCA (Plan-Do-Check-Act). В 2002 году вышла вторая редакция стандарта (BS 7799-2:2002), которая была гармонизирована с другими стандартами менеджмента, такими как ISO 9001 и ISO 14001, и включала более чёткие требования к процессам управления рисками.

Переход к международному стандарту

В 2005 году на основе BS 7799-2:2002 был разработан и принят международный стандарт ISO/IEC 27001:2005. После этого национальный стандарт BS 7799-2 был постепенно выведен из обращения, уступив место международному аналогу. Последняя версия BS 7799-2 была отменена в 2008 году, хотя организации, сертифицированные по нему, могли продолжать использовать сертификаты до истечения их срока действия.

Структура и требования

Цикл PDCA

BS 7799-2 базировался на модели непрерывного улучшения PDCA:

  • Plan (Планирование): определение политики безопасности, целей, процессов и процедур, связанных с управлением рисками и улучшением СМИБ.
  • Do (Выполнение): внедрение и эксплуатация политики, средств контроля, процессов и процедур.
  • Check (Проверка): мониторинг и анализ результатов выполнения процессов, оценка эффективности СМИБ.
  • Act (Действие): проведение корректирующих и предупреждающих действий для постоянного улучшения системы.

Основные разделы

Стандарт содержал следующие ключевые разделы:

  1. Область применения: определение границ и применимости СМИБ.
  2. Нормативные ссылки: указание на BS 7799-1 как на источник рекомендаций по выбору средств контроля.
  3. Термины и определения: пояснение ключевых понятий, таких как «актив», «риск», «уязвимость».
  4. Требования к СМИБ:

Соответствие с BS 7799-1

BS 7799-2 не содержал конкретных технических мер защиты, а лишь устанавливал требования к процессам управления. Выбор конкретных средств контроля (например, антивирусной защиты, шифрования, контроля доступа) должен был основываться на рекомендациях из BS 7799-1 (часть 1) и результатах оценки рисков организации.

Применение

Сертификация

Основным применением BS 7799-2 была сертификация систем менеджмента информационной безопасности организаций. Сертификат выдавался аккредитованными органами по сертификации (например, BSI, DNV, Lloyd’s Register) после успешного прохождения аудита. Сертификация подтверждала, что организация внедрила и поддерживает СМИБ, соответствующую требованиям стандарта.

Области использования

Стандарт применялся в различных отраслях, включая:

  • Финансовый сектор (банки, страховые компании) — для защиты данных клиентов и транзакций.
  • Государственные учреждения — для обеспечения безопасности государственных информационных систем.
  • Телекоммуникационные компании — для защиты сетей и данных абонентов.
  • Промышленные предприятия — для защиты коммерческой тайны и технологических процессов.

Преимущества для организаций

Внедрение BS 7799-2 позволяло организациям:

  • Систематизировать подход к управлению информационной безопасностью.
  • Снизить риски утечек данных и финансовых потерь.
  • Повысить доверие клиентов и партнёров.
  • Соответствовать требованиям законодательства (например, в Великобритании — Закону о защите данных 1998 года).

Критика и ограничения

Сложность внедрения

Критики отмечали, что BS 7799-2 был слишком формализован и требовал значительных ресурсов для внедрения, особенно для малых и средних предприятий. Документирование процессов и проведение внутренних аудитов могли быть непропорционально затратными по сравнению с реальными рисками.

Отсутствие специфических мер

Стандарт не предписывал конкретных технических решений, что оставляло организациям свободу в выборе средств защиты, но также создавало риск неполного охвата угроз при неправильной оценке рисков.

Устаревание

С появлением новых угроз (например, атак на цепочки поставок, облачных технологий) и развитием законодательства (например, GDPR) требования BS 7799-2 стали недостаточными. Это стимулировало переход к более современным стандартам, таким как ISO/IEC 27001:2013 и ISO/IEC 27001:2022.

Наследие

BS 7799-2 стал основой для международного стандарта ISO/IEC 27001, который сегодня является одним из самых распространённых стандартов в области информационной безопасности. Многие принципы и требования BS 7799-2, такие как цикл PDCA, управление рисками и документирование, были сохранены и развиты в ISO/IEC 27001. В России стандарт BS 7799-2 не имел официального статуса, но его положения учитывались при разработке национальных стандартов, в частности ГОСТ Р ИСО/МЭК 27001-2006 (сейчас — ГОСТ Р ИСО/МЭК 27001-2021).

Источники

  1. BS 7799-2:2002. Information security management systems — Specification with guidance for use. British Standards Institution, 2002.
  2. BS 7799-1:1999. Information security management — Code of practice for information security management. British Standards Institution, 1999.
  3. ISO/IEC 27001:2005. Information technology — Security techniques — Information security management systems — Requirements. International Organization for Standardization, 2005.
  4. Calder, A., Watkins, S. IT Governance: An International Guide to Data Security and ISO 27001/ISO 27002. Kogan Page, 2015.
  5. Humphreys, E. Implementing the ISO/IEC 27001 Information Security Management System Standard. Artech House, 2007.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →