BS 7799 : Стандарт управления информационной безопасностью

Около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся на компьютерах. Потеря данных может быть (и часто действительно бывает) катастрофой для организации любого размера. Угроза бизнесу от неадекватной системы информационной безопасности чрезвычайно серьезна. В 2000 году только в результате деятельности хакеров потери делового мира составили около $800 миллионов. К этому следует добавить потери от пиратства, вирусов, простоя информационных систем, промышленного шпионажа, перебоев электропитания и так далее.

Стандарт управления информационной безопасностью BS 7799 является моделью системы менеджмента, т.е. обобщением мирового опыта в организации систем информационной безопасности. В этом смысле BS 7799 не является техническим стандартом, он, например, не предписывает использование каких-то определенных способов шифрования данных или устройств защиты от сбоев питания. Стандарт определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т.д. - в контексте информационной безопасности.

Происхождение стандарта

Стандарт BS 7799 первый вариант опубликован в 1995 году. Стандарт контролируется Департаментом по Торговле и Промышленности Великобритании (DTI) и Британским Институтом Стандартов. Установлена схема аккредитованной сертификации по стандарту BS 7799 - C:CURE, контролируемая BSI.

Международное признание стандарта
маркированный список

BS 7799 был предложен в Международной организации по стандартизации (ISO). Предполагается, что данный стандарт в скором времени станет стандартом ISO и единым европейским стандартом;

маркированный список

BS 7799 адаптирован рядом стран Британского Содружества (в частности в Австралией и Новой Зеландией), Нидерландами. Стандарт рассматривается в качестве основы для национальных стандартов странами Скандинавии. Большой интерес к BS 7799 имеется в США и Канаде.

Цели стандарта

Создать общую основу для разработки, внедрения и оценки эффективности систем управления безопасностью информации, применимую как в условиях коммерческих компаний, так и государственных и некоммерческих структур.

Содержит требования по следующим вопросам:

маркированный список

формулирование политики организации в области безопасности информации;

маркированный список

инструменты и методы управления безопасностью информации;

маркированный список

управление компьютерными сетями;

маркированный список

разработка и поставка программного обеспечения и информационных систем;

маркированный список

соответствие стандарту.

Базируется на анализе риска.

Не ограничивается информацией, хранимой на компьютерах.

Что защищает?

Конфиденциальность: защита информации от несанкционированного доступа

Целостность: защита информации от несанкционированного изменения, обеспечение ее точности и полноты

Доступность: возможность пользоваться информацией, когда это требуется - работоспособность системы

Важно, что данный стандарт не концентрируется лишь на конфиденциальности. В коммерческих организациях с точки зрения возможных материальных потерь целостность и доступность данных зачастую более критичны.

Защищает от кого и от чего?

Возможные угрозы вашей информационной системе:

маркированный список

хакеры;

маркированный список

промышленный шпионаж;

маркированный список

недобросовестные сотрудники;

маркированный список

компьютерное пиратство;

маркированный список

воровство и вандализм;

маркированный список

отключения питания;

маркированный список

сбои в работе оборудования и ПО;

маркированный список

вирусы;

маркированный список

стихийные бедствия.

Что дает внедрение системы управления информационной безопасностью?

прямые преимущества:

маркированный список

избежать прямых потерь, связанных с нарушением конфиденциальности, неконтролируемыми изменениями данных, простоями информационной системы;

маркированный список

принятие решений основывается на более высоком качестве информации и информационных услуг;

маркированный список

внедрение системы управления информационной безопасностью оказывает благотворное влияние на общую организацию работ и профессиональный уровень сотрудников.

косвенные преимущества:

маркированный список

уверенность и доверие клиентов и партнеров;

маркированный список

внедрение системы управления информационной безопасностью является положительным фактором при слиянии компаний, а также при получении кредитов и правительственных заказов;

маркированный список

признание на международном уровне.