Развитие стандарта BS 7799 (ISO 17799)
Британский институт стандартов BSI выпустил серию практических рекомендаций [146, 188, 189, 190, 198, 199, 200, 210], посвященных различным вопросам: оценке и управлению рисками, аудиту режима ИБ, сертификации информационной системы на соответствие стандартам BS 7799, организации работы персонала. Эта серия существенно дополняет международный стандарт ISO 17799 [208, 209].
В сентябре 2002 г. стандарт BS 7799 был пересмотрен. В его новом варианте много внимания уделено вопросам обучения и изначальной интеграции процедур и механизмов ИБ в информационные технологии корпоративных систем, а также дальнейшему развитию технологий оценивания рисков и управления ими. По мнению специалистов, обновление этого стандарта позволит не только создать новую культуру ИБ, но и скоординировать действия различных государственных структур и представителей международного бизнеса в области защиты информации.
В табл. 2.1 дается сравнение содержания стандартов BS 7799 (разных версий) и ISO 9001.
Таблица 2.1. Сравнение содержания стандартов BS 7799 и ISO 9001
Разделы BS 7799-2, 1998 г. | Разделы BS 7799-2, 2002 г. | Разделы ISO 9001, 2000 г. в части ИБ |
- | Введение | Введение |
1. Границы применимости | 1. Границы применимости | 1. Границы применимости |
2. Нормативные ссылки | 2. Нормативные ссылки | |
2. Термины и определения | 3. Термины и определения | 3. Термины и определения |
3.1. Доступность | ||
3.2. Конфиденциальность | ||
3.3. Информационная безопасность | ||
3.4. Система управления режимом информационной безопасности | ||
3.5. Целостность | ||
3.6. Принятие рисков | ||
3.7. Анализ рисков | ||
3.8. Оценка рисков | ||
3.9. Определение рисков | ||
3.10. Управление рисками | ||
3.11. Действия по уменьшению рисков | ||
2.1. Ведомость соответствия | 3.12. Ведомость соответствия | |
3. Системные требования в области управления информационной безопасности | 4. Управление информационной безопасностью | 4. Требования к системе управления качеством (QMS) |
3.1. Общие требования | 4.1. Общие требования | 4.1. Общие требования |
3.2. Создание и организация системы управления режимом информационной безопасности | 4.2. Создание и организация системы управления режимом информационной безопасности | |
4.2.1. Создание системы управления режимом информационной безопасности | ||
3.3. Инструментарий | 4.2.2. Средства и действия в рамках системы управления режимом информационной безопасности | |
4.2.3. Отслеживание событий в системе управления режимом информационной безопасности | ||
4.2.4. Обслуживание и модернизация системы управления режимом информационной безопасности | ||
3.4. Документирование | 4.3. Документирование требований | 4.2. Документирование требований |
4.3.1. Общие требования | 4.2.1. Общие требования | |
3.5. Управление документами | 4.3.2. Управление документами | 4.2.3. Управление документами |
3.6. Записи | 4.3.3. Управление записями | 4.2.4. Управление записями |
- | 5. Распределение обязанностей персонала | 5. Распределение обязанностей персонала |
5.1. Передача полномочий | 5.1. Передача полномочий | |
5.2. Управление ресурсами | 5.2. Управление ресурсами | |
6. Управление процедурой пересмотра некоторых положений | 6. Управление процедурой пересмотра некоторых положений | |
6.1. Общие положения | 6.1. Общие положения | |
6.2. Пересмотр входа | 6.2. Пересмотр входа | |
6.3. Пересмотр выхода | 6.3. Пересмотр выхода | |
6.4. Внешний аудит | 6.4. Внешний аудит | |
7. Модернизация системы управления режимом информационной безопасности | ||
7.1. Непрерывная модернизация | ||
7.2. Корректирующие действия | ||
7.3. Превентивные действия | ||
4. Детализированное описание управления | Приложение А Цели управления и средства управления | |
А1. Введение | ||
А2. Обзор передового опыта | ||
4.1. Политика безопасности | A3. Политика безопасности | |
4.2. Организационные аспекты безопасности | А4. Организационные аспекты безопасности | |
4.3. Классификация ресурсов и управляющих воздействий | А5. Классификация ресурсов и управляющих воздействий | |
4.4. Безопасность персонала | А6. Безопасность персонала | |
4.5. Безопасность инфраструктуры и физическая безопасность | А7. Безопасность инфраструктуры и физическая безопасность | |
4.6. Безопасность инфраструктуры и физическая безопасность | А8. Управление коммуникациями и процессами | |
4.7. Управление доступом | А9. Управление доступом | |
4.8. Развитие системы и обслуживание | А10. Развитие системы и обслуживание | |
4.9. Обеспечение бесперебойной работы | А11. Обеспечение бесперебойной работы | |
4.10. Технические требования | А12. Технические требования | |
Приложение В | ||
Руководство по использованию стандарта | ||
Приложение С | Приложение А | |
Соответствие между ISO 9001:2000, ISO14001:1996 и BS7799 part 2:2002 | Связь между ISO 14001 и ISO 9001 |
Дата добавления: 2018-05-10; просмотров: 877;