Unul dintre primele standarde internaționale pentru managementul securității informațiilor - standardul britanic BS 7799 - a depășit de mult granițele naționale. Prima sa parte, BS 7799-1 „Reguli practice pentru managementul securității informațiilor”, a fost dezvoltată în 1995, la ordinul guvernului britanic de către Instituția Britanică de Standarde ( britanicStandardeInstituţie (BSI) cu participarea organizatii comerciale, ca Coajă, NaţionalWestminsterBancar, MidlandBancar, Unilever, britanicTelecomunicatii, Marci & Spencer, Logica etc.

După cum sugerează și numele, acest document este un ghid practic pentru gestionarea securității informațiilor într-o organizație, indiferent de profilul activităților sale practice. Acesta descrie 10 domenii și 127 de mecanisme de control necesare pentru construirea unui sistem de management al securității informațiilor, definite pe baza cele mai bune exemple

din practica mondială. În conformitate cu acest standard, orice serviciu de securitate IT

– conducerea departamentului și a companiei trebuie să înceapă să lucreze în conformitate cu reglementările generale. Nu contează dacă vorbim despre protejarea documentelor pe hârtie sau a datelor electronice.

În 1998, a apărut a doua parte a acestui standard britanic - BS7799-2 „Sisteme de management al securității informațiilor. Ghid de specificații și aplicații”, care a definit modelul general de construire a unui sistem de management al securității informațiilor și un set de cerințe obligatorii de conformitate cu care trebuie efectuată certificarea. Odată cu apariția celei de-a doua părți a BS 7799, care a definit ce ar trebui să fie un sistem de management al securității informațiilor, a început dezvoltarea activă a unui sistem de certificare în domeniul managementului securității. În 1999, ambele părți ale BS7799 au fost revizuite și armonizate cu standardele internaționale ale sistemului de management ISO 9001 și ISO 14001 un an mai târziu. Comitetul tehnic ISO a adoptat BS 7799-1 fără modificări ca standardul internațional ISO/IEC 17799:2000. A doua parte a BS 7799 a fost revizuită în 2002, iar la sfârșitul anului 2005 a fost adoptată de ISO ca standard internațional ISO/IEC 27001:2005 "- Metode de securitate - Sisteme de management al securității informațiilor - Cerințe.” În același timp, prima parte a standardului a fost actualizată. Odată cu lansarea ISO 27001, specificațiile sistemului de management al securității informațiilor au devenit statut international, iar acum ar trebui să ne așteptăm la o creștere semnificativă a rolului și prestigiului sistemelor de management al securității informațiilor certificate ISO 27001.

Familia 2700x de standarde internaționale de management al securității continuă să evolueze rapid. Conform planurilor ISO, acesta va include:

Standarde care definesc cerințele pentru un sistem de management al securității informațiilor;

Sistem de management al riscului;

Metrici și măsurători ale eficacității mecanismelor de control;

Ghid de implementare.

Această familie de standarde va folosi o schemă de numerotare secvențială de la 27000 încolo. ISO/IEC 17799:2005 va fi ulterior redenumit ISO/IEC 27002.

La începutul anului 2006, a fost adoptat un nou standard național britanic în domeniul managementului riscului de securitate a informațiilor, BS 7799-3, care a primit ulterior indicele 27005. În prezent, standardul britanic 7799 B.S. 27 sprijinit in

țări ale lumii, inclusiv țări ale Commonwealth-ului Britanic, precum și Suedia, Țările de Jos și Rusia. În prezent, standardul britanic 7799, Cu toate acestea, trebuie remarcat conținutul original al standardului

care este încă folosit într-un număr de țări.

Este format din două părți.

    Următoarele aspecte ale securității informațiilor sunt definite și luate în considerare:

    Politica de securitate.

    Organizarea protectiei.

    Clasificarea și gestionarea resurselor informaționale.

    Managementul personalului.

    Securitate fizică. Administrare sisteme informatice

    și rețele.

    Controlați accesul la sisteme.

    Dezvoltarea si intretinerea sistemelor.

    Planificarea bunei funcționări a organizației.

Verificarea conformității sistemului cu cerințele de securitate a informațiilor. („Partea 2: Specificațiile sistemului”)

1998 Aspecte enumerate în „ Partea 1

” sunt considerate în această parte din punctul de vedere al certificării unui sistem informațional pentru conformitatea cu cerințele standardului. Specificațiile funcționale posibile sunt definite aici sisteme corporative managementul securității informațiilor din punctul de vedere al verificării acestora pentru conformitatea cu cerințele primei părți a acestui standard. În conformitate cu prevederile acestui standard de asemeneaprocedura de auditare a informațiilor

sisteme corporative. britanicStandardeInstituţie(BSI) Îndrumări suplimentare pentru gestionarea securității informațiilor sunt furnizate de ghidurile British Standards Institution -:// http. www- globală. com/, publicată în perioada 1995-2003 de ex.

    ca urmatoarea serie: Introducere în managementul securității informațiilor –Informaţiisecuritate: managementun.

    introducere În prezent, standardul britanic 7799 - Opțiuni de certificare pentru cerințele standardPregătireaÎn prezent, standardul britanic 7799 pentru.

    certificare management BS 7799 privind evaluarea și managementul riscurilor -Ghid pentru evaluarea și riscul BS 7799

    management În prezent, standardul britanic 7799- Sunteți pregătit pentru un audit pentru a îndeplini cerințele standard?sunttuPregătireagataÎn prezent, standardul britanic 7799 o?

    audit În prezent, standardul britanic 7799 Ghid pentru efectuarea unui audit conform cerințelor standardului -GhidÎn prezent, standardul britanic 7799 la.

auditare Astăziîntrebări generale În prezent, standardul britanic 7799 managementul securității informațiilor companiilor și organizațiilor, precum și dezvoltarea auditurilor de securitate pentru a îndeplini cerințele standardului tratate de comitetul internaționalComunTehnicComitet/ ISOIEC 1 JTC britanicStandardeInstituţie(BSI) – (http. www- globală. com), împreună cu Institutul Britanic de Standarde - și în special serviciul (UKASUnitregatAcreditat). Serviciu În prezent, standardul britanicComitet/ ISO 7799:2000 (În prezent, standardul britanic 7799-1:2000) Serviciul numit acreditează organizațiile pentru dreptul de a audita securitatea informațiilor în conformitate cu standardul Comitet 9001 . Comitet 9002 Certificatele emise de aceste organisme sunt recunoscute în multe țări. Vă rugăm să rețineți că dacă o companie este certificată conform standardelor În prezent, standardul britanicComitet/ ISO 7799:2000 (În prezent, standardul britanic 7799-1:2000) sau standard permite certificarea sistemelor combinate Comitet 9001 securitatea informatiei Comitet/9002 cu certificare pentru conformitatea cu standardele În prezent, standardul britanicComitet/ ISO 7799:2000 (În prezent, standardul britanic 7799-1:2000). sau

atât în ​​etapa iniţială cât şi în timpul controalelor de control. Pentru a face acest lucru, este necesar să se îndeplinească condiția de participare la certificarea combinată a unui auditor înregistrat conform standardului În același timp, planurile comune de testare ar trebui să indice clar procedurile de verificare a sistemului de securitate a informațiilor, iar autoritățile de certificare ar trebui să se asigure că verificarea securității informațiilor este amănunțită. Institutul Britanic de Standarde (BSI), cu participarea organizațiilor comerciale precum Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica etc., a dezvoltat un standard de securitate a informațiilor, care a fost adoptat ca un standard național în standardul din 1995

În conformitate cu acest standard, orice serviciu de securitate, departament IT sau management al companiei trebuie să înceapă să lucreze în conformitate cu reglementările generale. Nu contează dacă vorbim despre protejarea documentelor pe hârtie sau a datelor electronice. În prezent, standardul britanic BS 7799 este acceptat în 27 de țări, inclusiv în țările Commonwealth-ului Britanic, precum și în Suedia și Țările de Jos. În anul 2000, institutul internațional de standarde ISO, bazat pe BS 7799 britanic, a dezvoltat și lansat standardul internațional de management al siguranței ISO / IEC 17799. Astăzi se poate susține că BS 7799 și ISO 17799 sunt același standard, care astăzi are recunoaștere mondială. și statutul standard internațional ISO.

Cu toate acestea, trebuie remarcat faptul că conținutul original al standardului BS 7799, care este încă utilizat într-un număr de țări. Este format din două părți.

· Politica de securitate.

· Organizarea protecţiei.

· Clasificarea și gestionarea resurselor informaționale.

· Managementul personalului.

· Securitate fizică.

· Administrarea sistemelor și rețelelor informatice.

· Controlează accesul la sisteme.

· Dezvoltarea si intretinerea sistemelor.

· Planificarea bunei functionari a organizatiei.

· Verificarea conformității sistemului cu cerințele de securitate a informațiilor.

„Partea 2: Specificațiile sistemului”(1998) consideră aceleași aspecte din perspectiva certificării sistem informatic pentru conformitatea cu cerințele standardului.

Acesta definește posibile specificații funcționale ale sistemelor de management al securității informațiilor corporative din punctul de vedere al verificării acestora pentru conformitatea cu cerințele primei părți a acestui standard. În conformitate cu prevederile acestui standard, este reglementată și procedura de auditare a sistemelor informaționale corporative.

Recomandări suplimentare pentru managementul securității informațiilor sunt furnizate de ghidurile British Standards Institution (BSI) http://www.bsi-giobal.com/, publicate între 1995-2003 în următoarea serie:

· Introducere în problema managementului securității informațiilor – ​​Managementul securității informațiilor: o introducere.


· Oportunități de certificare conform cerințelor standardului BS 7799 - Pregătirea pentru certificarea BS 7799.

· Ghid pentru evaluarea și managementul riscurilor BS 7799.

· Ești pregătit pentru un audit BS 7799?

· Ghid pentru auditul BS 7799.

Astăzi, comitetul internațional Joint Technical Committee ISO/IEC JTC 1 împreună cu British Standards Institution (BSI) - (www.bsi-global .com), și în special UKAS (United Kingdom Accredited Service). Acest serviciu acreditează organizațiile pentru dreptul de a audita securitatea informațiilor în conformitate cu standardul BS ISO/IEC 7799:2000 (BS 7799-1:2000). Certificatele emise de aceste organisme sunt recunoscute în multe țări.

Vă rugăm să rețineți că în cazul certificării companiei conform standardelor ISO 9001 sau ISO 9002, BS ISO/IEC 7799:2000 (BS 7799-1:2000) permite combinarea certificării unui sistem de securitate a informațiilor cu certificarea pentru conformitate cu standardele ISO 9001 sau 9002 ca în etapa inițială, precum și în timpul controalelor de control. Pentru a face acest lucru, trebuie să îndepliniți condiția de participare la certificarea combinată a unui auditor înregistrat conform BS ISO/IEC 7799:2000 (BS 7799-1:2000). În același timp, planurile comune de testare ar trebui să indice în mod clar procedurile de verificare a sistemelor de securitate a informațiilor, iar autoritățile de certificare ar trebui să se asigure că verificarea securității informațiilor este minuțioasă.

Managementul continuității afacerii (BCM) este un proces de management holistic care identifică potențialele amenințări la adresa unei organizații și determină impactul posibil asupra operațiunilor de afaceri dacă acele amenințări se materializează și stabilește baza pentru asigurarea capacității organizației de a recupera și de a răspunde eficient la incidente, asigurând astfel că interesele sale sunt servite de părțile interesate cheie, menținând reputația, marca și activitățile cu valoare adăugată. DSA include gestionarea recuperării și continuării activitate economicăîn cazul unei întreruperi de afaceri și gestionarea programului general de continuitate a afacerii prin instruire, exerciții și analize pentru a menține planul (planurile) de continuitate a afacerii la zi.

BS 25999-1:2006, Managementul continuității afacerii - Partea 1: Reguli de practică

BS 25999-1:2006 definește procesul, principiile și terminologia pentru managementul continuității afacerii, oferind baza pentru înțelegerea, proiectarea și implementarea unui sistem de continuitate a afacerii în cadrul unei organizații și oferind încredere clienților și partenerilor în fiabilitatea acestuia. Acest standard descrie un set cuprinzător de mecanisme de control și acoperă toate ciclu de viață procesul de management al continuității afacerii. A fost dezvoltat de practicieni la nivel mondial pe baza celor mai bune practici din industrie și este potrivit pentru organizații de toate tipurile și dimensiunile.

BS 25999-2:2007, „Managementul continuității activității - Partea 2: Specificații”

În timp ce prima parte a standardului (BS 25999-1:2006) oferă îndrumări generale privind managementul continuității activității, a doua parte stabilește cerințele pentru un sistem de management al continuității activității și numai cele care pot fi verificate în mod obiectiv. Folosind aceste cerințe, companiile pot evalua sistem existent managementul continuității afacerii, atât independent, cât și implicând consultanți externi. Pe baza celei de-a doua părți a standardului, organismele de certificare vor emite o concluzie privind conformitatea sistemului de management al continuității activității cu cerințele standardului BS 25999.

BS 25777:2008, „Gestionarea continuității tehnologiei informației și comunicațiilor - Reguli de practică”

Standardul britanic BS 25777 a fost dezvoltat din standardele existente de continuitate a afacerii BS 25999 și specificația publică complementară PAS 77, care rezumă cele mai bune practica mondialaîn domeniul asigurării continuităţii serviciilor IT.

Managementul continuității TIC asigură viabilitatea necesară a tehnologiilor și serviciilor informației și comunicațiilor și capacitatea de a le restabili la un nivel prestabilit în intervalul de timp necesar, convenit cu conducerea organizației. Managementul eficient al continuității afacerii depinde de managementul continuității TIC pentru a se asigura că organizația este întotdeauna capabilă să-și atingă obiectivele, în special în perioadele de întrerupere.

BS 25777 acoperă probleme precum:

  • Controla software Continuitatea TIC
  • Încorporarea principiilor de management al continuității TIC în cultura organizației
  • Documentarea Sistemului de Management al Continuității TIC
  • Definirea cerințelor de continuitate TIC
  • Dezvoltarea și implementarea unei strategii de continuitate TIC
  • Dezvoltarea și testarea planurilor de continuitate TIC
  • Efectuarea exercițiilor de restabilire a serviciilor TIC
  • Mentenanta, analiza si imbunatatirea sistemului de management al continuitatii TIC
  • etc.

PAS 77:2006, „Gestionarea continuității serviciilor IT”

Ghidul de management al continuității serviciilor IT explică principiile și câteva practici recomandate pentru managementul continuității serviciilor IT. Este destinat utilizării de către persoanele responsabile cu implementarea, furnizarea și gestionarea continuității serviciilor IT într-o organizație.

Acest ghid este destinat să completeze (nu să înlocuiască) alte publicații pe acest subiect, cum ar fi PAS 56, BS ISO/IEC 20000, BS ISO/IEC 17799:2005 și ISO 9001. Nu ar trebui să fie privit ca implementare pas cu pas. instrucțiuni procesele de management al continuității serviciilor IT, ci mai degrabă ca un ghid pentru unele dintre aspectele ITSCM pe care organizațiile ar trebui să le ia în considerare atunci când investesc în acest domeniu.