Британский стандарт BS 7799

   Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности BS 7799 , который в 1995 г. был принят в качестве национального стандарта управления информационной безопасностью организации вне зависимости от сферы деятельности компании.


   
В соответствии с этим стандартом любая служба безопасности, IT -отдел, руководство компании должны начинать работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. В настоящее время Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также Швеция и Нидерланды. В 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO / IEC 17799. Сегодня можно утверждать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание и статус международного стандарта ISO.
Вместе с тем, следует отметить первоначальное содержание стандарта BS 7799, который до настоящего времени используется в ряде стран. Он состоит из двух частей.
   В "Части 1: Практические рекомендации" (1995г.) определяются и рассматриваются следующие аспекты ИБ:

• Политика безопасности.
• Организация защиты.
• Классификация и управление информационными ресурсами.
• Управление персоналом.
• Физическая безопасность.
• Администрирование компьютерных систем и сетей.
• Управление доступом к системам.
• Разработка и сопровождение систем.
• Планирование бесперебойной работы организации.
• Проверка системы на соответствие требованиям ИБ.

   "Часть 2: Спецификации системы" (1998г) рассматривает эти же аспекты с точки зрения сертификации информационной системы на соответствие требованиям стандарта.
Она определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.
   Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов – British Standards Institution(BSI) http://www.bsi-giobal.com/, изданные в период 1995-2003 в виде следующей серии:

• Введение в проблему управления информационной безопасности – Information security managment: an introduction.
• Возможности сертификации на требования стандарта BS 7799 -Preparing for BS 7799 sertification.
• Руководство BS 7799 по оценке и управлению рисками -Guide to BS 7799 risk assessment and risk management.
• Готовы ли вы к аудиту на требования стандарта BS 7799-Are you ready for a BS 7799 audit?
• Руководство для проведения аудита на требования стандарта -BS 7799Guide to BS 7799 auditing.
• Практические рекомендации по управлению безопасностью информационных технологий -Code of practice for IT management.

   Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution(BSI) (www.bsi-global.com), и в частности служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасностью в соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-1:2000). Сертификаты, выданные этими органами, признаются во многих странах.
 Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-1:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000). При этом в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности.