СУИБ объединяет воедино людей, процессы и IТ-системы

Раздел 0. Общие сведения

0.1 Сфера применения

0.2 Информационные ссылки

0.3 Определения

Раздел 1. Политика безопасности

1.1 Политика информационной безопасности

Раздел 2. Организация системы безопасности

2.1 Инфраструктура информационной безопасности

2.2 Обеспечение безопасности при доступе третьих сторон

Раздел 3. Классификация ресурсов и контроль за ними

3.1 Отчетность по ресурсам

3.2 Классификация информации

Раздел 4. Обеспечение безопасности персоналом

4.1 Обеспечение безопасности при составлении служебных инструкций и проверка благонадежности

4.2 Обучение пользователей

4.3 Реагирование на инциденты

Раздел 5. Физическая защита и безопасность среды

5.1 Защита помещений

5.2 Защита оборудования

Раздел 6. Управление компьютерами и сетями

6.1 Операционные процедуры и распределение ответственности

6.2 Планирование функционирования системы и приемка новой системы

6.3 Зашита от деструктивного программного обеспечения

6.4 Служебные действия

6.5 Управление сетями

6.6 Обращение с носителями информации и безопасность

6.7 Обмен данными и программами

Раздел 7. Контроль за доступом к системе

7.1 Служебные требования по доступу к системе

7.2 Управление доступом пользователей

7.3 Ответственность пользователей

7.4 Контроль за доступом к сетям

7.5 Контроль за доступом к компьютерам

7.6 Контроль за доступом к приложениям

7.7 Мониторинг доступа к системе и ее использования

Раздел 8. Разработка и сопровождение систем

8.1 Требования безопасности систем

8.2 Защита в прикладных системах

8.3 Защита файлов прикладных систем

8.4 Безопасность среды разработки и сопровождения

Раздел 9. Планирование непрерывности функционирования

9.1 Аспекты планирования непрерывности функционирования

Раздел 10. Соответствие

10.1 Соответствие нормативно-правовым требованиям

10.2 Проверка безопасности информационных систем

10.3 Ревизия систем

Приложение

А(нормативное) Перечень видов контроля, используемых в BS 7799

Перечень терминов

Литература

Contents: The BS 7799-1 standard contains the prologue, sections on policy of IB, the organization of IB system, classification of resources, and others, and also has the appendix with the list of types of control. Contains the systematic, very full, universal list of regulators of the safety, useful to the organization practically any size, structure and a field of activity.

Scope

Terms and definitions

Security policy

3.1 Information security policy document

3.2 Review and evaluation

Security organization

4.1 Information security infrastructure

4.2 Security of third party access

4.3 Outsourcing

Asset classification and control

5.1 Accountability for assets

5.2 Information classification

Personnel security

6.1 Security in job definition and resourcing

6.2 User training

6.3 Responding to security incidents and malfunctions

Physical and environmental security

7.1 Secure areas

7.2 Equipment security

7.3 General controls

Communications and operations management

8.1 Operational procedures and responsibilities

8.2 System planning and acceptance

8.3 Protection against malicious software

8.4 Housekeeping

8.5 Network management

8.6 Media handling and security

8.7 Exchanges of information and software

Access control

9.1 Business requirement for access control

9.2 User access management

9.3 User responsibilities

9.4 Network access control

9.5 Operating system access control

9.6 Application access control

9.7 Monitoring system access and use

9.8 Mobile computing and teleworking

Systems development and maintenance

10.1 Security requirements of systems

10.2 Security in application systems

10.3 Cryptographic controls

10.4 Security of system files

10.5 Security in development and support processes

Business continuity management

11.1 Business continuity management process

Compliance

12.1 Compliance with legal requirements

12.2 Reviews of security policy and technical compliance

12.3 System audit considerations

Appendix

A (standard) the List of types of the control used in BS 7799

List of terms

Literature

Дата публикации: 15 февраля 1995 года

Publication Date: On February 15, 1995

Официальный статус: утвержден в качестве государственного стандарта Великобритании в 1995 году, и в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000).

Official status: it is approved as state standard of Great Britain in 1995, and as the international ISO/IEC 17799:2000 standard (BS 7799-1:2000).

Область применения:Данный стандарт дает рекомендации для управления информацией безопасностью. Он предназначен для обеспечения организаций общей базой для разработки, внедрения и оценки мероприятий по эффективному управлению безопасностью, а также для обеспечения уверенности партнеров во взаимоотношениях с другими организациями.

Он может использоваться в качестве общего образцового стандарта во взаимоотношениях между организациями и для регулирования отношений с подрядчиками, а также при поставке информационных услуг или продуктов.

BS7799 может использоваться для защиты любых видов информации, включая финансовую, кадровую, информацию по поставщикам или любым другим данным компании и, что немаловажно, информацию, принадлежащую вашим партнерам/клиентам – одним словом, все, что является значимым информационным ресурсом любой компании, и все, что уязвимо для угроз безопасности. Он предназначен для использования в качестве справочного документа руководителями и рядовыми сотрудниками, отвечающими за планирование, реализацию и поддержание внутренней системы информационной безопасности.

Важно, что данный стандарт не концентрируется исключительно на конфиденциальности: в коммерческих организациях с точки зрения возможных материальных потерь целостность и доступность данных зачастую более критичны.

BS 7799 защищает от возможных угроз вашей информационной системе:

- хакеров;

- промышленного шпионажа;

- недобросовестных сотрудников;

- компьютерного пиратства;

- воровства и вандализма;

- отключения питания;

- сбоев в работе оборудования и ПО;

- вирусов;

- стихийных бедствий и многого другого.

На сегодняшний день стандарт BS 7799/ISO 17799 – это единственный общепринятый стандарт управления информационной безопасностью в Европе и Азии. В последние полтора года влияние стандарта растет как в странах СНГ (например, в Республике Беларусь стандарт официально принят с 1-го ноября 2004 года), так и в России, где его начали использовать на практике как лидеры бизнеса, так и средние компании.

Scope: This standard makes recommendations for management of information of safety. It is intended for providing the organizations with the general base for development, introduction and an assessment of actions for effective management of safety, and also for ensuring confidence of partners in relationship with other organizations.

It can be used as the general exemplary standard in relationship between the organizations and for regulation of the relations with contractors, and also by delivery of information services or products.

BS7799 can be used for protection of any kinds of information, including financial, personnel, information on suppliers or any other data of the company and that is important, information belonging to your partners/clients – in a word, everything that everything is a significant information resource of any company, and that is vulnerable for safety threats. It is intended for use as the help document heads and the ordinary employees who are responsible for planning, realization and maintenance of internal system of information security.

It is important that this standard doesn't concentrate only on confidentiality: in the commercial organizations from the point of view of possible material losses integrity and availability of data are often more critical.

BS 7799 protects from possible threats to your information system:

- hackers;

- industrial espionage;

- unfair employees;

- computer piracy;

- theft and vandalism;

- food shutdowns;

- failures in work of the equipment and ON;

- viruses;

- natural disasters and many other.

Today the BS 7799/ISO 17799 is the unique standard of management of information security in Europe and Asia. The last one and a half years influence of a standard grows as in CIS countries (for example, in Republic of Belarus the standard is officially accepted since November 1st, 2004), and in Russia where it started to use in practice as leaders of business, and medium-sized companies.

Описание: BS 7799 не является техническим стандартом, он, например, не предписывает использование каких-то определенных способов шифрования данных или устройств защиты от сбоев питания. Стандарт определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т. д. в контексте информационной безопасности.

Этот стандарт дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью и сохранностью важного актива компании – информацией, и может с одинаковым успехом применяться в компаниях разного размера – от индивидуальных предпринимателей до предприятий с численностью сотрудников в десятки тысяч человек.

BS7799 может использоваться для защиты любых видов информации, включая финансовую, кадровую, информацию по поставщикам или любым другим данным компании и, что немаловажно, информацию, принадлежащую вашим партнерам/клиентам – одним словом, все, что является значимым информационным ресурсом любой компании, и все, что уязвимо для угроз безопасности.

Таким образом, основную цель стандарта можно сформулировать как создание общей методологии для разработки, внедрения и оценки эффективности СУИБ, применимую как в условиях коммерческих компаний, так и государственных и некоммерческих структур.

СУИБ – это системный подход к управлению «чувствительной» для компании информацией с целью обеспечения ее конфиденциальности, целостности и сохранности.

СУИБ объединяет воедино людей, процессы и IТ-системы.