ev-Biznes-Yüksək texnologiyalar haqqında internet nəşri. High Tech Online Edition Bütün Britaniya Standartları bs 1842 pdf

Yüksək texnologiyalar haqqında internet nəşri. High Tech Online Edition Bütün Britaniya Standartları bs 1842 pdf

İlklərdən biri beynəlxalq standartlar idarəetmə informasiya təhlükəsizliyi- Britaniya standartı BS 7799 - çoxdan milli çərçivədən kənara çıxıb. Onun birinci hissəsi, BS 7799-1 "İnformasiya təhlükəsizliyinin idarə edilməsi üçün praktiki qaydalar" - 1995-ci ildə Britaniya hökumətinin sifarişi ilə Britaniya Standartları İnstitutu tərəfindən hazırlanmışdır ( britaniyalıStandartlarqurum (BSI) baş rolda kommersiya təşkilatları, kimi Shell, MilliVestminsterbank, midlandbank, Unilever, britaniyalıTelekommunikasiya, İşarələri & Spenser, Məntiq və s.

Başlıqlardan göründüyü kimi, bu sənəddir praktiki bələdçi praktiki fəaliyyətinin profilindən asılı olmayaraq təşkilatda informasiya təhlükəsizliyinin idarə edilməsinə dair. əsasında müəyyən edilmiş informasiya təhlükəsizliyinin idarə edilməsi sisteminin qurulması üçün zəruri olan 10 sahəni və 127 nəzarət mexanizmini təsvir edir. ən yaxşı nümunələri dünya praktikasından.

Bu standarta uyğun olaraq istənilən təhlükəsizlik xidməti, O– şöbə, şirkət rəhbərliyi ümumi qaydalara uyğun işə başlamalıdır. Fərq etməz, sual altında kağız sənədlərin və ya elektron məlumatların mühafizəsi haqqında.

1998-ci ildə bu İngilis standartının ikinci hissəsi meydana çıxdı - BS7799-2 “İnformasiya Təhlükəsizliyi İdarəetmə Sistemləri. Spesifikasiya və Tətbiq Bələdçisi” məlumat təhlükəsizliyi idarəetmə sisteminin qurulması üçün ümumi model və bir sıra müəyyən edən məcburi tələblər hansı sertifikatlaşdırma aparılmalıdır. İnformasiya təhlükəsizliyinin idarə edilməsi sisteminin nə olması lazım olduğunu müəyyən edən BS 7799-un ikinci hissəsinin meydana çıxması ilə təhlükəsizliyin idarə edilməsi sahəsində sertifikatlaşdırma sisteminin aktiv inkişafı başlandı. 1999-cu ildə BS7799-un hər iki hissəsi yenidən işlənmiş və ISO 9001 və ISO 14001 idarəetmə sistemləri üçün beynəlxalq standartlara və bir il sonra uyğunlaşdırılmışdır. İSO texniki komitəsi BS 7799-1-i dəyişmədən ISO/IEC 17799:2000 beynəlxalq standartı kimi qəbul etdi.

BS 7799-un ikinci hissəsi 2002-ci ildə yenidən işlənmiş və 2005-ci ilin sonunda ISO tərəfindən ISO / IEC 27001:2005 beynəlxalq standartı kimi qəbul edilmişdir. İnformasiya texnologiyaları- Təhlükəsizlik üsulları - İnformasiya təhlükəsizliyi idarəetmə sistemləri - Tələblər. Eyni zamanda, standartın birinci hissəsi də yeniləndi. ISO 27001-in buraxılması ilə informasiya təhlükəsizliyi idarəetmə sisteminin spesifikasiyası halına gəldi beynəlxalq status, və indi ISO 27001 standartına uyğun olaraq sertifikatlaşdırılmış informasiya təhlükəsizliyi idarəetmə sisteminin rolu və nüfuzunda əhəmiyyətli artım gözləməliyik.

2700x beynəlxalq təhlükəsizlik idarəetmə standartları ailəsi inkişaf etməyə davam edir. İSO planlarına əsasən, bura daxildir:

İnformasiya təhlükəsizliyinin idarə edilməsi sisteminə tələbləri müəyyən edən standartlar;

risklərin idarə edilməsi sistemi;

Nəzarət mexanizmlərinin effektivliyinin ölçüləri və ölçüləri;

İcra Bələdçisi. Bu standartlar ailəsi 27000-dən sonra ardıcıl nömrələmə sxemindən istifadə edəcəkdir. ISO/IEC 17799:2005 daha sonra ISO/IEC 27002 adlandırılacaq.

2006-cı ilin əvvəlində informasiya təhlükəsizliyi risklərinin idarə edilməsi sahəsində yeni Britaniya milli standartı BS 7799-3 qəbul edildi ki, bu da sonradan 27005 indeksini aldı.

Hal-hazırda British Standard BS 7799 da dəstəklənir 27 dünya ölkələri, o cümlədən Britaniya Birliyi ölkələri, həmçinin İsveç, Hollandiya, Rusiya.

Bununla belə, standartın orijinal məzmununu qeyd etmək lazımdır BS 7799, bir sıra ölkələrdə hələ də istifadə olunur.

İki hissədən ibarətdir.

İnformasiya təhlükəsizliyinin aşağıdakı aspektləri müəyyən edilir və nəzərə alınır:

    Təhlükəsizlik siyasəti.

    Müdafiə təşkilatı.

    İnformasiya resurslarının təsnifatı və idarə edilməsi.

    Personal İdarəetmə.

    Fiziki təhlükəsizlik.

    Kompüter sistemlərinin və şəbəkələrinin idarə edilməsi.

    Sistem girişinə nəzarət.

    Sistemlərin inkişafı və saxlanması.

    Təşkilati davamlılığın planlaşdırılması.

    Sistemin İS tələblərinə uyğunluğunun yoxlanılması.

"2-ci hissə: Sistem Xüsusiyyətləri" (1998)

“Sadalanan aspektlər Hissələr 1” bu hissədə informasiya sisteminin standartın tələblərinə uyğunluğunun sertifikatlaşdırılması baxımından nəzərdən keçirilir.

Burada nöqteyi-nəzərdən korporativ informasiya təhlükəsizliyi idarəetmə sistemlərinin mümkün funksional xüsusiyyətləri müəyyən ediləcək

birinci hissənin tələblərinə uyğunluğunun yoxlanılması baxımından bu standart. Bu standartın müddəalarına uyğun olaraq, informasiyanın yoxlanılması prosedurunu tənzimləyirkorporativ sistemlər.

İnformasiya təhlükəsizliyinin idarə edilməsi üçün əlavə təlimat Britaniya Standartlar İnstitutunun təlimatları ilə təmin edilir - britaniyalıStandartlarqurum(BSI) http:// www. bsi- qlobal. com/ dövründə nəşr edilmişdir 1995-2003 y.y. aşağıdakı seriyalar kimi:

    İnformasiya təhlükəsizliyinin idarə edilməsi probleminə giriş - Məlumattəhlükəsizlikidarəetmə: birGiriş.

    Standartın tələblərinə uyğun sertifikatlaşdırma imkanları BS 7799 - hazırlıqüçünBS 7799 sertifikatlaşdırma.

    İdarəetmə BS 7799 risklərin qiymətləndirilməsi və idarə edilməsi üçün - BS 7799 riskin qiymətləndirilməsi və riski üzrə təlimatidarəetmə.

    Standartın tələblərinə uyğun audit yoxlamasına hazırsınızmı? BS 7799- VarSənhazırüçünaBS 7799 audit?

    Standartın tələblərinin auditi üçün təlimat - BS 7799 bələdçiüçünBS 7799 audit.

Bu gün ümumi suallarşirkətlərin və təşkilatların informasiya təhlükəsizliyinin idarə edilməsi, o cümlədən standartın tələblərinə cavab verən təhlükəsizlik auditinin işlənib hazırlanması BS 7799 beynəlxalq komitə tərəfindən idarə olunur birgəTexnikiKomitəISO/ IECJTC 1 Britaniya Standartlar İnstitutu ilə əməkdaşlıq edir britaniyalıStandartlarqurum(BSI) – (www. bsi- qlobal. com), və xüsusən də xidmət UKAS (BirləşmişKrallıqAkkreditə olunubXidmət). Adı çəkilən xidmət təşkilatları standarta uyğun olaraq informasiya təhlükəsizliyini yoxlamaq hüququ üçün akkreditasiya edir BSISO/ IEC 7799:2000 (BS 7799-1:2000) . Bu qurumlar tərəfindən verilən sertifikatlar bir çox ölkələrdə tanınır. Qeyd edək ki, bir şirkətin standartlara uyğun sertifikatlaşdırılması halında ISO 9001 və ya ISO 9002 standart BSISO/ IEC 7799:2000 (BS 7799-1:2000) informasiya təhlükəsizliyi sisteminin sertifikatlaşdırılmasını standartlara uyğunluq sertifikatı ilə birləşdirməyə imkan verir ISO 9001 və ya ISO/9002 həm ilkin mərhələdə, həm də nəzarət yoxlamaları zamanı. Bunun üçün standarta uyğun olaraq qeydiyyatdan keçmiş auditorun birgə sertifikatlaşdırmasında iştirak şərtini yerinə yetirmək lazımdır. BSISO/ IEC 7799:2000 (BS 7799-1:2000). Eyni zamanda, birgə sınaq planlarında informasiya təhlükəsizliyi sisteminin yoxlanılması prosedurları aydın göstərilməli, sertifikatlaşdıran orqanlar isə informasiya təhlükəsizliyinin yoxlanılmasının hərtərəfli aparılmasını təmin etməlidirlər.

Standartın birinci hissəsi rus dilində adlanır "İnformasiya təhlükəsizliyinin idarə edilməsi". Təcrübə Qaydaları” ehtiva edir sistematik, çox tam, universal siyahı təhlükəsizlik tənzimləyiciləri, demək olar ki, istənilən ölçüdə, strukturda və fəaliyyət sahəsində olan təşkilatlar üçün faydalıdır. Daxili informasiya təhlükəsizliyi sisteminin planlaşdırılması, həyata keçirilməsi və saxlanmasına cavabdeh olan menecerlər və işçilər tərəfindən istinad sənədi kimi istifadə edilməsi nəzərdə tutulur.

Standarta uyğun olaraq, informasiya təhlükəsizliyinin məqsədi təşkilatın rəvan fəaliyyətini təmin etmək və mümkün olduqda təhlükəsizlik pozuntularının qarşısını almaq və/və ya minimuma endirməkdir.

İnformasiya təhlükəsizliyinin idarə edilməsi məlumatları qoruyarkən və hesablama resurslarını qoruyarkən paylaşmağa imkan verir.

Qoruyucu tədbirlərin daxil edildiyi təqdirdə daha ucuz və təsirli olduğu vurğulanır İnformasiya sistemləri tələblər və dizayn mərhələlərində xidmətlər.

Standartın birinci hissəsində təklif olunur təhlükəsizlik tənzimləyiciləri on qrupa bölünür:

  • Təhlükəsizlik siyasəti ;
  • korporativ təhlükəsizlik aspektləri;
  • aktivlərin təsnifatı və onların idarə edilməsi;
  • personalın təhlükəsizliyi ;
  • fiziki təhlükəsizlikekoloji təhlükəsizlik ;
  • sistemlərin idarə edilməsi və şəbəkələr;
  • giriş nəzarəti sistemlərə və şəbəkələrə;
  • inkişafı və informasiya sistemlərinin saxlanması ;
  • təşkilatın rəvan fəaliyyətini idarə etmək;
  • uyğunluq nəzarəti.

Standart, qüvvədə olan qanunvericiliyə uyğun olaraq məcburi olan və ya informasiya təhlükəsizliyinin əsas struktur elementləri hesab edilən on əsas tənzimləyicini müəyyən edir. Bunlara daxildir:

  • informasiya təhlükəsizliyi siyasəti sənədi;
  • vəzifələrin bölüşdürülməsi informasiya təhlükəsizliyini təmin etmək;
  • informasiya təhlükəsizliyi rejimini saxlamaq üçün kadrların təhsili və təlimi;
  • təhlükəsizlik pozuntusu bildirişi ;
  • antiviral agentlər ;
  • proses biznesin davamlılığının planlaşdırılması təşkilatlar;
  • kopya nəzarəti proqram təminatı müəllif hüquqları qanunu ilə qorunur;
  • sənədlərin qorunması;
  • məlumatların qorunması;
  • nəzarət təhlükəsizlik siyasətinə uyğunluq.

Xüsusilə qiymətli resurslar üçün artan qorunma səviyyəsini təmin etmək və ya müstəsna dərəcədə yüksək hücum potensialına malik hücumçuya qarşı çıxmaq üçün standartda nəzərdə tutulmayan digər (daha güclü) vasitələr tələb oluna bilər.

Təşkilatda informasiya təhlükəsizliyi sisteminin uğurlu tətbiqini şərtləndirən aşağıdakı amillər müəyyən edilir:

  • təhlükəsizlik məqsədləri və onun təminatı istehsal tapşırıqlarına və tələblərinə əsaslanmalıdır. Təhlükəsizliyin idarə edilməsi funksiyalarını təşkilatın rəhbərliyi öz üzərinə götürməlidir;
  • yüksək səviyyəli rəhbərliyin açıq dəstəyi və təhlükəsizlik öhdəliyinə ehtiyacı var;
  • təşkilatın aktivlərinin məruz qaldığı risklərin (həm təhdidlər, həm də zəifliklər) yaxşı başa düşülməsi və bu aktivlərin dəyərinin adekvat başa düşülməsi tələb olunur;
  • təşkilatın bütün rəhbərlərini və sıravi işçilərini təhlükəsizlik sistemi ilə tanış etmək lazımdır.

BS 7799-2:2002-nin ikinci hissəsi “Sistemlər

Britaniya Standartları İnstitutu (BSI) Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica və başqaları kimi kommersiya təşkilatlarının iştirakı ilə informasiya təhlükəsizliyi standartını işləyib hazırlayıb və 1995-ci ildə qəbul edilib. milli standart kimi BS 7799şirkətin fəaliyyət dairəsindən asılı olmayaraq təşkilatın informasiya təhlükəsizliyinin idarə edilməsi.

Bu standarta uyğun olaraq istənilən təhlükəsizlik xidməti, İT şöbəsi, şirkət rəhbərliyi uyğun olaraq işə başlamalıdır ümumi tənzimləmə. Söhbət kağız sənədlərin və ya elektron məlumatların qorunmasından gedir, fərqi yoxdur. Hazırda Britaniya Standartı BS 7799 27 ölkədə, o cümlədən Britaniya Birliyi ölkələri, həmçinin İsveç və Hollandiyada dəstəklənir. 2000-ci ildə İngilis BS 7799-a əsaslanan ISO Beynəlxalq Standartlar İnstitutu ISO / IEC 17799 beynəlxalq təhlükəsizlik idarəetmə standartını hazırlayıb buraxdı. Bu gün BS 7799 və ISO 17799-un bir və eyni standart olduğunu iddia etmək olar və bu gün bütün dünyada tanınır. və statusu beynəlxalq ISO standartı.

Bununla belə, bir sıra ölkələrdə hələ də istifadə olunan BS 7799 standartının orijinal məzmununu qeyd etmək lazımdır. İki hissədən ibarətdir.

· Təhlükəsizlik siyasəti.

Müdafiənin təşkili.

· İnformasiya resurslarının təsnifatı və idarə olunması.

· Personal İdarəetmə.

· Fiziki təhlükəsizlik.

· Kompüter sistemlərinin və şəbəkələrinin administrasiyası.

· Sistemlərə girişin idarə edilməsi.

· Sistemlərin işlənib hazırlanması və saxlanması.

Təşkilatın düzgün işləməsi üçün planlaşdırma.

Sistemin İS tələblərinə uyğunluğunun yoxlanılması.

"2-ci hissə: Sistem Xüsusiyyətləri"(1998) sertifikatlaşdırma baxımından eyni aspektləri nəzərdən keçirir məlumat Sistemi standartın tələblərinə cavab vermək.

Bu standartın birinci hissəsinin tələblərinə uyğun olaraq yoxlanılması baxımından korporativ informasiya təhlükəsizliyi idarəetmə sistemləri üçün mümkün funksional spesifikasiyaları müəyyən edir. Bu standartın müddəalarına uyğun olaraq, korporativ informasiya sistemlərinin auditi proseduru da tənzimlənir.

İnformasiya təhlükəsizliyinin idarə edilməsinə dair əlavə tövsiyələr Britaniya Standartları İnstitutunda (BSI) http://www.bsi-giobal.com/, 1995-2003-cü illərdə aşağıdakı seriyalarda dərc edilmişdir:

· İnformasiya təhlükəsizliyinin idarə edilməsi probleminə giriş - İnformasiya təhlükəsizliyinin idarə edilməsi: giriş.


· BS 7799 tələbləri üçün sertifikatlaşdırma variantları -BS 7799 sertifikatına hazırlıq.

· BS 7799 risklərin qiymətləndirilməsi və risklərin idarə edilməsi üçün təlimat.

· BS 7799 auditinə hazırsınızmı?

· BS 7799 audit təlimatı.

Bu gün Beynəlxalq Birgə Texniki Komitə ISO/IEC JTC 1 Britaniya Standartlar İnstitutu (BSI) – (www.bsi-global .com) və xüsusilə UKAS (Birləşmiş Krallıq Akkreditasiya Xidməti) ilə birlikdə. Adı çəkilən xidmət təşkilatları BS ISO/IEC 7799:2000 standartına (BS 7799-1:2000) uyğun olaraq informasiya təhlükəsizliyinin auditi hüququna görə akkreditasiya edir. Bu qurumlar tərəfindən verilən sertifikatlar bir çox ölkələrdə tanınır.

Qeyd edək ki, şirkətin ISO 9001 və ya ISO 9002 standartlarına uyğun sertifikatlaşdırılması zamanı BS ISO/IEC 7799:2000 (BS 7799-1:2000) informasiya təhlükəsizliyi sisteminin sertifikatlaşdırılmasını İSO-ya uyğunluq sertifikatı ilə birləşdirməyə imkan verir. İlkin mərhələdə olduğu kimi 9001 və ya 9002 standartları, habelə nəzarət yoxlamaları. Bunun üçün siz BS ISO/IEC 7799:2000 (BS 7799-1:2000) üzrə qeydiyyatdan keçmiş auditorun birgə sertifikatlaşdırmasında iştirak şərtini yerinə yetirməlisiniz. Eyni zamanda, birgə sınaq planlarında informasiya təhlükəsizliyi sisteminin yoxlanılması prosedurları aydın göstərilməli, sertifikatlaşdıran orqanlar isə informasiya təhlükəsizliyinin yoxlanılmasının hərtərəfli aparılmasını təmin etməlidirlər.

İnformasiya təhlükəsizliyinin idarə edilməsi üzrə beynəlxalq standartların yaradıcısı - British BS 7799 - çoxdan milli çərçivədən kənara çıxıb. Birinci hissə, BS 7799-1, 1995-ci ildə Böyük Britaniya hökumətinin sifarişi ilə hazırlanmışdır. 2006-cı ilin əvvəlində britaniyalılar informasiya təhlükəsizliyi risklərinin idarə edilməsi sahəsində yeni standartı - BS 7799-3-ü təqdim etdilər ki, bu da sonradan 27005 indeksini alacaq.

İdarəetmənin bir çox sahələri var: istehsal, maliyyə, satış, satınalma, kadrlar və s. Müasir yüksək texnologiyalı biznesin inkişafı sayəsində informasiya texnologiyaları, informasiya təhlükəsizliyi, keyfiyyət və mühit. ISO 2700x, ISO 2000x, ISO 900x və ISO 1400x seriyalarının müvafiq beynəlxalq standartlarının dünya miqyasında artan populyarlığı buna sübutdur. İdarəetmənin əsas prinsipləri, ümumiyyətlə, bütün sahələr üçün eynidir, buna görə də müvafiq idarəetmə sistemləri bir-birini tamamlayır və təşkilatın vahid idarəetmə sistemini (İMS) təşkil edir. BSIBIP 2000 seriyasının nəşrlərinin mövzusu olan inteqrasiya olunmuş idarəetmə sistemləri də daxil olmaqla, təşkilatın idarə edilməsi üzrə beynəlxalq standartların hazırlanmasına Britaniya Standartlar İnstitutunun (BSI) töhfəsini qiymətləndirmək çətindir.

ISO 9001 və keyfiyyət menecmenti sistemlərinin geniş yayılmasından sonra beynəlxalq informasiya təhlükəsizliyi idarəetmə standartları ISO / IEC 27001/17799 nəhayət Rusiyada kök salmağa başladı. Onlar rus dilində mövcud oldu, GOST R ISO/IEC 27001 və GOST R ISO/IEC 17799 müvafiq milli informasiya təhlükəsizliyi standartlarının layihələrinin ictimai müzakirəsi başlandı və sertifikatlaşdırma xidmətləri getdikcə yayılır.

İnformasiya təhlükəsizliyinin idarə edilməsi üzrə beynəlxalq standartların yaradıcısı Britaniya standartı BS 7799-dur. Onun birinci hissəsi - BS 7799-1 “İnformasiya təhlükəsizliyinin idarə edilməsi üçün praktiki qaydalar” 1995-ci ildə Böyük Britaniya hökumətinin sərəncamı ilə BSI tərəfindən hazırlanmışdır. Adından da göründüyü kimi, bu sənəd təşkilatda informasiya təhlükəsizliyini idarə etmək üçün praktiki bələdçidir. O, dünyanın hər yerindən ən yaxşı təcrübələrə əsaslanaraq, ISMS qurmaq üçün lazım olan 10 sahəni və 127 nəzarəti təsvir edir. 1998-ci ildə bu İngilis standartının ikinci hissəsi meydana çıxdı - BS 7799-2 “İnformasiya təhlükəsizliyi idarəetmə sistemləri. Spesifikasiya və Tətbiq Bələdçisi”, İBS-nin qurulmasının ümumi modelini və sertifikatlaşdırmanın aparılmalı olduğu uyğunluq üçün məcburi tələblər toplusunu müəyyən edir. BS 7799-un BSMS-in nə olduğunu müəyyən edən ikinci hissəsinin meydana çıxması ilə təhlükəsizliyin idarə edilməsi sahəsində sertifikatlaşdırma sisteminin aktiv inkişafı başladı. 1999-cu ildə BS 7799-un hər iki hissəsi yenidən işlənmiş və ISO 9001 və ISO 14001 idarəetmə sistemləri üçün beynəlxalq standartlara uyğunlaşdırılmışdır və bir il sonra ISO texniki komitəsi BS 7799-1-i dəyişməz olaraq ISO / IEC 17799:2000 beynəlxalq standartı kimi qəbul etmişdir. .

BS 7799-un ikinci hissəsi 2002-ci ildə yenidən işlənmiş və 2005-ci ilin sonunda ISO tərəfindən ISO/IEC 27001:2005 "İnformasiya texnologiyası - Təhlükəsizlik təcrübələri - İnformasiya təhlükəsizliyinin idarə edilməsi sistemləri - Tələblər" beynəlxalq standartı kimi qəbul edilmişdir. Eyni zamanda, standartın birinci hissəsi də yeniləndi. ISO 27001-in buraxılması ilə ISMS spesifikasiyaları beynəlxalq status qazandı və indi biz ISO 27001 sertifikatlı İBS-nin rolu və nüfuzunda əhəmiyyətli artım gözləyə bilərik.

2700x beynəlxalq təhlükəsizlik idarəetmə standartları ailəsi inkişaf etməyə davam edir. İSO tərəfindən planlaşdırıldığı kimi, o, İSMS tələblərini, risklərin idarə edilməsi sistemini, nəzarətin effektivliyinin ölçülərini və ölçülərini və icra təlimatlarını müəyyən edən standartlardan ibarət olacaqdır. Bu standartlar ailəsi 27000-dən sonra ardıcıl nömrələmə sxemindən istifadə edəcəkdir. ISO/IEC 17799:2005 daha sonra ISO/IEC 27002 adlandırılacaq. Əsas prinsipləri və tərifləri özündə əks etdirəcək və məşhur İT idarəetmə standartları: COBIT və ITIL ilə birləşdiriləcək ISO/IEC 27000 standartının layihəsi də hazırlanmaqdadır.

2006-cı ilin əvvəlində Britaniyanın yeni milli informasiya təhlükəsizliyi risklərinin idarə edilməsi standartı olan BS 7799-3 qəbul edilmişdir ki, bu da sonradan 27005 indeksini alacaqdır. İBS-nin tətbiqi və effektivliyinin ölçülməsi üçün standartlar üzərində də iş aparılır. bu beynəlxalq standartların müvafiq olaraq 27003 və 27004 indekslərini alacaq.2007-ci il üçün nəzərdə tutulub.

BS 7799-un tarixi

Beynəlxalq sertifikatlar reyestrini aparan ISMS istifadəçi qrupunun məlumatına görə, 2006-cı ilin avqust ayına olan məlumata görə, dünyada ISO 27001 (BS 7799) üzrə sertifikatlaşdırılmış 66 ölkədən 2800-dən çox təşkilat, o cümlədən dördü qeydiyyatdan keçmişdir. rus şirkətləri. Sertifikatlaşdırılmış təşkilatlar arasında ən böyük İT şirkətləri, bankçılıq və maliyyə sahəsi, yanacaq-energetika kompleksi və telekommunikasiya sahəsinin müəssisələri. 2007-ci ildə Rusiyada sertifikat sahiblərinin sayının bir neçə onlarla olacağı gözlənilir.

7799/17799/27001: lehinə və əleyhinə

BS 7799 tədricən "ilk informasiya təhlükəsizliyi standartına" çevrildi. Bununla belə, ISO 17799 beynəlxalq standartının ilk nəşri 2000-ci ilin avqustunda İSO-da müzakirə edildikdə, konsensus çətin ki, əldə edildi. Sənəd aparıcı İT güclərinin nümayəndələrinin çoxlu tənqidinə səbəb olub və onlar onun beynəlxalq standartların əsas meyarlarına cavab vermədiyini iddia ediblər.

İSO texniki komitəsindəki ABŞ nümayəndəsi Gene Troy deyir: “Bu sənədi İSO tərəfindən indiyə qədər nəzərdən keçirilən bütün digər təhlükəsizlik işləri ilə müqayisə etmək belə mümkün deyildi”.

Bir anda bir neçə dövlət, o cümlədən ABŞ, Kanada, Fransa və Almaniya İSO 17799-un qəbuluna qarşı çıxdılar. Onların fikrincə, bu sənəd standart kimi deyil, tövsiyələr toplusu kimi yaxşıdır. ABŞ-da və Avropa ölkələrində 2000-ci ilə qədər informasiya təhlükəsizliyinin standartlaşdırılması istiqamətində artıq xeyli iş görülmüşdü. “İT təhlükəsizliyinə bir neçə fərqli yanaşma var. Hesab edirdik ki, həqiqətən də məqbul beynəlxalq standart əldə etmək üçün sənədlərdən birini götürüb tez razılaşdırmaq əvəzinə, hamısını nəzərə almaq lazımdır. Troya Zhenya deyir, Əsas standart təhlükəsizlik faktiki olaraq təqdim edildi və bu sahədə görülən digər işlərin nəticələrindən istifadə etmək sadəcə olaraq mümkün olmadı.

BSI nümayəndələri sözügedən işlərin əsasən texniki aspektlərə aid olmasına etiraz ediblər və BS 7799 heç vaxt texniki standart kimi qəbul edilməyib. Ümumi Qəbul Edilən Təhlükəsizlik Təcrübələri və Qaydaları (CASPR) və ya ISO 15408/Ümumi Kriteriyalar kimi digər təhlükəsizlik standartlarından fərqli olaraq, o, istənilən formada təqdim olunan məlumatın mühafizəsinin əsas qeyri-texniki aspektlərini müəyyən edir. BSI-nin sözçüsü Stiv Tayler deyir: "Bu, bütün növ təşkilatlar və xarici mühitlər üçün nəzərdə tutulduğu kimi olmalıdır. Bu, İT məhsullarının kataloqu deyil, informasiya təhlükəsizliyinin idarə edilməsi sənədidir".

Bütün etirazlara baxmayaraq, BSI-nin (İSO-nun yaradıcısı, beynəlxalq standartların əsas tərtibatçısı və dünyada əsas sertifikatlaşdırma orqanıdır) nüfuzu üstün olub. Sürətləndirilmiş təsdiq proseduru işə salındı ​​və standart tezliklə qəbul edildi.

ISO 17799-un əsas gücü onun çevikliyi və çox yönlü olmasıdır. Orada təsvir edilən dəst ən yaxşı təcrübələr mülkiyyət növündən, fəaliyyət növündən, ölçüsündən və ölçüsündən asılı olmayaraq demək olar ki, hər hansı bir təşkilata şamil edilir xarici şərtlər. Texnologiya baxımından neytraldır və həmişə texnologiya seçimini tərk edir.

Suallar yarandıqda: “Haradan başlamalı?”, “İnformasiya təhlükəsizliyini necə idarə etməli?”, “Hansı meyarlar üzrə audit aparılmalıdır?”. - bu standart düzgün istiqaməti müəyyən etməyə və vacib məqamları nəzərdən qaçırmamağa kömək edəcək. O, həmçinin mötəbər mənbə və təşkilatın rəhbərliyinə təhlükəsizliyin “satılması”, meyarların müəyyən edilməsi və informasiya təhlükəsizliyinin dəyərinin əsaslandırılması alətlərindən biri kimi istifadə oluna bilər.

Bununla belə, çeviklik və çox yönlülük də bu standartın “Axilles dabanı”dır. Tənqidçilər ISO 17799-un real dəyər ola bilməyəcək qədər mücərrəd və qeyri-müəyyən strukturlaşdırılmış olduğunu deyirlər. Onun kifayət qədər hərtərəfli tətbiqi yanlış təhlükəsizlik hissi verə bilər.

ISO 17799 təhlükəsizlik tədbirlərini ümumi şəkildə təsvir edir, lakin onların həyata keçirilməsinin texniki aspektləri haqqında heç nə demir. Məsələn, standart girişə nəzarət mexanizmlərinin istifadəsini tövsiyə edir və USB açarlar, smart kartlar, sertifikatlar və s. kimi xüsusi texnologiyaları müəyyən edir. Bununla belə, o, bu texnologiyaların üstünlüklərini və mənfi cəhətlərini, onların tətbiqi xüsusiyyətlərini və üsullarını nəzərə almır.

Aleksandr Astaxov

Oxşar yazılar: