Приложение А (справочное). Кодекс менеджмента безопасности информационных технологий. Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 13335-4-2007 "Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 07.06.2007 N 122-ст) (отменен)

Приложение А
(справочное)

Кодекс менеджмента безопасности информационных технологий

В настоящем приложении приведено краткое описание национальных стандартов Великобритании [1] и [2] серии BS 7799.

Область применения

Серия стандартов BS 7799 включает в себя две части:

BS 7799-1:1999 Кодекс менеджмента безопасности информационных технологий;

BS 7799-2:1999 Технические условия по системам менеджмента безопасности информационных технологий.

Данные стандарты опубликованы Британским институтом стандартов. Стандарт BS 7799-1:1999 ([1]) заменяет версию 1995 г. Обе части стандарта BS 7799 предназначены для высшего руководства и персонала, ответственного за инициирование, реализацию и поддержание в рабочем состоянии информационной безопасности организации, и могут использоваться в качестве основы для разработки стандартов по обеспечению безопасности организации.

Стандарты [1] и [2] подготовлены комитетом Британского института стандартов по управлению защитой информации. Данные стандарты учитывают последние разработки в области применения технологии обработки информации, особенно в сетях и средствах связи. В них также уделено внимание вовлечению и ответственности высшего руководства организации за обеспечение безопасности информации. В процессе их пересмотра был учтен опыт организаций разных стран мира.

Содержание данных стандартов включают в себя полный набор средств управления и наилучший практический опыт в области информационной безопасности. Данные стандарты также предназначены для применения в качестве основы для выявления диапазона средств управления, необходимых для большинства ситуаций, связанных с использованием информационных систем в промышленности и торговле и, следовательно, могут быть применены в больших, средних и малых организациях.

Содержание [1]:

1 Область применения

2 Термины и определения

3 Политика обеспечения безопасности

3.1 Политика обеспечения информационной безопасности

4 Организация безопасности

4.1 Инфраструктура обеспечения безопасности информации

4.2 Безопасность доступа третьей стороны

4.3 Аутсорсинг

5 Классификация и управление активами

5.1 Подотчетность активов

5.2 Классификация информации

6 Обеспечение безопасности персонала

6.1 Безопасность в определении видов работ и выделенных ресурсов

6.2 Обучение пользователей

6.3 Реагирование на инциденты

7 Безопасность физической и окружающей среды

7.1 Области безопасности

7.2 Безопасность оборудования

7.3 Общие средства управления

8 Управление систем связи и операционный менеджмент

8.1 Операционные процедуры и распределение ответственности

8.2 Планирование и приемка систем

8.3 Защита от злонамеренных кодов

8.4 Действия по обслуживанию

8.5 Управление сетью

8.6 Обращение и безопасность носителей информации

8.7 Обмен данными и программным обеспечением

9 Управление доступом

9.1 Требования к системам доступа в организации

9.2 Управление доступом пользователей

9.3 Ответственность пользователей

9.4 Управление доступом в сеть

9.5 Управление доступом в компьютер

9.6 Управление доступом к приложениям

9.7 Мониторинг систем доступа и пользователей

9.8 Мобильная обработка данных и дистанционная работа

10 Разработка и техническое обслуживание системы

10.1 Требования к системам обеспечения безопасности

10.2 Безопасность в прикладных системах

10.3 Криптографические средства управления

10.4 Безопасность файлов прикладных систем

10.5 Безопасность при разработке и поддержки окружающей среды

11 Управление непрерывностью бизнеса

11.1 Аспекты управления непрерывностью бизнеса

12 Соответствие

12.1 Соответствие законодательным и обязательным требованиям

12.2 Анализ политики безопасности и технического соответствия

12.3 Вопросы, связанные с аудитом системы