ГОСТР ИСО/МЭКТО 13335-4—2007
Приложение А
(справочное)
Кодекс менеджмента безопасности информационных технологий
В настоящем приложении приведено краткое описание национальных стандартов Великобритании [1] и [2]
серии BS 7799.
О б л а с т ь п р и м е н е н и я
Серия стандартов BS 7799 включает в себя две части:
BS 7799-1:1999 Кодекс менеджмента безопасности информационных технологий:
BS 7799-2:1999 Технические условия по системам менеджмента безопасности информационных техноло
гий.
Данные стандарты опубликованы Британским институтом стандартов. Стандарт BS 7799-1:1999 ([1]) заме
няет версию 1995 г. Обе части стандарта BS 7799 предназначены для высшего руководства и персонала, ответ
ственного за инициирование, реализацию и поддержание в рабочем состоянии информационной безопасности
организации, и могут использоваться в качестве основы для разработки стандартов по обеспечению безопасно
сти организации.
Стандарты [1] и (2) подготовлены комитетом Британского института стандартов по управлению защитой
информации. Данные стандарты учитывают последние разработки в области применения технологии обработки
информации, особенно в сетях и средствах связи. В них также уделено внимание вовлечению и ответственности
высшего руководства организации за обеспечение безопасности информации. В процессе их пересмотра был
учтен опыт организаций разных стран мира.
Содержание данных стандартов включают в себя полный набор средств управления и наипучший практи
ческий опыт в области информационной безопасности. Данные стандарты также предназначены для примене ния
в качестве основы для выявления диапазона средств управления, необходимых для большинства ситуаций,
связанных с использованием информационных систем в промышленности и торговле и. следовательно, могут
быть применены в больших, средних и малых организациях.
С о д е р ж а н и е {1 ]:
1 Область применения
2 Термины и определения
3 Политика обеспечения безопасности
3.1 Политика обеспечения информационной безопасности
4 Организация безопасности
4.1 Инфраструктура обеспечения безопасности информации
4.2 Безопасность доступа третьей стороны
4.3 Аутсорсинг
5 Классификация и управление активами
5.1 Подотчетность активов
5.2 Классификация информации
6 Обеспечение безопасности персонала
6.1 Безопасность в определении видов работ и выделенных ресурсов
6.2 Обучение пользователей
6.3 Реагирование на инциденты
7 Безопасность физической и окружающей среды
7.1 Области безопасности
7.2 Безопасность оборудования
7.3 Общие средства управления
8 Управление систем связи и операционный менеджмент
8.1 Операционные процедуры и распределение ответственности
8.2 Планирование и приемка систем
8.3 Защита от злонамеренных кодов
8.4 Действия по обслуживанию
8.5 Управление сетью
8.6 Обращение и безопасность носителей информации
8.7 Обмен данными и программным обеспечением
9 Управление доступом
9.1 Требования к системам доступа в организации
9.2 Управление доступом пользователей
9.3 Ответственность пользователей
48