ГОСТ Р 54582—2011
6.31.2 Описание
В BS 7799-2 подробно излагаются требования по созданию, внедрению, эксплуатации, монито-
рингу, проверке, поддержанию и улучшению документированной СМИБ в контексте общих деловых ри-
сков организации. В нем также определены требования по внедрению мер управления безопасностью,
адаптированные для потребностей отдельных организаций и их подразделений.
СМИБ, разработанная с помощью BS 7799-2, учитывает общие деловые риски организации
при определении адекватных и пропорциональных мер управления безопасностью для защиты ин-
формационных активов и обеспечения доверия потребителей и других заинтересованных сторон.
Учет общих деловых рисков организации и обеспечение доверия потребителей и других заинте-
ресованных сторон должны поддерживать и усиливать конкурентное преимущество, увеличивать
денежный поток, прибыльность, улучшать правовое соответствие и коммерческий имидж органи-
зации.
Для эффективного функционирования организация должна идентифицировать многие виды сво-
ей деятельности и управлять ими. Любая совокупность видов деятельности, использующая ресурсы,
может рассматриваться как процесс, преобразующий входные данные в выходные. Часто выходные
данные одного процесса непосредственно формируют входные данные последующего процесса. При-
менение системы процессов в рамках организации, наряду с идентификацией и взаимодействиями
этих процессов и руководством ими, можно назвать «процессным подходом».
BS 7799-2 использует процессный подход, чтобы подчеркнуть для своих пользователей важность:
а) знания требований безопасности деловой информации и необходимости формирования поли-
тики и целей информационной безопасности;
b) внедрения и эксплуатации мер управления в контексте менеджмента общих деловых рисков
организации;
с) мониторинга и анализа функционирования и эффективности СМИБ;
d) постоянного улучшения на основе объективного измерения.
Основной моделью процесса, применяемой BS 7799-2, является модель «планирование — осу-
ществление — проверка — действие» (PDCA), которую можно найти во многих стандартах технологи-
ческих процессов.
6.31.3 Источники
См. [53].
Примечания
1 BS 7799-2 является разработкой BSI (Британский институт стандартов), 389 Chiswick High Road, London W4
4AL, United Kingdom.
2 BS 7799-2 был опубликован в качестве национального стандарта AS/NZS-2—2003 в Австралии и Новой
Зеландии.
6.32 ИСО/МЭК 17799 — практические правила менеджмента информационной
безопасности
O
34
6.32.1 Цель
Создание структуры, позволяющей фирмам разрабатывать, внедрять и измерять эффективную
практику управления безопасностью, как правило, на уровне организации.
6.32.2 Описание
ИСО/МЭК 17799 является международным стандартом, включающим в себя передовой опыт
в области информационной безопасности. Впервые он был опубликован как BS 7799 до принятия
ИСО/МЭК 17799 посредством ускоренной процедуры с использованием общедоступной спецификации.
Первоначально он был разработан в ответ на требование со стороны промышленности по созданию
общей структуры, позволяющей фирмам разрабатывать, внедрять и измерять эффективную практику
управления безопасностью и обеспечивать доверие к торговле между фирмами. ИСО/МЭК 17799 ос-
нован на передовом опыте в области информационной безопасности ведущих британских и междуна-
родных коммерческих предприятий и получил широкое международное признание.
ИСО/МЭК 17799 является сводом правил для качественного управления информационной без-
опасностью. Родственный BS 7799-2:1999 является спецификацией систем менеджмента информа-
ционной безопасности. Стандарт применялся как спецификация требований к системе менеджмента,