Около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся на компьютерах. Потеря данных может быть (и часто действительно бывает) катастрофой для организации любого размера. Угроза бизнесу от неадекватной системы информационной безопасности чрезвычайно серьезна. В 2000 году только в результате деятельности хакеров потери делового мира составили около $800 миллионов. К этому следует добавить потери от пиратства, вирусов, простоя информационных систем, промышленного шпионажа, перебоев электропитания и так далее.

Стандарт управления информационной безопасностью BS 7799 является моделью системы менеджмента, т.е. обобщением мирового опыта в организации систем информационной безопасности. В этом смысле BS 7799 не является техническим стандартом, он, например, не предписывает использование каких-то определенных способов шифрования данных или устройств защиты от сбоев питания. Стандарт определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т.д. - в контексте информационной безопасности.

Происхождение стандарта

Стандарт BS 7799 первый вариант опубликован в 1995 году. Стандарт контролируется Департаментом по Торговле и Промышленности Великобритании (DTI) и Британским Институтом Стандартов. Установлена схема аккредитованной сертификации по стандарту BS 7799 - C:CURE, контролируемая BSI.

Международное признание стандарта

	BS 7799 был предложен в Международной организации по стандартизации (ISO). Предполагается, что данный стандарт в скором времени станет стандартом ISO и единым европейским стандартом;
	BS 7799 адаптирован рядом стран Британского Содружества (в частности в Австралией и Новой Зеландией), Нидерландами. Стандарт рассматривается в качестве основы для национальных стандартов странами Скандинавии. Большой интерес к BS 7799 имеется в США и Канаде.

Цели стандарта

Создать общую основу для разработки, внедрения и оценки эффективности систем управления безопасностью информации, применимую как в условиях коммерческих компаний, так и государственных и некоммерческих структур.

Содержит требования по следующим вопросам:

	формулирование политики организации в области безопасности информации;
	инструменты и методы управления безопасностью информации;
	управление компьютерными сетями;
	разработка и поставка программного обеспечения и информационных систем;
	соответствие стандарту.

Базируется на анализе риска.

Не ограничивается информацией, хранимой на компьютерах.

Что защищает?

Конфиденциальность: защита информации от несанкционированного доступа

Целостность: защита информации от несанкционированного изменения, обеспечение ее точности и полноты

Доступность: возможность пользоваться информацией, когда это требуется - работоспособность системы

Важно, что данный стандарт не концентрируется лишь на конфиденциальности. В коммерческих организациях с точки зрения возможных материальных потерь целостность и доступность данных зачастую более критичны.

Защищает от кого и от чего?

Возможные угрозы вашей информационной системе:

	хакеры;
	промышленный шпионаж;
	недобросовестные сотрудники;
	компьютерное пиратство;
	воровство и вандализм;
	отключения питания;
	сбои в работе оборудования и ПО;
	вирусы;
	стихийные бедствия.

Что дает внедрение системы управления информационной безопасностью?

прямые преимущества:

	избежать прямых потерь, связанных с нарушением конфиденциальности, неконтролируемыми изменениями данных, простоями информационной системы;
	принятие решений основывается на более высоком качестве информации и информационных услуг;
	внедрение системы управления информационной безопасностью оказывает благотворное влияние на общую организацию работ и профессиональный уровень сотрудников.

косвенные преимущества:

	уверенность и доверие клиентов и партнеров;
	внедрение системы управления информационной безопасностью является положительным фактором при слиянии компаний, а также при получении кредитов и правительственных заказов;
	признание на международном уровне.