BS 7799 — это британский стандарт «Свод правил управления информационной безопасностью», впервые опубликованный как таковой Британским институтом стандартов (BSI) в феврале 1995 года. О происхождении BS 7799 читайте здесь .
Впоследствии были также опубликованы еще две части BS 7799 (первая стала BS 7799 Part 1 ), к этому времени BSI стала BSI Group .
Первоначальный стандарт BS 7799 излагал структурированный подход к управлению информационной безопасностью, но в основном представлял собой описание примерно 127 мер информационной безопасности в 10 разделах или категориях. Каждый контроль был разработан для достижения определенной цели контроля.
Некоторые из элементов управления, которые в то время считались особенно важными, были обозначены как «ключевые элементы управления», обозначенные значком ключа на полях. [1] Однако из-за противодействия со стороны пользователей и академических сообществ концепция «ключевого контроля» была исключена, когда в 1998 году был пересмотрен BS 7799. Пользователям было предложено определить свои собственные риски и цели, чтобы выбрать те средства управления, которые подходят для их целей. потребности – более фундаментальный и гибкий подход, применимый к организациям всех типов, размеров и отраслей.
После длительного обсуждения органами по стандартизации через ISO / IEC , BS 7799-1 был в конечном итоге ускорен и принят как ISO/IEC 17799 , «Информационные технологии. Кодекс практики управления информационной безопасностью». в 2000 году. ISO/IEC 17799 был пересмотрен в июне 2005 года, а нумерация ISO/IEC 27002 была изменена в июле 2007 года, когда он был включен в растущее семейство стандартов ISO/IEC 27000 .
BS 7799 Часть 2 «Системы управления информационной безопасностью. Спецификация с руководством по использованию». Впервые был опубликован BSI Group в 1999 году как официальная спецификация, поддерживающая оценку и сертификацию соответствия. В BS 7799-2 объясняется, как спроектировать и внедрить систему управления информационной безопасностью (СУИБ) — систематический подход к управлению и управлению информационной безопасностью внутри организации. Версия BS 7799-2 2002 года представила принцип «Планируй-Делай-Проверяй-Действуй» ( PDCA ) (цикл Деминга), приводя его в соответствие со стандартами качества, такими как ISO 9000 . BS 7799 Часть 2 была принята ISO/IEC как ISO/IEC 27001 в ноябре 2005 года.
Часть 3 BS 7799 «Системы управления информационной безопасностью. Рекомендации по управлению рисками информационной безопасности» была впервые опубликована BSI Group в 2005 году. BS 7799-3 фокусируется на идентификации, анализе, обработке и мониторинге информационных рисков. Он был адаптирован и принят ISO/IEC как ISO/IEC 27005 в 2008 году. Между тем, BS 7799-3 продолжает развиваться параллельно. В 2017 году оно было пересмотрено, а в 2023 году был предложен проект по упрощению руководства специально для небольших организаций. [2]