BS 7799-3

BS 7799-3 — стандарт інформаційної безпеки, опублікований Британським інститутом стандартів (BSI). Він має назву Системи управління інформаційною безпекою. Керування ризиками інформаційної безпеки (англ. Information security management systems. Guidelines for information security risk management )[1]. Затверджений у якості міжнародного як ISO/IEC 27005.

BS 7799-3 визначає процеси оцінки і управління ризиками як складовий елемент системи управління організації, що включає в себе чотири групи процесів: планування, реалізація, перевірка, дії, що відображає стандартний цикл будь-яких процесів управління. У той час як ISO/IEC 27001 описує загальний безперервний цикл управління безпекою, в BS 7799-3 містяться правила для управління ризиками інформаційної безпеки, зокрема він включає в себе оцінку та оцінювання ризиків, впровадження механізмів контролю для обробки ризиків, моніторинг і перегляд ризиків, а також супровід і вдосконалення системи контролю ризиків. Крім визначення основних факторів ризику і підходів до їх оцінки та обробки, BS 7799-3 також описує взаємозв'язки між ризиками інформаційної безпеки та іншими ризиками організації, містить вимоги і рекомендації по вибору методології та інструментів для оцінки ризиків, визначає вимоги, що пред'являються до експертів з оцінки ризиків, і менеджерам, які відповідають за процеси управління ризиками, містить поради щодо вибору законодавчих і нормативних вимог безпеки і багато іншого.

Цей стандарт сфокусований на підвищенні ефективності інформаційної безпеки шляхом реалізації безперервної програми дій з управління ризиками. Цей фокус націлений на інформаційну безпеку в контексті бізнес ризиків організації. Інструкції, що містяться в цьому стандарті, призначені для застосування в будь-яких організаціях, незалежно від їх типу, розміру і характеру бізнесу. Вони призначені для тих керівників бізнесу і співробітників, які задіяні в заходах з управління ризиками Системи Управління Інформаційною Безпекою.

Актуальною версією стандарту станом на 2018 рік є BS 7799-3:2017. Контент стандарту є платним.

Примітки

  1. Information security management systems. Guidelines for information security risk management. Архів оригіналу за 18 квітня 2018. Процитовано 17 квітня 2018.(англ.)