BSI (Федеральное управление Германии по безопасности информационных технологий) разработало базовую защиту IT — «BSI IT-Grundschutz», которая является основой информационной безопасности на протяжении уже более 25 лет и позволяет определить и реализовать необходимые меры безопасности с использованием системного подхода. Стандарты BSI обеспечивают для этого проверенные процедуры, а в сборнике IT-Grundschutz Compendium приводятся конкретные требования.
Внедрение и разработка этого стандарта занимают достаточно длительный срок по сравнению с ISO 27001. В таблице 1 в качестве примера приводятся требования по каталогу защиты. Длительность проекта зависит от размера компании или ведомства. К примеру, при внедрении стандарта ISO необходимо учитывать, что срок разработки займет от шести месяцев и предполагается в том числе проведение обязательных внутренних аудитов.
Вот прямая ссылка на описание стандарта: https:// www.bsi.bund.de/DE/Themen/ ITGrundschutz/ITGrundschutzAbout/ itgrundschutzAbout_node.html.
В настоящее время приобретает популярность стандарт ISO 27001 auf Basis BSI Grundschutz.
Екатерина Алер — консультант ISO 9001, ISO/IEC 27001 «Защита персональных данных», ТЮФ аудитор ISO 9001 и внешний управляющий СМК ISO 9001, ISO/IEC 27001. Основатель Ahlers-Consultant, индивидуальный консультант и аудитор по стандартизации ISO в России и Германии. Сайт: www.ahlers-consultant.de.
ISO/IEC 27001 направлен на стандартизацию систем управления информационной безопасностью. Целью свода правил, так же как и в случае BSI IT-Grundschutz, является обеспечение:
1) гарантии конфиденциальности;
2) целостности;
3) доступности информации.
Важными составляющими элементами информационной безопасности являются кибербезопасность, IТ-безопасность, безопасность инфраструктуры.
В принципе стандарт ISO/IEC 27001 применим ко всем компаниям и всем отраслям. Однако есть координацион ные центры, такие как банковское дело, телекоммуникации и IТ-сектор. В этих отраслях информационная безопасность является центральным компонентом, поскольку относится не только к IТ-безопасности, но и ко всей обрабатываемой информации, которая нуждается в защите.