Міжнародні та вітчизняні стандарти інформаційної безпеки і їх методичне забезпечення
В даний час в Росії поряд з вітчизняною нормативною базою широко використовуються близько 140 міжнародних стандартів в області інформаційних технологій. З них близько 30 зачіпають питання захисту інформації. Деякі міжнародні стандарти щодо захисту інформації прийняті і введені в дію в Росії, але ці стандарти не становлять цілісної основи для вирішення проблем інформаційної безпеки, особливо в частині нормативного регулювання, методичного та інструментального забезпечення розробки, оцінки та сертифікації безпеки ІТ з урахуванням сучасного рівня розвитку, масштабів і різноманіття загроз.
Останнім часом в різних країнах з'явилося нове покоління стандартів в області захисту інформації, присвячених практичним питанням управління інформаційної безпеки компанії. Це, перш за все, міжнародні та національні стандарти управління інформаційною безпекою ISO 15408, ISO 17799 (BS 7799), BSI; стандарти аудиту інформаційних систем та інформаційної безпеки COBIT, SAC, COSO і деякі інші, аналогічні їм. У відповідність з міжнародними та національними стандартами забезпечення інформаційної безпеки в будь-якій компанії передбачає наступне.
По-перше, визначення цілей забезпечення інформаційної безпеки комп'ютерних систем. По-друге, створення ефективної системи управління інформаційною безпекою. По-третє, розрахунок сукупності деталізованих не тільки якісних, а й кількісних показників для оцінки відповідності інформаційної безпеки заявленим цілям. По-четверте, застосування інструментарію забезпечення інформаційної безпеки і оцінки її поточного стану. По-п'яте, використання методик управління безпекою з обґрунтованою системою метрик і заходів забезпечення інформаційної безпеки, що дозволяють об'єктивно оцінити захищеність інформаційних активів і управляти інформаційною безпекою компанії.
В цьому розділі сайту дається огляд стандартів інформаційної безпеки, які є найбільш значущими і перспективними з точки зору їх використання для проведення аудиту безпеки ІС. Результатом проведення аудиту останнім часом все частіше стає сертифікат, що засвідчують відповідність обследуемой ІС вимогам визнаного міжнародного стандарту. Сертифікація на відповідність стандарту дозволяє наочно показати діловим партнерам, інвесторам і клієнтам, що в компанії налагоджено ефективне управління інформаційною безпекою. У свою чергу це забезпечує компанії конкурентну перевагу, демонструючи здатність керувати інформаційними ризиками. Процес сертифікації на відповідність вимогам стандарту передбачає кілька етапів:
- Попередня оцінка системи управління ІБ і діагностика.
- Сертифікаційний аудит.
- Підтримка дії сертифіката.
Значення міжнародних стандартів IS017799 і ISO15408 важко переоцінити. Ці стандарти є основою для проведення будь-яких робіт в області інформаційної безпеки, в тому числі і аудиту. IS017799 зосереджений на питаннях організації та управління безпекою, в той час як ISO 15408 визначає детальні вимоги, що пред'являються до програмно-технічним механізмам захисту інформації. Специфікація SysTrust обрана для розгляду, тому що вона в даний час досить широко використовується аудиторськими компаніями, традиційно виконують фінансовий аудит для своїх клієнтів і пропонують послугу ІТ аудиту в якості доповнення до фінансового аудиту. Німецький стандарт «BSI \ IT Baseline Protection Manual» містить, мабуть, найбільш змістовне керівництво по забезпеченню безпеки ІТ і представляє безперечну практичну цінність для всіх фахівців, що займаються питаннями інформаційної безпеки. Практичні стандарти і керівництва щодо забезпечення інформаційної безпеки, що розробляються в рамках проекту SCORE, орієнтовані на технічних фахівців і є в технічному плані найбільш досконалими в даний час. Програма сертифікації Інтернет сайтів за вимогами інформаційної безпеки і відповідна специфікація, запропонована інститутом SANS, заслуговує розгляду в зв'язку з незмінно зростаючої актуальністю питань захисту ІВ організацій від атак з боку мережі Інтернет і збільшенням частки відповідних робіт при проведенні аудиту безпеки.
Критерії для оцінки механізмів безпеки організаційного рівня в міжнародному стандарті ISO 17799
Міжнародний стандарт ISO 17799 (BS 7799) і нова культура захисту інформаційних активів компанії
У Росії стандарт ISO 17799 поки не є загальноприйнятим документом, на відміну від стандартів ГТК і ФАПСИ. Однак стандарти ГТК на практиці застосовуються зазвичай тільки до програмних продуктів, стандарти ФАПСИ регламентують, в основному, застосування криптографічних засобів. Застосування цих стандартів до системи управління інформаційної безпеки компанії практично неможливо, так як самі стандарти призначалися, скоріше, для програмного забезпечення та сертифікувати всю ІТ систему компанії на відповідність стандартам ГТК представляється досить складним і не зовсім неефективним заняттям. Зовсім іншим чином йдуть справи зі стандартом ISO 17799. При всій своїй узагальненості і відсутності в деяких частинах стандарту конкретних деталей, сам стандарт розроблений саме для застосування його в складних і розгалужених корпоративних системах і що важливо - ISO 17799 чи не суперечить існуючим російським стандартам ГТК і ФАПСИ .
Переваги, які компанія після проходження сертифікації по ISO 17799
Критерії оцінки безпеки інформаційних технологій - стандарт ISO 15408
По суті, аудит в області інформаційних технологій, хоча і не має ніякого відношення до фінансового аудиту, часто є доповненням до нього в якості комерційної послуги, пропонованої аудиторськими фірмами своїм клієнтам, в зв'язку з підвищенням залежності бізнесу клієнтів від ІТ. Ідея полягає в тому, що використання надійних і безпечних ІТ систем до певної міри гарантує надійність фінансової звітності організації. Хороші результати ІТ аудиту в деяких випадках дозволяють проводити фінансовий аудит в скороченому варіанті економлячи час і гроші клієнтів.
Сертифікація за вимогами стандарту SysTrust
Німецький стандарт «Керівництво по забезпеченню безпеки ІТ базового рівня»
Асоціація ISACA і стандарт COBIT - відкритий аудит інформаційних систем
Розробка базового набору практичних стандартів щодо забезпечення безпеки для різних операційних платформ
Усі зазначені нами стандарти та названі підходи мають певними обмеженнями. Обмеженням німецького стандарту BSI є неможливість поширити рекомендації цього стандарту на захист інформаційних активів російських компаній, які відрізняються за своєю структурою і специфікою бізнес діяльності від раніше розглянутих прикладів організації режиму інформаційної безпеки. Обмеженням стандартів ISO 17799 та COBIT є труднощі переходу від загальних принципів та питань захисту інформації до приватних практичним процесам забезпечення інформаційної безпеки в російських компаніях. Основна причина цього полягає в тому, що захист інформаційних активів будь-якої російської компанії додатково характеризується певними індивідуальними специфічними умовами бізнес діяльності в умовах обмежень і регулювання російської нормативної бази в галузі захисту інформації.
Іншими словами, тільки спільно використовуючи сильні сторони розглянутих міжнародних стандартів, а також адаптувавши отримані рекомендації відповідно до вимог російської нормативної бази в галузі захисту інформації можна ефективно забезпечити захист інформаційних активів конкретної російської компанії.
Розвиток і вдосконалення вітчизняної нормативної бази на засоби і методи протидії загрозам в інформаційній сфері
Впровадження державних стандартів, розроблених шляхом прямого впровадження стандартів ISO та ІЕС, розробка технічних регламентів і реалізація програм комплексної стандартизації дозволить:
- вийти на сучасний рівень розробки безпечних інформаційних технологій і їх оцінки;
- розробити на єдиній основі нове покоління нормативних документів в області інформаційної безпеки;
- забезпечити можливість визнання сертифікатів відповідності на засоби і системи інформаційних технологій в різних національних системах сертифікації Росії, США і країнах Європи, що дозволить заощадити значні фінансові кошти.
Діючі національні стандарти та інші нормативні документи із стандартизації в галузі інформаційної безпеки дозволяють вирішувати проблеми захисту інформації в автоматизованих системах, інформаційних системах, обчислювальних і телекомунікаційних мережах, забезпечувати проведення випробувань і сертифікацію компонентів і засобів інформаційних технологій на відповідність вимогам інформаційної безпеки. Викладений системний підхід щодо застосування сучасних методів і засобів стандартизації дозволить вирішити проблему вдосконалення і розвитку нормативної бази в області інформаційної безпеки.