Стандарт на страже информационной безопасности

Стандарт на страже информационной безопасности

С.И. Игнатенко
эксперт

В СВЯЗИ С РОСТОМ зависимости организаций от информационных систем и сервисов происходит резкое увеличение рисков, связанных с недостаточным уровнем обеспечения безопасности получения, хранения и переработки информации. Сложность информационных систем и необходимость их интеграции в общедоступные приводит к невозможности или значительному затруднению осуществления контроля над обеспечением безопасности информации и ресурсов. Возникает острая необходимость в стандартизации систем и процессов информационной безопасности (ИБ).

Немного истории

Стандарт ISO/IEC 17799 был разработан в 2000 г. Международной организацией по стандартизации и Международной электротехнической комиссией на основе британского стандарта управления информационной безопасностью BS 7799. В течение четырех лет, начиная с 2000 г., наблюдалось нарастание интереса к стандарту ISO/IEC 17799 в России, осуществлялись попытки применения данного стандарта в различных организациях. В соответствии с уведомлениями, опубликованными на сайте Федерального агентства по техническому регулированию и метрологии (http:\\www.gost.ru), с 2005 г. и по настоящее время ведется публичное обсуждение проектов национальных стандартов ГОСТ Р ИСО/МЭК 17799 "Информационные технологии. Методы безопасности. Руководство по управлению безопасностью информации" и ГОСТ Р ИСО/МЭК 27001 "Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования" (разработчик указанных стандартов ФГУ "ГНИИИ ПТЗИ ФСТЭК России"). Таким образом, в конце 2006 г. ожидается принятие двух стандартов в области управления ИБ: ГОСТ Р ИСО/МЭК 17799 и ГОСТ Р ИСО/МЭК 27001, которые рекомендуется использовать для создания системы обеспечения безопасности информации в организации.

В соответствии со стандартом ISO/IEC 17799 основное внимание при проектировании и создании эффективной системы безопасности организации уделяется комплексному подходу к управлению И Б, которое должно осуществляться с применением технических и организационных мер, направленных на обеспечение конфиденциальности, целостности и доступности защищаемой информации. Нарушение любого из этих принципов может привести как к незначительным убыткам организации, так и к ее банкротству. С целью формирования комплексных требований к безопасности информации стандарт определяет три основных показателя:

• оценка рисков, с которыми сталкивается организация (определение угрозы для ресурсов, их уязвимость и вероятность возникновения угроз,а также возможный ущерб);
• соблюдение законодательных, нормативных и договорных требований, которые должны выполняться самой организацией, ее партнерами по бизнесу, подрядчиками и поставщиками услуг;
• формирование комплекса принципов, целей и требований к обработке информации, разработанных организацией для поддержки своей деятельности.

Оценка рисков должна помочь определить необходимые действия и приоритеты для управления ИБ и для реализации выбранных средств защиты. Процесс оценки рисков и выбора средств защиты может выполняться несколько раз, чтобы охватить различные части организации или отдельные информационные системы. Средства защиты должны выбираться с учетом затрат на реализацию. При этом затраты должны соответствовать степени рисков и потенциальным убыткам при нарушении безопасности. С целью определения необходимого уровня защиты информационных ресурсов должны быть составлены их перечни и проведена классификация информации по уровням конфиденциальности. Кроме технической реализации средств защиты информации на основе результатов оценки рисков и выбранного уровня защиты должны быть разработаны организационные меры обеспечения ИБ, которые должны включать в себя следующие положения:

• разработка политики ИБ;
• распределение ответственности;
• обучение и подготовка персонала;
• создание отчетов об инцидентах;
• поддержка непрерывности бизнеса.
• определение ИБ, ее целей и области действия;
• общее описание принципов управления ИБ;
• краткое описание политики безопасности, принципов, стандартов, требований;
• описание обязанностей, правила распределения ответственности;
• ссылки на более детальные инструкции и описания правил безопасности.

Практическая организация ИБ

В разделах стандарта ISO/IEC 17799, представленных ниже, приведены практические рекомендации по организации ИБ, которые, как правило, отражаются в политике безопасности организации или в отдельных инструкциях с учетом специфики самой организации.

1.Вопросы безопасности, связанные с персоналом

• Безопасность при формулировке заданий и наборе сотрудников.
• Обучение пользователей.
• Реакция на инциденты и сбои в работе.

2.Физическая безопасность и защита территорий

• Защищенные территории.
• Безопасность оборудования.
• Общие меры.

3.Обеспечение безопасности при эксплуатации

• Правила работы и обязанности.
• Планирование разработки и приемка системы.
• Защита от злонамеренного программного обеспечения.
• Служебные процедуры.
• Управление вычислительными сетями.
• Обращение с носителями и их безопасность.
• Обмен информацией и программным обеспечением.

4. Контроль доступа

• Требования к контролю доступа в организации.
• Управление доступом пользователей.
• Обязанности пользователей.
• Контроль доступа к вычислительной сети.
• Контроль доступа к операционным системам.
• Контроль доступа к приложениям.
• Мониторинг доступа и использования системы.
• Мобильные компьютеры и средства удаленной работы.

5.Разработка и обслуживание систем

• Требования к безопасности систем.
• Безопасность в прикладных системах.
• Криптографические средства.
• Безопасность системных файлов.
• Безопасность при разработке и поддержке.

6. Обеспечение непрерывности бизнеса

• Аспекты обеспечения непрерывности бизнеса.

7.Соответствие требованиям

• Соответствие требованиям законодательства.
• Проверка политики безопасности и соответствие техническим требованиям.
• Рекомендации по аудиту систем.

Требования безопасности информации должны учитываться во всех сферах жизнедеятельности организации, в том числе при формировании и распределении должностных обязанностей. Кроме того, должностные обязанности пользователей информационных ресурсов должны содержать более конкретизированные и расширенные (по сравнению с изложенными в общей политике безопасности организации) требования к обеспечению безопасности информации. Все сотрудники организации должны проходить соответствующую подготовку в области политики безопасности и процедур, принятых в организации с периодической переподготовкой.

Стандарт ГОСТ Р ИСО/МЭК 27001, разработанный на основе британского стандарта BS ISO/IEC 27001:2005, является дополнением к ГОСТ Р ИСО/МЭК 17799. Данный стандарт представляет собой модель и требования для создания, внедрения, эксплуатации, сопровождения и совершенствования системы управления ИБ (СУИБ). Вопрос разработки СУИБ и ее внедрения в организации является концептуальным. Как правило, на проектирование и внедрение СУИБ оказывают влияние бизнес цели и потребности организации, вытекающие из них требования безопасности, используемые процессы, а также размер и структура организации. Эти факторы, а также поддерживающие их системы со временем меняются. В связи с этим, реализация СУИБ должна корректироваться в соответствии с изменяющимися потребностями организации. В заключение следует отметить, что положения стандарта ISO/IEC 17799 представляют собой свод рекомендаций по организации комплексной системы ИБ и по разработке политики безопасности организации, которые могут использоваться практически любой организацией. В то же время данный стандарт фактически не содержит конкретных технических или функциональных требований безопасности. Учитывая этот факт, проект ГОСТ Р ИСО/МЭК 27001 может являться логическим дополнением ГОСТ Р ИСО/МЭК 17799. Вполне возможно, что к концу 2006 г. оба стандарта получат статус государственных и у нас появится возможность более детального их анализа.

Комментарии эксперта

С.А. Белов
руководитель стратегических проектов компании Aladdin

ЗАДАЧИ организации и управления являются, безусловно, важнейшими и определяющими в деле обеспечения ИБ. Именно поэтому в стандарте BS ISO/IEC 27001:2005 содержатся требования по безопасности, в то время как стандарт ISO/IEC 17799 носит лишь рекомендательный характер. Сегодня в России имеется значительное число нормативных документов федерального или ведомственного уровня, в которых регламентируются те или иные аспекты управления И Б. Примером таких документов может служить "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну". Однако эти документы используют различные подходы, терминологию и зачастую в совокупности не покрывают всю область обеспечения ИБ.

Стандарт ГОСТ Р ИСО/МЭК 27001 может послужить той разумной методологической платформой, которая позволит объединить многочисленные правила, инструкции, концепции и представить их как единую систему управления обеспечением ИБ.

Вместе с тем реальная реализация требований данного стандарта может начаться только после разработки и принятия целого ряда методик, особенно в части анализа информационных рисков, определения владельцев ресурсов, аттестации и аудита.

Таким образом, если ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 17799 получат статус государственных стандартов, это будет очень важным, но только первым шагом на пути внедрения в нашей стране современных подходов к комплексному решению проблем ИБ.