Стандартизация в области ИБ: зарубежный опыт

Часть 2

Георгий Гарбузов, CISSP, MCSE:Security, дирекция информационной безопасности Страховой группы "УРАЛСИБ"

В первой части статьи мы говорили о международных стандартах в области ИБ, Во второй части мы коснемся некоторых зарубежных отраслевых и национальных (США, Великобритания, Германия) стандартов.

Национальные стандарты NIST серии 800 (США)

Специальные публикации Национального института стандартов и технологий США представляют собой полторы сотни относительно небольших по размеру стандартов и руководств, освещающих отдельную область: безопасность PDA (SP 800-124), защита Web-сервисов (SP 800-95), защита беспроводных технологий (SP 800-48) и т.д. Кстати, один из стандартов (SP 800-30) использовался при разработке международного стандарта ISO 27005 (оценка рисков ИБ).

Разумеется, стандарты NIST в основном применяются на территории США (в частности, государственными организациями), однако, по сути, широко распространены по всему миру, предоставляя специалистам доступные и четкие руководства по защите. Кроме того, некоторые востребованные сегодня публикации, например, SP 800-50 (разработка программы обучения и повышения осведомленности персонала в области И Б), пока не имеют доступных международных аналогов. Публикации NIST SP 800 доступны для свободного скачивания с официального сайта (csrc.nist.gov/publications/PubsSPs.html).

Национальный стандарт BS 25999 (Великобритания)

Разработанный недавно стандарт BS 25999 состоит из двух частей: первая содержит общие рекомендации по управлению непрерывностью бизнеса, вторая - четкие критерии для оценки степени соответствия системы управления непрерывностью бизнеса требованиям стандарта. Хотя стандарт и является национальным, он был разработан специалистами из различных стран и обобщил накопленный мировой опыт в данной области. Сертификация систем управления непрерывностью бизнеса также проводится аккредитованными органами по сертификации, однако на сегодняшний день в России нет ни одной организации, имеющей сертификат соответствия BS 25999. Хотя стандарт и затрагивает некоторые аспекты безопасности, чисто "ИБ-шным" он, разумеется, не считается, и процесс управления непрерывностью бизнеса является самостоятельным процессом.

Национальные стандарты и руководства BSI (Германия)

BSI (Bundesamt fu..r Sicherheit in der Informationstechnik - Федеральное агентство по информационной безопасности) является основным поставщиком решений в области информационной безопасности немецкого правительства и имеет собственную программу сертификации с привлечением аккредитованных BSI независимых аудиторов.

Агентство разработало и регулярно обновляет три стандарта в области обеспечения ИБ: 100-1 содержит требования к системе управления ИБ, 100-2 касается построения системы управления на практике, 100-3 описывает методологию управления рисками. Кроме того, агентство предлагает сборник IT-Grundschutz Catalogues (Руководство по ИТ-безопасности), являющийся самым объемным (более 2000 страниц) и детальным из существующих. Сборник содержит подробнейшие указания по обеспечению ИТ-безопасности, обширный перечень угроз и защитных мер.

Отличная структурированность и полнота позволяют рекомендовать документы BSI к ознакомлению всем, кто занимается безопасностью ИТ. Стандарты и руководства доступны для свободного скачивания с официального сайта BSI (www.bsi.de/english/publica- tions/bsi_standards - стандарты, www.bsi.de/english/gshb/manual - руководства). Там же доступна утилита GSTOOL для проведения самооценки на соответствие IT-Grundschutz Catalogues (www.bsi.de/english/gstool - пробная версия).

Отраслевой стандарт PCI DSS

Стандарт Data Security Standard (DSS) разработан ассоциацией Payment Card Industry (PCI) и содержит обязательные требования к безопасности ИТ-инфраструктуры (сетевая безопасность, управление доступом, мониторинг и др.) организаций-членов ассоциации PCI. Стандарт распространяется на процессы выпуска и обслуживания кредитных карт, а также платежные системы. Ежегодное прохождение аудита на соответствие PCI DSS является обязательным условием международных платежных систем, а непрохождение аудита может стать основанием для серьезных штрафных санкций.

Стандарт консорциума ISF

Information Security Forum (ISF) - это независимое международное объединение, осуществляющее разработку собственного стандарта по обеспечению ИБ. Стандарт является обобщением практического опыта организаций-членов ISF и разрабатывается в соответствии с другими признанными стандартами в области И Б, такими как ISO 27002 (17799) и CobiT. Основные отличия стандарта ISF от других - индексированная структура и нацеленность на практический аспект построения систем управления И Б. Стандарт обновляется каждые два года и доступен для свободного скачивания с официального сайта ISF (www.isfsecuritystandard.com).

Руководства ITU

International Telecommunication Union (ITU, Международный союз электросвязи) является ведущим учреждением ООН в области коммуникационных технологий и занимается стандартизацией в области электросвязи. В числе прочих ITU выпускает рекомендации ITU-Т серии E, представляющие интерес для специалистов в области ИБ. Например, рекомендация ITU-T E.408 содержит требования к безопасности сетей, а рекомендация ITU-T E.409 посвящена построению системы реагирования и обработки инцидентов безопасности. Ознакомиться с рекомендациями ITU-T серии E можно на официальном сайте ITU (www.itu.int/rec/T-REC-E/e).

Публикации The Open group

The Open Group является независимым консорциумом, который объединяет несколько сотен организаций и занимается стандартизацией в различных областях, в том числе и в сфере ИБ. Публикации консорциума охватывают широкий спектр вопросов и представлены в различных уровнях детализации: здесь можно найти и спецификации архитектуры безопасности организации, и руководства по оценке рисков, и стандарты базового уровня безопасности сервисов. Ознакомиться с перечнем публикаций консорциума можно на официальном сайте (www.opengroup.org/bookstore/catalog/se.htm, часть публикаций платная).

Заключение

Стандартов существует великое множество, и мы коснулись лишь некоторых из них. Но какие бы стандарты в области ИБ организация ни применяла, сочтя их наиболее подходящими для себя, выгоды стандартизации очевидны - это благоприятный имидж организации, демонстрация ее стабильного положения, снижение расходов, связанных с обработкой инцидентов ИБ, снижение уровня рисков ИБ, повышение осведомленности работников в области ИБ и т.д.

Однако есть у стандартизации и недостатки, и основным из них видится необдуманное их применение, сопровождающееся ложным чувством защищенности (стандарту ведь соответствуем!). Поэтому понимание того, что ни один стандарт не является панацеей, а их внедрение должно осуществляться с непременным учетом специфики организации, позволит использовать преимущества стандартизации с максимальной эффективностью.