21/01/2003

Примет ли Россия безопасность по английским стандартам?

Защита информационных систем — одна из главных проблем для руководителей предприятий. Оценить защищенность информационной системы достаточно сложно. Для этого существуют в основном качественные методы оценки уровня защищенности, которые на выходе позволяют получить не количественную оценку (например, система защищена на 58 %), а качественную — система соответствует определенному классу или уровню защищенности. Количественные методы оценки на практике не нашли своего применения.

Основным критерием проведения аудита безопасности информационных систем является соответствие стандарту безопасности. В России обычная практика при проведении аудита — выполнение данных работ без привязки к какому-либо критерию или стандарту: аудитор ограничивается оценкой текущего уровня защищенности и выработкой рекомендаций по его повышению в соответствии со своей экспертной оценкой и своим представлением об уровнях и критериях защиты, не учитывая мировой опыт и существующие стандарты безопасности.

Стандарт

Несколько лет назад Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др., занялся разработкой стандарта информационной безопасности. В 1998 году был принят национальный стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. Служба безопасности, IT-отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В конце 2000 года международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799.

В России стандарт ISO 17799 пока не является общепринятым документом, в отличие от стандартов ГТК и ФАПСИ. Но стандарты ГТК на практике применяются обычно только к программным продуктам, стандарты ФАПСИ регламентируют в основном применение криптографических средств. Применение этих стандартов к системе управления информационной безопасности компании практически невозможно, так как сами стандарты предназначались, скорее, для программного обеспечения и сертифицировать всю информационную систему компании на соответствие стандартам ГТК представляется достаточно сложным и неэффективным занятием.

Иначе обстоят дела со стандартом ISO 17799. При всей своей обобщенности и отсутствии в некоторых частях стандарта конкретных деталей, он разработан именно для применения в сложных и разветвленных корпоративных системах, и, что важно, ISO 17799 не противоречит существующим российским стандартам ГТК и ФАПСИ.

Аудит

По мнению Ильи Медведовского, исполнительного директора Domina Security, прохождение сертификации по ISO 17799 имеет ряд преимуществ. После проведения аудита информационная система компании становится прозрачнее для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью как для повышения реального уровня защищенности, так и для непосредственного соответствию стандарту.

Кроме того, говоря о сертификации по ISO 17799, стоит принять во внимание согласованную с ВТО процедуру принятия России в данную организацию. Эта процедура потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии развития в области информационных технологий с учетом международных стандартов безопасности, таких как ISO 17799.

Для получения сертификата соответствия ISO 17799 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы на соответствие стандарту, внедрить изменения и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов. Предварительный этап, который заключается в проведении аудита и подготовке на его основании необходимых изменений системы управления информационной безопасностью, может выполнить специализированная секьюрити-компания, имеющая опыт в проведении подобных работ. Затем, после подготовки комплекта документов и внесения изменений в систему, потребуется провести итоговую проверку соответствия ISO 17799, для чего необходимо участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при UKAS (United Kingdom Accreditation Service) — уполномоченном государственном органе Великобритании. Также отметим, что сейчас официальная сертификация возможно только по BS7799, однако выход 2-ой части ISO 17799 ожидается в ближайшее время.

Версия для распечатки