
В настоящее время в России наряду с отечественной нормативной базой широко
используются около 140 международных стандартов в области информационных
технологий. Из них около 30 затрагивают вопросы защиты информации. Некоторые
международные стандарты по защите информации приняты и введены в действие в
России, но эти стандарты не составляют целостной основы для решения проблем
информационной безопасности, особенно в части нормативного регулирования,
методического и инструментального обеспечения разработки, оценки и сертификации
безопасности ИТ с учетом современного уровня развития, масштабов и многообразия
угроз.
В последнее время в разных странах появилось новое поколение стандартов в
области защиты информации, посвященных практическим вопросам управления
информационной безопасности компании. Это, прежде всего, международные и
национальные стандарты управления информационной безопасностью ISO 15408, ISO
17799 (BS 7799), BSI; стандарты аудита информационных систем и информационной
безопасности COBIT, SAC, COSO и некоторые другие, аналогичные им. В соответствие
с международными и национальными стандартами обеспечение информационной
безопасности в любой компании предполагает следующее.
Во-первых, определение целей обеспечения информационной
безопасности компьютерных систем. Во-вторых, создание эффективной системы
управления информационной безопасностью. В третьих, расчет совокупности
детализированных не только качественных, но и количественных показателей для
оценки соответствия информационной безопасности заявленным целям. В четвертых,
применение инструментария обеспечения информационной безопасности и оценки ее
текущего состояния. В пятых, использование методик управления безопасностью с
обоснованной системой метрик и мер обеспечения информационной безопасности,
позволяющих объективно оценить защищенность информационных активов и управлять
информационной безопасностью компании.
В настоящем разделе сайта дается обзор стандартов информационной
безопасности, являющихся наиболее значимыми и перспективными с точки зрения их
использования для проведения аудита безопасности ИС. Результатом проведения
аудита в последнее время все чаще становится сертификат, удостоверяющих
соответствие обследуемой ИС требованиям признанного международного стандарта.
Сертификация на соответствие стандарту позволяет наглядно показать деловым
партнерам, инвесторам и клиентам, что в компании налажено эффективное управление
информационной безопасностью. В свою очередь это обеспечивает компании
конкурентное преимущество, демонстрируя способность управлять информационными
рисками. Процесс сертификации на соответствие требованиям стандарта предполагает
несколько этапов:
- Предварительная оценка системы управления ИБ и диагностика.
- Сертификационный аудит.
- Поддержка действия сертификата.

Значение международных стандартов IS017799 и ISO15408
трудно переоценить. Эти стандарты служат основой для проведения любых
работ в области информационной безопасности, в том числе и аудита. IS017799
сосредоточен на вопросах организации и управления безопасностью, в то время как
ISO 15408 определяет детальные требования, предъявляемые к
программно-техническим механизмам защиты информации. Спецификация SysTrust
выбрана для рассмотрения, т.к. она в настоящее время достаточно широко
используется аудиторскими компаниями, традиционно выполняющими финансовый аудит
для своих клиентов и предлагающих услугу ИТ аудита в качестве дополнения к
финансовому аудиту. Немецкий стандарт «BSI\IT Baseline Protection Manual»
содержит, пожалуй, наиболее содержательное руководство по обеспечению
безопасности ИТ и представляет несомненную практическую ценность для всех
специалистов, занимающихся вопросами информационной безопасности. Практические
стандарты и руководства по обеспечению информационной безопасности,
разрабатываемые в рамках проекта SCORE, ориентированы на технических
специалистов и являются в техническом плане наиболее совершенными в настоящее
время. Программа сертификации Интернет сайтов по требованиям информационной
безопасности и соответствующая спецификация, предложенная институтом SANS,
заслуживает рассмотрения в связи с неизменно возрастающей актуальностью вопросов
защиты ИС организаций от атак со стороны сети Интернет и увеличением доли
соответствующих работ при проведении аудита безопасности.
Критерии для оценки механизмов безопасности организационного уровня в международном стандарте ISO 17799
Международный стандарт ISO 17799 (BS 7799) и новая культура защиты информационных активов компании
В России стандарт ISO 17799 пока не является общепринятым документом, в
отличие от стандартов ГТК и ФАПСИ. Однако стандарты ГТК на практике применяются
обычно только к программным продуктам, стандарты ФАПСИ регламентируют, в
основном, применение криптографических средств. Применение этих стандартов к
системе управления информационной безопасности компании практически невозможно,
так как сами стандарты предназначались, скорее, для программного обеспечения и
сертифицировать всю ИТ систему компании на соответствие стандартам ГТК
представляется достаточно сложным и не совсем неэффективным занятием. Совершенно
иным образом обстоят дела со стандартом ISO 17799. При всей своей обобщенности и
отсутствии в некоторых частях стандарта конкретных деталей, сам стандарт
разработан именно для применения его в сложных и разветвленных корпоративных
системах и что немаловажно - ISO 17799 не противоречит существующим
российским стандартам ГТК и ФАПСИ.
Преимущества, получаемые компанией после прохождения сертификации по ISO 17799
Критерии оценки безопасности информационных технологий - стандарт ISO 15408
По существу, аудит в области информационных технологий, хотя и не имеет
никакого отношения к финансовому аудиту, часто является дополнением к нему в
качестве коммерческой услуги, предлагаемой аудиторскими фирмами своим клиентам,
в связи с повышением зависимости бизнеса клиентов от ИТ. Идея заключается
в том, что использование надежных и безопасных ИТ систем до определенной степени
гарантирует надежность финансовой отчетности организации.
Хорошие результаты ИТ аудита в некоторых случаях позволяют проводить финансовый
аудит в сокращенном варианте экономя время и деньги клиентов.
Сертификация по требованиям стандарта SysTrust
Немецкий стандарт «Руководство по обеспечению безопасности ИТ базового уровня»
Ассоциация ISACA и стандарт COBIT - открытый аудит информационных систем
Разработка базового набора практических стандартов по обеспечению безопасности для различных операционных платформ
Все обозначенные нами стандарты и названные подходы обладают определенными
ограничениями. Ограничением германского стандарта BSI является невозможность
распространить рекомендации этого стандарта на защиту информационных активов
российских компаний, которые отличаются по своей структуре и специфике бизнес
деятельности от ранее рассмотренных примеров организации режима информационной
безопасности. Ограничением стандартов ISO 17799 и COBIT является трудность
перехода от общих принципов и вопросов защиты информации к частным практическим
процессам обеспечения информационной безопасности в российских компаниях.
Основная причина этого заключается в том, что защита информационных активов
любой российской компании дополнительно характеризуется определенными
индивидуальными специфическими условиями бизнес деятельности в условиях
ограничений и регулирования российской нормативной базы в области защиты
информации.
Другими словами, только совместно используя сильные
стороны рассмотренных международных стандартов, а также адаптировав полученные
рекомендации в соответствии с требованиями российской нормативной базы в области
защиты информации можно эффективно обеспечить защиту информационных активов
конкретной российской компании.
Развитие и совершенствование отечественной нормативной базы на средства и методы противодействия угрозам в
информационной сфере
Внедрение государственных стандартов, разработанных путем прямого внедрения
стандартов ИСО и МЭК, разработка технических регламентов и реализация программ
комплексной стандартизации позволит:
- выйти на современный уровень разработки безопасных информационных
технологий и их оценки;
- разработать на единой основе новое поколение нормативных документов в области
информационной безопасности;
- обеспечить возможность признания сертификатов соответствия на средства и
системы информационных технологий в различных национальных системах сертификации
России, США и странах Европы, что позволит сэкономить значительные финансовые
средства.

Действующие национальные стандарты и другие нормативные документы по
стандартизации в области информационной безопасности позволяют решать проблемы
защиты информации в автоматизированных системах, информационных системах,
вычислительных и телекоммуникационных сетях, обеспечивать проведение испытаний и
сертификацию компонентов и средств информационных технологий на соответствие
требованиям информационной безопасности. Изложенный системный подход по
применению современных методов и средств стандартизации позволит решить проблему
совершенствования и развития нормативной базы в области информационной
безопасности.
|