Главная » Безопасность » Защита6 » Международные и отечественные стандарты информационной безопасности и их методическое обеспечение

Международные и отечественные стандарты информационной безопасности и их методическое обеспечение

В настоящее время в России наряду с отечественной нормативной базой широко используются около 140 международных стандартов в области информационных технологий. Из них около 30 затрагивают вопросы защиты информации.

Некоторые международные стандарты по защите информации приняты и введены в действие в России, но эти стандарты не составляют целостной основы для решения проблем информационной безопасности, особенно в части нормативного регулирования, методического и инструментального обеспечения разработки, оценки и сертификации безопасности ИТ с учетом современного уровня развития, масштабов и многообразия угроз.

В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасности компании. Это, прежде всего, международные и национальные стандарты управления информационной безопасностью ISO 15408, ISO 17799 (BS 7799), BSI; стандарты аудита информационных систем и информационной безопасности COBIT, SAC, COSO и некоторые другие, аналогичные им. В соответствие с международными и национальными стандартами обеспечение информационной безопасности в любой компании предполагает следующее.

Во-первых, определение целей обеспечения информационной безопасности компьютерных систем. Во-вторых, создание эффективной системы управления информационной безопасностью. В третьих, расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям. В четвертых, применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния. В пятых, использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения информационной безопасности, позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.

В настоящем разделе сайта дается обзор стандартов информационной безопасности, являющихся наиболее значимыми и перспективными с точки зрения их использования для проведения аудита безопасности ИС. Результатом проведения аудита в последнее время все чаще становится сертификат, удостоверяющих соответствие обследуемой ИС требованиям признанного международного стандарта. Сертификация на соответствие стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками. Процесс сертификации на соответствие требованиям стандарта предполагает несколько этапов:

— Предварительная оценка системы управления ИБ и диагностика.
— Сертификационный аудит.
— Поддержка действия сертификата.

Проведение работ в области информационной безопасности в соответствии со стандартами

Значение международных стандартов IS017799 и ISO15408 трудно переоценить. Эти стандарты служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита. IS017799 сосредоточен на вопросах организации и управления безопасностью, в то время как ISO 15408 определяет детальные требования, предъявляемые к программно-техническим механизмам защиты информации. Спецификация SysTrust выбрана для рассмотрения, т.к. она в настоящее время достаточно широко используется аудиторскими компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих услугу ИТ аудита в качестве дополнения к финансовому аудиту. Немецкий стандарт «BSI\IT Baseline Protection Manual» содержит, пожалуй, наиболее содержательное руководство по обеспечению безопасности ИТ и представляет несомненную практическую ценность для всех специалистов, занимающихся вопросами информационной безопасности. Практические стандарты и руководства по обеспечению информационной безопасности, разрабатываемые в рамках проекта SCORE, ориентированы на технических специалистов и являются в техническом плане наиболее совершенными в настоящее время. Программа сертификации Интернет сайтов по требованиям информационной безопасности и соответствующая спецификация, предложенная институтом SANS, заслуживает рассмотрения в связи с неизменно возрастающей актуальностью вопросов защиты ИС организаций от атак со стороны сети Интернет и увеличением доли соответствующих работ при проведении аудита безопасности.

Критерии для оценки механизмов безопасности организационного уровня в международном стандарте ISO 17799
Международный стандарт ISO 17799 (BS 7799) и новая культура защиты информационных активов компании

В России стандарт ISO 17799 пока не является общепринятым документом, в отличие от стандартов ГТК и ФАПСИ. Однако стандарты ГТК на практике применяются обычно только к программным продуктам, стандарты ФАПСИ регламентируют, в основном, применение криптографических средств. Применение этих стандартов к системе управления информационной безопасности компании практически невозможно, так как сами стандарты предназначались, скорее, для программного обеспечения и сертифицировать всю ИТ систему компании на соответствие стандартам ГТК представляется достаточно сложным и не совсем неэффективным занятием. Совершенно иным образом обстоят дела со стандартом ISO 17799. При всей своей обобщенности и отсутствии в некоторых частях стандарта конкретных деталей, сам стандарт разработан именно для применения его в сложных и разветвленных корпоративных системах и что немаловажно — ISO 17799 не противоречит существующим российским стандартам ГТК и ФАПСИ.

Преимущества, получаемые компанией после прохождения сертификации по ISO 17799
Критерии оценки безопасности информационных технологий — стандарт ISO 15408

По существу, аудит в области информационных технологий, хотя и не имеет никакого отношения к финансовому аудиту, часто является дополнением к нему в качестве коммерческой услуги, предлагаемой аудиторскими фирмами своим клиентам, в связи с повышением зависимости бизнеса клиентов от ИТ. Идея заключается в том, что использование надежных и безопасных ИТ систем до определенной степени гарантирует надежность финансовой отчетности организации. Хорошие результаты ИТ аудита в некоторых случаях позволяют проводить финансовый аудит в сокращенном варианте экономя время и деньги клиентов.

Сертификация по требованиям стандарта SysTrust
Немецкий стандарт «Руководство по обеспечению безопасности ИТ базового уровня»
Ассоциация ISACA и стандарт COBIT — открытый аудит информационных систем
Разработка базового набора практических стандартов по обеспечению безопасности для различных операционных платформ

Все обозначенные нами стандарты и названные подходы обладают определенными ограничениями. Ограничением германского стандарта BSI является невозможность распространить рекомендации этого стандарта на защиту информационных активов российских компаний, которые отличаются по своей структуре и специфике бизнес деятельности от ранее рассмотренных примеров организации режима информационной безопасности. Ограничением стандартов ISO 17799 и COBIT является трудность перехода от общих принципов и вопросов защиты информации к частным практическим процессам обеспечения информационной безопасности в российских компаниях. Основная причина этого заключается в том, что защита информационных активов любой российской компании дополнительно характеризуется определенными индивидуальными специфическими условиями бизнес деятельности в условиях ограничений и регулирования российской нормативной базы в области защиты информации.

Другими словами, только совместно используя сильные стороны рассмотренных международных стандартов, а также адаптировав полученные рекомендации в соответствии с требованиями российской нормативной базы в области защиты информации можно эффективно обеспечить защиту информационных активов конкретной российской компании.

Развитие и совершенствование отечественной нормативной базы на средства и методы противодействия угрозам в информационной сфере

Внедрение государственных стандартов, разработанных путем прямого внедрения стандартов ИСО и МЭК, разработка технических регламентов и реализация программ комплексной стандартизации позволит:

— выйти на современный уровень разработки безопасных информационных технологий и их оценки;
— разработать на единой основе новое поколение нормативных документов в области информационной безопасности;
— обеспечить возможность признания сертификатов соответствия на средства и системы информационных технологий в различных национальных системах сертификации России, США и странах Европы, что позволит сэкономить значительные финансовые средства.

Системный подход по применению современных методов и средств стандартизации

Действующие национальные стандарты и другие нормативные документы по стандартизации в области информационной безопасности позволяют решать проблемы защиты информации в автоматизированных системах, информационных системах, вычислительных и телекоммуникационных сетях, обеспечивать проведение испытаний и сертификацию компонентов и средств информационных технологий на соответствие требованиям информационной безопасности. Изложенный системный подход по применению современных методов и средств стандартизации позволит решить проблему совершенствования и развития нормативной базы в области информационной безопасности.