Основные стандарты безопасности. Международные стандарты информационной безопасности Международные стандарты обеспечения информационной безопасности

ISO/IEC 27001 - международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).

Назначение стандарта. В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).

Цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.

Основные понятия. Информационная безопасность - сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

Конфиденциальность - обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи).

Целостность - обеспечение точности и полноты информации, а также методов её обработки.

Доступность - обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

Стандарт ISO 27001 обеспечивает:

· определение целей и представление о направлении и принципах деятельности относительно информационной безопасности;

· определение подходов к оценке и управлению рисками в организации;

· управление информационной безопасностью в соответствии с применимым законодательством и нормативными требованиями;

· использование единого подхода при создании, внедрении, эксплуатации, мониторинге, анализе, поддержке и совершенствовании системы менеджмента с тем, чтобы цели в области информационной безопасности были достигнуты;

· определение процессов системы менеджмента информационной безопасности;

· определение статуса мероприятий по обеспечению информационной безопасности;

· использование внутренних и внешних аудитов для определения степени соответствия системы менеджмента информационной безопасности требованиям стандарта;

· предоставление адекватной информации партнерам и другим заинтересованным сторонам о политике информационной безопасности.

Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации по содержанию ФЗ РФ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

1) свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами;

3) открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

4) равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;

5) обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

6) достоверность информации и своевременность ее предоставления;

7) неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

8) недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Стратегия национальной безопасности Российской Федерации до 2020г.». Структура, задачи, методы и пути реализации государством своих функций по обеспечению информационной безопасности в «Доктрине информационной безопасности Российской Федерации».

Стратегия национальной безопасности Российской Федерации до 2020 года - официально признанная система стратегических приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу.

Доктрина информационной безопасности Российской Федерации - совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

Составляющие национальных интересов Российской Федерации в информационной сфере в доктрине:

1) Обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею.

2) Информационное обеспечение государственной политики РФ (доведение до граждан РФ и международной общественности о государственной политике РФ, официальной позиции по значимым событиям в России и в мире) с доступом граждан к открытым государственным ресурсам.

3) Развитие современных ИТ отечественной индустрии (средств информатизации, телекоммуникации и связи). Обеспечение ИТ внутреннего рынка России и выход на мировые рынки.

4) Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Виды угроз информационной безопасности РФ в доктрине:

1. Угрозы, направленные на конституционные права и свободы человека в области информационной деятельности.

2. Угрозы информационному обеспечению государственной политики РФ.

3. Угроза развитию современных ИТ отечественной индустрии, а также выходу на внутренний и мировой рынок.

4. Угрозы безопасности информационных и телекоммуникационных средств и систем.

Методы обеспечения информационной безопасности РФ в доктрине:

Правовые методы

Разработка нормативных правовых актов, регламентирующих отношения в сфере IT

Организационно-технические методы

Создание системы информационной безопасности РФ и её совершенствование

Привлечение лиц к ответственности, совершивших преступления в этой сфере

Создание систем и средств для предотвращения несанкционированного доступа к обрабатываемой информации

Экономические методы

Разработка программ обеспечения информационной безопасности и их финансирование

Финансирование работ, связанных с обеспечением информационной безопасности РФ

Одной из важнейших проблем и потребностей современного общества является защита прав человека в условиях вовлечения его в процессы информационного взаимодействия в том числе, право на защиту личной (персональной) информации в процессах автоматизированной обработки информации.

И. Н. Маланыч, студент 6 курса ВГУ

Институт защиты персональных данных сегодня уже не является той категорией, которую можно регулировать только национальным правом. Важнейшей особенностью современных автоматизированных информационных систем является «наднациональность» многих из них, «выход» их за пределы границ государств, развитие общедоступных мировых информационных сетей, таких, как Интернет, формирование единого информационного пространства в рамках таких международных структур.

Сегодня в Российской Федерации существует проблема не только введения в правовое поле института защиты персональных данных в рамках автоматизированных информационных процессов, но и соотнесения ее с существующими международно-правовыми стандартами в этой области.

Можно выделить три основные тенденции международно-правового регулирования института защиты персональных данных, относимого к процессам автоматизированной обработки информации.

1) Декларирование права на защиту персональных данных, как неотъемлемой части фундаментальных прав человека, в актах общегуманитарного характера, принимаемых в рамках международных организаций.

2) Закрепление и регулирование права за защиту персональной информации в актах регулятивного характера Европейского Союза, Совета Европы, отчасти Содружества Независимых Государств и некоторых региональных международных организаций. Этот класс норм – наиболее универсальный и непосредственно касается прав на защиту персональных данных в процессах автоматизированной обработки информации.

3) Включение норм об охране конфиденциальной информации (в том числе, и персональной) в международные договоры.

Первый способ – исторически появился раньше остальных. В современном мире информационные права и свободы являются неотъемлемой частью фундаментальных прав человека.

Всеобщая декларация прав человека 1948 г. провозглашает: «Никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, произвольным посягательствам на … тайну его корреспонденции» и далее: «Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств». Международный пакт о гражданских и политических правах 1966 г. в этой части повторяет декларацию. Европейская Конвенция 1950 г. детализирует это право: «Каждый человек имеет право на свободу выражения своего мнения. Это право включает свободу придерживаться своего мнения, получать и распространять информацию и идеи без вмешательства со стороны государственных органов и независимо от государственных границ».

Указанные международные документы закрепляют информационные права человека.

В настоящее время на международном уровне сформировалась устойчивая система взглядов на информационные права человека. В обобщенном плане это - право на получение информации, право на частную жизнь с точки зрения охраны информации о ней, право на защиту информации как с точки зрения безопасности государства, так и с точки зрения безопасности бизнеса, включая финансовую деятельность.

Второй способ - более детального регулирования права на защиту персональной информации связан со все возрастающей в последние годы интенсивностью обработки персональной информации с помощью автоматизированных компьютерных информационных систем. В последние десятилетия в рамках ряда международных организаций был принят ряд международных документов, развивающих основные информационные права в связи с интенсификацией трансграничного обмена информацией и использованием современных информационных технологий. Среди таких документов можно назвать следующие:

Совет Европы в 1980 г. разработал Европейскую конвенцию о защите физических лиц в вопросах, касающихся автоматической обработки личных данных, вступившую в силу в 1985 г. В Конвенции определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к этим данным, способы физической защиты данных. Конвенция гарантирует соблюдение прав человека при сборе и обработке персональных данных, принципы хранения и доступа к этим данным, способы физической защиты данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Россия присоединилась к Европейской Конвенции в ноябре 2001 года.

В Европейском Союзе вопросы защиты персональных данных регулируются целым комплексом документов. В 1979 г. была принята Резолюция Европарламента «О защите прав личности в связи с прогрессом информатизации». Резолюция предложила Совету и Комиссии Европейских сообществ разработать и принять правовые акты по защите данных о личности в связи с техническим прогрессом в области информатики. В 1980 году приняты Рекомендации Организации по сотрудничеству стран-членов Европейского Союза «О руководящих направлениях по защите частной жизни при межгосударственном обмене данными персонального характера». В настоящее время вопросы защиты персональных данных детально регламентируются директивами Европарламента и Совета Европейского Союза. Это Директивы № 95/46/EC и № 2002/58/EC Европейского парламента и Совета Европейского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», Директива № 97/66/EC Европейского парламента и Совета Европейского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций и другие документы.

Акты Европейского Союза характеризуются детальной проработкой принципов и критериев автоматизированной обработки данных, прав и обязанностей субъектов и держателей персональных данных, вопросов их трансграничной передачи, а также ответственности и санкций за нанесение ущерба. В соответствии с Директивой № 95/46/EC в Европейском Союзе создана Рабочая группа по защите индивидуумов в отношении обработки их персональных данных. Она имеет статус консультативного органа и действует в качестве независимой структуры. Рабочая группа состоит из представителя органа, созданного каждым государством-участником для целей надзора за соблюдением на своей территории положений Директивы, представителя органа или органов, учрежденных для институтов и структур Сообщества, и представителя Еврокомиссии.

В рамках Организации по экономическому сотрудничеству и развитию (ОЭСР) действуют «Основные положения о защите неприкосновенности частной жизни и международных обменов персональными данными» , которая была принята 23 сентября 1980 года. В преамбуле этой Директивы говорится: «…Страны - члены ОЭСР сочли необходимым разработать Основные положения, которые могли бы помочь унифицировать национальные законы о неприкосновенности частной жизни и, обеспечивая соблюдение соответствующих прав человека, вместе с тем не допустили бы блокирования международных обменов данными…». Настоящие положения применяются как в государственном, так и в частном секторе к персональным данным, которые либо в связи с процедурой их обработки, либо в связи с их характером или контекстом их использования несут в себе угрозу нарушения неприкосновенности частной жизни и индивидуальных свобод. В ней определена необходимость обеспечения персональных данных должными механизмами защиты от рисков, связанных с их потерей, уничтожением, изменением или разглашением, несанкционированным доступом. Россия, к сожалению, в этой организации не участвует.

Межпарламентской ассамблеей государств – участников СНГ 16 октября 1999г. принят Модельный Закон «О персональных данных».

По закону «Персональные данные» - информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие. В законе также перечислены принципы правового регулирования персональных данных, формы государственного регулирования операций с персональными данными, права и обязанности субъектов и держателей персональных данных.

Представляется, что рассмотренный второй способ нормативного регулирования защиты персональных данных в международных правовых актов является наиболее интересным для анализа. Нормы этого класса не только непосредственно регулируют общественные отношения в этой области, но и способствуют приведению законодательства стран-членов к международным стандартам, тем самым обеспечивая действенность этих норм на их территории. Тем самым, обеспечивается и гарантированность закрепленных во Всеобщей декларации прав человека информационных прав в смысле декларированного в статье 12 последней «права на защиту закона от …вмешательства или …посягательств».

Третий способ закрепления норм о защите персональных данных - закрепление их правовой охраны в международных договорах.

Статьи об обмене информацией включаются в международные договоры о правовой помощи, об избежании двойного налогообложения, о сотрудничестве в определенной общественной, культурной сфере.

По ст. 25 Договора между Российской Федерацией и США об избежании двойного налогообложения и предотвращении уклонения от налогообложения в отношении налогов на доходы и капитал, государства обязаны предоставлять информацию, составляющую профессиональную тайну. Договор между Российской Федерацией и Республикой Индией о взаимной правовой помощи по уголовным делам содержит статью 15 «Конфиденциальность»: запрашиваемая сторона может потребовать сохранения конфиденциальности переданной информации. Практика заключения международных договоров показывает стремление договаривающихся государств соблюдать международные стандарты защиты персональных данных.

Представляется, что наиболее эффективным механизмом регулирования этого института на международно-правовом уровне является издание специальных регулятивных документов в рамках международных организаций. Этот механизм не только способствует соответствующему внутреннему регулированию затронутых в начале статьи актуальных проблем защиты персональной информации внутри этих организаций, но и благотворно влияет на национальное законодательство стран-участниц.

Георгий Гарбузов,
CISSP, MCSE:Security, дирекция информационной безопасности Страховой Группы "УРАЛСИБ"

ИСТОРИЯ стандартизации, как процесса установления единых требований, пригодных для многократного применения, насчитывает несколько тысячелетий - еще при строительстве пирамид в Древнем Египте использовались блоки стандартного размера, а специальные люди контролировали степень соответствия этому древнему стандарту. Сегодня стандартизация занимает прочное место практически во всех отраслях человеческой деятельности.

Стандартизация в области информационной безопасности

Стандартизация в области информационной безопасности (ИБ) выгодна и профессионалам, и потребителям продуктов и услуг ИБ, так как позволяет установить оптимальный уровень упорядочения и унификации, обеспечить взаимозаменяемость продуктов ИБ, а также измеряемость и повторяемость результатов, полученных в разных странах и организациях. Для профессионалов - это экономия времени на поиск эффективных и зарекомендовавших себя решений, а для потребителя - гарантия получения результата ожидаемого качества.

Объектом стандартизации может являться любой продукт или услуга ИБ: метод оценки, функциональные возможности средств защиты и параметры настройки, свойства совместимости, процесс разработки и производства, системы менеджмента и т.д.

Стандартизация, в зависимости от состава участников, бывает международной, региональной или национальной, при этом международная стандартизация (наравне с официальными органами стандартизации, такими как ISO) включает в себя стандартизацию консорциумов (например, IEEE или SAE), а национальная стандартизация бывает государственной или отраслевой.

Остановимся подробнее на некоторых востребованных сегодня зарубежных стандартах, так или иначе затрагивающих вопросы информационной безопасности.

Международные стандарты в области ИБ - зарубежный опыт

Стандартизация в области ИБ за рубежом развивается уже не один десяток лет, и некоторые страны, например Великобритания, имеют огромный опыт в разработке стандартов - многие британские национальные стандарты, такие как BS7799-1/2, приобрели со временем статус международных. С них и начнем.

Международные стандарты ISO 27002 и ISO 27001

Пожалуй, на сегодня это самые востребованные стандарты в области ИБ.

ISO 27002 (прежде ISO 17799) содержит свод рекомендаций по эффективной организации систем управления ИБ на предприятии, затрагивая все ключевые области, в частности:

• формирование политики ИБ;
• безопасность, связанная с персоналом;
• безопасность коммуникаций;
• физическая безопасность;
• управление доступом;
• обработка инцидентов;
• обеспечение соответствия требованиям законодательства.

Стандарт ISO 27001 является сборником критериев при проведении сертификации системы менеджмента, по результатам которой аккредитованным органом по сертификации выдается международный сертификат соответствия, включаемый в реестр.

Согласно реестру, в России в настоящее время зарегистрировано около полутора десятка компаний, имеющих такой сертификат, при общем числе сертификаций в мире более 5000. Подготовка к сертификации может осуществляться либо силами самой организации, либо консалтинговыми компаниями, причем практика показывает, что намного проще получить сертификат ISO 27001 компаниям, уже имеющим сертифицированную систему управления (например, качеством).

Стандарты ISO 27001/27002 являются представителями новой серии стандартов, окончательное формирование которой еще не закончено: в разработке находятся стандарты 27000 (основные принципы и терминология), 27003 (руководство по внедрению системы управления ИБ), 27004 (измерение эффективности системы управления ИБ) и другие - всего в серии 27000 предполагается более 30 стандартов. Подробнее о составе серии и текущем состоянии ее разработки можно узнать на официальном сайте ISO (www.iso.org).

Международные стандарты ISO13335 и ISO15408

Стандарт ISO 13335 является семейством стандартов безопасности информационных технологий, охватывающих вопросы управления ИТ-безопасностью, предлагая конкретные защитные меры и способы. В настоящее время происходит постепенное замещение серии 13335 более новой серией 27000. Стандарт ISO 15408 содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне (подобно знаменитой Оранжевой книге, которая также известна как критерии оценки TCSEC, или европейские критерии ITSEC), которые позволяют сравнивать результаты, полученные в разных странах.

В целом данные стандарты, хотя и содержат лишь технологическую часть, могут использоваться как независимо, так и при построении систем управления ИБ в рамках, например, подготовки к сертификации на соответствие ISO 27001.

CobiT

CobiT представляет собой набор из около 40 международных стандартов и руководств в области управления ИТ, аудита и безопасности и содержит описания соответствующих процессов и метрик. Основная цель CobiT заключается в нахождении общего языка между бизнесом, имеющим конкретные цели, и ИТ, способствующими их достижению, позволяя создавать адекватные планы развития информационных технологий организации.

CobiT применяется для аудита и контроля системы управления ИТ организации и содержит подробные описания целей, принципов и объектов управления, возможных ИТ-процессов и процессов управления безопасностью. Полнота, понятные описания конкретных действий и инструментов, а также нацеленность на бизнес делают CobiT хорошим выбором при создании информационной инфраструктуры и системы управления ею.

В следующей части статьи мы рассмотрим некоторые интересные национальные и отраслевые зарубежные стандарты, такие как NIST SP 800, BS, BSI, PCI DSS, ISF, ITU и другие.

Комментарий эксперта

Алексей Плешков,
начальник отдела защиты информационных технологий, Газпромбанк (Открытое акционерное общество)

Дополнительно к приведенному выше обзору международных стандартов хотелось бы обратить внимание на еще один регламентирующий документ по информационной безопасности, не распространенный на территории РФ. Одним из таких стандартов является документ из линейки методов EBIOS.

Проект EBIOS по разработке методов и инструментальных средств управления ИБ в информационных системах поддерживается правительством Франции и продвигается комиссией DCSSI при премьер-министре Франции на уровень общеевропейского. Назначение этого проекта - способствовать повышению безопасности информационных систем государственных или частных организаций (http://www.securiteinfo.com/conseils/ebios.shtml).

Текст комплекта документации на продукт автоматизации оценочных задач обеспечения ИБ "Методологические инструментальные средства достижения безопасности информационных систем EBIOS (определение потребностей и идентификация целей безопасности)" был опубликован на официальном сайте правительства Франции, посвященном вопросам обеспечения информационной безопасности автоматизированных систем в 2004 г.

Метод EBIOS, предложенный Генеральным секретариатом министерства национальной обороны Франции и названный "Определение потребностей и идентификация целей безопасности" (EBIOS), был разработан с учетом международных стандартов, направленных на обеспечение ИБ. Он формализует подход к осуществлению оценки и обработки рисков в области безопасности информационных систем и применяется для оценки уровня ИБ в разрабатываемых и существующих системах.
Цель метода - позволить любой организации, находящейся под управлением государства, определить перечень действий по обеспечению безопасности, которые необходимо предпринять в первую очередь. Метод может быть реализован администраторами подразделения безопасности организации и может применяться на всех уровнях структуры разрабатываемой или существующей информационной системы (подсистемы, прикладные программы).

Подход EBIOS учитывает три основных свойства ИБ: конфиденциальность, целостность и доступность как информации, так и систем, а также среды, в которой они находятся. В определенных случаях предлагается позаботиться об обеспечении потребностей неотказуемости, авторизации и аутентификации.

Обеспечить безопасность информационных систем в настоящее время невозможно без грамотного и качественного создания систем защиты информации. Это определило работы мирового сообщества по систематизации и упорядочиванию основных требований и характеристик таких систем в части безопасности информации.

Одним из главных результатов подобной деятельности стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов.

Это особенно актуально для так называемых открытых систем коммерческого применения , обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну, и стремительно развивающихся в нашей стране.

Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого, обеспечивается соответствием требованиям стандартов, прежде всего международных.

Термин "открытые " подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от несанкционированного доступа (НСД) к информации.

Специалистам в области информационной безопасности (ИБ ) сегодня почти невозможно обойтись без знаний соответствующих стандартов.

Во-первых, стандарты и спецификации – одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

Во-вторых , и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в internet :-сообществе это средство действительно работает, и весьма эффективно.

В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасности компании. Это, прежде всего, международные и национальные стандарты управления информационной безопасностью ISO 15408, IS О 17799 (В S 7799), В SI ; стандарты аудита информационных систем и нформаци-

онной безопасности СОВ I Т, S А C , СО S О и некоторые другие, аналогичные им.

Особое значение имеют международные стандарты ISO 15408, ISO 17799 служат основой для проведения любых работ в области информационной безопасности, в том числе и аудита.

ISO 15408 - определяет детальные требования, предъявляемые к программно-техническим средствам защиты информации.

ISO 17799 - сосредоточен на вопросах организации и управления безопасностью.

Использование международных и национальных стандартов обеспечения информационной безопасности способствует решению следующих пяти задач:

- во-первых , определение целей обеспечения информационной безопасности компьютерных систем;

- во-вторых , создание эффективной системы управления информационной безопасностью;

- в третьих , расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;

- в четвертых , применение инструментария обеспечения информационной безопасности и оценки ее текущего состояния;

- в пятых , использование методик управления безопасностью с обоснованной системой метрик и мер обеспечения разработчиков информационных систем,позволяющих объективно оценить защищенность информационных активов и управлять информационной безопасностью компании.

Основное внимание уделяется международному стандарту ISO / 15408 и его российскому аналогу ГОСТ Р ИСО/МЭК15408 -2002 «Критерии оценки безопасности информационных технологий» а также спецификациям « Internet -сообществ».

Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, которые изложены преимущественно в международных стандартахИБ .

Начиная с начала 80-х годов , были созданы десятки международных и национальных стандартов в области информационной безопасности, которые в определенной мере дополняют друг друга.

В лекции рассматриваются наиболее важные стандарты, знание которых необходимо разработчикам и оценщикам защитных средств, системным администраторам, руководителям служб защиты информации, пользователям по хронологии их создания, в том числе:

Критерий оценки надежности компьютерных систем «Оранжевая книга » (США);

Гармонизированные критерии европейских стран ;

Германский стандарт BSI ;

Британский стандарт BS 7799 ;

Стандарт «Общие критерии» ISO 15408;

Стандарт ISO 17799;

Стандарт COBIT

Эти стандарты можно разделить на два разных вида:

Оценочные стандарты , направленные на классификацию информационных систем и средств защиты по требованиям безопасности;

Технические спецификации , регламентирующие различные аспекты реализации средств защиты.

Важно отметить, что между этими видами нормативных документов нет глухой стены, напротив,существует логическая взаимосвязь .

Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС,играя роль архитектурных спецификаций .

Технические спецификации определяют, как строить ИС предписанной архитектуры. Далее рассмотрены особенности этих стандартов.

2. Критерии оценки доверенных компьютерных систем

(«Оранжевая книга»)

Отрадно, что рынок понимает важность и необходимость ИБ, и его внимание к вопросам ИБ неустанно растет.

Чтобы объяснить эту тенденции далеко ходить не надо: на слуху громкие компрометации информационных систем, которые приносят существенные финансовые и репутационные потери. В ряде случаев они стали и вовсе необратимыми для конкретного бизнеса. Таким образом безопасность собственной информации для организации становится не только залогом ее бесперебойной работы, но и критерием надежности для ее партнеров и клиентов.

Рынок играет по единым правилам, а критерии для измерения уровня текущей защищенности и эффективности процессов управления ИБ едины для всех его игроков. В их роли выступают стандарты, которые призваны помочь компании создать требуемый уровень защиты информации. К самым популярным в банковской сфере России можно отнести стандарт ISO/IEC 27000, стандарт Банка России по обеспечению информационной безопасности организаций банковской системы и стандарт безопасности данных инфраструктуры платежных карт PCI DSS.

Международная Организация по Стандартизации (ISO) и Международная Электротехническая Комиссия (IEC) разработали и опубликовали стандарты серии ISO/IEC 27000. Они содержат рекомендации к построению системы управления информационной безопасности. Аккредитованные компании-аудиторы имеют право совершать сертификацию по стандартам, руководствуясь заложенными в них требованиями.

Отсутствие строгого требования по выполнению Стандарта для участников российского рынка выливается в то, что его распространенность достаточно низкая. Например, в одной только Японии число компаний, удачно прошедших аудит по выполнению требования международного стандарта, больше аналогичного показателя для России и стран СНГ почти в 200 раз.

При этом нельзя не отметить, что в этот расчет не попадают компании, которые по факту выполняют требования Стандарта, но не прошли формальную сертификацию. Иными словами, на территории России и стран СНГ есть множество компаний, решивших выстроить процессы управления и поддержания уровня ИБ не ради «галочки» в виде сертификата соответствия, а для реальной пользы. Все дело в том, что часто стандарты серии 27000 являются первым шагом в развитии систем ИБ. А их использование в качестве ориентира - тот базис, которые предполагает дальнейшее строительство и развитие эффективной системы менеджмента ИБ.

ИББС СТО БР - достаточно близкий ISO/IEC 27001 стандарт, созданный Банком России для организаций банковской сферы, призванный обеспечить приемлемый уровень текущего уровня информационной безопасности и процессов управления безопасностью банков. Основными целями при создании были заявлены - повышение уровня доверия к банковской сфере, обеспечение защиты от угроз безопасности и снижение уровня ущерба от инцидентов ИБ. Стандарт является рекомендательным и до версии 2010 года особой популярностью не пользовался.

Активное внедрение ИББС СТО БР началось с выхода версии стандарта, включающей в себя требования по обеспечению безопасности персональных данных, и последующего за этим информационного письма, определяющего принятие к выполнению требований стандарта альтернативным путем выполнения законодательства в области обеспечения безопасности персональных данных. На настоящий момент по неофициальной статистике порядка 70% банков приняли стандарт Банка России в качестве обязательного к выполнению.

Стандарт ИББС БР является достаточно динамично развивающимся комплектом документов, с адекватными современным угрозам требованиями к обеспечению и управлению информационной безопасности. Использование его в Банках уже становится де-факто необходимым, несмотря на официальный рекомендательный статус, для организаций нефинансовой сферы документы комплекса ИББС могут послужить набором хороших практик в обеспечении безопасности информации.

Наконец, еще один крайне важный для финансовых организаций стандарт - Payment Card Industry Data Security Standard (PCI DSS, Стандарт безопасности данных индустрии платежных карт). Он был создан по инициативе пяти крупнейших мировых платежных систем - Visa, MasterCard, JCB, American Express и Discover, организовавших Совет по безопасности индустрии платежных карт (PCI SSC). Обслуживание платежных карт должно осуществляться по единым правилам и соответствовать определенному уровню ИБ. Очевидно, что безопасность - ключевой фактор при использовании технологий, связанных с денежными средствами. Поэтому защита данных платежных карт - это приоритетная задача любой платежной системы.

Ключевое отличие стандарта PCI DSS от перечисленных выше - его обязательное применение для всех организаций, обрабатывающих платежные карты. При этом требования к оценке соответствия достаточно гибкие - они зависят от числа обрабатываемых транзакций: от самостоятельной оценки до прохождения сертификационного аудита. Последний проводится компанией, имеющей статус PCI QSA.

Ключевой особенностью появления стандарта PCI DSS было обозначение крайних сроков по приведению к соответствию. Это привело к тому, что большинство крупных игроков индустрии платежных карт проделали работу по выполнению требований. В результате это отразилось на общем уровне защищенности как отдельных участников, так и всей индустрии безналичной оплаты.

Хотя появление стандарта и было инициативой крупнейших игроков индустрии платежных систем, он может найти свое применение и стать ориентиром для организаций, с этой индустрией не связанных. Главное преимущество его использования - постоянные обновления и, как следствие, актуальные меры и рекомендации по снижению угроз ИБ.

Применение стандартов и соответствие их требованиям, несомненно, является хорошей практикой и большим шагом вперед при выстраивании системы информационной безопасности. Но, к сожалению, есть примеры того, как сам факт соответствия не гарантирует высокий уровень защищенности. Действие сертификата распространяется на определенный период, когда процедуры, сделанные исключительно для формального соответствия, перестают работать. Таким образом может получиться, что состояние системы ИБ в организации на момент проведения аудита не соответствует оценке, сделанной через полгода.

К тому же при анализе возможных рисков нельзя исключать человеческий фактор, который может означать ошибку самих аудиторов в определении области проверки, состава проверяемых компонентов и общих выводах.

В заключение хотелось бы отметить, что соответствие стандартам не отменяет постоянный процесс обеспечения безопасности критичной информации. Идеальной безопасности не бывает, но использование разных инструментов позволяет добиться максимального уровня ИБ. Стандарты ИБ являются как раз таким инструментом.

Оценить:

0 4