Аудит систем информационной безопасности и их сертификация на соответствие международным и российским стандартам помогают не только усовершенствовать управление компанией, но и укрепить доверие со стороны партнеров и клиентов...

Аудит систем информационной безопасности и их сертификация на соответствие международным и российским стандартам помогают не только усовершенствовать управление компанией, но и укрепить доверие со стороны партнеров и клиентов

В настоящее время аудит информационной безопасности корпоративных систем представляет собой одно из наиболее актуальных и динамично развивающихся направлений в области ИТ-менеджмента. Основная цель аудита — дать не только объективную оценку текущего состояния информационной безопасности компании, но и возможность эффективного обеспечения и управления системой безопасности в реальных условиях эксплуатации корпоративной системы.

Проведение аудита системы информационной безопасности компании позволит обосновать затраты на эту систему, проверить ее эффективность, пересмотреть акценты в информационной безопасности. Например, часто уровень безопасности можно значительно повысить организационными мерами (аудит, анализ рисков, процедуры и регламенты), не прибегая при этом к существенным капиталовложениям. Аудит системы информационной безопасности — один из этапов при сертификации системы.

Статус-кво

Переход на качественно новый уровень в развитии информационной безопасности произошел в 1995 году: он ознаменован появлением первой версии британского стандарта BS 7799 на основе Code of Practice (она в 2000 году трансформировалась в международный стандарт по безопасности ISO 17799) и понятия аудита информационной безопасности компании, которое в настоящее время вызывает интерес специалистов в области менеджмента и безопасности корпоративных систем. В том же 1995 году в странах «большой восьмерки» (главным образом в США, Великобритании, Германии, Японии) началось проведение ежегодных слушаний и совещаний специально созданных комитетов и комиссий по вопросам аудита информационной безопасности корпоративных систем.

Сегодня несколько десятков различных стандартов и спецификаций посвящены аудиту системы информационной безопасности: COBIT, COSA, SAC, SAS 78/94, OSSTTM, GAO, NIST SP800-30 и др. Проблема заключается в том, что не существует единого международного стандарта по аудиту информационной безопасности.

Одной из главных составляющих системы управления информационной безопасностью (Information Security Management System ISMS) является анализ и управление информационных рисков. В России данной проблеме пока не уделяется должного внимания. Два стандарта: ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» и ГОСТ Р 51901-2002 «Управление надежностью. Анализ риска технологических систем» практически неприменимы к системам управления информационной безопасностью. Но интерес к данной проблеме начинает появляться. Например, в России уже предлагаются программные продукты по анализу информационных рисков — «Гриф» и «Авангард». К их недостатку стоит отнести отсутствие широкой практики использования и, как следствие, трудность оценки объективности получаемых с помощью них результатов.

Проблема стандартизации

Несмотря на существование международного стандарта по информационной безопасности, проблема стандартизации стоит очень остро. В настоящее время сертификация на соответствие ISO 17799 не производится, так как не выпущена его вторая часть, где должны быть описаны спецификации на систему информационной безопасности. Вместо этого проводится сертификация на соответствие британскому стандарту BS 7799. Когда выйдет стандарт ISO 17799-2, компании, прошедшие сертификацию по стандарту BS 7799, получат сертификат соответствия ISO 17799 автоматически.

Проверку на соответствие BS 7799 могут выполнять аудиторские или консалтинговые фирмы — члены United Kingdom Accreditation Service (UKAS), уполномоченного государственного органа Великобритании. Однако сейчас существует несколько десятков национальных, международных и корпоративных стандартов по безопасности. Среди них — ISO 13335, который также может быть использован для построения системы управления информационной безопасностью, СТР-К (Гостехкомиссии РФ), US TCSEC «радужная серия», GAISP, ITIL, XBSS, ITSEC, RFC 1296, BSI protection manual, SANS, ISF и т. д.

Можно выделить два подхода к управлению системой безопасности. Изложение первого содержится в наборе стандартов, относящихся к ISO 17799 (BS 7799, AS/NZS 4444 и т. п.), второго — в американских (и канадских) стандартах, объединенных в набор документов NIST Special Publication 800-series. Спорить, чей подход лучше, бессмысленно. С одной стороны, американский предлагает детальное построение системы безопасности и ее аудита практически в любом направлении, но оставляет место для маневра, в отличие, например, от немецкого стандарта BSI. Основные стандарты этого пакета, дающиеся в качестве аналога ISO 17799:

  • SP 800-12, Computer Security Handbook.
  • SP 800-14, Generally Accepted Security Principles & Practices.
  • SP 800-18, Guide for Developing Security Plans.
  • SP 800-23, Guide to Federal Organizations on Security Assurance and
  • Acquisition of Evaluated Products.
  • SP 800-26, Self-Assessment Guide for IT Systems.

Здесь стоит отметить, что в США серьезно подходят к созданию стандартов — многие стандарты разработаны NIST при участии Агентства национальной безопасности и поддержке правительства США. Более того, проблема сертификации на ISO 17999 в США трудноразрешима, особенно в свете принятого в мае 2004 стандарта SP 800-37 (Guide for Security Certification and Accreditation of Federal Information Systems). Видимо, это объясняет, почему в США существует небольшое количество сертификатов BS 7799-2:2002 — всего девять (по данным ISMS International User Group на 11 июня 2004 года)! Нельзя сказать, что ISO 17799 не противоречит национальным стандартам. Однако именно этот стандарт дает «точку отсчета» в области информационной безопасности для любой коммерческой компании. Согласно материалам исследования, проведенного журналом CSO Magazine, 54% опрошенных компаний используют ISO 17799 в качестве основы для построения системы безопасности, 15% выразили желание сертифицироваться по данному стандарту, 12% используют другие стандарты и 19% не применяют никаких.

Более красноречиво о перспективе внедрения ISO 17799 и системы управления информационной безопасностью говорит статистика выданных сертификатов.

Казалось бы, не такое большое число. Однако стоит принять во внимание два момента: выход окончательной версии BS 7799-2 в сентябре 2002 года, и размер компаний, которые прошли сертификацию: Siemens, Fujitsu, Vodafone Telecommerce, Canon, Fuji, Hitachi, Mitsubishi, NEC, Sony, KPMG, Gemplus, Royal Mail, Symantec Security Service, Federal Reserve Bank of NY и т. д.

Кроме того, здесь стоит учесть, что о системе сертификации и о системе ISMS знают только 48% компаний! Из них начальными данными обладает 43%, но 78% планируют внедрение системы ISMS.

Исходя из взаимосвязи стандартов в системе сертификатов управления компанией (ISO 9000, ISO 14000), можно сказать, что через девять лет количество компаний, имеющих сертификат системы безопасности, превысит 130 тыс., при условии что в настоящий момент таких компаний не более 800 (это и учтено в прогнозе развития). Предполагается, что количество выданных сертификатов будет увеличиваться в геометрической прогрессии.

Ситуация в России

Сертификация по BS 7799-2 предполагает наиболее качественный и комплексный подход к построению системы управления информационной безопасностью. В основном подход к проблеме безопасностью решает технические вопросы, не говоря уже о привязке к бизнес-процессам. Государственного стандарта на управление системой информационной безопасности не существует, поэтому аналогом к ISO 17799 для компаний выступают Специальные требования и рекомендации по технической защите конфиденциальной информации Гостехкомиссии РФ (СТР-К). Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов, данные СТР-К носят рекомендательный характер. Они не лишены некоторых недостатков — предполагают технические решения, без учета компонентов системы менеджмента. Основной акцент сделан на конфиденциальность, а не на доступность. Не уделено должного внимания, особенно в применении к бизнесу, вопросу анализа и управления рисками и соответственно оптимизации построения системы безопасности по критериям цена/качество.

В России пока нет компании, имеющей сертификат BS 7799, хотя многие российские предприятия проходят аудит системы информационной безопасности у крупных аудиторских фирм. Стоит, например, упомянуть сертификат CyberProcess, на основе принципов и критериев безопасности Trust Services компании Ernst & Young, выданный системе Beeoffice компании «ВымпелКом».

Тем не менее ситуация с аудитом и сертификацией систем информационной безопасности постепенно меняется в лучшую сторону. В качестве основной составляющей системы информационной безопасности берутся не технические аспекты, а именно менеджерские составляющие. Компании задумываются об описании и анализе рисков, анализе непрерывности бизнеса и т. п. Следующий логический шаг — стандартизация и сертификация систем информационной безопасности. Здесь важно не ошибиться с выбором стандарта, возможно, следует ориентироваться на BS 7799, как на единственного кандидата международного стандарта ISO 17799.

Андрей Голов — ведущий специалист компании TopS BI, Agolov@topsbi.ru


Сертификация — бизнесу

Сертификация на соответствие стандарту ISO 17799 (BS 7799) позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. Это обеспечивает компании следующие преимущества.

  • Партнеры и клиенты видят, что требования к безопасности соблюдены, а компания демонстрирует стремление уменьшить их риски.
  • Компания получает возможность отслеживать процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности).
  • Обеспечивается эффективное управление системой в критичных ситуациях.
  • Достигается снижение и оптимизация стоимости поддержки системы безопасности.
  • Облегчаются интеграция подсистемы безопасности в бизнес-процессы и интеграция с ISO9001:2000.

Сертификация по стандарту BS 7799 независимым аудитором продемонстрирует рынку и самой компании, что созданная система управления информационной безопасностью действительно эффективно работает. Сертификация позволит убедиться в том, что система управления информационной безопасностью правильно разработана и внедрена и что она дает реальные улучшения в компании.