Определение

Стандарт построения эффективной системы безопасности ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов, описывает комплексный подход к управлению информационной безопасностью.

В соответствии со стандартом ISO 17799, при создании эффективной системы безопасности особое внимание следует уделить комплексному подходу к управлению информационной безопасностью. По этим причинам в качестве элементов управления рассматриваются не только технические, но и организационно-административные меры, направленные на обеспечение следующих требований к информации: конфиденциальность; целостность; достоверность; доступность.

Нарушение любого из них может повлечь за собой значительные потери как в виде убытков, так и в виде неполученного дохода. Для обеспечения указанных требований в стандарте перечислены основные области управления информационной безопасностью:

  • планирование непрерывности бизнеса (обеспечивает защиту критически важных бизнес-процессов от сбоев и нарушений);
  • управление доступом (контролирует доступ к информационным ресурсам и предоставляемым услугам, а также противодействует несанкционированной активности);
  • разработка и поддержка системных и прикладных средств (обеспечивает выполнение функций защиты информации в операционных системах и приложениях);
  • безопасность среды (предотвращает несанкционированные изменения, кражу и повреждение средств защиты и информации);
  • соответствие документам и стандартам (обеспечивает соблюдение общепринятых и внутренних правил, норм и стандартов);
  • персонал (снижает риск «человеческих ошибок» и преднамеренных нарушений, а также контролирует выполнение правил политики безопасности со стороны пользователей);
  • безопасность на уровне компании (управляет информационной безопасностью при взаимодействии с внешними объектами);
  • управление инфраструктурой (снижает риск возникновения системных сбоев, предотвращает повреждения сетевого оборудования, а также контролирует сохранение конфиденциальности, целостности и достоверности при передаче информации);
  • классификация и контроль материальных средств (обеспечивает охрану и надзор за материальными средствами организации);
  • наличие политики безопасности (определяет требования к поддержке заданного уровня безопасности).

Каждая область информационной безопасности подробно детализирована и представляет собой совокупность элементов безопасности.

Полный набор элементов стандарта ISO 17799 всесторонне обеспечивает защиту информации, рассматривая весь спектр организационных вопросов. Это позволяет поддерживать уровень безопасности и не допускать появления «слабых мест».

Сфера применения

В России стандарт ISO 17799 может применяться достаточно широко, так как несет в себе информацию о комплексном подходе к обеспечению защиты данных. В отличие от зарубежных компаний, отечественные организации ввиду быстрых темпов их развития имеют гораздо больше уязвимых мест, что вынуждает руководителей ИТ-отделов применять мировые стандарты в области информационной безопасности, адаптируя их в каждом конкретном случае и дополняя на основе собственного опыта.

С практической точки зрения, стандарт ISO 17799 может применяться как средство аудита системы информационной безопасности. К примеру, некоторые программные продукты, основанные на этом стандарте (в частности, CORBA ISO 17799 Consultant), представляют процесс аудита в виде анкетирования. Полный процесс аудита в этом случае можно представить в виде четырех последовательных этапов.

Анкетирование — заполнение анкет одним или несколькими сотрудниками, ответственными за обеспечение информационной безопасности.

Определение элементов, соответствующих выдвинутым в стандарте требованиям к системе информационной безопасности.

Выявление элементов, нуждающихся в дополнительной защите (определение «слабых мест»).

Выдача рекомендаций по улучшению защиты для выявленных на предыдущем этапе элементов.

Примером таких рекомендаций в области «Управление доступом» может служить процедура регистрации пользователей, определенная в результате выявления «слабого места» в системе безопасности. Процедура регистрации пользователей должна выполнять следующие условия:

  • не отображать данные о системе до тех пор, пока полностью не завершится процедура входа пользователя в систему;
  • сообщать о том, что доступ к системе могут получить только авторизированные (зарегистрированные) пользователи;
  • не выводить сообщения-подсказки во время процедуры входа в систему, чтобы затруднить работу незарегистрированных пользователей;
  • прерывать соединение с пользователем, который предпринял попытку входа в систему, завершившуюся неудачно;
  • сообщать о корректности регистрации только после заполнения всех необходимых полей;
  • определить максимально возможное число попыток входа в систему, завершившихся неудачно (рекомендуется не более трех попыток); если лимит превышен, следует внести соответствующую запись в системный журнал и не возобновлять процедуру регистрации в течение определенного периода времени или полностью прервать сеанс работы с пользователем;
  • определить максимальное и минимальное время процедуры регистрации пользователя; если предельные значения превышены, то процедура должна быть прервана;
  • отображать информацию о дате и времени предыдущей успешной регистрации, а также полную информацию о всех некорректных процедурах регистрации, случившихся со времени последнего входа в систему.

Павел Рудаков — консультант по аналитике и маркетингу компании NV Consulting. С ним можно связаться по электронной почте: pr@nvconsulting.net.


Плюсы и минусы ISO 17799

К недостаткам стандарта можно отнести поверхностное освещение материала, который позволяет только обозначить области информационной безопасности, не конкретизируя их.

Преимуществом ISO 17799 является простота его применения и адаптации на практике. Кроме того, стандарт не зависит от конкретных технических средств и решений, что, с одной стороны, не показывает, как реализовывать защиту того или иного элемента, но с другой — обеспечивает свободу выбора платформ, оборудования, производителей и т.п.


Оценка рисков

Рассмотрение каждого из элементов происходит на основе оценки рисков. Риск возникает в связи с существованием вероятности возникновения угрозы и нанесения ущерба объекту защиты. В этом случае для наглядности и простоты можно использовать матрицу, которая описывает основные риски. В матрице указываются объекты защиты (элементы информационной безопасности) и возможные угрозы для данного объекта. Затем рассматриваются вероятности осуществления каждой угрозы и ущерб, который будет нанесен в случае реализации угрозы. Естественно, для всех элементов информационной безопасности каждый параметр должен быть определен по одной и той же шкале, причем лучше всего характеризовать параметры в процентных отношениях. В этом случае самое высокое значение риска будет у наиболее важного и незащищенного элемента.

[Угрозы
[Объекты
Вероятность]
Ущерб]
Риск = Угрозы x Вероятность + Объекты x Ущерб