Стандарты на защиту: что есть что?

Computerworld, США/p>

Многие компании используют стандарты и платформы для поддержки определенных аспектов информационной защиты. Эти модели защищают системы и данные, хотя роли, которые каждая из них играет в общем плане организации защиты, могут существенно различаться. Ряд самых популярных стандартов предлагает принципы совершенствования некоторых аспектов защиты. Но эксперты считают, что эти модели с большим основанием можно назвать отдельными компонентами, нежели всеобъемлющими стандартами на защиту

Ряд самых популярных стандартов, в том числе Control Objectives for Information and Related Technology (COBIT), ISO 27001, IT Infrastructure Library (ITIL) и Statement on Auditing Standards (SAS) No. 70, предлагают принципы совершенствования некоторых аспектов защиты. Но эксперты считают, что эти модели с большим основанием можно назвать отдельными компонентами, нежели всеобъемлющими стандартами на защиту.

«Все документы дают возможность использовать повторяющиеся процессы, которые согласуются с разнообразными функциями ИТ и помогают обеспечить более качественное обслуживание», — считает Кимберли Савьер, вице-президент подразделения Enterprise Information Systems корпорации Lockheed Martin.

Однако, как подчеркнула Савьер, ни один из этих стандартов не обеспечивает полную защиту. «Они опираются на различные концепции защиты информации, которые необходимо интерпретировать, интегрировать и объединять с повседневными операциями, — пояснила она. — Всеобъемлющая защита требует четкой организации и интеграции всех аспектов планирования, предоставления услуг, архитектуры управления рисками, выбора инструментальных средств, разработки политик и аудита».

В Lockheed Martin используют COBIT, ITIL и ISO 27001 для различных целей: COBIT для измерения и оценки средств контроля ИТ, ITIL — для улучшения внутренних ИТ-сервисов, а ISO 27001 — для управления ИТ. Несмотря на то что каждый из этих стандартов ориентирован на обеспечение безопасности, ни один из них не предлагает комплексного решения. «ИТ-подразделения должны объединить их предложения для того, чтобы гарантировать интеграцию наилучших практических решений в рамках всей сферы защиты информации», — подчеркнула Савьер.

Обсудим подробнее основные стандарты и их роль в организации системы информационной безопасности.

COBIT

COBIT, созданный в 1996 году ассоциацией Information Systems Audit and Control Association и IT Governance Institute, предназначен для пользователей и ИТ-специалистов, а также менеджеров по вопросам защиты и аудита. Он считается неплохим практическим решением для управления данными, системами и связанными с ними рисками.

«COBIT способствует реализации более систематического подхода к вопросам аудита, позволяющего выявить первопричины недостатков защиты», — сказала Савьер.

Эта платформа включает в себя инструментальные средства для оценки эффективности реализации в компании 34 различных ИТ-процессов. К их числу относится набор критически важных условий успеха, которые задают наилучшие практические решения для каждого ИТ-процесса, обоснованные модели для тестирования и оценки производительности отдельных элементов. Этот стандарт становится необходимым компонентом для компаний, стремящихся выполнить требования нормативных актов.

«COBIT имеет только один модуль, специальным образом посвященный защите, но, если оценивать стандарт с более широких позиций, то он затрагивает многие аспекты обеспечения безопасности, — считает Майк Нельсон, президент консалтинговой фирмы SecureNet Technologies, специализирующейся на защите информации. — Ограничения проявляются, когда речь идет о деталях реализации. COBIT подробно описывает средства контроля и цели, но не объясняет, как их следует реализовывать».

ISO 27001

ISO 27001 (Information Security Management — Specification With Guidance for Use), по мнению Нельсона, отличается чрезмерной детализацией. Этот стандарт, основанный на ISO 17799, предназначен для создания и поддержки эффективных средств контроля системы защиты при постоянном ее совершенствовании.

Стандарт ISO 27001, опубликованный в октябре 2005 года Международной организацией по стандартам, реализует принципы налаживания экономического сотрудничества и развития в управлении защитой данных и сетей. Он определяет план организации защиты, реализации, управления и поддержки процессов ИТ на предприятии.

«ISO 27001 — это перечень средств контроля. Он формирует большую часть платформы, необходимой для эффективной программы защиты, — заметил Пол Проктор, аналитик компании Gartner. — COBIT и ISO 27001 — самые популярные из существующих стандартов».

ITIL

ITIL представляет собой набор наилучших практических решений, опубликованных в виде книг и призванных снизить затраты на использование технологий и повысить качество сервисов, предоставляемых в рамках организации. ITIL состоит из правил, описывающих, как более эффективно предоставлять сервисы за счет совершенствования управления процессами во всех отделах ИТ, которые поддерживают сети, приложения и базы данных.

В конце 80-х годов британская правительственная организация, Центральное агентство по вычислительной технике и телекоммуникациям (Office of Government Commerce), разработала стандарты, которым должны следовать компании, предоставляющие ИТ-сервисы правительству Великобритании. ITIL охватывает семь основных направлений: поддержка сервиса, предоставление сервиса, планирование реализации управления сервисом, инфраструктура управления ИТ, управление приложениями, управление защитой и поддержка развития бизнеса.

«В ITIL основное внимание уделено управлению процессами и предоставлению сервисов; этот документ довольно узко сфокусирован именно на этих областях, — заметил Нельсон. — Что касается непосредственно защиты, то данный стандарт рассматривает ее лишь как один из компонентов управления сервисами и не затрагивает всех необходимых компонентов защиты. Впрочем, он и не был изначально предназначен для решения этих проблем».

Проктор придерживается того же мнения: «COBIT лучше подходит для обеспечения гарантий выполнения требований законодательства. ITIL в большей степени представляет собой стандарт на операции, который иногда используют для совершенствования ИТ-операций. Многие организации выбирают либо ITIL, либо COBIT. Бывает, что реализуют оба подхода, но довольно редко».

Рубен Мелендез считает, что ITIL становится предпочтительной методологией для многих производителей и играет важную роль в укреплении информационной безопасности. Мелендез — президент консалтинговой компании Glomark Group, которая работает с ИТ-компаниями и их клиентами над созданием стратегий, позволяющих обеспечить отдачу от инвестиций.

«Все компании, с которыми я работаю, используют ITIL, — отметил он. — Мы много сделали совместно с CA в отношении программных продуктов, связанных с информационной безопасностью. Если посмотреть их документы, то при обсуждении вопросов защиты они всегда ссылаются на ITIL и только на него».

По словам Мелендеза, к числу производителей, активно поддерживающих ITIL, относятся также корпорации Microsoft, Intel и Oracle.

SAS 70

SAS 70 — это стандарт на аудит, созданный в 1992 году Американским институтом сертифицированных бухгалтеров (AICPA). Аудит в соответствии с SAS 70 показывает, проводит ли независимая бухгалтерская и аудиторская фирма оценку средств контроля ИТ и связанных с ними процессов у данного поставщика услуг. SAS 70 не предполагает наличия заранее определенного набора целей и средств контроля. Аудиторы должны следовать стандартам AICPA на сбор данных, контроль качества и отчетность и готовить для поставщика услуг формальный отчет, в котором изложены выводы, сделанные аудитором по результатам проверки.

Существует два вида отчетов: один описывает средства контроля, используемые поставщиком в конкретный момент, а другой приводит средства контроля и включает в себя детальное тестирование операций контроля и процессов, выполняемых поставщиком, как минимум, в течение полугода.

Поставщики услуг должны продемонстрировать, что они применяют адекватные средства защиты при размещении или обработке клиентской информации. SAS 70 позволяет сервисным организациям предоставлять информацию о своих средствах контроля клиентам и аудиторам этих клиентов в виде унифицированного отчета.

Таким образом, компании имеют возможность получать подробные сведения о средствах контроля поставщика услуг и независимую оценку эффективности использования этих средств контроля. В случае необходимости компании могут предоставить эту информацию своим аудиторам.

По мнению Нельсона, SAS 70 позволяет узнать, насколько эффективны имеющиеся средства контроля, но не дает возможность выяснить, используются ли в компании все необходимые средства контроля.

Каждый из перечисленных стандартов потенциально способен помочь предприятиям защитить свои системы и данные. Компании, которые стремятся выработать общую стратегию защиты, должны проанализировать эти платформы, чтобы определить, какие из них наилучшим образом подходят для реализации выбранной стратегии. 

Стандарт, к которому не стремятся

Опрос 571 специалиста, проведенный Computerworld, позволил выявить весьма неутешительную картину в отношении готовности компаний выполнить все требования ISO 27001. Почти в 70% компаний никакой работы в этом направлении не ведется

Библиотека лучшего опыта в области безопасности

Несмотря на то что стандарт NIST 800-53 менее популярен, чем некоторые другие стандарты и модели, эксперты по информационной безопасности считают, что эта новая платформа, предложенная американским правительством, может помочь организациям усилить свою безопасность.

NIST 800-53 был создан в 2005 году Национальным институтом по стандартам и технологии США в соответствии с требованиями американского Федерального закона о защите информации 2002 года (Federal Information Security Management Act). Он определяет принципы выбора и указывает средства контроля безопасности информационных систем, которые поддерживают органы федерального правительства США.

«Я уверен, что этот стандарт способен сделать для информационной безопасности то, что библиотека ITIL сделала для управления сервисами, — заметил Майк Нельсон, президент компании SecureNet Technologies. — Предложение NIST, безусловно, можно считать образцом для организации защиты информационных систем и использовать представленные в нем процедуры для обеспечения безопасности».

Нельсон подчеркнул, что стандарт NIST содержит более развернутое описание принципов обеспечения информационной безопасности, нежели все другие стандарты, призванные усилить корпоративные средства контроля и повысить уровень ИТ-сервисов. Он более детален, чем другие стандарты, в том, что касается сертификации системы безопасности и выполнения требований соответствующих нормативных документов.

NIST 800-53 разрабатывался для госучреждений, однако Нельсон уверен, что он достаточно универсален, чтобы его можно было применять и к коммерческим компаниям.