Сегодня сложно представить современное предприятие, которое бы не интересовали вопросы защиты информации — по мере роста компании или с усилением зависимости ее бизнес-процессов от бесперебойной работы ИТ-системы на обеспечение безопасности выделяется все больше средств. В какой-то момент руководство захочет убедиться, что выделяемые деньги были потрачены эффективно.

Аудит систем информационной безопасности компаний, а также их сертификация на соответствие международным и российским стандартам представляет сегодня одно из наиболее «модных» направлений в области информационной безопасности. Однако часто во главу угла ставится сам факт проведения аудита, который считается рецептом успеха, но об истинных целях аудита информационной системы забывают: это оценка адекватности и эффективности действующих организационно-технических мер по защите информационной системы компании; идентификация слабых и уязвимых мест в обеспечении защиты этой системы.

Аудит информационной системы позволяет прийти к оценке состояния информационной безопасности компании, выявить ее наиболее уязвимые места, и найти «исходные точки» для определения стратегии дальнейшего развития системы информационной защиты компании. Независимо от того, на каком этапе развития находится информационная система компании, она должна соответствовать определенному набору минимальных требований к режиму информационной безопасности. Данные требования, которые вырабатывались в течениие многих лет компаниями-разработчиками, исследовательскими группами, а также непосредственно пользователями продукции, объединяются в своды правил и стандартизируются на государственном уровне. Сегодня существует ряд стандартов в области информационной безопасности, наиболее известны — британский стандарт BS 7799, посвященный созданию системы управления информационной безопасностью компании, и «производные» от него.

Аудит

Успешное прохождение аудита и последующая сертификация на соответствие ISO/IEC 27001:2005 приносят компании ряд преимуществ.

Во-первых, при подготовке к сертификации в компании выстраивается эффективная система управления информационной безопасностью в соответствии с востребованным в мире международным стандартом в этой области. В процессе подготовки к сертификации в соответствии с регламентами стандарта определяются требования к созданию, внедрению, эксплуатации системы управления информационной безопасностью, обеспечивается выбор защитных мер, адекватных существующим рискам, что в результате готовит базу для проведения аудита и оценки эффективности имеющейся системы информационной защиты. В соответствии с современными тенденциями в области информационных технологий осуществляется выработка долговременной стратегии развития системы управления информационной безопасностью компании. Достигается комплексность, эффективность и прозрачность всех принятых мер, с помощью которых обеспечивается информационная безопасность. Как следствие — минимизация рисков и потерь, которые могут возникнуть в результате атак злоумышленников. Руководство располагает консолидированными данными, анализ которых дает полную картину системы в целом, что позволяет эффективно распределять ресурсы и контролировать текущую ситуацию.

Во-вторых, для некоторых предприятий, имеющих партнеров и клиентов за рубежом, наличие сертификата соответствия является одним из основных преимуществ, без которых невозможно успешное ведение бизнеса. Сертификация на соответствие cтандарту позволяет наглядно продемонстрировать клиентам и партнерам, что руководство компании связывает свое будущее и дальнейшее развитие с эффективным управлением информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, а также увеличивает ее капитализацию.

К сожалению, требования стандартов соблюдают далеко не все, да и желающих пройти аудит на соответствие ISO 27001 немного: построение системы управления информационной безопасности дело непростое и дорогостоящее, некоторые компании даже имеют политики информационной безопасности и нормативные документы. Кроме этого стандарты типа 27001 пока носят в нашей стране рекомендательный характер, также, кстати, как и стандарт Банка России.

сертификация

Используя ISO/IEC 27001:2005 в качестве основы для построения системы управления информационной безопасностью, организация может осуществить процедуру аудита на соответствие данному стандарту и пройти сертификацию в специализированных органах, имеющих аккредитацию UKAS (United Kingdom Accreditation Service). Прежде чем проводить аудит и выходить на сертификацию, компания должна убедиться, что ее система управления информационной безопасностью отвечает всем требованиям ISO/IEC 27001:2005. Для этого может потребоваться несколько этапов.

Во-первых, осуществляется предварительное обследование компании — с целью получения необходимой информации о ней, ее информационной системе, мерах по защите и методах управления информационной безопасностью, а также для выявления несоответствий требованиям ISO/IEC 27001:2005. По результатам данных работ определяются границы системы управления информационной безопасности, а также перечень работ, необходимых для создания такой системы. Далее формируется проект заявления о применимости (согласно ISO/IEC 27001:2005 — это обязательный документ), содержащий перечень требований ISO/IEC 27001:2005, которые на текущий момент выполняются или не выполняются в компании. Так как в компании должна присутствовать единая система взглядов на вопросы обеспечения информационной безопасности, производится разработка основных нормативных документов, которые согласовываются и утверждаются руководством. К числу таких документов относятся «Политика информационной безопасности» и «Методика анализа рисков информационной безопасности». Впоследствии по согласованной методике анализируются и выявляются риски информационной безопасности компании, а также определяются меры, необходимые для снижения рисков до приемлемого уровня.

Для того чтобы реализовать требования ISO/IEC 27001:2005 в части функционирования и мониторинга системы управления информационной безопасностью (с учетом результатов оценки рисков), конкретизируются требования информационной безопасности и производится выбор соответствующих защитных мер. Далее следует этап разработки и внедрения системы управления информационной безопасностью, выполняющей основные требования ISO/IEC 27001:2005.

После завершения работ, связанных с построением системы управления информационной безопасностью компании, проводится собственно аудит с целью сертификации на соответствие требованиям ISO/IEC 27001:2005. На первой стадии аудита производится проверка на наличие документации в компании, ее актуальность и непротиворечивость, а также на соответствие требованиям ISO/IEC 27001:2005. На второй стадии анализируется функционирование системы управления информационной безопасности компании. Проверяется, действительно ли компания осуществляет свою деятельность в соответствии с собственными политиками, целями и процедурами, а ее система управления информационной безопасностью удовлетворяет всем требованиям ISO/IEC 27001:2005 и соответствует целям политики безопасности, а также наличие процессов управления информационной безопасностью и соответствие данного управления требованиям ISO/IEC 27001:2005.

После окончания аудита компания-аудитор выдает заключение о возможности сертификации компании. В случае если заключение положительное, то результаты направляются в сертифицирующую организацию, которая выдает и регистрирует сертификат в специальном реестре. Сертификат действителен в течение трех лет.

Считается, что сертификация системы управления информационной безопасностью гарантирует факт проведения в организации оценки рисков, определения и внедрения комплекса средств управления ими, осуществления мониторинга и анализа функционирования системы управления информационной безопасностью, ее сопровождения и совершенствования, выполнения основных требований, предъявляемых к документации на такие системы и т.д. Кроме того, сертификация подтверждает, что руководство организации продемонстрировало поддержку процессов и усилий, связанных с планированием, внедрением, эксплуатацией, контролем, сопровождением и модернизацией систем управления информационной безопасностью в соответствии с требованиями стандартов.

Наталья Зосимовская (n.zosimovskaya@infosec.ru) — ведущий специалист компании «Информзащита» (Москва).

BS 7799: история, описание, цели

BS 7799 был разработан Британским институтом стандартов (British Standards Institution, BSI) при участии ряда крупных коммерческих организаций (Shell UK, National Westminster Group, Unilever, British Telecommunications, British Computer Society, Association of British Insurers, Marks & Spencer, Logica и др.). В 1995 году стандарт BS 7799 в качестве свода установленных норм и правил по отношению к обеспечению ИБ получил в Великобритании статус государственного.

Стандарт состоит из двух частей. Первая — BS 7799 Part 1//Code of Practice for Information Security Management (Практические правила управления информационной безопасностью). В 1999 году эта часть была переработана и передана в Международную организацию по стандартизации (ISO), а в 2000 году утверждена в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000). Последней версией данного стандарта, принятой в 2005 году, является ISO/IEC 17799:2005.

ISO 17799 описывает более 120 механизмов контроля, необходимых для построения системы управления информационной безопасностью организации. Эти механизмы были разработаны на основе лучших примеров мирового опыта в данной области и подходят любой организации независимо от ее размера и направления деятельности. Стоит отметить, что сертификация по ISO 17799 не проводится — документ представляет собой лишь сборник лучших практик и является неким руководством по созданию системы обеспечения информационной безопасности организации. В какой-то мере это аналогично ITIL с поправкой на то, что ITIL претендует на роль стандарта де-факто для ИТ, а BS 7799 — для информационной безопасности.

ISO 17799 состоит из десяти разделов.

  1. Политика безопасности. Определяет направления и основные задачи менеджмента в области обеспечения защиты информации.
  2. Организация активов и ресурсов. Помогает управлять защитой информации внутри организации, распределив ответственность за отдельные зоны контроля.
  3. Классификация и контроль ресурсов. Помогает идентифицировать и соответствующим образом защитить информационные активы.
  4. Безопасность персонала. Согласно этому пункту, компания должна уведомлять и, если надо, обучать своих сотрудников всему, что касается их участия в обеспечении безопасности и конфиденциальности корпоративной информации. Это поможет снизить риски, связанные с ошибкой сотрудника компании, мошенничеством или злоупотреблением тем или иным оборудованием.
  5. Физическая безопасность и безопасность окружающей среды. Предотвращает несанкционированный доступ, повреждение или вмешательство в деловую информацию, а также проникновение в служебные помещения.
  6. Управление коммуникациями и операциями. Обеспечивает корректное и безопасное функционирование средств обработки информации.
  7. Контроль доступа. Отмечается важность наблюдения и контроля над доступом в сеть и к приложениям, позволяющим защитить систему от попыток вторжения как извне, так и изнутри.
  8. Разработка и сопровождение систем. Обеспечивает внедрение средств защиты в информационные системы и их последующее сопровождение с учетом требований безопасности.
  9. Управление непрерывностью бизнес-процессов. Обеспечивает предотвращение вмешательств в деловые операции, а также защиту критически важных процессов обработки деловой информации от последствий серьезных неисправностей или катастроф.
  10. Соблюдение требований законодательства и технических требований. Помогает избежать нарушений уголовного и гражданского права, установленных законом обязательств, регулятивных или контрактных обязательств, а также любых требований по безопасности.

В сентябре 2002 года в силу вступила вторая часть стандарта BS 7799 Part 2//Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью). А в октябре 2005 года Международная организация по стандартизации приняла стандарт BSI BS 7799-2:2002 в качестве международного — ISO/IEC 27001:2005. Сегодня ведется разработка серии стандартов 2700х:

  • ISO 27000 — основные положения и определения (проект стандарта находится в разработке);
  • ISO 27001 — сертификационный стандарт с требованиями к системе управления информационной безопасностью (ранее BS 7799 Part 2);
  • ISO 27002 — стандарт ISO/IEC 17799:2005, который будет обновлен и соответственно переименован (выход запланирован на 2007 год);
  • ISO 27003 — руководство по осуществлению управления информационной безопасностью (выход запланирован на 2007 год);
  • ISO 27004 — измерения эффективности системы управления информационной безопасностью (выход запланирован на 2007 год);
  • ISO 27005 — управление рисками в рамках системы управления информационной безопасностью — BS 7799:3 (его утверждение в ISO запланировано на 2007 год).

В стандарте BSI BS 7799-2:2002 определены требования для разработки, реализации, эксплуатации, мониторинга, ревизии, поддержания и совершенствования документированной системы управления информационной безопасностью в контексте общего делового риска организации. Также в нем определены требования для реализации мер по обеспечению безопасности, необходимые отдельным организациям или их подразделениям. В соответствии с этим документом, система управления информационной безопасностью изначально должна проектироваться таким образом, чтобы предоставить выбор адекватных мер по обеспечению безопасности, которые защищают информационные ресурсы и гарантируют конфиденциальность заинтересованным сторонам. Приложением к данному стандарту является созданный на основе ISO/IEC 17799 перечень требований и соответствующих мер, которые могут быть приняты в компании.