Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

получат гарантированную защиту от потерь на условиях, которые

зависят от принятых мер обес печения безопасности. Затраты

предприятия будут складываться из стоимости мер

информационной безопасности и оплаты страхования, причем

повышение мер безопасности снижает при прочих равных условиях

стоимость страховки. Страховые же компании расширят клиентуру

за счет снижения страховых взносов для тех клиентов, которые

соответствуют заданным требованиям безопасности. Услуга

страхования информационных рисков подешевеет и станет

доступной не только крупным, но и средним и мелким

предприятиям и организациям.

Коммерческая выгода для страховых компаний будет состоять

в том, что они повысят доходность своего бизнеса за счет

снижения числа страховых случаев у тех клиентов, ко торые

соответствует заданным требованиям безопасности: более

защищенный клиент платит меньший взнос, но и вероятность того,

что ему придется выплачивать страховку, мень ше, чем для менее

защищенного. Отмеченное выше потенциальное расширение

клиентуры также является положитель ным фактором для

страхователей.

Для широкого использования страхования информационных

рисков необходимо выработать стандартизованные тре бования к

информационной безопасности, позволяющие оценивать ее

состояние в конкретной организации по некой общей шкале,

потребуется оценить выполнимость условий, при которых данное

взаимодействие будет экономически выгодно всем участникам, т.е.

найти соответствующее соотношение условий страхования и мер

защиты. Для достижения этого нужны соответствующие формы

сотрудничества между страховыми компаниями, организациями-

клиентами и поставщиками услуг информационной безопасности.

В целом рассмотренная выше методика позволяет оценить

или переоценить уровень текущего состояния защищенности

информационных активов предприятия, а также выработать

рекомендации по обеспечению (повышению) информационной

безопасности. В том числе снизить потенциальные потери путем

повышения устойчивости функционирования корпоративной сети,

разработать концепцию и политику безопаснос ти. Рассмотренная

методика также позволяет предложить планы защиты

конфиденциальной информации предприятия, передаваемой по

открытым каналам связи, защиты информации от умышленного

искажения (разрушения), несанкционированного доступа к ней, ее

копирования или использования.

Глава 6 Стандарты информационной безопасности

и методическое обеспечение

6.1 Международные стандарты информационной

безопасности

В настоящее время в России наряду с отечественной нор-

мативной базой широко используются около 140 междуна родных

стандартов в области информационных технологий [81]. Из них

около 30 затрагивают вопросы защиты информации. Некоторые

международные стандарты по защите информации приняты и

введены в действие в России, но эти стандарты не составляют

целостной основы для решения проблем информационной

безопасности, особенно в части нормативного регулирования,

методического и инструментального обеспечения разработки,

оценки и сертификации безопасности ИТ с учетом современного

уровня развития, масштабов и многообразия угроз.

В последнее время в разных странах появилось новое по -

коление стандартов в области защиты информации, посвя щенных

практическим вопросам управления информацион ной безопасности

компании. Это, прежде всего, международные и национальные

стандарты управления информационной безопасностью ISO 15408,

ISO 17799 (BS7799), BSI; стандарты аудита информационных

систем и информационной безопасности COBIT, SAC, COSO, SAS

78/94 и некоторые другие, аналогичные им.

В соответствие с международными и национальными стан -

дартами ISO 15408, ISO 17799 (BS7799), BSI; COBIT, SAC, COSO,

SAS 78/94 обеспечение информационной безопасности в любой

компании предполагает следующее [60].

Во-первых, определение целей обеспечения информационной

безопасности компьютерных систем.

Во-вторых, создание эффективной системы управления

информационной безопасностью.

В третьих, расчет совокупности детализированных не только

качественных, но и количественных показателей для оценки

соответствия информационной безопасности заяв ленным целям.

В четвертых, применение инструментария обеспечения ин -

формационной безопасности и оценки ее текущего состояния.

В пятых, использование методик управления безопаснос тью с

обоснованной системой метрик и мер обеспечения ин-

формационной безопасности, позволяющих объективно оценить

защищенность информационных активов и управлять

информационной безопасностью компании.

В настоящей главе дается обзор стандартов информацион ной

безопасности, являющихся наиболее значимыми и перс пективными

с точки зрения их использования для проведения аудита

безопасности ИС.

Результатом проведения аудита в последнее время все чаще

становится сертификат, удостоверяющих соответствие обсле-

дуемой ИС требованиям признанного международного стандарта.

Сертификация на соответствие стандарту позволяет нагляд но

показать деловым партнерам, инвесторам и клиентам, что в

компании налажено эффективное управление информационной

безопасностью. В свою очередь это обеспечивает компании

конкурентное преимущество, демонстрируя способность управлять

информационными рисками. Процесс сертификации на

соответствие требованиям стандарта предполагает не сколько

этапов [22]:

- Предварительная оценка системы управления ИБ и диаг -

ностика.

- Сертификационный аудит.

- Поддержка действия сертификата.

Значение международных стандартов IS017799 и ISO15408

трудно переоценить. Эти стандарты служат основой для про-

ведения любых работ в области информационной безопаснос ти, в

том числе и аудита [4]. IS017799 сосредоточен на вопросах

организации и управления безопасностью, в то время как ISO

15408 определяет детальные требования, предъявляемые к

программно-техническим механизмам защиты информации.

Спецификация SysTrust выбрана для рассмотрения, т.к. она в

настоящее время достаточно широко используется ауди торскими

компаниями, традиционно выполняющими финансовый аудит для

своих клиентов и предлагающих услугу ИТ аудита в качестве

дополнения к финансовому аудиту.

Немецкий стандарт «BSI\IT Baseline Protection Manual»

содержит, пожалуй, наиболее содержательное руководство по

обеспечению безопасности ИТ и представляет несомненную

практическую ценность для всех специалистов, занимающихся

вопросами информационной безопасности.

Практические стандарты и руководства по обеспечению

информационной безопасности, разрабатываемые в рамках

проекта SCORE, ориентированны на технических специалис тов и

являются в техническом плане наиболее совершенными в

настоящее время.

Программа сертификации Интернет сайтов по требован иям

информационной безопасности и соответствующая специ фикация

«SANS/GIAC Site Certification», предложенная институтом SANS,

заслуживает рассмотрения в связи с неиз менно возрастающей

актуальностью вопросов защиты ИС организаций от атак со

стороны сети Интернет и увеличением доли соответствующих

работ при проведении аудита безопасности.

6.1.1 Стандарт ISO 17799: Code of Practice for Information Security

Management

Наиболее полно критерии для оценки механизмов безо -

пасности организационного уровня представлены в междуна-

родном стандарте ISO 17799: Code of Practice for Information

Security Management (Практические правила управления ин-

формационной безопасностью), принятом в 2000 году. ISO 17799

был разработан на основе британского стандарта BS 7799.

Этот стандарт является официальным документом, опи-

сывающим комплексный подход к вопросам информационной

безопасности и рассматривающим в качестве элементов

управления как технические, так и организационно-админис-

тративные меры, обеспечивающие конфиденциальность, це-

лостность, достоверность и доступность информации.

Стандарт ISO 17799 [51] не зависит от конкретных технических

средств и решений и не описывает конкретных реализаций защиты

того или иного элемента информационной сис темы предприятия,

что позволяет внедряющим его предприятиям выбирать любые

аппаратные и программные средства обеспечения

информационной безопасности.

В соответствии со стандартом ISO 17799, основными

областями управления информационной безопасностью яв ляются

планирование непрерывности бизнеса, управление доступом,

разработка и поддержка системных и прикладных средств,

безопасность среды, соответствие документам и стандартам,

управление персоналом, безопасность на уровне компании,

управление инфраструктурой, классификация и контроль

материальных средств, наличие политики безопасности. Кроме

того, в стандарте содержится подробная детализация элементов

каждой из перечисленных областей [4].

ISO 17799 может использоваться в качестве критериев для

оценки механизмов безопасности организационного уровня,

включая административные, процедурные и физические меры

защиты.

Ниже приведены основные разделы стандарта ISO 17799 [51].

1. Политика безопасности

2. Организационные меры по обеспечению безопасности:

- управление форумами по информационной безопасности;

- координация вопросов, связанных с информационной бе -

зопасностью;

- распределение ответственности за обеспечение безопасно -

сти;

3. Классификация и управление ресурсами:

- инвентаризация ресурсов;

- классификация ресурсов.

4. Безопасность персонала:

- безопасность при выборе и работе с персоналом;

- тренинги персонала по вопросам безопасности;

- реагирование на инциденты и неисправности.

5. Физическая безопасность.

6. Управление коммуникациями и процессами:

- рабочие процедуры и ответственность;

- системное планирование;

- защита от злонамеренного программного обеспечения (ви-

русов, троянских коней);

- управление внутренними ресурсами;

- управление сетями;

- безопасность носителей данных;

- передача информации и программного обеспечения.

7. Контроль доступа:

- бизнес требования для контроля доступа;

- управление доступом пользователя;

- ответственность пользователей;

- контроль и управление удаленного (сетевого) доступа;

- контроль доступа в операционную систему;

- контроль и управление доступом к приложениям;

- мониторинг доступа и использования систем;

- мобильные пользователи.

8. Разработка и техническая поддержка вычислительных

систем:

- требования по безопасности систем;

- безопасность приложений;

- криптография;

- безопасность системных файлов;

- безопасность процессов разработки и поддержки.

9. Управление непрерывностью бизнеса:

- процесс управления непрерывного ведения бизнеса;

- непрерывность бизнеса и анализ воздействий;

- создание и внедрение плана непрерывного ведения бизнеса;

- тестирование, обеспечение и переоценка плана непрерыв -

ного ведения бизнеса.

10. Соответствие системы основным требованиям:

- соответствие требованиям законодательства;

- анализ соответствия политики безопасности;

- анализ соответствия техническим требованиям;

- анализ соответствия требованиям системного аудита.

Десять средств контроля, предлагаемых в ISO 17799 (они

обозначены как ключевые), считаются особенно важными [4]. Под

средствами контроля в данном контексте понимаются механизмы

управления информационной безопасностью орга низации.

При использовании некоторых из средств контроля, на пример,

шифрования данных, могут потребоваться советы специалистов по

безопасности и оценка рисков, чтобы опреде лить, нужны ли они и

каким образом их следует реализовы-вать. Для обеспечения более

высокого уровня защиты особенно ценных ресурсов или оказания

противодействия особенно серьезным угрозам безопасности, в

ряде случаев могут потребоваться более сильные средства

контроля, которые выходят за рамки ISO 17799.

Десять ключевых средств контроля, перечисленные ниже,

представляют собой либо обязательные требования, например,

требования действующего законодательства, либо счи таются

основными структурными элементами информационной

безопасности, например, обучение правилам безопасности. Эти

средства контроля актуальны для всех организаций и сред

функционирования АС и составляют основу системы управления

информационной безопасностью.

Ключевыми являются следующие средства контроля:

- документ о политике информационной безопасности;

- распределение обязанностей по обеспечению информаци-

онной безопасности;

- обучение и подготовка персонала к поддержанию режи ма

информационной безопасности;

- уведомление о случаях нарушения защиты;

- средства защиты от вирусов;

- планирование бесперебойной работы организации;

- контроль над копированием программного обеспечения,

защищенного законом об авторском праве;

- защита документации организации;

- защита данных;

- контроль соответствия политике безопасности.

Процедура аудита безопасности ИС включает в себя проверку

наличия перечисленных ключевых средств контроля, оценку

полноты и правильности их реализации, а также анализ их

адекватности рискам, существующим в данной среде

функционирования. Составной частью работ по аудиту безо-

пасности ИС также является анализ и управление рисками.

Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799

1:2000) [60] рассматривает следующие актуальные вопросы

обеспечения информационной безопасности организаций и

предприятий:

- Необходимость обеспечения информационной безопасности.

- Основные понятия и определения информационной безо-

пасности.

- Политика информационной безопасности компании.

- Организация информационной безопасности на предпри

ятии,

- Классификация и управление корпоративными нформа-

ционньтми ресурсами.

- Кадровый менеджмент и информационная безопасность.

- Физическая безопасность.

- Администрирование безопасности корпоративных инфор-

мационных систем.

- Управление доетупом.

- Требования по безопасности к корпоративным информа-

ционным системам в ходе их разработки, эксплуатации и со-

провождения.

- Управление бизнес-процессами компании с точки зрения

информационной безопасности.

- Внутренний аудит информационной безопасности

компании.

Вторая часть с тандарта BS 7799-2:2000 «Спецификации

систем управления информационной безопасностью -Information

security management Part 2: Specification for information security

management systems», определяет возможные функциональные

спецификации корпоративных систем управления информационной

безопасностью с точки зрения их проверки на соответствие

требованиям первой части данного стандарта.

В соответствии с положениями этого стандар та также рег-

ламентируется процедура аудита информационных корпоративных

систем.

Дополнительные рекомендации для управления информа-

ционной безопасностью содержат руководства Британского

института стандартов - British Standards Institution(BSI) [103],

изданные в период 1995-2003 в виде следующей серии:

- Введение в проблему управления информационной безо-

пасности -Information security managment: an introduction.

- Возможности сертификации на требования стандарта BS

7799 -Preparing for BS 7799 sertification.

- Руководство BS 7799 по оценке и управлению рисками -Guide

to BS 7799 risk assessment and risk management.

- Готовы ли вы к аудиту на требования стандарта BS 7799-Are

you ready for a BS 7799 audit.

- Руководство для проведения аудита на требования стан-

дарта -BS 7799Guide to BS 7799 auditing.

- Практические рекомендации по управлению безопасностью

информационных технологий -Code of practice for IT management.

Сегодня общими вопросами управления информационной

безопасности компаний и организаций, а также развитием аудита

безопасности на требования стандарта BS 7799 занимаются

международный комитет Joint Technical Committee ISO/IEC JTC 1

совместно с Британским Институтом Стандартов- British Standards

Institution(BSI), и в частности служба UK AS (United Kingdom

Accredited Service). Названная служ ба производит аккредитацию

организаций на право аудита информационной безопасностью в

соответствии со стандартом BS ISO/IEC 7799:2000 (BS 7799-

1:2000). Сертификаты, выданные этими органами, признаются во

многих странах.

Отметим, что в случае сертификации компании по стан дартам

ISO 9001 или ISO 9002 стандарт BS ISO/IEC 7799:2000 (BS 7799-

1:2000) разрешает совместить сертификацию систе мы

информационной безопасности с сертификацией на соответствие

стандартам ISO 9001 или 9002 как на первоначальном этапе, так и

при контрольных проверках. Для этого необходимо выполнить

условие участия в совмещенной серти фикации

зарегистрированного аудитора по стандарту BS ISO/ IEC 7799:2000

(BS 7799-1:2000). При этом в планах совместного тестирования

должно быть четко указаны процедуры проверки системы

информационной безопасности, а сертифицирующие органы

должны гарантировать тщательность проверки информационной

безопасности.

В сентябре 2002 года международный стандарт ISO 17799

(BS7799) был пересмотрен и существенно дополнен. В новом

варианте этого стандарта много внимания уделено вопросам

повышения культуры защиты информации в различных меж-

дународных компаниях, в том числе вопросам обучения и

изначальной интеграции процедур и механизмов о ценки и

управления информационной безопасности в информационные

технологии корпоративных систем. По мнению специалистов,

обновление международного стандарта ISO 17799 (BS7799)

позволило не только создать новую культуру защиты

информационных активов компании, но и скоординировать

действия различных ведущих государственных и коммерческих

структур в области защиты информации.

Применение стандарта ISO 17799 в России.

В России стандарт ISO 17799 пока не является общепринятым

документом, в отличие от стандартов ГТК и ФАПСИ [83]. Однако

стандарты ГТК на практике применяются обыч но только к

программным продуктам, стандарты ФАПСИ регламентируют, в

основном, применение криптографических средств. Применение

этих стандартов к системе управления информационной

безопасности компании практически невозможно, так как сами

стандарты предназначались, скорее, для программного

обеспечения и сертифицировать всю ИТ систему компании на

соответствие стандартам ГТК представ ляется достаточно сложным

и не совсем неэффективным занятием.

Совершенно иным образом обстоят дела со стандартом ISO

17799. При всей своей обобщенности и отсутствии в некото рых

частях стандарта конкретных деталей, сам стандарт раз работан

именно для применения его в сложных и разветвленных

корпоративных системах и что не мало важно - ISO 17799 не

противоречит существующим российским стандартам ГТК и

ФАПСИ.

Преимущества, получаемые компанией после прохожде ния

сертификации по ISO 17799.

Какие же преимущества получает компания, которая провела

аудит безопасности своих информационных ресурсов и получила

сертификат соответствия системы управления ин формационной

безопасности по стандарту ISO 17799?

Прежде всего, это «неформальные» преимущества: после

проведения аудита информационная система компании ста новится

«прозрачнее» для менеджмента, выявляются основные угрозы

безопасности для бизнес - процессов, вырабатываются

рекомендации по повышению текущего уровня защищенности для

защиты от обнаруженных угроз и недостатков в системе

безопасности и управления. В результате компании предлагается

комплексный план внесения изменений в систе му управления

информационной безопасностью, как для по вышения реального

уровня защищенности, так и для непос редственного соответствию

стандарту.

Сертификация на соответствие стандарту BS 7799 (ISO 17799)

позволяет наглядно показать деловым партнерам, инвесторам и

клиентам, что в компании налажено эффективное управление

информационной безопасностью. В свою очередь это

обеспечивает компании конкурентное преимущество, демонстрируя

способность управлять информационными рисками

Кроме того, говоря о сертификации по ISO 17799, стоит

принять во внимание согласованную с ВТО процедуру приня тия

России в данную организацию. Эта процедура потребует

адекватной реакции от наиболее значимых в экономике Рос сии

структур и адаптации стратегии развития в области ин-

формационных технологий с учетом международных стан дартов

безопасности, таких как ISO 17799.

Практика прохождения аудита и получения сертифика та ISO

17799,

Для получения сертификата соответствия ISO 17799 компания

должна пройти аудит информационной безопасности, провести

подготовку информационной системы на соответствие стандарту,

внедрить изменения и провести окончатель ную проверку

соответствия стандарту. Данную работу целесообразно разбить на

несколько этапов.

Предварительный этап, который заключается в проведе нии

аудита и, на его основании, подготовки необходимых из менений

системы управления информационной безопасностью, может

выполнить специализированная компания, имеющая опыт в

проведение подобных работ.

Затем, после подготовки комплекта необходимых док умен тов

и внесения изменений в систему, необходимо провести итоговую

проверку соответс твия ISO 17799, для чего требу ется участие

специалистов одной из консалтинговых компаний (KPMG и др.),

которые владеют эксклюзивным правом выдачи данного

сертификата и имеют аккредитацию при UKAS (United Kingdom

Accreditation Service) - уполномоченном государственном органе

Великобритании.

6.1.2 Стандарт ISO 15408: Common Criteria for Information

Technology Security Evaluation

Одним из наиболее значимых в сфере обеспечения безо-

пасности информации является стандарт ИСО/МЭК 1540899

«Критерии оценки безопасности информационных техноло гий»

(Общие критерии), построенный на базе международного