Международный стандарт ISO 15408
Стандарты ISO/IEC 17799:2002 (BS 7799:2000)
Германский стандарт BSI
Стандарт COBIT 3rd Edition
|
|
Управление информационной безопасностью в компанииСодержание:
Международный стандарт ISO 15408 В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасности компании. Это, прежде всего международные и национальные стандарты управления информационной безопасностью ISO 15408, ISO 17799 (BS7799), BSI; стандарты аудита информационных систем и информационной безопасности COBIT, SAC, COSO, SAS 78/94 и некоторые другие, аналогичные им. Насколько рекомендации перечисленных стандартов безопасности могут быть полезны для защиты информационных активов отечественных компаний? Хроника вопроса В соответствие с международными и национальными стандартами ISO 15408, ISO 17799 (BS7799), BSI; COBIT, SAC, COSO, SAS 78/94 обеспечение информационной безопасности в любой компании предполагает следующее. Ниже к рассмотрению предлагаются наиболее известные международные стандарты в области защиты информации, которые могут быть использованы в отечественных условиях. Международный стандарт ISO 15408 Следуя по пути интеграции, в 1990 г. Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (ТЕС) составили специализированную систему мировой стандартизации, a ISO начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные Common Criteria for Information Technology Security Evaluation или просто Common Criteria. В их разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). В дальнейшем «Общие критерии» неоднократно редактировались. В результате 8 июня 1999 года был утвержден Международный стандарт ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий» (ОК). Общие критерии обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии, и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства ОК полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития. Использование методик данного стандарта позволяет определить для компании те критерии, которые могут быть использованы в качестве основы для выработки оценок защитных свойств продуктов и систем информационной технологии. Кроме того, эти методики позволяют проводить наиболее полное сравнение результатов оценки защитных свойств корпоративных информационных систем с помощью общего перечня (набора) требований для функций защиты продуктов и систем, а также методов точных измерений, которые проводятся во время получения оценок защиты. Основываясь на этих требованиях, в процессе выработки оценки уровня защиты устанавливается уровень доверия. Результаты оценок защиты позволяют определить для компании достаточность защиты корпоративной информационной системы. Вместе с тем в ОК главное внимание уделено защите от несанкционированного доступа (НСД). Модификации или потери доступа к информации в результате случайных или преднамеренных действий и ряд других аспектов информационной безопасности остался не рассмотренным. Например, оценка административных мер безопасности, оценка безопасности от побочных электромагнитных излучений, методики оценки различных средств и мер безопасности, критерии для оценки криптографических методов защиты информации. Поэтому необходимо дополнять данный подход рядом своих собственных апробированных методик оценки важнейших элементов защиты. Дополненные таким образом ОК можно использовать как при задании требований к продуктам и системам информационных технологий, так и при оценке их безопасности на всех этапах жизненного цикла корпоративной информационной системы. В результате на практике становится возможным реализовать следующие существенные особенности.
Стандарты ISO/IEC 17799:2002 (BS 7799:2000) В настоящее время Международный стандарт ISO/IEC 17799:2000 (BS 77991:2000) «Управление информационной безопасностью Информационные технологии. Information technology- Information security management» является наиболее известным стандартом в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 77991:1995 «Практические рекомендации по управлению информационной безопасностью Information security management Part 1: Code of practice for information security management» и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем. Текущая версия стандарта ISO/IEC 17799:2000 (BS 77991:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:
Вторая часть стандарта BS 77992:2000 «Спецификации систем управления информационной безопасностью Information security management Part 2: Specification for information security management systems», определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем. Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов British Standards Institution(BSI) www.
Сегодня общими вопросами управления информационной безопасности компаний и организаций, а также развитием аудита безопасности на требования стандарта BS 7799 занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским Институтом Стандартов- British Standards Institution(BSI) (www. Отметим, что в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт ВS ISO/IEC 7799:2000 (BS 77991:2000) разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту ВS ISO/IEC 7799:2000 (BS 77991:2000). При этом в планах совместного тестирования должно быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности. В сентябре 2002 года международный стандарт ISO 17799 (BS7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта много внимания уделено вопросам вопросам повышения культуры защиты информации в различных международных компаниях, в том числе вопросам обучения и изначальной интеграции процедур и механизмов оценки и управления информационной безопасности в информационные технологии корпоративных систем. По мнению специалистов, обновление международного стандарта ISO 17799 (BS7799) позволит не только создать новую культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации. Ниже в табл. 1 приведено сравнение содержания стандартов ISO 17799 (BS 7799) разных версий и ISO 9001, в котором рассматривается близкий круг вопросов управления информационной безопасностью. Таблица 1. Сравнение содержания стандартов ISO 17799 и ISO 9001
В отличие от ISO 17799 германское «Руководство по защите информационных технологий для базового уровня защищенности» 1998 посвящено детальному рассмотрению частных вопросов управления информационной безопасности компании. Это руководство представляет собой гипертекстовый электронный учебник объемом примерно 4 МБ (в формате HTML). Общая структура германского стандарта BSI приведена на рис 1. Рис 1. Структура германского стандарта BSI. В германском стандарте BSI представлены:
Существенно, что вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании возможные угрозы и уязвимости безопасности -возможные меры и средства контроля и защиты. С версиями этого стандарта на немецком и английском языках можно познакомиться подробнее на К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий (см. таблицу 2) . Таблица 2. Сравнение некоторых стандартов аудита
Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969 году и в настоящее время объединяет более 23000 членов из более чем 100 стран, в том числе и России. Ассоциация ISACA координирует деятельность более чем 26000 аудиторов информационных систем (CICA Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции. Ассоциация ISACA под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий. По заявлениям руководящих органов ISACA основная цель ассоциации исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по компании управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition (Control Objectives for Information and related Technology), который состоит из четырех частей. Часть № 1: Краткое описание концепции (Executive Summary). Часть № 2: Определения и основные понятия (Framework). Помимо требований и основных понятий в этой части сформулированы требования к ним. Часть № 3: Спецификации управляющих процессов и возможный инструментарий (Control Objectives). Часть № 4: Рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines). Третья часть этого документа в некотором смысле аналогична международному стандарту ВS ISO/IEC 7799:2000 (BS 77991:2000). Примерно также подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT (Control Objectives for Information and related Technology контрольные объекты информационной технологии) пакет открытых документов, первое издание которого было опубликовано в 1996 году. Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов (рис.2) для обеспечения компании необходимой и надежной информацией. Рис.2. Процессы управление ресурсами информационной системы.
В модели COBIT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес процессе. Информационная технология должна удовлетворять требованиям бизнес процесса. Эти требования cгруппированы следующим образом (рис. 3). Рис. 3. Объекты контроля и управления информационными технологиями.
Российская специфика Новое поколение стандартов в области защиты информации отличается как от предыдущего, так и от Руководящих документов Гостехкомиссии России 19921998 годов, большей формализацией процесса обеспечения безопасности и более детальным комплексным учетом качественно и количественно проверяемых и управляемых показателей информационной безопасности компании. Комплексный учет показателей предполагает комплексный подход к управлению безопасности, когда на соответствие определенным правилам проверяется не только В противоположность германскому стандарту BSI, предоставляющему возможность использовать конкретные «частные» сценарии защиты информационных активов компании, стандарты ISO 15408, ISO 17799 и COBIT позволяют рассмотреть только наиболее общие принципы управления информационной безопасностью, характерные для процессов защиты информации в целом. Однако названные подходы обладают определенными ограничениями. Ограничением германского стандарта BSI является невозможность распространить рекомендации этого стандарта на защиту информационных активов российских компаний, которые отличаются по своей структуре и специфике бизнес деятельности от ранее рассмотренных примеров организации режима информационной безопасности. Ограничением стандартов ISO 17799 и COBIT является трудность перехода от общих принципов и вопросов защиты информации к частным практическим процессам обеспечения информационной безопасности в российских компаниях. Основная причина этого заключается в том, что защита информационных активов любой российской компании дополнительно характеризуется определенными индивидуальными специфическими условиями бизнес деятельности в условиях ограничений и регулирования российской нормативной базы в области защиты информации. Другими словами, только совместно используя сильные стороны рассмотренных международных стандартов, а также адаптировав полученные рекомендации в соответствии с требованиями российской нормативной базы в области защиты информации можно эффективно обеспечить защиту информационных активов конкретной российской компании. Сергей Петренко / АйТи |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP