|
|
Стандарты ИБ: Россия и мир
За двадцать лет существования стандартов информационной безопасности в результате естественного отбора остались только основополагающие, которые до сих пор претерпевают постоянные изменения. Рынок ИБ России только сегодня начинает оправляться от «влияния гостайны», и в области стандартизации это особенно заметно. Естественный отбор Анализируя существующую сегодня в мире ситуацию в области стандартизации по информационной безопасности, то за годы развития индустрии ИБ можно выделить следующие временные периоды, название которых наиболее точным образом характеризует естественное развитие данного процесса: появление стандартов (1988 — 1995 годы), испытание практикой (1996 — 2000) и выживание сильнейших (2001 — и до настоящего времени) Первый период характеризовался естественным развитием информационных технологий, за которым с трудом поспевала наука и практика в области ИБ. В тот период формировался понятийный аппарат и основные подходы в области ИБ, вплоть до самых экзотических. Период конца Естественными недостатками стандартов этого периода являлись их слабая практическая проработка и отсутствие единых подходов, единого понимания информационной безопасности. Только время могло преодолеть эти недостатки. Что и случилось на втором и третьем периоде — практическое применение стандартов стимулировало их естественный отбор. Период испытания практикой в середине На практике достаточно иметь несколько основополагающих стандартов, которые признаются большинством специалистов и которые используются бизнесом на практике. Поэтому естественным образом в этой битве стандартов выживали и выжили только сильнейшие, например стандарт ISO 15408, регламентирующий требования по защищенности ПО, или стандарт управления ISO 27001/17799 . Эти стандарты сегодня получили статус международных. Правда есть одно «но». Мир разделился на две географически независимых с точки зрения стандартизации зоны: Европа и Азия признают стандарты ISO, а США предпочитает использовать стандарты NIST. Отметим малоизвестный факт, что многие из наиболее известных стандартов ISO вышли из недр BSI: ISO 17799, ISO 9001, ISO 14001. Российские особенности В России исторически все началось в начале Основные недостатки такого подхода для бизнеса (а, скорее, полная его неприменимость) состояли в том, что в российских стандартах не учитывались такие важные угрозы бизнеса как доступность, не применялся подход к построению системы защиты на основе анализа рисков, отсутствовало само понятие и принципы функционирования системы управления ИБ. При этом важно отметить, что данные стандарты изначально и не предназначались для бизнеса. Просто на момент их создания не было понимания, что, Исторически в РФ область информационной безопасности регулировалась государственными регуляторами и спецслужбами. С течением времени стало очевидно, что проблема ИБ это не только проблема государственных органов, а и бизнеса, который в государстве с рыночной экономикой играет важнейшую роль. Это привело к тому, что последние годы государством взят курс как на либерализацию рынка ИБ, так и на использование лучших бизнес ориентированных западных стандартов. Первым шагом в этом направлении стало принятие ГОСТ 15408; сейчас на очереди ГОСТ 17799 и ГОСТ 27001, официальный выход которых объявлен теперь на 1 января 2007. Появление этих стандартов в ранге ГОСТ — осмысленный шаг, который в том числе призван показать ориентацию России на лучше западные стандарты при вступлении в ВТО. В любом случае принятие и, что крайне важно, — использование на практике лучших западных стандартов (особенно ISO 27001/17799) благотворно скажется на защищенности как государственных объектов, так и бизнеса, так как сегодня вопрос обеспечения безопасности бизнеса часто становятся вопросом обеспечения безопасности государства. Например, отток вкладчиков В целом, можно отметить, что сегодня процесс принятия западных стандартов в России вышел на финальную стадию и в ближайшее время мы сможем констатировать наличие российских ГОСТов, которые определяют требования к защищенному программному обеспечению (ГОСТ 15408), так и ГОСТов, описывающих требования к системе управления информационной безопасностью (ГОСТ 27001 и ГОСТ 17799). Этот процесс должен привести как к повышению общего профессионального уровня в РФ в области обеспечения ИБ, так и к повышению уровня защищенности и управляемости информационных систем государственных и бизнес структур, что не может не радовать. Илья Медведовский |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP