Международный стандарт безопасности ISO 17799

Критерии оценки защищенности информационных систем
Какой вопрос наиболее часто задают IT-менеджеры специалистам по информационной безопасности? Думаю, что это очевидно: "Насколько защищена наша информационная система?".

Этот вопрос действительно является краеугольным камнем информационной безопасности и тем самым "тонким" местом, которое обычно стараются избегать специалисты по обеспечению информационной безопасности. И действительно оценить защищенность информационной системы достаточно сложно... но, как известно, можно. Для этого существуют, в основном, качественные методы оценки уровня защищенности, которые на выходе позволяют получить не количественную оценку ("система защищена на 4.2 балла или на 58%"), а качественную - система соответствует определенному классу или уровню защищенности. Количественные методы оценки на практике не нашли своего применения.

Применение качественных методов оценки является на сегодняшний день единственным способом получить представление о реальном уровне защищенности информационных ресурсов компании.


Критерии проведения аудита безопасности информационных систем
Перейдем к следующей части и вспомним, какой вопрос обычно является ключевым при проведении аудита безопасности. Обычно, это вопрос, проверку на соответствие какому стандарту безопасности будет выполнять аудитор. В России обычной практикой при проведении аудита является выполнение данных работ без привязки к какому либо критерию или стандарту - аудитор ограничивается оценкой текущего уровня защищенности и выработке рекомендаций по его повышению в соответствии со своей экспертной оценкой и своим пониманием об уровнях и критериях защиты.

И, в общем, это нормальная практика, когда компания доверяет выбранному эксперту или группе экспертов, но проводить аудит, основываясь только на собственной экспертной оценке, не учитывая мировой опыт и существующие стандарты безопасности, на сегодняшний день практически недопустимо.


Международный стандарт безопасности информационных систем ISO 17799
Несколько лет назад Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. , занялся разработкой стандарта информационной безопасности. И в 1998 г. был принят национальный стандарт BS 7799 управления всей информационной безопасностью организации вне зависимости от сферы деятельности компании.

Служба безопасности, IT-отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных.

Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799.


ISO 17799 в России
В России стандарт ISO 17799 пока не является общепринятым документом, в отличии от стандартов ГТК и ФАПСИ. Однако стандарты ГТК на практике применяются обычно только к программным продуктам, стандарты ФАПСИ регламентируют, в основном, применение криптографических средств.

Применение этих стандартов в целом к информационной системе компании практически не возможно, так как сами стандарты предназначались, скорее, для программного обеспечения и сертифицировать всю ИТ систему компании на соответствие стандартам ГТК представляется малореальным и совершенно неэффективным.

Совершенно иным образом обстоят дела со стандартом ISO 17799. При всей своей обобщенности и отсутствии в некоторых частях стандарта конкретных деталей, сам стандарт разработан именно для применения его в сложных и разветвленных корпоративных системах и что не мало важно - ISO 17799 не противоречит существующим российским стандартам ГТК и ФАПСИ.


Преимущества, получаемые компанией после прохождения сертификации по ISO 17799
Какие же преимущества получает компания, которая провела аудит безопасности своих информационных ресурсов и получила сертификат соответствия ISO 17799?

Прежде всего, это "неформальные" преимущества: после проведения аудита информационная система компании становится "прозрачнее" для менеджмента, выявляются основные угрозы безопасности для бизнес - процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления.

В результате компании предлагается комплексный план внесения изменений в информационную систему в целом, как для повышения реального уровня защищенности, так и для непосредственного соответствию стандарту.

Другим фактором, который может подтолкнуть компанию к прохождению аудита, может стать общение с западными партнерами или инвесторами, для которых факт регулярного прохождения компанией внешнего аудита безопасности и наличие сертификата соответствия ISO 17799 может стать серьезным преимуществом при заключении партнерских соглашений и сделок.

Кроме того, говоря о сертификации по ISO 17799, стоит принять во внимание согласованную с ВТО процедуру принятия России в данную организацию. Эта процедура потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии развития в области информационных технологий с учетом международных стандартов безопасности, таких как ISO 17799.


Практика прохождения аудита и получения сертификата ISO 17799
Для получения сертификата соответствия ISO 17799 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы на соответствие стандарту, внедрить изменения и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов.

Предварительный этап, который заключается в проведении аудита и, на его основании, подготовки необходимых изменений ИТ системы, может выполнить специализированная секьюрити компания, имеющая опыт в проведение подобных работ.

Затем, после подготовки комплекта необходимых документов и внесения изменений в систему, необходимо провести итоговую проверку соответствия ISO 17799, для чего требуется участие специалистов одной из ведущих консалтинговых компаний (KPMG, Ernst and Young и др), которые владеют эксклюзивным правом выдачи данного сертификата.