Распечатать

Финансовая газета ЭКСПО, № 8, 2006

Международные стандарты в области информационной безопасности.

22 сентября 2006

Международные стандарты в области информационной безопасности.

Зачем стандартизировать подход к построению системы информационной безопасности? Зачем вообще компаниям использовать какой-либо стандарт, если в целом и без него бизнес развивается, и дела обстоят неплохо?

Любой стандарт делает компанию более прозрачной для взаимодействующих с ней контрагентов, так как сообщает о том, что некие параметры в этой организации соответствую определенным нормативам – проверено и подтверждено авторитетным источником. Это может относиться к качеству продукции, методам управления, и, в том числе, к системе информационной безопасности.  Стандартизируя свою систему, компания обеспечивает необходимую и достаточную степень прозрачности ее структуры для своих партнеров и клиентов, что, в свою очередь, дает им уверенность в обеспечении должного уровня защиты той информации, которую они доверяют этой организации: персональных данных, деловой информации и т.д.. Это повышает лояльность всех взаимодействующих контрагентов друг к другу, и положительно сказывается на ведении бизнеса.

Документы, оказывающие влияние на формирование политик в области ИБ

В последние несколько лет в мире наблюдается тенденция к стандартизации составляющих систем управления в организациях. Инициатива исходит как на государственном уровне, так и на уровне отдельно взятых отраслей. Активнее всего стандарты в области управления развиваются и США и других западных странах. Эта тенденция относится не только к информационной безопасности, и, на первый взгляд, не столько к ней, сколько к другим аспектам: например, регулированию отчетности или управлению данными. Но, при ближайшем рассмотрении, все эти составляющие управления оказываются непосредственным образом связанными с информационной безопасностью. Среди нормативных актов, подталкивающих организации перестраивать свою систему информационной безопасности и получивших наибольшее распространение и известность, можно отметить акт Sarbanes-Oxley и соглашение по банковскому надзору Basel II.

Sarbanes-Oxley был принят в США с целью контроля за финансовой отчетностью организаций, и в настоящее время применяется преимущественно в этой стране. Что же касается российских компаний, то его используют, главным образом, те, кто выходит со своими акциями на американские биржи. Со стороны мер, которые предпринимаются такими компаниями с точки зрения совершенствования системы информационной безопасности, это предполагает внедрение контроля целостности, защиту от НСД, шифрование данных и т.п.

Соглашение Basel II имеет более обширную географию распространения: его положения применяются в странах Евросоюза, США, Японии и др.  По решению Банка России, все российские банки, начиная с 2009 года, также будут обязаны соответствовать требованиям этого соглашения. Основной целью, способствовать достижению которой призван настоящий документ, является контроль банковских рисков.  Оценка рисков является сейчас одним из актуальных направлений в сфере регулирования банковской деятельности, главным образом это касается операционных рисков, которые несут банки. Среди наиболее значимых из них являются риски информационной безопасности, такие как неадекватные или ошибочные действия персонала и внутренние процессы. 

Применение упомянутых нормативных актов предполагает, как правило, частичное изменение ИТ-инфраструктуры организации и, в том числе, перестройку системы информационной безопасности как части этой инфраструктуры, а также изменение подхода к ее построению. Влияние данных нормативных актов на формирование системы управления информационной безопасностью компаний имеет косвенный характер, но подталкивает руководство задуматься о том, насколько действия и средства, применяемые в целях защиты информации – адекватны и эффективны.

Общие и международные стандарты в области ИБ

Постепенно отходит в прошлое подход, когда отдельные требования нормативных актов и отдельные проблемы информационной безопасности решаются в порядке возникновения и уже «по факту». Многие компании сегодня приходят к тому, что система защиты информационных ресурсов должна строиться, исходя из общепринятых норм и с учетом наработанных практик. Это помогает избежать перестройки инфраструктуры информационной системы в  «авральном режиме» под какие-либо требования и снижает уровень незапланированных расходов на обслуживание системы (в том числе и риск расходов, связанных с потерей или кражей информации).

В качестве основополагающего и наиболее «общего» среди международных стандартов можно назвать ISO/IEC 27001:2005, который был разработан Британским институтом стандартов (BSI). Данный стандарт описывает общую методологию подхода к обеспечению информационной безопасности в организации и акцентирует внимание на наиболее критичных составляющих информационной системы. Он охватывает элементы управления системой информационной безопасности, актуальные для всех без исключения сфер бизнеса, такие как: политика информационной безопасности, распределение ответственности за информационную безопасность, проведение обучения в этой области, отчетность по инцидентам, защита от вирусов, обеспечение непрерывности работы, контроль копирования лицензионного ПО, защита архивной документации и защита персональных данных. Этот стандарт дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью и сохранностью такого важного актива компании как информация. Элементы управления системой информационной безопасности разделены в стандарте по нескольким группам, и включают в себя разделы:

• Политика безопасности – поддержка политики в области информационной безопасности со стороны руководства предприятия;
• Инфраструктура системы безопасности - создание организационной структуры, которая будет обеспечивать работоспособность системы информационной безопасности в организации;
• Классификация ресурсов и управление – приоритезация информационных ресурсов по степени их ценности и распределение ответственности за них;
• Сотрудники – снижение риска человеческих ошибок, кражи и неправильного использования оборудования (обучение сотрудников и отслеживание инцидентов);
• Физическая и внешняя безопасность - предотвращение несанкционированного доступа и нарушения работы информационной системы организации;
• Управление сетями и компьютерными ресурсами – обеспечение безопасного функционирования компьютеров и сетей;
• Управление доступом – управление доступом к бизнес-информации;
• Развитие и обслуживание системы - выполнение требований безопасности при создании или развитии информационной системы организации, поддержание безопасности приложений и данных;
• Обеспечение непрерывности бизнеса - план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации;
• Соответствие требованиям законодательства - выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.

Стандарт состоит из двух частей: в первой части описаны механизмы контроля (всего их 127), необходимые для построения системы управления информационной безопасностью (СУИБ). Эта часть используется в качестве основы для проведения аудита СУИБ в организации. Во второй части стандарта описываются те критерии, по которым производится сертификация СУИБ. Исходя из идеологии стандарта ключевым элементом СУИБ является система управления рисками, важнейшей часть которых является анализ этих рисков с целью определения, какие ресурсы от каких угроз необходимо защищать, а также в какой степени ресурсы нуждаются в защите. Проведения анализа рисков позволяет организации оценить возможный ущерб в количественных и качественных показателях.  

Кроме стандарта, описывающего общий подход к построению системы информационной безопасности, существуют также международные отраслевые стандарты. Как правило, основные положения таких стандартов перекликаются с ISO/IEC 27001, но в частностях они адаптированы в соответствии с отраслевыми особенностями. Можно привести в пример международный стандарт ISO/TR 13569, который является руководством при создании системы информационной безопасности в кредитно-финансовой отрасли. Он описывает политики, а также организационный, инфраструктурные и законодательные компоненты системы информационной безопасности в организации-представителе финансовой сферы. Основные отличия связаны как с особенностями нормативных актов для этой отрасли, так и с особенностями ведения бизнеса. Так, например, стандарт предписывает необходимость использования «двойного управления» - при проведении определенных транзакций, процесс должен контролироваться двумя лицами независимо друг от друга.  Основные цели, реализация которых входит в задачу данного стандарта, перекликаются с целями ISO/IEC 27001: интегрировать подсистему безопасности в бизнес-процессы; сделать систему управления ИБ прозрачной и унифицированной для всех банков, ранжируемой по уровням зрелости; отслеживать процесс выполнения политики безопасности; распределить ответственность за обеспечение ИБ.

Заключение

Мировая тенденция сегодня такова, что границы бизнеса постепенно стираются вслед за стиранием экономических границ между различными государствами. Как бы не ругали глобализацию ее противники, вряд ли найдется много тех, кто будет спорить с тем, что международный бизнес и международная специализация – всеобщее будущее. Уже сегодня количество транснациональных корпораций в мире исчисляется миллионами.  Все это предъявляет определенные требования, как к схемам ведения бизнеса, так и к методикам его защиты, и, в частности,  к защите информационных систем, обрабатывающих бизнес-информацию. Применение международного стандарта в области информационной безопасности позволяет обеспечить эффективное управление системой в критических ситуациях, добиться оптимизации стоимости поддержки системы безопасности, получить преимущества при страховании информационных рисков, и, наконец, соблюсти формальные требования, предъявляемые законодательством. Так же как английский язык стал языком международного общения в бизнес-сообществе и позволяет представителям различных народов с легкостью понимать друг друга, так и международные стандарты в области информационной безопасности  дают нам возможность быть понятными и «своими» для рынков других стран.

Екатерина Дербенцева, менеджер отдела маркетинга решений департамента маркетинга по направлению информационной безопасности.