Международный стандарт управления информационной безопасностью ISO 17799
Критерии оценки защищенности информационных систем
Какой вопрос чаще всего задают руководители высшего звена компании ИТ-менеджерам и специалистам по информационной безопасности? Думаю, что это очевидно: «Насколько защищена наша информационная система?». Этот вопрос действительно является краеугольным камнем информационной безопасности и тем самым «тонким» местом, которое обычно стараются избегать специалисты по безопасности. Оценить защищенность информационной системы достаточно сложно… но, как известно, можно. Для этого существуют, в основном, качественные методы оценки уровня защищенности, которые на выходе позволяют получить не количественную оценку («система защищена на 4.2 балла или на 58%»), а качественную — система соответствует определенному классу или уровню защищенности; тому или иному стандарту безопасности. Количественные методы оценки на практике не нашли своего применения. Применение качественных методов оценки является на сегодняшний день единственным способом получить представление о реальном уровне защищенности информационных ресурсов компании.
Критерии проведения аудита безопасности информационных систем
Перейдем к следующей части и вспомним, какой вопрос обычно является ключевым при проведении аудита безопасности. Обычно, это вопрос о стандарте безопасности, проверку на соответствие которому будет выполнять аудитор. В России привычной практикой при проведении аудита является выполнение данных работ без привязки к какому-либо критерию или стандарту — аудитор ограничивается оценкой текущего уровня защищенности и выработке рекомендаций по его повышению в соответствии со своим пониманием об уровнях и критериях защиты. В общем, это нормальная практика, когда компания доверяет выбранному эксперту или группе экспертов, но проводить аудит, основываясь только на оценке экспертов, не учитывая мировой опыт и существующие стандарты безопасности, на сегодняшний день практически недопустимо.
Международный стандарт безопасности информационных систем ISO 17799
Несколько лет назад Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и других, занялся разработкой стандарта информационной безопасности. В 1995 году был принят национальный стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. Служба безопасности, IT-отдел, руководство компаний начали работать согласно общему регламенту. Неважно, шла ли речь о защите бумажного документооборота или электронных данных.
Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В 2000 году международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799. Можно сказать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание.
Ниже приведены основные разделы стандарта ISO 17799:
- Политика безопасности
- Организационные меры по обеспечению безопасности
- Управление форумами по информационной безопасности
- Координация вопросов, связанных с информационной безопасностью
- Распределение ответственности за обеспечение безопасности
- Классификация и управление ресурсами
- Инвентаризация ресурсов
- Классификация ресурсов
- Безопасность персонала
- Безопасность при выборе и работе с персоналом
- Тренинги персонала по вопросам безопасности
- Реагирование на секьюрити инциденты и неисправности
- Физическая безопасность
- Управление коммуникациями и процессами
- Рабочие процедуры и ответственность
- Системное планирование
- Защита от злонамеренного программного обеспечения (вирусов, троянских коней)
- Управление внутренними ресурсами
- Управление сетями
- Безопасность носителей данных
- Передача информации и программного обеспечения
- Контроль доступа
- Бизнес требования для контроля доступа
- Управление доступом пользователя
- Ответственность пользователей
- Контроль и управление удаленного (сетевого) доступа
- Контроль доступа в операционную систему
- Контроль и управление доступом к приложениям
- Мониторинг доступа и использования систем
- Мобильные пользователи
- Разработка и техническая поддержка вычислительных систем
- Требования по безопасности систем
- Безопасность приложений
- Криптография
- Безопасность системных файлов
- Безопасность процессов разработки и поддержки
- Управление непрерывностью бизнеса
- Процесс управления непрерывного ведения бизнеса
- Непрерывность бизнеса и анализ воздействий
- Создание и внедрение плана непрерывного ведения бизнеса
- Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса
- Соответствие системы основным требованиям
- Соответствие требованиям законодательства
- Анализ соответствия политики безопасности
- Анализ соответствия техническим требованиям
- Анализ соответствия требованиям системного аудита
ISO 17799 в странах СНГ и России
В последние несколько лет ISO 17799 начал уверенно продвигаться в странах СНГ. В Молдове, например, благодаря позиции Национального Банка уже более года все банки проходят регулярную проверку на соответствие ISO 17799. В ближайшее время в Молдове ISO 17799 получит статус государственного стандарта.
В Украине также существуют планы принятия данного стандарта в качестве государственного — эту позицию озвучил представитель Службы Безопасности Украины, выступавший в 2002 году в Киеве на одном из семинаров компании Digital Security.
В России стандарт ISO 17799 пока не имеет статус государственного. Однако можно ждать изменения в скором будущем подобной ситуации. Государственная Техническая Комиссия при Президенте РФ уже отказалась от использования собственных стандартов защищенности автоматизированных систем и принимает ГОСТ 15408 (ISO 15408). Возможно, что то же самое в ближайшие годы произойдет и с ISO 17799 и нам следует готовиться к появлению в России ГОСТа 17799.
Преимущества, получаемые компанией после прохождения сертификации по ISO 17799
Какие преимущества получает компания, которая провела аудит безопасности своих информационных ресурсов и получила сертификат соответствия системы управления информационной безопасности по стандарту ISO 17799?
Прежде всего, после проведения аудита информационная система компании становится «прозрачнее» для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и по устранению недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью, как для повышения реального уровня защищенности, так и для соответствия стандарту.
Сертификация на соответствие стандарту ISO 17799 (BS 7799) позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. Это обеспечивает компании дополнительное конкурентное преимущество.
Кроме того, говоря о сертификации по ISO 17799, стоит принять во внимание согласованную с ВТО процедуру принятия России в данную организацию. Эта процедура потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии развития в области информационных технологий с учетом международных стандартов безопасности, таких как ISO 17799.
Практика прохождения аудита и получения сертификата ISO 17799
Для получения сертификата соответствия ISO 17799 компания должна пройти процедуру аудита информационной безопасности, провести подготовку информационной системы на соответствие требованиям стандарта, внедрить изменения и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов.
Предварительный этап заключается в проведении аудита, на основании которого производится подготовка необходимых изменений системы управления информационной безопасностью. Его может выполнить специализированная компания, имеющая опыт в проведение подобных работ.
Затем, после подготовки комплекта необходимых документов и внесения изменений в систему, необходимо провести итоговую проверку соответствия стандарту ISO 17799, для чего требуется участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при United Kingdom Accreditation Service (UKAS), уполномоченном государственном органе Великобритании. Также, отметим, что в настоящее время до выхода 2-ой части ISO 17799 — требования к аудиторам, которая намечена на 2004 год, официальная сертификация возможно только по BS 7799. Однако между ISO и UKAS существует соглашение, согласно которому после принятия второй части ISO 17799 все сертификаты BS 7799 автоматически получат статус ISO 17799.
Программные средства проверки политики безопасности на соответствие требованиям ISO 17799
Рассмотрим далее программные продукты, использующиеся для проверки соответствия политики информационной безопасности требованиям стандарта ISO 17799 — британский программный комплекс Cobra (компания C & A Systems Security Ltd) и российский КОНДОР (компания Digital Security).
Cobra
Британская Cobra от компании C & A Systems Security Ltd представляет собой продукт, позволяющий аудитору провести проверку соответствия информационной системы требованиям ISO 17799. Cobra, как и любой продукт данного класса, представляет собой экспертную систему, задача которой, опросив ИТ-менеджера, сделать вывод о соответствии системы ISO 17799.
На первом этапе пользователь выбирает раздел стандарта, на вопросы по которому ему предстоит отвечать.
Далее, ответив на все вопросы по каждому разделу,
можно, предварительно настроив параметры отчета, 
посмотреть отчет системы и оценить степень соответствия существующей политики безопасности стандарту.
Стоимость продукта составляет $895 и $1995 за систему с модулем анализа рисков базового уровня.
К недостаткам системы Cobra можно отнести:
- устаревший интерфейс (несмотря, на то что, данный продукт является в этой области одним из наиболее известных на западе, его разработчики по каким-то причинам не занимаются модернизацией его пользовательского интерфейса);
- отсутствие возможности установки пользователем веса на каждое требование;
- отсутствие русскоязычной версии;
- возникают проблемы с генерацией отчета под Win98;
- возможна нестабильность системы при работе с отчетом под Win2000.
Ознакомиться с демо-версией Cobra и получить пароль для ее активации можно по адресу: http://www.riskworld.net.
КОНДОР+
Программный продукт КОНДОР+, разработанный российской компанией Digital Security, предназначен для проверки соответствия политики информационной безопасности компании требованиям ISO 17799.
КОНДОР+ включает в себя более двухсот вопросов, ответив на которые, специалист получает отчет о состоянии существующей политики безопасности, а так же модуль оценки уровня рисков соответствия требованиям ISO 17799.
После регистрации
пользователь получает возможность выбрать соответствующий раздел стандарта ISO 17799 и ответить на вопросы.
В отчете отражаются все положения политики безопасности компании, которые соответствуют и не соответствуют стандарту, 
а также отображается существующий уровень риска невыполнения требований политики безопасности в соответствии со стандартом. 
К наиболее важным элементам политики безопасности даются комментарии и рекомендации экспертов. 
По желанию специалиста, работающего с программой, может быть выбрана генерация отчета, например, по какому-то одному или нескольким разделам стандарта ISO 17799, общий подробный отчет с комментариями, общий отчет о состоянии политики безопасности без комментариев для представления руководству и другие. Все варианты отчетов для большей наглядности сопровождаются диаграммами. 
Кроме того, КОНДОР+ дает возможность специалисту отслеживать вносимые на основе выданных рекомендаций изменения в политику безопасности, постепенно приводя ее в полное соответствие с требованиями стандарта.
Стоимость продукта составляет $225 (КОНДОР) и $345 (КОНДОР+ с модулем анализа рисков базового уровня).
К недостаткам КОНДОР+ можно отнести:
- отсутствие возможности установки пользователем веса на каждое требование;
- отсутствие возможности внесения пользователем комментариев.
Ознакомиться с демо-версией КОНДОР+ можно по адресу: http://www.dsec.ru/soft/kondor.php.
