Стандарты информационной безопасности

Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависят тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности. Недавнее исследование Британского Национального Компьютерного Центра (NCC), в котором участвовало 660 компаний, выявило более 7000 случаев нарушения информационной безопасности, допущенных в этих компаниях в течение последних двух лет. С момента проведения предыдущего исследования (т.е. за два года) средняя стоимость такого нарушения почти удвоилась и достигла 16 тыс. фунтов стерлингов (25,5 тыс. долл.). В качестве отдельных примеров в отчете NCC описываются следующие ситуации:

	Ночной налет на офис компании. В результате кражи и вандализма утрачены данные на 16 персональных компьютерах. Материальные потери составили около 60 тыс. фунтов стерлингов.
	Используя доступ к информационной системе, работник компании в течение двух лет нелегально переводил деньги на частный банковский счет. Общая сумма похищенных средств — полмиллиона фунтов стерлингов.
	Пользователь установил обновленную версию программы на свой ПК, подключенный к сети компании. Так как поставщик считался надежным, пользователь посчитал излишним проверять дискеты. Программа оказалась зараженной вирусом, и дорогостоящая доверчивость пользователя обошлась компании в два дня простоя.
	Человеческая ошибка может быть также весьма дорогостоящей. В одной компании в результате ошибки оператора были уничтожены данные, эквивалентные недельному труду 15 сотрудников (около 12 тыс. фунтов стерлингов).

Такие уроки не должны проходить бесследно, и несколько лет назад Британский Институт Стандартов (BSI) при поддержке группы коммерческих организаций, среди которых были Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и другие, приступил к разработке стандарта информационной безопасности, получившего впоследствии обозначение BS 7799. При разработке стандарта ставилась задача обеспечения государственных и коммерческих организаций инструментом для создания эффективных систем информационной безопасности на основе современных методов менеджмента. В редакции 1998 года стандарт является обобщением действительно самых передовых достижений в организации информационной безопасности на предприятии и в учреждении.

BS 7799 — система менеджмента

Стандарт BS 7799 определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т.д. в контексте информационной безопасности. В процессе внедрения стандарта создается так называемая система менеджмента информационной безопасности, цель которой – сокращение материальных потерь, связанных с нарушением информационной безопасности. Важно, что стандарт призван как раз сэкономить предприятию средства, а в некоторых случаях даже спасти от банкротства, и не является каким-то внешним обязательным требованием, приводящим к появлению дополнительной статьи расходов.

BS 7799 – это модель системы менеджмента, и в этом смысле не является техническим стандартом. Например, BS 7799 не предписывает использование каких-то определенных алгоритмов шифрования. Единственный пункт стандарта (всего их более 100), непосредственно регламентирующий шифрование, содержит буквально следующее требование: «Особо важная информация должна быть зашифрована». Что считать важной информацией и как производить шифрование предприятие должно решить самостоятельно, основываясь на общих принципах применения стандарта. Официальное Руководство по применению стандарта, правда, содержит ряд рекомендаций необязательного характера по этому вопросу, однако и они являются весьма общими. Следует подчеркнуть, что данный подход к информационной безопасности на основе целей менеджмента, а не фиксированных технических спецификаций, является принципиальным для BS 7799 как стандарта системы управления.

Пример с криптографией взят не случайно. Большая часть российских специалистов по информационной безопасности занимается техническими аспектами защиты данных, причем многие сосредотачиваются именно на криптографии. Сказывается влияние длительного периода, когда в нашей стране защитой информации занимались лишь военные и спецслужбы, стремящиеся, как правило, к максимальной закрытости. Таким образом, в этих ведомствах в основном решалась задача обеспечения наибольшей конфиденциальности. Создавшийся в результате некоторый дисбаланс в сторону технических средств, безусловно, не соответствует требованиям дня. Дело в том, что перед коммерческими и государственными хозяйственными организациями стоит более сложная задача: не только обеспечить надежную защиту информации, но также организовать эффективный доступ к данным и нормальную работу с ними. Именно эта идея лежит в основе стандарта BS 7799.

Структура стандарта

BS 7799 содержит 109 элементов управления информационной безопасностью, распределенных по нескольким группам.

ПОЛИТИКА В ОБЛАСТИ БЕЗОПАСНОСТИ
Цель: обеспечить четкое управление и поддержку политики в области информационной безопасности со стороны руководства предприятия.

ОРГАНИЗАЦИЯ СИСТЕМЫ БЕЗОПАСНОСТИ
Цель: создать организационную структуру, которая будет внедрять и обеспечивать работоспособность системы информационной безопасности в организации.

КЛАССИФИКАЦИЯ РЕСУРСОВ И УПРАВЛЕНИЕ
Цель: поддерживать адекватную информационную безопасность организации путем возложения персональной ответственности, а также классификации информационных ресурсов по необходимости и приоритету защиты.

БЕЗОПАСНОСТЬ И ПЕРСОНАЛ
Цель: уменьшить риск человеческих ошибок, хищений и неправильного использования оборудования, в том числе путем эффективного обучения и внедрения механизма отслеживания инцидентов.

ФИЗИЧЕСКАЯ И ВНЕШНЯЯ БЕЗОПАСНОСТЬ
Цель: предотвратить несанкционированный доступ, повреждение и нарушение работы информационной системы организации.

МЕНЕДЖМЕНТ КОМПЬЮТЕРОВ И СЕТЕЙ
Цель: обеспечить безопасное функционирование компьютеров и сетей.

УПРАВЛЕНИЕ ДОСТУПОМ К СИСТЕМЕ
Цель: управлять доступом к деловой информации, предотвращать несанкционированный доступ и обнаруживать несанкционированную деятельность.

РАЗРАБОТКА И ОБСЛУЖИВАНИЕ СИСТЕМЫ
Цель: обеспечить выполнение требований безопасности при создании или развитии информационной системы организации, поддерживать безопасность приложений и данных.

ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ РАБОТЫ
Цель: подготовить план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации.

СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ
Цель: обеспечить выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.

Такая структура позволяет выбрать те средства управления, которые имеют отношение к конкретной организации или сфере ответственности внутри организации. Выделено также десять так называемых ключевых элементов управления, являющихся фундаментальными. Считается, что эти элементы имеют отношение ко всем организациям в самых различных условиях.

	Политика по информационной безопасности
	Распределение ответственности за информационную безопасность
	Образование и тренинг по информационной безопасности
	Отчетность по инцидентам с безопасностью
	Защита от вирусов
	Обеспечение непрерывности работы
	Контроль копирования лицензируемого программного обеспечения
	Защита архивной документации организации
	Защита персональных данных
	Выполнение политики по информационной безопасности

Из вышеизложенного видно, что наряду с элементами управления для компьютеров и компьютерных сетей, стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Как это работает?

Далеко не все 109 пунктов стандарта применимы в условиях абсолютно каждой организации. Поэтому авторами стандарта был выбран подход при котором стандарт используется как некое «меню», из которого следует выбрать элементы, применимые в данных конкретных условиях. Этот выбор проводится на основе оценки риска и тщательно обосновывается.

Как известно, в математической статистике риск определяется как произведение возможной потери на вероятность того, что эта потеря произойдет. Под потерями понимаются материальные потери, связанные с нарушением следующих свойств информационного ресурса:

	конфиденциальность — защищенность информации от несанкционированного доступа;
	целостность — защищенность информации от несанкционированного изменения, обеспечение ее точности и полноты;
	доступность — возможность пользоваться информацией, когда это требуется, работоспособность системы.

Важно, что данный стандарт не сосредотачивается лишь на обеспечении конфиденциальности. В коммерческих организациях с точки зрения возможных материальных потерь вопросы целостности и доступности данных зачастую более критичны.

В упрощенном виде анализ риска сводится к ответам на следующие вопросы:

	Что может угрожать нашим информационным ресурсам (компьютерам, средствам связи, данным и т.д.)?
	Какова подверженность этим угрозам, т.е. что может произойти с тем или иным информационным ресурсом?
	Если это произойдет, то насколько тяжелыми будут последствия? Каков возможный ущерб?
	Насколько часто следует ожидать подобных происшествий?

Существуют различные способы анализа риска: от простейших таблиц до сложных компьютеризованных методов, требующих специальной подготовки. Выбор применяемого метода зависит от условий организации. Главное, чтобы в результате такого анализа стал возможным обоснованный выбор из «меню» BS 7799, который оформляется в виде Декларации по применимости. После этапа планирования и разработки системы следует длительный период внедрения. Конечно, систему менеджмента информационной безопасностью нельзя просто «установить» как новый компьютер или программный пакет, она является частью системы общего управления предприятием и затрагивает все уровни организации от высшего руководства до исполнителей.

Сертификация по BS 7799

BS 7799 по своей идее является добровольным стандартом, т.е. государства, где BS 7799 адаптирован, не требуют его обязательного выполнения соответствующими субъектами внутри страны. Собственно, в этом нет необходимости, так как выполнение стандарта выгодно в первую очередь самому предприятию. Однако, как и другие добровольные стандарты (например, стандарт качества ISO 9000 или экологический стандарт ISO 14000), BS 7799 используется в контрактных отношениях. Во многих случаях партнерам и клиентам предприятия важно знать, каким образом на предприятии обеспечивается информационная безопасность. В этом случае соответствие стандарту может являться одним из условий контракта.

Формальное подтверждение соответствия стандарту дает аккредитованная сертификация. Владельцем британской сертификационной схемы является BSI (от имени Департамента по торговле и промышленности Соединенного Королевства), который и устанавливает “правила игры”. В тех странах, где приняты аналоги BS 7799, существуют соответственно свои схемы сертификации, в рамках которых и работают местные аудиторы. В тех странах, где аналоги BS 7799 отсутствуют (в том числе в России), в принципе возможно использование любой внешней схемы. Так как британская схема является наиболее старой и развитой, то при прочих равных условиях предпочтение часто отдается именно ей.

Для того, чтобы получить сертификат, система менеджмента информационной безопасности предприятия оценивается аудитором BS 7799. Аудитор не может одновременно являться консультантом. На этот счет существуют очень строгие правила. Аудит по BS 7799 состоит из анализа документации по системе менеджмента информационной безопасности, а также выборочного контроля в организации, который позволяет убедиться, что реальная практика соответствует описанию системы.

Аккредитованную сертификацию могут предоставить лишь те сертификационные общества (такие, как DNVQA, BSI Assessment Services Ltd, Lloyd's Register QA Ltd.), которые прошли аккредитацию BSI. Сертификат, выданный такой организацией, безоговорочно признается на международном уровне.

Существенный рост сертификации согласно BS 7799 ожидается в связи с развитием электронной коммерции. При этом интерес к сертификации по BS 7799 со стороны других секторов государства и бизнеса также достаточно высок. К таким отраслям относятся: государственные налоговые органы и органы внутренних дел, банки, финансовые компании, торговые фирмы, телекоммуникационные компании, медицинские учреждения, предприятия транспорта и туристические фирмы и т.д. Быстрое развитие BS 7799 и большой интерес к нему свидетельствуют о том, что соответствие новому стандарту информационной безопасности должно стать важным условием коммерческого успеха в начале нового столетия.