На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 5 сентябрь-октябрь 2005 г.
Тема номера: БЕЗОПАСНОСТЬ ERP-СИСТЕМ


СЕРТИФИКАЦИЯ СИСТЕМ УПРАВЛЕНИЯ ИБ ПО ТРЕБОВАНИЯМ СТАНДАРТА BS7799-2

А. Г. Невский, CISA, CISSP, начальник Управления ИБ КБ «Ренессанс Капитал»


Предыдущая статьяСледующая статья

Растущая популярность международного стандарта BS7799-2:2002 вызвана его методологическими преимуществами перед другими системами оценки защищенности информационных систем. В течение многих лет специалисты по информационной безопасности были приучены к тому, что наивысшие показатели достигаются посредством приобретения систем, прошедших оценку и имеющих соответствующий класс защиты. До сих пор во многих случаях дебаты о криптостойкости применяемых алгоритмов заменяют оценку эффективности мер защиты.

Однако в последнее время система взглядов на информационную безопасность претерпела изменения, так же как в свое время изменились взгляды на систему качества, превратившись в требования стандарта ISO 9000. По ISO, качество – это полнота свойств и характеристик продукта, процесса или услуги, которые обеспечивают способность удовлетворять заявленным или подразумеваемым потребностям. Процессный подход позволил уйти от оценки качества продукта на этапе его приемки и увязать все технологические цепочки с необходимостью добиваться показателей на каждом этапе.

Обеспечение безопасности в еще более значительной степени требует использования процессных моделей, поскольку никаких количественных показателей ее эффективности пока выработать не удалось. Попробуйте объяснить своему руководству, насколько повысился уровень ИБ за время вашего пребывания в должности начальника отдела защиты информации. Попытка использования приемов финансового менеджмента (расчет ROI, TCO и т. д.) еще более запутывает ситуацию, поскольку аргументация в глазах финансового директора всегда оказывается недостаточной и построенной на недостоверных данных. Получается, что для исполнения поставленных руководством задач приходится тратить большую часть времени на обоснование затрат для того же самого руководства – «замкнутый круг офицера безопасности». Представляется, что использование международного стандарта в качестве основы при разработке стандартов организации позволяет принять сбалансированный комплекс мер на основе рекомендаций и утвердить бюджет на их реализацию, основываясь на стремлении подтвердить необходимый уровень сертификатом международной организации.

Целью настоящей статьи является краткое описание основных этапов построения системы управления информационной безопасности (СУИБ), соответствующей требованиям стандарта BS7799-2:2002, и ее последующая сертификация.

BS7799-2:2002 – вторая часть стандарта BS7799, определяющая модель построения, внедрения, управления, мониторинга, оценки, сопровождения и улучшения СУИБ. Именно системы, построенные на основе BS7799-2:2002, и подлежат последующей сертификации. Ожидается, что в ноябре 2005 года стандарт BS7799-2:2002 заменит международный стандарт ISO/IEC 27001.

Рассмотрим основные этапы построения СУИБ так, как они изложены в стандарте в виде шагов Plan-Do-Check-Act.

Планирование

Scope

Первый шаг построения СУИБ – это определение области ее действия. СУИБ может охватывать всю организацию, единственный офис или выделенный сервис, например разработку программного обеспечения или сопровождение информационной системы. Таким образом, вы можете выбрать критичную подсистему (сервис) и провести ее сертификацию.

ISMS policy

Почему информационная безопасность важна для вашей организации? Какие угрозы вызывают ваше беспокойство? Каких целей в терминах целостности, конфиденциальности и доступности вы желаете достичь? Какой уровень риска является приемлемым для вашей организации? Какие обязательные требования законодательства вы должны учитывать при построении СУИБ? Документируйте ваши ответы в политике информационной безопасности. Возможно, предложенный подход изначально покажется вам наивным, но впоследствии поможет при общении с аудиторами. Это может быть отдельный документ (1–3 листа), утвержденный менеджментом организации, более пространственный, чем политика информационной безопасности, описанная в ISO/IEC 17799:2005.

Risk assessment

Выберите метод оценки рисков, приемлемый для вашей организации и области действия СУИБ. Определите риски, включая:

  • определение ресурсов и их владельцев;
  • угроз для ресурсов, уязвимостей, способных реализовать угрозы;
  • воздействие на целостность, конфиденциальность и доступность ресурсов.

Оцените риски, включая:

  • воздействие на целостность, конфиденциальность и доступность ресурсов;
  • вероятность наступления рисков;
  • уровень рисков.

Risk management/Risk treatment

После завершения оценки рисков необходимо принять решение о дальнейших действиях в отношении выявленных рисков. BS7799-2:2002 оперирует термином treatment of risk. Вы можете принять риски, соответствующие допустимому уровню вашей СУИБ, предложить механизмы контроля (контрмеры) для их минимизации (снижения до допустимого уровня), адресовать риски третьей стороне (например, посредством страхования). Все это должно быть отражено в risk treatment plan.

Select control objectives and controls

BS7799-2:2002 предлагает перечень механизмов контроля, соответствующий механизмам контроля, описанным в ISO/IEC 17799:2000. Этот перечень не является исчерпывающим, и вы вольны в выборе дополнительных механизмов контроля.

Statement of Applicability (SOA)

Не все механизмы контроля, перечисленные в BS7799-2, могут относиться к вашей СУИБ, однако их выбор должен быть подтвержден обоснованными выводами, сделанными при проведении оценки и минимизации рисков. Результатом этой работы является положение о применимости (перечень механизмов контроля из стандарта с указанием их внедрения/не внедрения и подтверж-дения данного факта).

Management Approval

Проделанная работа и остаточные (residual) риски должны быть одобрены менеджментом организации.

Внедрение

Эта часть цикла предусматривает управление механизмами контроля. Кроме всего прочего, от вас потребуется наличие:

  • процедуры управления инцидентами безопасности (обнаружения, оповещения, ответственности, анализа и устранения);
  • процедуры обучения и «осведомленности» сотрудников;
  • процедур внедрения, планирования и управления необходимыми ресурсами.

Проверка

Целью этой части цикла является подтверждение того, что механизмы контроля внедрены и достигли поставленных целей.

Monitoring

Мониторинг включает обнаружение уязвимостей и недостатков в работе СУИБ, а также определение действий, направленных на устранение выявленных ошибок и отклонений.

Review

Периодические оценки позволяют определять степень эффективности СУИБ и должны проводиться регулярно. Такие оценки могут включать:

  • оценку политики безопасности;
  • аудиторские проверки;
  • анализ инцидентов безопасности;
  • management review;
  • обратную связь – информацию, полученную от клиентов, сотрудников и т. п.). Внутренние аудиторские проверки и management review (не реже одного раза в год) являются обязательными требованиями стандарта.

Residual risk

Остаточные и принятые риски должны оцениваться регулярно с учетом изменений в организации, технологиях, бизнес-процессах и т. п.

Актуализация

Эта часть цикла – часть улучшения, предусматривающая внедрение улучшений, своевременное принятие превентивных и корректирующих действий, а также доведение информации о результатах до всех заинтересованных сторон.

Для получения сертификата, аудит вашей СУИБ должен быть проведен экспертом BS7799, который не может являться консультантом, помогающим вам подготовить СУИБ для успешного прохождения сертификации. Сертификат выдается на три года (с последующим перевыпуском) и предусматривает ежегодные проверки СУИБ экспертом BS7799.

Зачем проводить сертификацию? Во-первых, как мы уже говорили, ориентация на стандарт увязывает эффективность мер защиты и обоснованность затрат на их реализацию, а также позволяет подтвердить результаты деятельности служб ИБ перед акционерами и менеджментом. Во-вторых, наличие сертификата по международному стандарту повышает доверие к информационной системе и, опосредованно, к организации в целом. Комплекс вопросов по информационной безопасности всегда включается в опросный лист при практически любом виде аудита, проводимом по международным правилам. Поэтому если ваша компания планирует привлекать заимствования за рубежом, установить долгосрочные отношения с клиентами за пределами России, подтвердить соответствие международному стандарту качества наличие сертификата значительно облегчает получение положительного результата. Ну и, наконец, желание наладить международное информационное взаимодействие неизбежно вызовет вопрос о признании вашей информационной системы надежной и безопасной. И в этом случае у сертифицированной системы практически нет альтернатив. К настоящему времени в мире было получено почти две тысячи сертификатов по стандарту BS7799 в более чем 50 странах мира (см. распределение сертификатов по странам в таблице). Нет сомнений, что и в России этот стандарт станет не менее популярным, чем в промышленно развитых странах.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100