Порівняння директив безпеки h2>
Йоханнес Зауер p>
Управління безпекою відповідно до ITIL, ISO і
BSI. H2>
Сучасним
підприємствам адекватний рівень безпеки потрібен сьогодні більше, ніж
будь-коли. Ділові та ІТ-процеси переплітаються усе тісніше: якість перших
сильно залежить від готовності служб ІТ, а недоступність останніх часто
негативно позначається на конкурентноздатності. У зв'язку з цим ось вже в
протягом багатьох років простежується тенденція до стандартизації методів і
заходів у галузі безпеки інформаційних технологій. p>
В
останнім часом в галузі безпеки ІТ з'явилося безліч стандартів. Всі
вони націлені на реалізацію адекватного захисту інформаційних технологій.
Відповідні зведення правил і еталонні моделі описують британська ITIL,
британський стандарт BS 7799, який спирається на нього стандарт ISO/IEC 17799 та
посібник з базової захисту, виданий німецьким відомством з безпеки
інформаційної техніки (BSI). p>
Еталонна модель ITIL h2>
Бібліотека
інфраструктури ІТ (Information Technologies Infrastructure Library, ITIL) своїм
появою зобов'язана прагненню британської влади розробити
стандартизований метод для покращення якості, безпеки та економічності
процесів ІТ. Для цього Управління державної торгівлі Великобританії
разом з підприємствами та організаціями виробило еталонну модель, у рамках
якої можлива універсальна реалізація процесів ІТ. p>
міститься
в зведенні правил ITIL бібліотека процесів пропонує практичну
методологічну модель для впровадження стандартизованих процесів у
управлінні службами ІТ (IT Service Management, ITSM). Головні завдання --
поліпшення якості послуг ІТ для безперервних процесів і забезпечення їх
економічної ефективності. Бібліотека процесів ділиться на кілька
розділів. Найважливіші базові процеси описуються в розділах Service Delivery
(доставка послуг) і Service Support (підтримка послуг). Темі безпеки ІТ
відводиться розділ Security Management (управління безпекою). p>
Управління
безпекою відповідно до ITIL переслідує дві вкрай важливі мети: p>
виконання
вимог щодо безпеки, що містяться в угодах про рівень сервісу
(Service Level Agreement, SLA), та інших зовнішніх вимог, що випливають із
договорів, законів і правил корпоративної безпеки (політики); p>
створення
певної (не специфікований більш докладно) базової захисту. p>
ITIL,
як і BS 7799, йде корінням в 1980-і рр.. З тих пір вона утвердилася як
стандарту де-факто для моделювання, реалізації та управління діловими
процесами ІТ. Можливості сертифікації підприємства на відповідність вимогам
ITIL в даний момент не існує, натомість p>
відповідальні
особи можуть підтвердити своє знання ITIL і стати власниками сертифікату ITIL
Foundation Certificate. Його наявність є необхідною умовою для отримання
що базується на ньому і значно більш всеосяжного сертифіката ITIL
Service Manager Certificate. P>
BS
7799 ТА ISO 17799 p>
British
Standard 7799, як і ITIL, містить практичний досвід, яким підприємства та
організації можуть скористатися при реалізації заходів але забезпечення
безпеки ІТ. Вже в кінці 80-х рр.. у британської влади виникла ідея
введення стандарту в області безпеки інформації. Це призвело до розробки
«Системи правил безпеки інформації» під керівництвом
Міністерства торгівлі і промисловості. Перша частина BS 7799 була опублікована
як стандарт у 1995 р. Загалом же в BS 7799 Дві частини: p>
BS
7799, частина 1 (ISO/IEC 17799) - керівництво з управління інформаційної
безпекою; p>
BS
7799 - частина 2 - специфікація систем управління інформаційною безпекою. P>
Якщо
в першій частині пропонуються лише рекомендації щодо вжиття необхідних заходів, то
у другому - визначаються методи та вимоги до системи управління
інформаційною безпекою (Information Security Management System, ISMS).
Оскільки BS 7799 привернув до себе увагу фахівців інших країн, у січні
2000 перша частина була перетворена в стандарт Міжнародної організації з
стандартизації (International Organization for Standardization,
ISO). ISO/IEC
17799:2000 в даний момент знаходиться на доопрацюванні і ймовірно влітку
поточного року буде опублікована у версії 17799:2005 е. Головні цілі ISO/IEC
17799 включають в себе наступне: p>
визначення
практично корисних мінімальних вимог в галузі безпеки ІТ; p>
створення
загальної бази для підприємств, зацікавлених у розробці, реалізації та
вимірі ефективної системи безпеки; p>
надання
контрольного стандарту для управління безпекою ІТ у межах організації. p>
ISO/IEC
17799:2000 складається з десяти тематичних розділів, де міститься 127
рекомендацій, які не представляють собою обов'язкових норм. Тому
сертифікація можлива лише в рамках BS 7799-2. p>
Керівництво BSI h2>
Ще
один можливий підхід спирається на керівництво за базовою захисту інформаційних
технологій BSI. Кожні півроку але міру накопичення і придбання нових знань
про інформаційні небезпеки та технологіях BSI оновлює керівництво. Воно
містить опис стандартних заходів з безпеки, вказівки по реалізації,
допоміжні засоби для численних найбільш часто використовуваних
конфігурацій ІТ і націлено на рішення регулярно виникаючих проблем,
підтримання підвищеного рівня безпеки та спрощення розробки концепції
безпеки ІТ. Пропоновані тут стандартні заходи орієнтуються на середню
потреба в захисті, типову для більшості систем ІТ. p>
Вихідним
пунктом для вибору адекватних заходів безпеки є так звана
концепція безпеки, яка виробляється на основі наявних процесів.
Для того ж спочатку на підприємстві проводиться аналіз структури з метою
визначення фактичного стану систем ІТ та програм, а потім
встановлюється ступінь потреби в захисті (планований стан).
Що базується на цих результатах порівняння бажаних показників з
фактичними відображає дефіцит безпеки, на основі чого визначаються
необхідні заходи (див. Малюнок 1). Дуже корисним виявляється побудова
керівництва у вигляді блок-схеми, завдяки якому стає можливим просте
застосування комплексних заходів. p>
Метод
ефективний багато в чому завдяки тому, що мета створення вимірюваної базової
захисту ІТ досягається без дорогого аналізу ризиків. Додатковий аналіз
(наприклад, аналіз ризиків та загроз) потрібен лише в тому випадку, якщо система
має потребу в більш високому рівні безпеки. BSI пропонує підприємствам
сертифікацію: сертифікат базової захисту інформаційних технологій. Крім того,
існує можливість «самопізнання», що включає два ступені: «початковий
рівень базової захисту ІТ »і« стандартний рівень базової захисту ІТ ». p>
Порівняння підходів h2>
Всі
три підходи мають на меті довгострокового забезпечення безпеки ІТ і
відрізняються лише що лежать в їх основі принципами. p>
Керівництво
BSI за базовою захисту ІТ пропонує структурований метод створення концепції
безпеки та реалізації управління безпекою ІТ. У ньому чітко описуються
необхідні кроки з розробки концепції безпеки. Багато в чому завдяки
такий процесної структурі його використання виявляється дуже ефективним.
Комплекс заходів дуже конкретний, і в деяких випадках навіть наводяться значення
параметрів, які безпосередньо можуть бути реалізовані у відповідній
системі ІТ. Це очевидна сильна сторона моделі BSI. Ступінь деталізації
рекомендацій але пропонованих заходів дозволяє швидко впровадити адекватний рівень
безпеки інформаційних технологій. Однак така технічна глибина не
завжди виправдана при інтеграції в галузі ділових процесів, де потрібно більше
високий ступінь абстракції. Так, наприклад, керівництво BSI не описує, як
підприємство може інтегрувати ISMS у вже існуючі процеси. p>
В
противагу цьому TSO/TEC 17799 описує вимоги до заходів з безпеки ІТ
швидше з інформаційної точки зору і орієнтується на якийсь типовий рівень.
127 загальновизнаних рекомендацій ISO/IEC 17799 чосят все ж приблизний характер:
вони служать в якості орієнтира і не обов'язкові до виконання. Так,
користувач не знайде рад з приводу довжини пароля й інших деталей
конфігурації систем ІТ, як це властиво для керівництва за базовою
безпеки систем ІТ. Такий описовий підхід дозволяє провести загальні
визначення цілей безпеки, не вникаючи в усі технічні деталі. p>
Обидва
названих стандарту концентруються виключно на безпеки ІТ, тим часом
як ITIL з'явилася внаслідок зовсім інший мотивації. Хоча безпеку ІТ --
дуже важлива частина самих різних базових процесів ITIL, наприклад управління
безперервністю, первинної мотивацією впровадження ITIL є цілі бізнесу: ITIL
в першу чергу націлена на те, щоб адаптувати ландшафт ІТ до вимог
користувачів і клієнтів. У цей ієрархічний процесний підхід вмикається і
управління безпекою. Тому впровадження системи управління безпекою в
Відповідно до 1TIL має сенс лише тоді, коли організація ІТ вже відповідає
вимогам ITIL або її планується привести у відповідність з ними. Тоді
стане можливим звертатися до наявних процесів ITIL і доповнювати їх функціями
і процесам і безпеки. p>
Впровадження
управління безпекою відповідно до ITIL значно впливає
на організацію служб ІТ: звід правил передбачає доповнення всіх базових
процесів значним - що відноситься до безпеки - вмістом (Service Desk,
наприклад, в якості єдиної точки звернення за допомогою). При цьому можуть
використовуватися наявні структури процесів та інструменти звітності. ITIL
пропонує можливість визначення ключового індикатора продуктивності (Key
Performance Indicator, KPI) для вимірювання ефективності на основі
кількісних характеристик. Так, про ефективність вжитих заходів можна судити
по кількості інцидентів в галузі безпеки за певний проміжок
часу. p>
Крім
того, база даних управління конфігурацією (Configuration Management Database,
CMDB) надає централізовану структуру даних. Вона дуже добре
розширюється у відповідності до вимог трьох цілей захисту: готовності,
надійність і цілісність. Таким чином виявляється доступний всеосяжний інструмент
з широким набором інтерфейсів. Що стосується ISMS, то IT1L в цьому випадку
посилається на BS 7799 як еталон в управлінні безпекою, а в додатку А
дасться порівняння ITIL і BS 7799. p>
В
випадку всіх трьох підходів мова йде про визнані на міжнародному рівні
стандартах безпеки інформаційних технологій, причому ITIL, в силу
історичних причин, займає особливе місце. Кожен відрізняється своїми
особливостями. Одним з можливих критеріїв вибору може бути прагнення або
потреба сертифікації: ITIL пропонує лише можливість персональної
сертифікації; сертифікація в рамках BS 7799 проводиться тільки для другої частини
(7799-2), а сертифікат базової захисту ІТ, навпаки, включає в себе перевірку
визначеного в ньому безпеки ІТ, а також реалізацію
відповідних заходів. На практиці часто пропонується свого роду комбінація в
метою найкращого використання особливостей змісту та методів кожного
стандарту. p>
Список літератури h2>
Журнал
LAN № 8 2005 p>