Стандартизація в області ІБ: зарубіжний
досвід
Георгій
Гарбузов
Як оцінити якість якого-небудь продукту
або забезпечити його швидку заміну, якщо він створювався за власним, ні з ким
не узгодженим правилами?
Стандартизація встановлює єдині
"правила гри", і в цьому її головна мета. Ті, хто приймає ці
правила, називаються учасниками стандартизації, а те, до чого пред'являються ці
правила, - об'єктом стандартизації
ІСТОРІЯ стандартизації, як процесу
встановлення єдиних вимог, придатних для багаторазового застосування,
налічує кілька тисячоліть - ще при будівництві пірамід у Стародавньому
Єгипті використовувалися блоки стандартного розміру, а спеціальні люди
контролювали ступінь відповідності цьому древньому стандарту. Сьогодні
стандартизація займає міцне місце практично у всіх галузях людської
діяльності.
Стандартизація в галузі інформаційної
безпеки Стандартизація в галузі інформаційної безпеки (ІБ) вигідна
і професіоналам, і споживачам продуктів і послуг ІБ, тому що дозволяє
встановити оптимальний рівень упорядкування й уніфікації, забезпечити
взаємозамінність продуктів ІБ, а також вимірюваність і повторюваність
результатів, отриманих в різних країнах і організаціях. Для професіоналів --
це економія часу на пошук ефективних і зарекомендували себе рішень, а
для споживача - гарантія отримання результату очікуваного якості.
Об'єктом стандартизації може бути
будь-який продукт або послуга ІБ: метод оцінки, функціональні можливості засобів
захисту і параметри налаштування, властивості сумісності, процес розробки і
виробництва, системи менеджменту і т.д.
Стандартизація, залежно від складу
учасників, буває міжнародної, регіональної або національної, при цьому
міжнародна стандартизація (нарівні з офіційними органами стандартизації,
такими як ISO) включає в себе стандартизацію консорціумів (наприклад, IEEE або
SAE), а національна стандартизація буває державної або галузевої.
Зупинимося докладніше на деяких популярних сьогодні зарубіжних
стандартах, так чи інакше торкаються питання інформаційної безпеки.
Міжнародні стандарти в галузі ІБ --
зарубіжний досвід Стандартизація в галузі ІБ за кордоном розвивається вже не один
десяток років, і деякі країни, наприклад Великобританія, мають величезний досвід в
розробці стандартів - багато британських національні стандарти, такі як
BS7799-1/2, з часом набули статусу міжнародних. З них і почнемо.
Міжнародні стандарти ISO 27002 та ISO
27001 Мабуть, на сьогодні це найбільш популярні стандарти в області ІБ.
ISO 27002 (перш за ISO 17799) містить
звід рекомендацій щодо ефективної організації систем управління ІБ на
підприємстві, зачіпаючи всі ключові області, зокрема:
- формування політики ІБ;
- безпека, пов'язана з персоналом;
- безпека комунікацій;
- фізична безпека;
- управління доступом;
- обробка інцидентів;
- забезпечення відповідності вимогам
законодавства. Стандарт ISO 27001 є збіркою критеріїв при
проведення сертифікації системи менеджменту, за результатами якої
акредитованим органом з сертифікації видається міжнародний сертифікат
відповідності, що включається до реєстру.
Відповідно до реєстру, у Росії в даний
час зареєстровано близько півтора десятка компаній, що мають такий
сертифікат, при загальному числі сертифікацій у світі понад 5000. Підготовка до
сертифікації може здійснюватися силами самої організації, або
консалтинговими компаніями, причому практика показує, що набагато простіше
отримати сертифікат ISO 27001 компаніям, вже має сертифіковану систему
управління (наприклад, якістю). Стандарти ISO 27001/27002 є
представниками нової серії стандартів, остаточне формування якої ще
не закінчено: в розробці знаходяться стандарти 27000 (основні принципи і
термінологія), 27003 (керівництво з впровадження системи управління ІБ), 27004 (вимір
ефективності системи управління ІБ) та інші - всього в серії 27000
передбачається понад 30 стандартів. Детальніше про склад серії і поточному
стані її розробки можна дізнатися на офіційному сайті ISO (www.iso.org).
Міжнародні стандарти ISO13335 та ISO
15408 Стандарт ISO 13335 є сімейством стандартів безпеки
інформаційних технологій, що охоплюють питання управління ІТ-безпекою,
пропонуючи конкретні захисні заходи і способи. В даний час відбувається
поступове заміщення серії 13335 більш новою серією 27000. Стандарт ISO 15408
містить єдині критерії оцінки безпеки ІТ-систем на програмно-апаратному
рівні (подібно до знаменитої Помаранчевої книзі, яка також відома як критерії
оцінки TCSEC, або європейські критерії ITSEC), які дозволяють порівнювати
результати, отримані в різних країнах.
У цілому дані стандарти, хоча і містять
лише технологічну частину, можуть використовуватися як незалежно, так і при
побудові систем управління ІБ в рамках, наприклад, підготовки до сертифікації
на відповідність ISO 27001.
CobiT CobiT являє собою набір з
близько 40 міжнародних стандартів та настанов в області управління ІТ, аудиту
та безпеки і містить опису відповідних процесів та метрик. Основна
мета CobiT полягає у знаходженні спільної мови між бізнесом, що має
конкретні цілі, і ІТ, що сприяють їх досягненню, дозволяючи створювати
адекватні плани розвитку інформаційних технологій організації. CobiT
застосовується для аудиту та контролю системи управління ІТ організації і містить
докладні описи цілей, принципів і об'єктів управління, можливих
ІТ-процесів і процесів управління безпекою. Повнота, зрозумілі описи
конкретних дій та інструментів, а також націленість на бізнес роблять CobiT
гарним вибором при створенні інформаційної інфраструктури та системи управління
нею.
У наступній частині статті ми розглянемо
деякі цікаві національні та галузеві закордонні стандарти, такі як
NIST SP 800, BS, BSI, PCI DSS, ISF, ITU та інші.
***
Міжнародний стандарт ISO 20000 Стандарт
ISO 20000 замінив собою британський стандарт BS 15000. Він описує сервісну
модель ІТ, реалізуючи положення спеціалізованої бібліотеки ITIL (IT
Infrastructure Library - бібліотека інфраструктури ІТ) і концепцію ITSM (IT
Service Management - управління ІТ-послугами). Стандарт висуває вимоги до
процесів управління ІТ-сервісами і встановлює критерії оцінки, придатні
для проведення сертифікацій відповідності. Так само, як і у випадку сертифікації
по ISO 27001, наявність у організації сертифікату на будь-яку систему
менеджменту спрощує процедуру підготовки до сертифікації на відповідність ISO
20000. На сьогоднішній день в Україні всього 6 організацій мають сертифікат ISO
20000.
***
Міжнародний стандарт ISO 18044 Стандарт
ISO 18044 розроблений відповідно до стандартів ISO 13335-1 та ISO 17799 (ISO
27002) і описує процес управління інцидентами ІБ, а також зусилля, які
повинні бути зроблені на всіх етапах життєвого циклу процесу управління
інцидентами - від планування та формування команди реагування до витягання
уроків і вдосконалення. Він може застосовуватися як при створенні системи
управління ІБ по ISO 27000, так і самостійно в рамках розробки
єдиного ізольованого процесу.
***
Коментар експерта
Олексій Плешков, начальник відділу захисту
інформаційних технологій, Газпромбанк (Відкрите акціонерне товариство)
Додатково до наведеного вище огляду
міжнародних стандартів хотілося б звернути увагу на ще один
регламентує документ з інформаційної безпеки, не поширений
на території РФ. Одним з таких стандартів є документ з лінійки
методів EBIOS.
Проект EBIOS з розробки методів і
інструментальних засобів управління ІБ в інформаційних системах підтримується
урядом Франції і просувається комісією DCSSI при прем'єрміністр
Франції на рівень загальноєвропейського. Призначення цього проекту - сприяти
підвищення безпеки інформаційних систем державних або приватних
організацій (http://www.securiteinfo. com/conseils/ebios.shtml).
Текст комплекту документації на продукт
автоматизації оціночних завдань забезпечення ІБ "Методологічні
інструментальні засоби досягнення безпеки інформаційних систем EBIOS
(визначення потреб та ідентифікація цілей безпеки) "був
опублікований на офіційному сайті уряду Франції, присвяченому питанням
забезпечення інформаційної безпеки автоматизованих систем в 2004 р. Метод EBIOS,
запропонований Генеральним секретаріатом міністерства національної оборони
Франції і названий "Визначення потреб та ідентифікація цілей
безпеки "(EBIOS), був розроблений з урахуванням міжнародних стандартів,
спрямованих на забезпечення ІБ. Він формалізує підхід до здійснення оцінки та
обробки ризиків в галузі безпеки інформаційних систем і застосовується для
оцінки рівня ІБ в розроблюваних та існуючих системах.
Мета методу - дозволити будь-який
організації, що знаходиться під управлінням держави, визначити перелік
дій щодо забезпечення безпеки, які необхідно зробити в першу
чергу. Метод може бути реалізований адміністраторами підрозділи
безпеки організації і може застосовуватися на всіх рівнях структури
розробляється або існуючої інформаційної системи (підсистеми, прикладні
програми). Підхід EBIOS враховує три основні властивості ІБ:
конфіденційність, цілісність та доступність як інформації, так і систем, а
також середовища, в якому вони знаходяться. У певних випадках пропонується
подбати про забезпечення потреб неспростовності, авторизації та
аутентифікації. Методологія EBIOS безпосередньо пов'язана з оцінкою і обробкою
ризиків. Ці ризики кваліфікуються як операційні, оскільки вони надають
безпосередній вплив на бізнес-діяльність організації та управління
організацією. Даний метод не так невідомий, як подані раніше
міжнародні стандарти, але все ж його можна з упевненістю назвати
міжнародним стандартом. На території Європейського союзу застосування
методології EBIOS досить затребуваний. Ряд компаній спеціалізуються на
проведення консалтингових робіт в частині приведення системи ІБ організації в
відповідність вимогам підходу EBIOS.
В якості довідкового матеріалу для
знайомства з практикою міжнародних стандартів у галузі захисту інформації
рекомендую використовувати Інтернет-ресурс http://www.iso27000.ru
Георгій Гарбузов, CISSP, MCSE: Security,
дирекція інформаційної безпеки Страхової Групи "УРАЛСИБ"
Список літератури
Information Security № 1, лютий-березень 2009
