Система международных и российских правовых стандартов. Стандарт BS7799.

Главная задача стандартов информационной безопасности — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.

Наиболее значимыми стандартами информационной безопасности являются (в хронологическом порядке): «Критерии безопасности компьютерных систем министерства обороны США», Руководящие документы Гостехкомиссии России и ГОСТы (только для нашей страны), «Европейские критерии безопасности информационных технологий», «Федеральные критерии безопасности информационных технологий США», «Канадские критерии безопасности компьютерных систем» и «Единые критерии безопасности информационных технологий».

Необходимость следования стандартам закреплена законодательно. Однако наиболее убедительны содержательные причины. Стандарты и спецификации - одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами. Роль стандартов зафиксирована в основных понятиях закона РФ "О техническом регулировании".

Основные международные стандарты информационной безопасности:

1. ISO 17799 – построение системы ИБ, менеджмент в области технологий ЗИ.

2. ISO 15408 - Единые критерии ИБ. Основные направления – средства защиты: разработка, эксплуатация; профиль защиты: набор защитных средств и систем; стандарт защиты: детальные требования к программно-техническим средствам ОИБ.

3. BS 7799 - построение систем аудита ИБ, описание типовых угроз и контрмер, характеристики принятых программных средств аудита ИБ.

4. TCSec – определяет требования, предъявляемые к аппаратному, программному и специальному обеспечению КС, выработке соответствующих методик и технологий анализа степени поддержки политики безопасности. Три вида требований: к политике безопасности, к аудиту систем, к корректности работы систем. Принят в США.

5. BSI/IT Baseline – руководство по ОИБ базового уровня. Принят в ФРГ.

6. X.800 – спецификация по управлению финансовыми рисками, расчету рисков для систем ИБ, методике проведения аудита информационных рисков.

7. ISO 27001 - Стандарт содержит требования в области ИБ для создания, развития и поддержания Системы менеджмента информационной безопасности.

BS7799 может использоваться для защиты любых видов информации, включая финансовую, кадровую, информацию по поставщикам или любым другим данным компании и, что немаловажно, информацию, принадлежащую партнерам/клиентам – одним словом, все, что является значимым информационным ресурсом любой компании, и все, что уязвимо для угроз безопасности.

Таким образом, основную цель стандарта можно сформулировать как создание общей методологии для разработки, внедрения и оценки эффективности СУИБ, применимую как в условиях коммерческих компаний, так и государственных и некоммерческих структур.

Основные положения стандарта BS 7799:

1. Политика безопасности

2. Организационная безопасность

3. Классификация и контроль информационных активов

4. Аспекты информационной безопасности, связанные с персоналом

5. Физическая безопасность и безопасность окружающей среды

6. Управление коммуникациями и операциями

7. Контроль доступа

8. Разработка и поддержка систем

9. Управление непрерывностью бизнеса

10. Соответствие формальным требованиям

В стандарте выделяется десять ключевых регуляторов, которые либо являются обязательными в соответствии с действующим законодательством, либо считаются основными структурными элементами информационной безопасности. К ним относятся:

· документ о политике информационной безопасности;

· распределение обязанностей по обеспечению информационной безопасности;

· обучение и подготовка персонала к поддержанию режима информационной безопасности;

· уведомление о случаях нарушения защиты;

· антивирусные средства;

· процесс планирования бесперебойной работы организации;

· контроль за копированием программного обеспечения, защищенного законом об авторском праве;

· защита документации;

· защита данных;

· контроль соответствия политике безопасности.

Следующие факторы выделены в качестве определяющих для успешной реализации системы информационной безопасности в организации:

· цели безопасности и ее обеспечение должны основываться на производственных задачах и требованиях. Функции управления безопасностью должно взять на себя руководство организации;

· необходима явная поддержка и приверженность к соблюдению режима безопасности со стороны высшего руководства;

· требуется хорошее понимание рисков (как угроз, так и уязвимостей), которым подвергаются активы организации, и адекватное представление о ценности этих активов;

· необходимо ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации.

Во второй части стандарта предметом рассмотрения является система управления информационной безопасностью.

Под системой управления информационной безопасностью (СУИБ) понимается часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.

В основу процесса управления положена четырехфазная модель, включающая:

· планирование;

· реализацию;

· оценку;

· корректировку.