BSI и BS 7799 – Видение разработчиков

Британский стандарт BS 7799 стал стандартом де-факто в области построения систем управления информационной безопасностью. Положения этого стандарта на добровольной основе применяет множество компаний в десятках стран мира. Сертификация системы управления информационной безопасностью на соответствие стандарту BS 7799 позволяет убедиться владельцам информационных ресурсов, партнерам в том, что подсистема информационной безопасности построена правильно и функционирует эффективно.

История создания BS 7799

Уже более 100 лет Британский институт стандартов (British Standards Institution – BSI) создаёт локальные стандарты – основы  для утверждения производственных, технологических и промышленных международных стандартов. Одной из задач, которая требовала до сих пор решения, было создание соответствующего стандарта системы управления информационной безопасностью.

Таким стандартом стал BS 7799, который был разработан Британским Институтом Стандартов (при участии коммерческих организаций, таких как Shell UK, National Westminster Group, Unilever , British Telecommunications, British Computer Society, Association of British Insurers, Marks & Spencer, Logica и др) и утвержден в качестве государственного Великобритании в 1995 году.

BS 7799 Part 1 // Code of Practice for Information Security Management (Практические правила управления информационной безопасностью)

Этот документ описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определенных на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ.

Этот стандарт в большинстве своём предназначался для определения норм безопасности при ведении коммерческой деятельности.  Эксперты посчитали, что этот стандарт появился несколько раньше времени, когда вопросы безопасности еще никого особенно не интересовали.

В 1999 первая часть BS 7799 была переработана и передана в Международную организацию по стандартизации (ISO).

В 2000 году BS 7799 Part 1 был утвержден в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000).

В мае 1999 года BSI выпускает вторую версию BS 7799 (BS 7799-2:1999), представляющую собой кардинально пересмотренное первое издание. Эта версия содержала множество поправок и улучшений по сравнению со своей предшественницей.

BS 7799 Part 2 // Information Security management – Specification for ISMS (Спецификация системы управления информационной безопасностью)

Этот стандарт определяет спецификацию СУИБ.

С 5 сентября 2002 года в силу вступил BS 7799-2:2002 «Системы Управления Информационной Безопасностью. Спецификации с руководством по применению».

Здесь важно отметить, что эта версия гармонизирована с другими международными стандартами Систем Менеджмента – BS EN ISO 9001:2000 и BS EN ISO 14001:1996 – с целью обеспечения последовательного и интегрированного внедрения и функционирования этих Систем Менеджмента.

Описание стандарта BS 7799

BS 7799 не является техническим стандартом, он, например, не предписывает использование каких-то определенных способов шифрования данных или устройств защиты от сбоев питания. Стандарт определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т.д. в контексте информационной безопасности.

Этот стандарт даёт компании инструмент, позволяющий управлять конфиденциальностью, целостностью и сохранностью важного актива компании – информации, и может с одинаковым успехом  применяться в компаниях разного размера – от индивидуальных предпринимателей до предприятий с численностью сотрудников в десятки тысяч человек.

BS7799 может использоваться для защиты любых видов информации, включая финансовую информацию, кадровую информацию, информацию по поставщикам, любые другие данные компании и, что немаловажно, информацию, принадлежащую Вашим партнёрам / клиентам – одним словом, всё, что является значимым информационным ресурсом любой компании и всё, что уязвимо для угроз безопасности.

Таким образом, основную цель Стандарта можно сформулировать как создание общей методологии  для разработки, внедрения и оценки эффективности СУИБ, применимую как в условиях коммерческих компаний, так и государственных и некоммерческих структур.

СУИБ – это системный подход к управлению «чувствительной» для компании информацией с целью обеспечения её конфиденциальности, целостности и сохранности.

СУИБ объединяет воедино людей, процессы и IТ-системы.

СУИБ обеспечивает слаженную работу службы безопасности, IT-отдела и руководства компании.

BS 7799 защищает:

• Конфиденциальность: защита информации от несанкционированного доступа
• Целостность: защита информации от несанкционированного изменения, обеспечение ее точности и полноты
• Доступность: возможность пользоваться информацией, когда это требуется – работоспособность системы

Важно, что данный стандарт не концентрируется лишь на конфиденциальности. В коммерческих организациях с точки зрения возможных материальных потерь целостность и доступность данных зачастую более критичны.

от возможных угроз вашей информационной системе – как то

• хакеры;
• промышленный шпионаж;
• недобросовестные сотрудники;
• компьютерное пиратство;
• воровство и вандализм;
• отключения питания;
• сбои в работе оборудования и ПО;
• вирусы;
• стихийные бедствия и многое другое.

СУИБ, разработанная в соответствии с BS 7799-2:2002 обеспечивает наличие хорошо проверенной структуры, которая инициирует, реализует, поддерживает в рабочем состоянии и управляет информационной безопасностью внутри предприятия.

Основные положения стандарта BS 7799

Приложение «А» к стандарту BS 7799-2:2002 определяет Средства управления информационной безопасностью и включает следующие аспекты, перечень которых может быть дополнен на усмотрение компании:

1. Политика безопасности

Политика нужна для того, чтобы определить задачи организации в области защиты информации, а также служить ориентиром и точкой опоры для менеджмента, призванного эту задачу решать. Политика, помимо прочего, может к тому же служить основой для регулярного контроля и оценки систем безопасности. Это документ, который призван продемонстрировать управляющим приверженность и поддержку внедрению СУИБ.

2. Организационная безопасность

Система  управления, позволяющая на организационном уровне инициировать и контролировать внедрение информационной безопасности внутри предприятия и управлять текущими условиями ее обеспечения, создать структуры менеджмента, распределить ответственность за отдельные зоны контроля между группами, и выработать инструкции для действий в чрезвычайных ситуациях.

• Управление форумами по информационной безопасности
• Координация вопросов, связанных с информационной безопасностью
• Распределение ответственности за обеспечение безопасности

3. Классификация и контроль информационных активов

Всеобъемлющий перечень информационных ресурсов / активов с обозначением ответственности в целях обеспечения и поддержания эффективной защиты каждого из них и информации в целом.

• Инвентаризация ресурсов
• Классификация ресурсов

4. Аспекты Информационной Безопасности, связанные с персоналом

Чёткое определение должностных обязанностей для каждого сотрудника с описанием его роли и ответственности при использовании информации; соответствующее обучение сотрудников;  организация  системы отчётности о происшествиях.

• Безопасность при найме на работу и работе с персоналом
• Тренинги персонала по вопросам безопасности
• Реагирование на инциденты в области безопасности (человеческий фактор)

5. Физическая безопасность и безопасность окружающей среды

Ясное и сжатое определение требований по безопасности внутренних помещений и находящихся в них сотрудников и оборудования.

6. Управление коммуникациями и операциями

Оптимизация коммуникаций для обеспечения бесперебойной работы СУИБ.

• Технологические  процедуры и ответственность
• Системное планирование
• Защита от вредоносного программного обеспечения (вирусов, троянских коней)
• Управление внутренними ресурсами
• Управление сетями
• Безопасность носителей данных
• Передача информации и программного обеспечения

7. Контроль доступа

Наблюдение и контроль за доступом в сеть и к приложениям, с целью защитить их как от попыток вторжения извне, так и от внутреннего недобросовестного использования; обеспечение каждому доступа только к той информации, за которую он несет ответственность; обеспечение защиты поддерживающей инфраструктуры.

• Бизнес требования для контроля доступа
• Управление доступом пользователя
• Ответственность пользователей
• Контроль и управление удаленного (сетевого) доступа
• Контроль доступа в операционную систему
• Контроль и управление доступом к приложениям
• Мониторинг доступа и использования систем
• Мобильные пользователи

8. Разработка и поддержка Систем

Обеспечить, чтобы IT-проекты и обслуживание осуществлялись с соблюдением мер безопасности и с использованием контроля за получением информации, а также при необходимости средств шифрования данных.

• Требования по безопасности систем
• Безопасность приложений
• Криптография
• Безопасность системных файлов
• Безопасность процессов разработки и поддержки

9. Управление непрерывностью бизнеса

Управляемый процесс составления и совершенствования планов деятельности в условиях внезапного нарушения жизнедеятельности организации и быть готовым защитить наиболее важные с точки зрения бизнеса процессы в случае бедствия или серьезной аварийной ситуации.

• Процесс управления непрерывного ведения бизнеса
• Непрерывность бизнеса и анализ воздействий
• Создание и внедрение плана непрерывного ведения бизнеса
• Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса

10. Соответствие формальным требованиям

Демонстрация клиентам, партнёрам, сотрудникам и представителям властей соответствия Вашей СУИБ другими юридическим нормам; рекомендации о необходимости пересмотра политик безопасности, степени технического соответствия и принципов проверок всей системы, гарантирующих её эффективность.

• Соответствие требованиям законодательства
• Анализ соответствия политики безопасности
• Анализ соответствия требованиям системного аудита

Ключевой элемент Системы Управления Информационной Безопасностью

Типичной компанией, внедряющей СУИБ, как правило, является та, которая либо сама имеет большие объёмы информации, либо вынуждена управлять её по поручению своих клиентов.

Ключевой элемент СУИБ – это система управления рисками, представляющая собой подсистему анализа рисков, задачей которой является обследование информационной системы с целью определить, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите.

Анализ рисков позволяет количественно или качественно оценить наносимый ими ущерб.

Чтобы создать эффективно работающую СУИБ, необходимо: определить основные информационные ресурсы и оценить их важность для организации; выявить основные угрозы и уязвимости; определить риски и механизмы контроля, позволяющие управлять информационными ресурсами; постоянно анализировать работу СУИБ и определять пути ее совершенствования.

Уровень риска вычисляется обычно с учетом трех показателей – ценности  ресурса, уровня угрозы и степени уязвимости. С увеличением значений этих трех параметров риск возрастает.

Ценность  ресурса определяется величиной ущерба, наносимого в случае нарушения его конфиденциальности, целостности или доступности.

На основе оценки уровня рисков (риск утечки конфиденциальной информации, риск потери информации и т. п.) определяются и требования к системе безопасности.

На первом этапе необходимо провести оценку текущего состояния уровня безопасности. Затем следует задать допустимые уровни рисков и разработать план мероприятий, обеспечивающих требуемый уровень безопасности.

На следующем этапе наиболее опасные уязвимости – они блокируются для предотвращения возможных атак. Здесь же определяются функциональные отношения оборудования и ПО и зоны ответственности при взаимодействии подразделений и лиц.

На последнем этапе создаётся необходимый пакет организационно-распорядительной документации, разрабатывается и согласовывается проект внедрения средств защиты, нужных для обеспечения безопасности. Кроме того, необходимо предусмотреть меры по поддержанию внедренного комплекса защиты, принимая во внимание изменяющиеся условия работы организации.

Анализ мировой практики показал, что затраты, связанные с разработкой, внедрением и сертификацией СУИБ всегда оправданы.

Международное признание стандарта BS 7799

Британский стандарт BS 7799 получил общемировую известность и нашел применение во многих странах мира.

BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды.

BS 7799 адаптирован, в частности, Австралией, Новой Зеландией и Нидерландами.

Стандарт рассматривается в качестве основы для национальных стандартов странами Скандинавии. Большой интерес к BS 7799 имеется в США и Канаде

Вот некоторые их компаний, зарегистрировавших свои СУИб на соответствие требованиям BS 7799-2:2002:

Fujitsu, Independent Commission Against Corruption, Raiffeisen Informatik GmbH, Siemens, Hewlett-Packard, Triaton, Vodafone, NEC, Accenture, Polaris Software Lab, Telecom Italia, Japan Telecom, Singapore Telecom, C4 Technology, CANON, CNS, EPSON, Fuji, HITACHI, IBM, INFOSEC, KPMG, Mitsubishi, Nikko Telecom, Nippon Telegraph, NTT, Sakura Information Systems, Sony, Yahoo Japan, Yokogawa Electric, Zeon Information Systems, Hyundai IT, Samsung, BBS, Unilever, Ericsson, Bureau of National Health Insurance, Chinese Petroleum, Sysware Corporation, Taiwan Stock Exchange, Nuclear Power Plant of the Taiwan PCo, 7 Global Ltd, British Telecom, CAMELOT Group, COLT, Digex, EMIS, Marconi, The Royal Bank of Scotland, Xerox, The University of Texas, Gemplus Royal Mail, Federal Reserve Bank of NY, Joho Bank, Daegu Bank, Industrial Bank of Korea, Citibank,  и многие другие.

Ниже представлены страны-лидеры по количеству компаний, сертифицировавших свои СУИБ на соответствие требованиям BS 7799-2:2002

Источник – ISMS International User Group (по данным на 16/03/05)

Всего в мире выдано 1099 сертификатов соответствия BS 7799-2:2002.

BSI является лидером в том числе и на рынке услуг по сертификации СУИБ на соответствие требованиям BS 7799-2:2002. Доля BSI на этом рынке составляет 40%, что превышает долю своего ближайшего конкурента – японский орган по сертификации JQA – в 5 раз.

Процесс сертификации СУИБ

Как известно стандарт ISO 17799 оставляет без внимания вторую часть BS 7799, в которой речь идет о конкретной реализации этого стандарта (BS 7799-2:2002). ISO 17799 в том виде, в котором он существует сегодня, представляет собой набор рекомендаций по применению лучших практик обеспечения безопасности. Рекомендации, приведенные в ISO 17799, не касаются технологической стороны  дела и не предполагают  оценку эффективности того или иного современного средства защиты информации.

Таким образом, в настоящее время сертификация на соответствие ISO 17799 осуществляться не может, так как не выпущена его вторая часть, где должны быть описаны спецификации на проверку выполнения требований к системе информационной безопасности.

СУИБ могут быть сертифицированы на соответствие требованиям стандарта BSI – BS 7799-2:2002.

После выхода в свет стандарта ISO 17799-2, компании, прошедшие сертификацию по стандарту BS 7799, при желании, автоматически получат сертификат соответствия ISO 17799.

Если вы приступили к использованию стандарта BS 7799-2:2002 в качестве основы вашей СУИБ, Ваша Система Менеджмента может быть аудирована и сертифицирована независимой  авторитетной и аккредитованной стороной. Этот процесс значительно увеличивает оценку текущей эффективности вашей системы.

Сертификация проводится органами сертификации, имеющими аккредитацию UKAS (United Kingdom Accreditation Service). Органы сертификации осуществляют выдачу сертификатов соответствия установленного образца организациям, успешно прошедшим процедуру сертификации, и регистрацию этих организаций в специальном реестре.

Основная цель аудита — дать не только независимую объективную оценку текущего состояния СУИБ компании, но и возможность эффективного обеспечения и управления системой безопасности в реальных условиях эксплуатации корпоративной системы.

Проведение аудита СУИБ компании позволит обосновать затраты на эту систему, проверить ее эффективность, пересмотреть акценты в информационной безопасности. Например, часто уровень безопасности можно значительно повысить организационными мерами (аудит, анализ рисков, процедуры и регламенты), не прибегая при этом к существенным капиталовложениям.

Чтобы получить сертификацию по стандарту BS 7799-2:2002 через компанию BSI, требуется пройти следующие этапы:

Шаг 1. Первоначальный запрос

Специалисты BSI окажут вам в этом всестороннюю поддержку и помощь.

Шаг 2. Предоставление Калькуляции

BSI направляет Вам расценки как на сертификацию СУИБ Вашего предприятия на соответствие требованиям BS 7799-2:2002, так и на поддержание Вашей регистрации.

Шаг 3. Подача заявки

Вы предоставляете официальную заявку в компанию BSI по установленной форме.

Шаг 4. Назначение команды аудиторов

Ответственные эксперты  BSI, номинированные на проведение аудита Вашей СУИБ, будут оказывать Вам поддержку в процессе регистрации и по его завершении. Они будут обладать необходимыми знаниями о сфере деятельности Вашей организации, о смежных предприятиях, будут иметь зарегистрированную техническую компетенцию, соответствующую Вашей отрасли и окажут поддержку в процессе налаживания работы Вашей Системы.

Предварительная оценка

Предварительный аудит – это факультативная услуга, предоставляемая BSI, являющаяся по своему назначению тренировочным, репетиционным аудитом, который проводится с целью обеспечения готовности Вашей Организации для сертификационного аудита.

Во время предварительной оценки аудитор сосредотачивается на тех областях СУИБ, где его время может быть потрачено с максимальной пользой для Вас. Предварительный аудит должен рассматриваться как проведение оценки, контролируемой клиентом. Аудитор будет готов помочь Вам выявить любые области, требующие усовершенствования.

По завершении Предварительного аудита проводится собрание для обсуждения его результатов, и представляется Отчет BSI, в котором подробно описываются все отмеченные положительные стороны Системы и выявленные несоответствия.

Продолжительность Предварительного аудита зависит от Вашего выбора.

Шаг 5. Сертификационный аудит

Фаза 1 – Проведение анализа

BSI проводит анализ работы Системы оценки рисков, политики компании, объемов информации, состояния соответствия и имеющихся процедур. В результате будут выявлены все слабые точки и упущения, которые потребуется устранить.

Фаза 2 – Проведение полного аудита

Оценочная команда компании BSI проводит проверку (аудит) внедренной СУИБ и в тот же день представляет полноценный отчёт BSI, содержащий выявленные в ходе оценки сильные и слабые стороны Вашей СУИБ, а также официальные рекомендации. Каждый отчёт обязательно содержит подробный план последующих визитов в рамках поддержания регистрации.

Шаг 6. Регистрация

В случае положительного результата сертификационного аудита выдается сертификат соответствия.

Шаг 7. Последующая периодическая оценка

Действительность вашего сертификата, который остается в силе на протяжении трех лет, подтверждается посредством выполнения программы визитов Последующей Периодической Оценки.

По итогам трёхгодичнго цикла Ваш сертификат будет продлен при условии положительных результатов ре-сертификационного аудита.

В основе лидирующих позиций BSI на международном рынке сертификационных услуг лежат высочайшие квалификация и профессионализм аудиторов этого органа по сертификации.

Внедрение СУИБ – это сложный и трудоёмкий процесс. Однако, ряд специальных отрытых и корпоративный курсов BSI по разработке и внедрению СУИБ даст Вам все необходимые инструменты для успешного решения непростой задачи:

• Введение в систему управления защитой информации и
• BS 7799
• Внедрение СУИБ, соответствующей требованиям BS 7799
• Подготовка внутреннего аудитора СУИБ, соответствующей требованиям BS 7799
• Курс Ведущего Аудитора BS 7799:2 2002

Преимущества сертификации СУИБ

Какие преимущества получает компания, которая провела успешно внедрила и сертифицировала свою СУИБ на соответствие требованиям BS 7799-2:2002?

Сертификация по стандарту BS 7799 независимым авторитетным органом по сертификации продемонстрирует рынку, партнёрам, клиентам, конкурентам, инвесторам и самой компании, что в неё налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками. Это означает, что в компании:

• Выявляются основные угрозы безопасности для бизнес-процессов;
• Вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления;
• Снижаются риски прямых потерь, связанных с нарушением конфиденциальности, неконтролируемыми изменениями данных, простоями информационной системы;
• Информация и компания более защищены;
• Обеспечивается эффективное управление системой в критичных ситуациях.

Кроме того:

• Информационная система компании становится «прозрачнее» для менеджмента;
• Внедрение СУИБ оказывает благотворное влияние на общую организацию работы и профессиональный уровень сотрудников;
• Сертифицированная СУИБ является положительным фактором при слиянии компаний, а также при получении кредитов и правительственных заказов;
• Более безопасное взаимодействие с партнерскими организациями ми клиентами;
• Более высокий уровень доверия со стороны партнёров и клиентов, поскольку они видят, что благодаря соблюдению требований к информационной безопасности, компания демонстрирует стремление уменьшить их риски;
• Признание Вашей компании на международном уровне.

И главное – в критических ситуациях обеспечивается бесперебойность работы организации.

Кроме того, говоря о сертификации, стоит принять во внимание согласованную с ВТО процедуру принятия России в данную организацию. Эта процедура потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии развития в области информационных технологий с учетом международных стандартов безопасности, таких как BS 7799-2:2002.

Оценка BSI СУИБ клиентов позволяет последним наилучшим образом демонстрировать свою приверженность принципам Информационной безопасности.

Аудит BSI станет основой для непрерывного совершенствования СУИБ, целью которого является снижение рисков.

Большинство клиентов BSI подтверждают, что имплементация BS 7799 даёт им чёткое понимание роли и места информации в их бизнес-процессах, а также позволяет определить степень её  влияния на всю организацию.

Это, в свою очередь, даёт им необходимый контроль над информацией и внутренними процессами компании.

Многие наши клиенты также отмечают дополнительную выгоду за счёт интеграции Систем Менеджмента.

Несмотря на то, что международные стандарты Систем Менеджмента существуют автономно, они сейчас более сравнимы, чем когда-либо раньше. Интегрирование ваших Систем делает их потенциал практически беспредельным и одновременно наращивает стоимость вашего предприятия и его эффективность.

Интегрированные системы управления быстро становятся необходимым предварительным условием для участия в международной торговле, для закрепления партнерских отношений и для обеспечения лояльности со стороны клиентов. Они помогают вашему предприятию работать как единый организм с одной общей целью, способствуя его планомерному развитию.

BSI широко применяет Интегрированную Систему Оценки, помогает предприятиям в достижении ими уровня сертификации по целому ряду стандартов систем управления с невысокими издержками для клиента и минимальными помехами текущей работе его предприятия.

Таким образом, если вы хотите продемонстрировать свою заботу об экологии (ISO 14001), о здоровье и безопасности труда персонала (OHSAS 18001), об информационной безопасности (BS 17799-2:2002), а также и качестве (ISO 9001:2000), то, BSI поможет Вам создать у себя полную и завершенную систему управления как единое целое.

В дополнение к сертификации систем управления BSI предлагает целый набор сопутствующих услуг, которые реально увеличивают стоимость вашего предприятия, например обучение

Перечень корпоративных (на Вашем предприятии) курсов BSI MS Russia. Система управления защитой информации BS 7799.

Горобец Н.И., Директор BSI MS Russia