Прародитель международных стандартов управления информационной безопасностью — британский BS 7799 — уже давно вышел за национальные рамки. Первая его часть, BS 7799-1, была разработана в 1995 г. по заказу правительства Великобритании. В начале 2006 г. британцы вводят новый стандарт в области управления рисками информационной безопасности — BS 7799-3, который в дальнейшем получит индекс 27005.
Существует множество областей управления: производство, финансы, продажи, закупки, персонал и т.д. Благодаря развитию современного высокотехнологичного бизнеса постепенно осознается важность и таких областей, как информационные технологии, информационная безопасность, качество и окружающая среда. Об этом говорит растущая популярность во всем мире соответствующих международных стандартов серии ISO 2700х, ISO 2000х, ISO 900х и ISO 1400х. Основные принципы управления, по большому счету, для всех областей одинаковы, поэтому соответствующие системы управления дополняют одна другую, образуя интегрированную систему управления организации (IMS). Сложно переоценить вклад Британского института стандартов (BSI) в разработку международных стандартов управления организацией, в том числе и интегрированных систем управления, которым посвящена серия публикаций BSIBIP 2000.
Вслед за повсеместным распространением ISO 9001 и систем управления качеством, в России наконец-то начали приживаться и международные стандарты управления ИБ — ISO/IEC 27001/17799. Они стали доступны на русском языке, начато публичное обсуждение проектов соответствующих национальных стандартов по информационной безопасности ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 17799, постепенно получают распространение услуги сертификации.
Прародитель международных стандартов управления информационной безопасностью — британский стандарт BS 7799. Первая его часть — BS 7799-1 «Практические правила управления информационной безопасностью» — была разработана BSI в 1995 г. по заказу правительства Великобритании. Как следует из названия, этот документ является практическим руководством по управлению информационной безопасностью в организации. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения СУИБ, определенных на основе лучших примеров из мировой практики. В 1998 году появилась вторая часть этого британского стандарта — BS 7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения СУИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя технический комитет ISO без изменений принял BS 7799-1 в качестве международного стандарта ISO/IEC 17799:2000.
Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации СУИБ приобрели международный статус, и теперь следует ожидать значительного повышения роли и престижности СУИБ, сертифицированных по стандарту ISO 27001.
Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться. В соответствии с планами ISO оно будет включать стандарты, определяющие требования к СУИБ, систему управления рисками, метрики и измерения эффективности механизмов контроля, а также руководство по внедрению. Для этого семейства стандартов будет использоваться последовательная схема нумерации, начиная с 27000 и далее. ISO/IEC 17799:2005 в последующем будет переименован в ISO/IEC 27002. В разработке находится также проект стандарта ISO/IEC 27000, который будет содержать основные принципы и определения и будет унифицирован с популярными стандартами управления ИТ: COBIT и ITIL.
В начале 2006 г. был принят новый британский национальный стандарт в области управления рисками информационной безопасности BS 7799-3, который в дальнейшем получит индекс 27005. Ведется также работа над стандартами по внедрению и измерению эффективности СУИБ, которые получат индексы соответственно 27003 и 27004. Выпуск этих международных стандартов запланирован на 2007 год.
Согласно данным группы пользователей СУИБ, поддерживающей международный реестр сертификатов, по состоянию на август 2006 года в мире зарегистрировано более 2800 организаций из 66 стран, сертифицированных по ISO 27001 (BS 7799), в том числе и четыре российские компании. Среди сертифицированных организаций — крупнейшие ИТ-компании, организации банковской и финансовой сферы, предприятия ТЭК и телекоммуникационного сектора. Ожидается, что количество обладателей сертификатов в России в 2007 году достигнет нескольких десятков.
7799/17799/27001: за и против
BS 7799 постепенно стал «главным стандартом информационной безопасности». Однако, когда в августе 2000 г. в ISO обсуждалась первая редакция международного стандарта ISO 17799, с трудом удалось достичь консенсуса. Документ вызвал массу критических замечаний со стороны представителей ведущих ИТ-держав, которые утверждали, что он не отвечает основным критериям, предъявляемым к международным стандартам.
«Не было даже возможности сравнить этот документ со всеми остальными работами по безопасности, когда-либо рассматриваемыми в ISO»,- говорит Жене Трой, представитель США в техническом комитете ISO.
Сразу несколько государств, включая США, Канаду, Францию и Германию, выступили против принятия ISO 17799. По их мнению, этот документ хорош как набор рекомендаций, но не как стандарт. В США и европейских странах до 2000 г. уже была проделана огромная работа по стандартизации информационной безопасности. «Существует несколько различных подходов к ИТ безопасности. Мы считали, чтобы получить действительно приемлемый международный стандарт, все они должны быть приняты к рассмотрению, вместо того чтобы взять один из документов и ускоренно его согласовать. — говорит Жене Трой, — Главный стандарт безопасности был представлен как свершившийся факт, и просто не было возможности использовать результаты другой работы, проделанной в этой области».
Представители BSI возражали, что работы, о которых идет речь, касаются в основном технических аспектов, а BS 7799 никогда не рассматривался как технический стандарт. В отличие от других стандартов безопасности, таких как Commonly Accepted Security Practices and Regulations (CASPR) или ISO 15408/Common Criteria, он определяет основные не технические аспекты защиты информации, представленной в любой форме. «Он должен быть таким, так как предназначается для любых видов организаций и внешних окружений,- говорит представитель BSI Стив Тайлер (Steve Tyler), — Это документ по управлению информационной безопасностью, а не каталог ИТ продуктов».
Несмотря на все возражения, авторитет BSI (являющегося основателем ISO, основным разработчиком международных стандартов и главным органом по сертификации в мире) перевесил. Была запущена процедура ускоренного согласования, и стандарт вскоре был принят.
Основным достоинством ISO 17799 является его гибкость и универсальность. Описанный в нем набор лучших практик применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий.
Когда возникают вопросы: «С чего начать?», «Как управлять ИБ?», «На соответствие каким критериям следует проводить аудит?» — этот стандарт поможет определить верное направление и не упустить из виду существенные моменты. Его также можно использовать как авторитетный источник и один из инструментов для «продажи» безопасности руководству организации, определения критериев и обоснования затрат на ИБ.
Однако гибкость и универсальность одновременно являются и «ахиллесовой пятой» этого стандарта. Критики говорят, что ISO 17799 является слишком абстрактным и нечетко структурированным, чтобы представлять реальную ценность. Недостаточно основательное его применение может давать ложное чувство защищенности.
ISO 17799 описывает меры по обеспечению безопасности в общем виде, но ничего не говорит о технических аспектах их реализации. Например, стандарт рекомендует использовать механизмы контроля доступа и определяет конкретные технологии, такие как USB-ключи, смарт-карты, сертификаты и т.п. Однако он не рассматривает достоинства и недостатки этих технологий, особенности и способы их применения.
Александр Астахов, CISA, 2006