Стандарт построения эффективной системы безопасности ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов, описывает комплексный подход к управлению информационной безопасностью.
В соответствии со стандартом ISO 17799, при создании эффективной системы безопасности особое внимание следует уделить комплексному подходу к управлению информационной безопасностью. По этим причинам в качестве элементов управления рассматриваются не только технические, но и организационно-административные меры, направленные на обеспечение следующих требований к информации: конфиденциальность; целостность; достоверность; доступность.
Нарушение любого из них может повлечь за собой значительные потери как в виде убытков, так и в виде неполученного дохода. Для обеспечения указанных требований в стандарте перечислены основные области управления информационной безопасностью:
Каждая область информационной безопасности подробно детализирована и представляет собой совокупность элементов безопасности.
Полный набор элементов стандарта ISO 17799 всесторонне обеспечивает защиту информации, рассматривая весь спектр организационных вопросов. Это позволяет поддерживать уровень безопасности и не допускать появления «слабых мест».
В России стандарт ISO 17799 может применяться достаточно широко, так как несет в себе информацию о комплексном подходе к обеспечению защиты данных. В отличие от зарубежных компаний, отечественные организации ввиду быстрых темпов их развития имеют гораздо больше уязвимых мест, что вынуждает руководителей ИТ-отделов применять мировые стандарты в области информационной безопасности, адаптируя их в каждом конкретном случае и дополняя на основе собственного опыта.
С практической точки зрения, стандарт ISO 17799 может применяться как средство аудита системы информационной безопасности. К примеру, некоторые программные продукты, основанные на этом стандарте (в частности, CORBA ISO 17799 Consultant), представляют процесс аудита в виде анкетирования. Полный процесс аудита в этом случае можно представить в виде четырех последовательных этапов.
Анкетирование — заполнение анкет одним или несколькими сотрудниками, ответственными за обеспечение информационной безопасности.
Определение элементов, соответствующих выдвинутым в стандарте требованиям к системе информационной безопасности.
Выявление элементов, нуждающихся в дополнительной защите (определение «слабых мест»).
Выдача рекомендаций по улучшению защиты для выявленных на предыдущем этапе элементов.
Примером таких рекомендаций в области «Управление доступом» может служить процедура регистрации пользователей, определенная в результате выявления «слабого места» в системе безопасности. Процедура регистрации пользователей должна выполнять следующие условия:
Павел Рудаков — консультант по аналитике и маркетингу компании NV Consulting. С ним можно связаться по электронной почте: pr@nvconsulting.net.
К недостаткам стандарта можно отнести поверхностное освещение материала, который позволяет только обозначить области информационной безопасности, не конкретизируя их.
Преимуществом ISO 17799 является простота его применения и адаптации на практике. Кроме того, стандарт не зависит от конкретных технических средств и решений, что, с одной стороны, не показывает, как реализовывать защиту того или иного элемента, но с другой — обеспечивает свободу выбора платформ, оборудования, производителей и т.п.
Рассмотрение каждого из элементов происходит на основе оценки рисков. Риск возникает в связи с существованием вероятности возникновения угрозы и нанесения ущерба объекту защиты. В этом случае для наглядности и простоты можно использовать матрицу, которая описывает основные риски. В матрице указываются объекты защиты (элементы информационной безопасности) и возможные угрозы для данного объекта. Затем рассматриваются вероятности осуществления каждой угрозы и ущерб, который будет нанесен в случае реализации угрозы. Естественно, для всех элементов информационной безопасности каждый параметр должен быть определен по одной и той же шкале, причем лучше всего характеризовать параметры в процентных отношениях. В этом случае самое высокое значение риска будет у наиболее важного и незащищенного элемента.
[Угрозы [Объекты |
Вероятность] Ущерб] |