Декабрь 19, 2019 Просмотры 4 просмотра

Предвидеть непредвиденное

На заре ИТ-бизнеса вопросы информационной безопасности не были в числе самых актуальных. Однако в процессе развития отрасли, когда параллельно шло и усиление угроз, и повышение ценности информации, стало ясно, что эта сфера требует особого внимания. Со временем встал и вопрос оценки – каким параметрам и критериям должен соответствовать уровень информационной безопасности компании. Возникла нужда в процедурах стандартизации и сертификации.



Иллюстрация к статье Ильи Медведовского ISO 17799: Эволюция стандарта в период 2002 – 2005

Международный стандарт менеджмента безопасности - ISO 17799 был принят в конце 1999 года на основе британского национального стандарта BS 7799, предназначенного для управления информационной безопасностью организации вне зависимости от сферы деятельности. Британский институт стандартов разработал его в 1995 году при участии крупнейших национальных компаний - Shell, National Westminster Bank, British Telecommunications, и других.

Особенностью стандарта ISO 17799 и сертификационного стандарта ISO 27001 является его специализация на управлении информационной безопасностью, и, соответственно, наличие требований и к организационным, и к техническим мероприятиям. В этом его отличие от ряда других стандартов, созданных в 90-е годы и предполагающих только технологический подход к оценке защищенности.

Международный стандарт менеджмента безопасности основан на анализе уязвимостей и рисков, на сравнении рисков и стоимости мероприятий по ее защите.

Именно такой подход позволил ему за последние четыре года занять лидирующие позиции в Европе и Азии в построении систем управления информационной безопасностью. Показательно, что первое место по числу компаний, сертифицированных по ISO 17799/ISO 27001, занимает Япония, где правительство ввело обязательную сертификацию по этому стандарту для компаний, осуществляющих государственные поставки или участвующие в государственных тендерах.

ISO 17799/ISO 27001 является стандартом высокого уровня. Это означает, что в нем содержатся лишь общие принципы, меры и рекомендации по управлению безопасностью, но нет жестко закрепленных путей их реализации. Поэтому он может применяться к компаниям, различным по величине, профилю деятельности и организационной структуре.

Положения стандарта описывают такие аспекты, как:
- политика безопасности
- организационные меры
- управление ресурсами
- безопасность персонала
- физическая безопасность
- управление коммуникациями и процессами
- контроль доступа
- непрерывность ведения бизнеса
- соответствие системы требованиям
- разработка систем.

Политика безопасности
К написанию политики безопасности стоит отнестись со всей серьезностью, так как это фактически - корпоративный стандарт системы информационной безопасности компании. Он обязательно должен быть утвержден высшим руководством; далее на его основе пишутся регламенты (инструкции) для специалистов и пользователей организации. Все они должны быть утверждены документально и доведены до всеобщего сведения и внедрены на практике.

Организационные меры
При составлении плана по усилению информационной безопасности предприятия часто недооцениваются такие несложные и малозатратные, но эффективные меры, как обучение и тренинги (они могут быть короткими и проводиться прямо на рабочих местах), открытые проверки - при условии соблюдения юридических формальностей, которые также должны быть заранее прописаны в регламентах.

Важно соблюдать «принцип ISO» - идея поддержания атмосферы информационной безопасности должна исходить от руководства и быть доведена до всех сотрудников компании. Обеспечение информационной безопасности должно быть в письменном виде внесено в служебные обязанности каждого. Ведь, по статистике, первое место среди мотивов нарушений занимает безответственность. Корыстный интерес находится на втором месте, на третьем - неопытность.

Особое внимание должно быть обращено на взаимодействие между структурными подразделениями компании (например, между деятельностью службы информационной безопасности и ИТ-подразделением) с учетом психологических и профессиональных аспектов их деятельности.

Ну, и аксиома создания системы управления ИБ – на предприятии обязательно должна быть служба информационной безопасности (независимая от ИТ-подразделения), с прямым подчинением руководству компании или службе общей безопасности.

Управление ресурсами
Должна быть проведена инвентаризация ресурсов (программное обеспечение, технические, коммуникационные средства), классификация с точки зрения значимости и суммарных рисков в случае возникновения угроз. За безопасность каждого ресурса должен отвечать соответствующий сотрудник. Для каждого ресурса должен также быть документально зафиксированы список прав доступа (матрица доступа).

Особое внимание следует обратить на внедрение новых информационных систем, при котором часто наблюдается бесконтрольное внесение изменений.

Непрерывное ведение бизнеса
Согласно требованиям стандарта, при любых инцидентах работоспособность системы должна восстанавливаться за заданный и заранее просчитанный для каждого инцидента промежуток времени. Эта задача достигается разработкой плана реагирования на нарушения, и также превентивных мер по снижению рисков.

Сегодня существуют три непересекающихся поля угроз для любого бизнеса:

- нарушение конфиденциальности информации;
- нарушение целостности;
- отказ в доступе.

Оценка вероятного ущерба производится суммированием отдельных оценок для каждого показателя. Далее делается анализ критичных нарушений и подсчет экономической эффективности мероприятий, планируемых для повышения уровня защищенности.

Этапы сертификации
Сертификация по ISO 27001 – достаточно затратная (стоимость услуг специалистов начинаются от нескольких десятков тысяч долларов) и долгая (обычно около года) процедура, которая под силу лишь крупным компаниям. Они могут готовиться к сертификации собственными силами (единичные случаи, так как требуется очень высокий уровень специалистов и всей ИТ-системы предприятия), либо приглашать независимых консультантов. Этапы подготовки следующие:

- Аудит информационной безопасности. На выходе заказчик должен получить подробный отчет по всем видам (организационным и техническим) уязвимостей, анализом и оценкой уровня защищенности и ценности информации, рекомендациями по подготовке информационной системы на соответствие стандарту.
- Разработка и внедрение комплексной системы управления информационной безопасности в соответствии с требованиями стандарта. Осуществляется, как правило, службой внешими консультантами совместно со специалистами служб ИТ-безопасности и ИТ компании-заказчика.

Этап сертификации начинается с проведения предварительного аудита. Необходимо участие специалистов компаний, аккредитованных при UKAS (United Kingdom Accreditation Service) - уполномоченном государственном органе Великобритании. При этом компания-консультант, которая готовила организацию к сертификации, не имеет права проводить сертификационный аудит.

- Итоговый аудит и выдача сертификата. Проводится также специалистами компаний, аккредитованных при UKAS (United Kingdom Accreditation Service) и не принимавших участие в подготовке организации к сертификации.

По материалам семинара «Практическое применение международного стандарта управления информационной безопасностью ISO 17799 и Анализ рисков информационных систем компаний» прошедшего в Ташкенте 4-5 мая 2006 года.

Организаторы:
ProData Business (РУз, Ташкент)
Digital Security (РФ, Санкт-Петербург)

Обсудить на форуме

Просмотры 4 просмотра

Статистика просмотров страницы:

  • за последние 3 месяца (Декабрь 2020 - Февраль 2021) - 4;
  • за последний год (Март 2020 - Февраль 2021) - 4;

Отзывы

Админ
Отлично!
Март 28 Админ

Статьи и обзоры Все статьи

Комплексное продвижение ресурса включает в себя разные процедуры. Важно найти ...
Компания «Dizz Agency» предлагает услуги по разработке дизайна сайта и ...
Выбор хостингов для сайта очень большой. Без опыта и знаний ...
Со временем гаджеты занимают все больше места в нашей жизни. ...