Стандарты информационной безопасности

Международные стандарты ISO/IEC 17799 (новая версия вышла  под номером 27002) и 27001 посвящены вопросам управления информационной безопасностью, и так как они взаимосвязаны, рассматривать их будем в одном  разделе.

В 1995 году Британским институтом стандартов (BSI) был опубликован  стандарт BS 7799 Part 1 "Code of Practice for Information Security Management" (название обычно переводится как "Практические правила управления информационной безопасностью"). На его основе в 2000 году был принят уже международный стандарт ISO/IEC 17799:2000 "Information technology. Code of practice for information security management". Следующая дополненная версия была принята в 2005 году и обозначается ISO/IEC 17799:2005. А в 2007-м году данный стандарт был переиздан под номером ISO/IEC 27002. Как следует из названия, он описывает рекомендуемые меры в области управления информационной безопасностью и, в целом, не предназначался для проведения сертификации систем на его соответствие.

В 1999 году была опубликована вторая часть стандарта: BS 7799 Part 2 "Information Security Management Systems - Specification with guidance for use" (Системы управления информационной безопасностью - спецификации с руководством по использованию). На его базе был разработан стандарт ISO/IEC 27001:2005 "Information Technology. Security techniques. Information security management systems. Requirements", на соответствие которому может проводиться сертификация.

В России на данный момент действуют стандарты ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью" (аутентичный перевод ISO/IEC 17799:2000) и ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" (перевод ISO/IEC 27001:2005). Несмотря на некоторые внутренние расхождения, связанные с разными версиями и особенностями перевода, наличие стандартов позволяет привести систему управления информационной безопасностью в соответствие их требованиям и, при необходимости, сертифицировать.

ГОСТ  Р ИСО/МЭК 17799:2005 "Информационная технология. Практические правила управления информационной безопасностью"

Рассмотрим теперь содержание стандарта. Во введении указывается, что "информация, поддерживающие ее процессы, информационные системы и  сетевая инфраструктура являются существенными  активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации  организации". Таким образом, можно  говорить о том, что данный стандарт рассматривает вопросы информационной безопасности, в том числе, и с  точки зрения экономического эффекта.

Указываются три  группы факторов, которые необходимо учитывать при формировании требований в области информационной безопасности. Это:

• оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий;
• юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг;
• специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.

После того, как  определены требования, идет этап выбора и внедрения мероприятий по управлению информационной безопасностью, которые  обеспечат снижение рисков до приемлемого  уровня. Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости  их реализации, эффекта от снижения рисков и возможных убытков в  случае нарушения безопасности. Также  следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации. Возможный перечень мероприятий  приводится в стандарте, но отмечается, что он может быть дополнен или  сформирован самостоятельно исходя из потребностей организации.

Кратко перечислим разделы стандарта и предлагаемые в них мероприятия по защите информации. Первая их группа касается политики безопасности. Требуется, чтобы она была разработана, утверждена руководством организации, издана и доведена до сведения всех сотрудников. Она должна определять порядок работы с информационными  ресурсами организации, обязанности  и ответственность сотрудников. Политика периодически пересматривается, чтобы соответствовать текущему состоянию системы и выявленным рискам.

Следующий раздел затрагивает организационные вопросы, связанные с обеспечением информационной безопасности. Стандарт рекомендует  создавать управляющие советы (с  участием высшего руководства компании) для утверждения политики безопасности, назначения ответственных лиц, распределения  обязанностей и координации внедрения  мероприятий по управлению информационной безопасностью в организации. Также  должен быть описан процесс получения  разрешений на использование в организации  средств обработки информации (в  т.ч. нового программного обеспечения  и аппаратуры), чтобы это не привело  к возникновению проблем с  безопасностью. Требуется определить и порядок взаимодействия с другими  организациями по вопросам информационной безопасности, проведения консультаций с "внешними" специалистами, независимой  проверки (аудита) информационной безопасности.

При предоставлении доступа к информационным системам специалистам сторонних организаций, необходимо особое внимание уделить  вопросам безопасности. Должна быть проведена  оценка рисков, связанных с разными  типами доступа (физическим или логическим, т.е. удаленным) таких специалистов к различным ресурсам организации. Необходимость предоставления доступа  должна быть обоснована, а в договоры со сторонними лицами и организациями  должны быть включены требования, касающиеся соблюдения политики безопасности. Аналогичным  образом предлагается поступать  и в случае привлечения сторонних  организаций к обработке информации (аутсорсинга).

Следующий раздел стандарта посвящен вопросам классификации  и управления активами. Для обеспечения  информационной безопасности организации  необходимо, чтобы все основные информационные активы были учтены и закреплены за ответственными владельцами. Начать предлагается с проведения инвентаризации. В качестве примера приводится следующая классификация:

• информационные активы (базы данных и файлы данных, системная документация и т.д.);
• активы программного обеспечения (прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработки и утилиты);
• физические активы (компьютерное оборудование, оборудование связи, носители информации, другое техническое оборудование, мебель, помещения);
• услуги (вычислительные услуги и услуги связи, основные коммунальные услуги).

Далее предлагается классифицировать информацию, чтобы  определить ее приоритетность, необходимость  и степень ее защиты. При этом, можно оценить соответствующую  информацию с учетом того, насколько  она критична для организации, например, с точки зрения обеспечения ее целостности и доступности. После  этого предлагается разработать  и внедрить процедуру маркировки при обработке информации. Для  каждого уровня классификации следует  определять процедуры маркировки для  того, чтобы учесть следующие типы обработки информации:

• копирование;
• хранение;
• передачу по почте, факсом и электронной почтой;
• передачу голосом, включая мобильный телефон, голосовую почту, автоответчики;
• уничтожение.

Следующий раздел рассматривает вопросы безопасности, связанные с персоналом. Стандартом определяется, чтобы обязанности  по соблюдению требований безопасности распределялись на стадии подбора персонала, включались в трудовые договоры и  проводился их мониторинг в течение  всего периода работы сотрудника. В частности, при приеме в постоянный штат, рекомендуется проводить проверку подлинности представляемых претендентом документов, полноту и точность резюме, представляемые им рекомендации. Рекомендуется, чтобы сотрудники подписывали соглашение о конфиденциальности, уведомляющее о том, какая информация является конфиденциальной или секретной. Должна быть определена дисциплинарная ответственность  сотрудников, нарушивших политику и  процедуры безопасности организации. Там, где необходимо, эта ответственность  должна сохраняться и в течение  определенного срока после увольнения с работы.

Пользователей необходимо обучать процедурам безопасности и правильному использованию  средств обработки информации, чтобы  минимизировать возможные риски. Кроме  того, должен быть определен порядок  информирования о нарушениях информационной безопасности, с которым необходимо ознакомить персонал. Аналогичная процедура  должна задействоваться в случаях  сбоев программного обеспечения. Подобные инциденты требуется регистрировать и проводить их анализ для выявления  повторяющихся проблем.

Следующий раздел стандарта посвящен вопросам физической защиты и защиты от воздействия окружающей среды. Указывается, что "средства обработки  критичной или важной служебной  информации необходимо размещать в  зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами  и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения  и воздействия". Кроме организации  контроля доступа в охраняемые зоны, должны быть определены порядок проведения в них работ и, при необходимости, процедуры организации доступа  посетителей. Необходимо также обеспечивать безопасность оборудования (включая  и то, что используется вне организации), чтобы уменьшить риск неавторизованного  доступа к данным и защитить их от потери или повреждения. К этой же группе требований относится обеспечение защиты от сбоев электропитания и защиты кабельной сети. Также должен быть определен порядок технического обслуживания оборудования, учитывающий требования безопасности, и порядок безопасной утилизации или повторного использования оборудования. Например, списываемые носители данных, содержащие важную информацию, рекомендуется физически разрушать или перезаписывать безопасным образом, а не использовать стандартные функции удаления данных.

С целью минимизации  риска неавторизованного доступа  или повреждения бумажных документов, носителей данных и средств обработки  информации, рекомендуется внедрить политику "чистого стола" в  отношении бумажных документов и  сменных носителей данных, а также  политику "чистого экрана" в  отношении средств обработки  информации. Оборудование, информацию или программное обеспечение  можно выносить из помещений организации  только на основании соответствующего разрешения.

Название очередного раздела стандарта - "Управление передачей данных и операционной деятельностью". В нем требуется, чтобы были установлены обязанности  и процедуры, связанные с функционированием  всех средств обработки информации. Например, должны контролироваться изменения  конфигурации в средствах и системах обработки информации. Требуется  реализовать принцип разграничения  обязанностей в отношении функций  управления, выполнения определенных задач и областей.

Рекомендуется провести разделение сред разработки, тестирования и промышленной эксплуатации программного обеспечения (ПО). Правила перевода ПО из статуса разрабатываемого в статус принятого к эксплуатации должны быть определены и документально оформлены.

Дополнительные  риски возникают при привлечении  сторонних подрядчиков для управления средствами обработки информации. Такие  риски должны быть идентифицированы заранее, а соответствующие мероприятия  по управлению информационной безопасностью  согласованы с подрядчиком и  включены в контракт.

Для обеспечения  необходимых мощностей по обработке  и хранению информации необходим  анализ текущих требований к производительности, а также прогноз будущих. Эти  прогнозы должны учитывать новые  функциональные и системные требования, а также текущие и перспективные  планы развития информационных технологий в организации. Требования и критерии для принятия новых систем должны быть четко определены, согласованы, документально оформлены и опробованы.

Необходимо принимать  меры предотвращения и обнаружения  внедрения вредоносного программного обеспечения, такого как компьютерные вирусы, сетевые "черви", "троянские  кони" и логические бомбы. Отмечается, что защита от вредоносного программного обеспечения должна основываться на понимании требований безопасности, соответствующих мерах контроля доступа к системам и надлежащем управлении изменениями.

Должен быть определен порядок проведения вспомогательных  операций, к которым относится  резервное копирование программного обеспечения и данных¹⁾ , регистрация событий и ошибок и, где необходимо, мониторинг состояния аппаратных средств. Мероприятия по резервированию для каждой отдельной системы должны регулярно тестироваться для обеспечения уверенности в том, что они удовлетворяют требованиям планов по обеспечению непрерывности бизнеса.

Для обеспечения  безопасности информации в сетях  и защиты поддерживающей инфраструктуры, требуется внедрение средств  контроля безопасности и защита подключенных сервисов от неавторизованного доступа.

Особое внимание уделяется вопросам безопасности носителей  информации различного типа: документов, компьютерных носителей информации (лент, дисков, кассет), данных ввода/вывода и системной документации от повреждений. Рекомендуется установить порядок  использования сменных носителей  компьютерной информации (порядок контроля содержимого, хранения, уничтожения  и т.д.). Как уже отмечалось выше, носители информации по окончании использования  следует надежно и безопасно  утилизировать.