BSI и BS 7799 – взгляд разработчиков
Н. И. Горобец ,
директор BSI MS Russia
Британский стандарт BS 7799 стал стандартом де-факто в области построения систем управления информационной безопасностью. Положения этого стандарта на добровольной основе применяет множество компаний в десятках стран мира. Сертификация системы управления информационной безопасностью на соответствие стандарту BS 7799 позволяет владельцам информационных ресурсов, партнерам убедиться в том, что подсистема информационной безопасности построена правильно и функционирует эффективно.
История создания BS 7799
Уже более 100 лет Британский институт стандартов ( British Standards Institution – BSI ) создает локальные стандарты – основы для утверждения производственных, технологических и промышленных международных стандартов. Одной из задач, которая требовала до сих пор решения, было создание соответствующего стандарта системы управления информационной безопасностью.
Таким стандартом стал BS 7799, который был разработан Британским институтом стандартов (при участии коммерческих организаций, таких как Shell UK, National Westminster Group , Unilever , British Telecommunications , British Computer Society , Association of British Insurers , Marks & Spencer, Logica и др.) и утвержден в качестве государственного стандарта Великобритании в 1995 году.
BS 7799 Part 1 // Code of Practice for Information Security Management (Практические правила управления информационной безопасностью)
Описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определенных на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ.
Данный стандарт в большей степени предназначался для определения норм безопасности при ведении коммерческой деятельности. Эксперты посчитали, что он появился несколько раньше времени, когда вопросы безопасности еще никого особенно не интересовали.
В 1999 году первая часть BS 7799 была переработана и передана в Международную организацию по стандартизации (ISO).
В 2000 году BS 7799 Part 1 был утвержден в качестве международного стандарта ISO/IEC 17799:2000 (BS 7799-1:2000).
В мае 1999 года BSI выпускает вторую версию BS 7799 (BS 77992:1999), представляющую собой кардинально пересмотренное первое издание. Эта версия содержала множество поправок и улучшений по сравнению со своей предшественницей.
BS 7799 Part 2 // Information Security management – Specification for ISMS (Спецификация системы управления информационной безопасностью)
Этот стандарт определяет спецификацию СУИБ.
С 5 сентября 2002 года в силу вступил BS 7799-2:2002 «Системы управления информационной безопасностью. Спецификации с руководством по применению».
Здесь важно отметить, что эта версия гармонизирована с другими международными стандартами Систем менеджмента – BS EN ISO 9001:2000 и BS EN ISO 14001:1996 – с целью обеспечения последовательного и интегрированного внедрения и функционирования этих Систем.
Описание стандарта BS 7799
BS 7799 не является техническим стандартом, он, например, не предписывает использование каких-то определенных способов шифрования данных или устройств защиты от сбоев питания. Стандарт определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т. д. в контексте информационной безопасности.
Этот стандарт дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью и сохранностью важного актива компании – информацией, и может с одинаковым успехом применяться в компаниях разного размера – от индивидуальных предпринимателей до предприятий с численностью сотрудников в десятки тысяч человек.
BS7799 может использоваться для защиты любых видов информации, включая финансовую, кадровую, информацию по поставщикам или любым другим данным компании и, что немаловажно, информацию, принадлежащую вашим партнерам/клиентам – одним словом, все, что является значимым информационным ресурсом любой компании, и все, что уязвимо для угроз безопасности.
Таким образом, основную цель стандарта можно сформулировать как создание общей методологии для разработки, внедрения и оценки эффективности СУИБ, применимую как в условиях коммерческих компаний, так и государственных и некоммерческих структур.
СУИБ – это системный подход к управлению «чувствительной» для компании информацией с целью обеспечения ее конфиденциальности, целостности и сохранности.
СУИБ объединяет воедино людей, процессы и IТ-системы.
СУИБ обеспечивает слаженную работу службы безопасности, IT-отдела и руководства компании.
BS 7799 обеспечивает:
конфиденциальность: защиту информации от несанкционированного доступа;
целостность: защиту информации от несанкционированного изменения, обеспечение ее точности и полноты;
доступность: возможность пользоваться информацией, когда это требуется – работоспособность системы.
Важно, что данный стандарт не концентрируется исключительно на конфиденциальности: в коммерческих организациях с точки зрения возможных материальных потерь целостность и доступность данных зачастую более критичны.
BS 7799 защищает от возможных угроз вашей информационной системе:
хакеров;
промышленного шпионажа;
недобросовестных сотрудников;
компьютерного пиратства;
воровства и вандализма;
отключения питания;
сбоев в работе оборудования и ПО;
вирусов;
стихийных бедствий и многого другого.
СУИБ, разработанная в соответствии с BS 7799-2:2002, обеспечивает наличие хорошо проверенной структуры, которая инициирует, реализует, поддерживает в рабочем состоянии информационную безопасность внутри предприятия и управляет ею.
Основные положения стандарта BS 7799
Приложение «А» к стандарту BS 7799-2:2002 определяет средства управления информационной безопасностью и включает следующие аспекты, перечень которых может быть дополнен на усмотрение компании.
1. Политика безопасности
Политика нужна для того, чтобы определить задачи организации в области защиты информации, а также служить ориентиром и точкой опоры для менеджмента, призванного эту задачу решать. Политика, помимо прочего, может к тому же служить основой для регулярного контроля и оценки систем безопасности. Это документ, который призван продемонстрировать управляющим приверженность и поддержку внедрению СУИБ.
2. Организационная безопасность
Система управления, позволяющая на организационном уровне инициировать и контролировать внедрение информационной безопасности внутри предприятия, управлять текущими условиями ее обеспечения, создать структуры менеджмента, распределить ответственность за отдельные зоны контроля между группами и выработать инструкции для действий в чрезвычайных ситуациях.
Управление форумами по информационной безопасности.
Координация вопросов, связанных с информационной безопасностью.
Распределение ответственности за обеспечение безопасности.
3. Классификация и контроль информационных активов
Всеобъемлющий перечень информационных ресурсов/активов с обо- значением ответственности в целях обеспечения и поддержания эффективной защиты каждого из них и информации в целом. .
Инвентаризация ресурсов.
Классификация ресурсов.
4. Аспекты информационной безопасности, связанные с персоналом
Четкое определение должностных обязанностей для каждого сотрудника с описанием его роли и ответственности при использовании информации, соответствующее обучение сотрудников, организация системы отчетности о происшествиях.
Безопасность при найме на работу и работе с персоналом.
Тренинги персонала по вопросам безопасности.
Реагирование на инциденты в области безопасности (человеческий фактор).
5. Физическая безопасность и безопасность окружающей среды
Ясное и сжатое определение требований по безопасности внутренних помещений и находящихся в них сотрудников и оборудования.
6. Управление коммуникациями и операциями
Оптимизация коммуникаций для обеспечения бесперебойной работы СУИБ.
Технологические процедуры и ответственность.
Системное планирование.
Защита от вредоносного программного обеспечения (вирусов, троянских коней).
Управление внутренними ресурсами.
Управление сетями.
Безопасность носителей данных.
Передача информации и программного обеспечения.
7. Контроль доступа
Наблюдение и контроль доступа в сеть и к приложениям с целью защитить их как от попыток вторжения извне, так и от внутреннего недобросовестного использования, обеспечение каждому доступа только к той информации, за которую он несет ответственность, обеспечение защиты поддерживающей инфраструктуры.
Бизнес-требования для контроля доступа.
Управление доступом пользователя.
Ответственность пользователей.
Контроль и управление удаленного (сетевого) доступа.
Контроль доступа в операционную систему.
Контроль и управление доступом к приложениям.
Мониторинг доступа и использования систем.
Мобильные пользователи.
8. Разработка и поддержка систем
Обеспечение того, чтобы IT-проекты и обслуживание осуществлялись с соблюдением мер безопасности и контролем получения информации, а также при необходимости шифрованием данных.
Требования по безопасности систем.
Безопасность приложений.
Криптография.
Безопасность системных файлов.
Безопасность процессов разработки и поддержки.
9. Управление непрерывностью бизнеса
Управляемый процесс составления и совершенствования планов деятельности в условиях внезапного нарушения жизнедеятельности организации и готовность защитить наиболее важные с точки зрения бизнеса процессы в случае бедствия или серьезной аварийной ситуации.
Процесс управления непрерывного ведения бизнеса.
Непрерывность бизнеса и анализ воздействий.
Создание и внедрение плана непрерывного ведения бизнеса.
Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса.
10. Соответствие формальным требованиям
Демонстрация клиентам, партнерам, сотрудникам и представителям властей соответствия вашей СУИБ другим юридическим нормам; рекомендации о необходимости пересмотра политик безопасности, степени технического соответствия и принципов проверок всей системы, гарантирующих ее эффективность.
Соответствие требованиям законодательства.
Анализ соответствия политики безопасности.
Анализ соответствия требованиям системного аудита.
Ключевой элемент системы управления информационной безопасностью
Типичной компанией, внедряющей СУИБ, как правило, является та, которая либо сама имеет большие объемы информации, либо вынуждена управлять ею по поручению своих клиентов.
Ключевой элемент СУИБ – это система управления рисками, представляющая собой подсистему анализа рисков, задачей которой является обследование информационной системы для определения, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите.
Анализ рисков позволяет количественно или качественно оценить наносимый ими ущерб.
Чтобы создать эффективно работающую СУИБ, необходимо:
определить основные информационные ресурсы и оценить их важность для организации;
выявить основные угрозы и уязвимости;
определить риски и механизмы контроля, позволяющие управлять информационными ресурсами;
постоянно анализировать работу СУИБ и определять пути ее совершенствования.
Уровень риска вычисляется обычно с учетом трех показателей: ценности ресурса, уровня угрозы и степени уязвимости. С увеличением значений этих трех параметров риск возрастает.
Ценность ресурса определяется величиной ущерба, наносимого в случае нарушения его конфиденциальности, целостности или доступности.
На основе оценки уровня рисков (риска утечки конфиденциальной информации, риска потери информации и т. п.) определяются требования к системе безопасности.
На первом этапе необходимо провести оценку текущего состояния уровня безопасности. Затем следует задать допустимые уровни рисков и разработать план мероприятий, обеспечивающих требуемый уровень безопасности.
На следующем этапе наиболее опасные уязвимости блокируются для предотвращения возможных атак. Здесь же определяются функциональные отношения оборудования и ПО, а также зоны ответственности при взаимодействии подразделений и лиц.
На последнем этапе создается необходимый пакет организационно-распорядительной документации, разрабатывается и согласовывается проект внедрения средств защиты, нужных для обеспечения безопасности. Кроме того, необходимо предусмотреть меры по поддержанию внедренного комплекса защиты, принимая во внимание изменяющиеся условия работы организации.
Анализ мировой практики показал, что затраты, связанные с разработкой, внедрением и сертификацией СУИБ, всегда оправданы.
Международное признание стандарта BS 7799
Британский стандарт BS 7799 получил общемировую известность и поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды.
BS 7799 адаптирован, в частности, Австралией, Новой Зеландией и Нидерландами.
Стандарт рассматривается в качестве основы для национальных стандартов странами Скандинавии. Большой интерес к BS 7799 имеется в США и Канаде .
Вот некоторые из компаний , зарегистрировавших свои СУИБ на соответствие требованиям BS 77992:2002: Fujitsu, Independent Commission Against Corruption, Raiffeisen Informatik GmbH, Siemens, HewlettPackard, Triaton, Vodafone, NEC, Accenture, Polaris Software Lab, Telecom Italia , Japan Telecom , Singapore Telecom, C4 Technology, CANON, CNS, EPSON, Fuji , HITACHI , IBM, INFOSEC, KPMG, Mitsubishi, Nikko Telecom, Nippon Telegraph, NTT, Sakura Information Systems, Sony, Yahoo Japan , Yokogawa Electric, Zeon Information Systems, Hyundai IT, Samsung, BBS, Unilever, Ericsson, Bureau of National Health Insurance, Chinese Petroleum, Sysware Corporation, Taiwan Stock Exchange, Nuclear Power Plant of the Taiwan PCo, 7 Global Ltd, British Telecom, CAMELOT Group, COLT, Digex, EMIS, Marconi, The Royal Bank of Scotland , Xerox, The University of Texas , Gemplus Royal Mail, Federal Reserve Bank of NY, Joho Bank, Daegu Bank, Industrial Bank of Korea, Citibank и многие другие .
Всего в мире выдано 1099 сертификатов соответствия BS 77992:2002.
BSI является лидером в том числе и на рынке услуг по сертификации СУИБ на соответствие требованиям BS 7799-2:2002. Доля BSI на этом рынке составляет 40 %, что превышает долю ближайшего конкурента – японский орган по сертификации JQA – в 5 раз.
Процесс сертификации СУИБ
Как известно, стандарт ISO 17799 оставляет без внимания вторую часть BS 7799, в которой речь идет о конкретной реализации этого стандарта (BS 7799-2:2002). ISO 17799 в том виде, в котором он существует сегодня, представляет собой набор рекомендаций по применению лучших практик обеспечения безопасности. Рекомендации, приведенные в ISO 17799, не касаются технологической стороны дела и не предполагают оценку эффективности того или иного современного средства защиты информации.
Таким образом, в настоящее время сертификация на соответствие ISO 17799 осуществляться не может, так как не выпущена его вторая часть, где должны быть описаны спецификации на проверку выполнения требований к системе информационной безопасности.
СУИБ могут быть сертифицированы на соответствие требованиям стандарта BSI – BS 7799-2:2002.
После выхода в свет стандарта ISO 17799-2 компании, прошедшие сертификацию по стандарту BS 7799, при желании автоматически получат сертификат соответствия ISO 17799.
Если вы приступили к использованию стандарта BS 7799-2:2002 в качестве основы вашей СУИБ, ваша система менеджмента может быть аудирована и сертифицирована независимой авторитетной и аккредитованной стороной. Этот процесс значительно увеличивает оценку текущей эффективности вашей системы.
Окончание в следующем номере.
Защита информации. INSIDE № 2’2005