Опыт применения стандарта BS 7799 в России
С. В. Симонов
svsim@compulink.ru
Как в России познакомились с BS 7799
Стандарт BS 7799 не принадлежит к свободно распространяемым. В ресурсах Интернета вы вряд ли найдете его текст. По этой причине только сравнительно недавно, с появлением значительного количества публикаций в русскоязычной профессиональной прессе, этот стандарт приобрел достаточную известность среди отечественных специалистов в области информационной безопасности (ИБ). BS 7799, конечно, можно приобрести, но прежде чем это сделать, необходимо удостовериться, что он будет вам полезен. А для этого необходимо обладать определенной информацией.
Я впервые познакомился с этим стандартом в 1997 году, когда пришел работать в компанию «Инфосистемы Джет». К тому времени BS 7799 уже был приобретен компанией, переведен и использовался в проектах по ИБ. Перевод (наряду с другими материалами) раздавался крупным клиентам как методический материал по организации системы управления информационной безопасностью. С переводом (неофициальным и не очень высокого качества) версии стандарта от 1995 года, выложенным впоследствии на сайт компании, можно ознакомиться [1], однако в данном переводе, озаглавленном «Управление информационной безопасностью. Практические правила» вы не найдете упоминания о том, что это стандарт BS 7799.
К тем же временам относится моя попытка адаптировать положения этого стандарта применительно к ГОСТу 34.601-90, сделанная в рамках одного из проектов. Впоследствии текст под названием: «Руководство по проектированию и эксплуатации автоматизированных систем, отвечающих требованиям информационной безопасности» неведомым мне путем попал в Интернет и теперь выложен на ряде сайтов, например [2].
Таким образом, до 2000 года (когда был принят стандарт ISO 17799) стандарт BS 7799 использовался в России несколькими «продвинутыми» системными интеграторами в качестве методического материала. С этим стандартом были знакомы и использовали его на практике некоторые крупные организации, в Рунете и специализированных изданиях появились материалы, популяризирующие идеи BS 7799. Некоторые зарубежные представительства аудиторских и консалтинговых фирм предлагали свои услуги в части проведения аудитав соответствии с BS 7799, часть 2, но эти предложения в то время не вызвали интереса на отечественном рынке по причинам, о которых будет сказано ниже.
Однако в целом до 2000 года мало кто из специалистов по ИБ знал об этом стандарте. Основная причина: он не имел тогда международного статуса.
Принятие ISO 17799 – новый этап популяризации идей BS 7799 в России
Международный стандарт ISO/IEC 17799:2000 (его текст соответствует BS 7799-1:2000) «Информационные технологии – Управление информационной безопасностью» (« Information technology – Information security management») к настоящему времени стал достаточно широко известен среди российских специалистов.
Этому способствовало несколько факторов.
«Созревание» российского рынка информационной безопасности. Вопросы построения системы управления ИБ в организациях (особенно крупных), правильной организации жизненного цикла системы защиты информации, аудита режима безопасности стали в последнее время восприниматься специалистами с большим интересом.
Международный статус данного стандарта (в отличие от национального стандарта Великобритании) является более авторитетным с позиции отечественных специалистов.
Активная популяризаторская деятельность ряда компаний и отдельных специалистов. В этой связи стоит отметить деятельность компании Domina Security, впоследствии переименованную в Digital Security. Ее специалисты организовали множество семинаров по стране, посвященных ISO/IEC 17799, выпустили методические материалы на CD, программное обеспечение «Кондор», позиционируемое как система разработки и управления политикой безопасности информационной системы компании в соответствии с данным стандартом. Семинары и учебные курсы на эту тему для своих клиентов в последнее время проводили многие компании, специализирующиеся на вопросах информационной безопасности, появилось множество журнальных публикаций.
Таким образом, можно констатировать, что данный стандарт к настоящему времени известен и применяется в России. В этой связи рассмотрим два аспекта, отражающие особенности его использования:
соотношение с аналогичными национальными стандартами, основные мотивы его использования;
проведение аудита в соответствии с данным стандартом.
ISO 17799 (BS 7799) как основа корпоративных стандартов безопасности
В России, как известно, существуют собственные стандарты и руководящие документы (РД) Гостехкомиссии. Отметим, что российские РД и рассматриваемые зарубежные стандарты фактически относятся к различным классам, их системы понятий различаются. Так, зарубежные стандарты большое внимание уделяют выбору и формальному описанию целей, которые ставятся в области ИБ для конкретной информационной системы, используют механизмы оценки соответствия декларированных целей существующим показателям ИБ. Кроме того, ими предусматривается лучший учет таких аспектов ИБ как целостность и доступность, в то время как российские РД в основном ориентированы на обеспечение конфиденциальности. Наконец, в зарубежных стандартах наблюдается большая степень формализации требований к подсистеме ИБ. В современных стандартах и руководствах формальные требования и рекомендации излагаются в нескольких сотнях подразделов. Соответственно методики построения подсистем ИБ в них более конкретны, а процедуры проведения аудита ИБ достаточно формализованы.
Существенно, что российские и рассматриваемые зарубежные стандарты не противоречивы. Это дает возможность использовать ISO 17799 (BS 7799) наряду с отечественной нормативной базой для разработки корпоративных стандартов в области ИБ. При этом положения стандартов конкретизируются и адаптируются с учетом отраслевой специфики.
BS 7799 как методические рекомендации по проведению аудита безопасности
Если организация всерьез заботится об обеспечении режима ИБ, проведение аудита (хотя бы внутреннего) является обязательной составляющей направленного на достижение этой цели комплекса мер. В российских РД термин «аудит» не используется. Приблизительным аналогом является «аттестация объекта информатизации по требованиям безопасности информации», однако методология проведения аттестации и аудита (в соответствии с BS 7799, часть 2) существенно различается: в последнем случае требования более конкретны и формализованы. По этой причине BS 7799, часть 2, а также методические рекомендации по проведению аудита Британского института стандартов [3] используются для разработки корпоративных методик внутреннего аудита ИБ.
В России многие крупные организации разработали или разрабатывают собственные методики внутреннего аудита. В настоящее время такого рода разработки ведутся достаточно активно. Подробнее эти вопросы рассматривались в [4].
В области аудита безопасности для российского рынка характерны две особенности:
интерес к внедрению систем внутреннего аудита проявляют, прежде всего, крупные компании, имеющие множество филиалов и десятки тысяч АРМов;
компании не заинтересованы не только в получении сертификатов официальных органов, но и вообще в любой инспекции «посторонних».
Первая особенность объясняется тем, что в крупных компаниях, несмотря на широкое использование программно-технических средств защиты, часто возникают серьезные инциденты в области безопасности, оказывающие существенное воздействие на основную деятельность. Эффективная система ведомственного аудита позволяет своевременно выявить существующие бреши (в основном на административном уровне) и объективно оценивать соответствие параметров, характеризующих режим ИБ, необходимому уровню. Это позволяет более обоснованно планировать мероприятия по повышению уровня безопасности. По этой причине крупные компании создают подразделения, занимающиеся внутренним аудитом, внедряют ведомственные системы аудита.
Вторая особенность является весьма характерной для России. Крупные компании, особенно финансовые, не склонны добровольно допускать посторонних к аудиту информационной системы. Если требуется внедрить систему аудита, а собственных опытных специалистов нет, компании предпочитают направлять своих сотрудников на специальные курсы либо привлекать для их обучения практической работе экспертов. В последнем случае обучение проводится на собственном небольшом (некритичном с точки зрения руководства компании) фрагменте корпоративной информационной системы.
Наличие спроса на системы внутреннего аудита, прежде всего со стороны крупных компаний, породило предложение на отечественном рынке достаточно специфичных программных продуктов, о существовании аналогов которым на мировом рынке автору не известно. Речь идет о продукте «РискМенеджер» [5] разработки ИСА РАН. Этот продукт первоначально разрабатывался как экспертная система для поддержки проведения внутреннего аудита по заказу одной крупной компании, имеющей множество филиалов. Система первоначально строилась как двухуровневая. Впоследствии разработали и трехуровневый вариант, которым заинтересовались наиболее крупные российские корпорации.
Рассматриваемый продукт легко настраивается на различные схемы аудита, комплектуется базами данных с требованиями ISO 17799, ISO 15408, РД Гостехкомиссии России. Имеющийся инструментарий позволяет легко настроить данное ПО на учет корпоративной специфики.
Таким образом, российские компании широко используют BS 7799, часть 2 в качестве методических материалов для разработки собственных систем внутреннего аудита.
Кому в России нужна сертификация по BS 7799, часть 2?
По состоянию дел на апрель 2005 года ни одна из российских компаний еще не получила сертификата на соответствие требованиям BS 7799. Однако определенный интерес к этому есть. Потенциально заинтересованы в получении сертификатов следующие категории отечественных бизнес-структур:
российские филиалы международных компаний, для руководителей которых это является подтверждением их компетентности как специалистов (наряду с сертификацией в других областях деятельности);
крупные отечественные компании, активно выходящие на международный рынок и размещающие на нем акции (стремятся получить всевозможные сертификаты международного образца, доказывающие соответствие их системы менеджмента общемировым требованиям);
крупные отечественные компании, желающие убедиться, что их внутренняя система аудита действительно соответствует требованиям стандартов (в этом случае может существовать интерес к получению сертификата на какую-то часть системы).
Если российская компания пожелает получить сертификат, очевидно, ей понадобится помощь со стороны другой российской компании, которая проведет подготовку к аудиту (приведение в порядок процедур, документации, предварительная процедура аудита) и международной компании, которая имеет соответствующие права на выдачу сертификата.
Такой подход можно рекомендовать по двум причинам:
более низкой стоимости подготовки компании к аудиту (поскольку расценки отечественных компаний ниже) и лучшего учета отечественной специфики;
обеспечения подлинной независимости оценки, поскольку подготовку к проведению аудита и сам аудит делают разные компании.
Для первого этапа вполне подходят компании, уже имевшие опыт разработки и внедрения корпоративных методик внутреннего аудита, а также опыт взаимодействия с зарубежными партнерами в данной области: таких компаний в России несколько.
Роль независимого аудитора могут выполнить многие компании, но лучше, конечно, воспользоваться услугами наиболее авторитетной из них – Британского института стандартов (BSI), тем более что у него есть российское представительство.
Заключение
В наших условиях рассмотренные стандарты применимы, поскольку отличаются от соответствующих отечественных РД в основном лишь большей детализацией многих аспектов. Применимы также и процедуры, и методы проверки на соответствие этим требованиям. Идеи стандарта BS 7799 в настоящее время хорошо известны российским профессионалам и активно используются при разработке систем управления информационной безопасностью, методик внутреннего аудита.
Есть все основания полагать, что в ближайшее время появятся первые российские обладатели сертификатов на соответствие стандарту BS 7799, часть 2.
ЛИТЕРАТУРА
1. Управление информационной безопасностью. Практические правила: http://www.jetinfo.ru/annexes/16/annex-16.html
2. Руководство по проектированию и эксплуатация автоматизированных систем, отвечающих требованиям информационной безопасности: http://domarev.kiev.ua/obuch/proekt.html
3. Guide to BS 7799 auditing. – DISC, PD 3004, 1998.
4. Симонов Сергей. Аудит безопасности информационных систем: http://www.jetinfo.ru/1999/9/1/article1.9.1999.html
5. Демонстрационная версия «РискМенеджера»: ftp://is.isa.ru/Moscow
Защита информации. INSIDE № 3’2005