Определение
Стандарт построения эффективной системы безопасности ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов, описывает комплексный подход к управлению информационной безопасностью.
В соответствии со стандартом ISO 17799, при создании эффективной системы безопасности особое внимание следует уделить комплексному подходу к управлению информационной безопасностью. По этим причинам в качестве элементов управления рассматриваются не только технические, но и организационно-административные меры, направленные на обеспечение следующих требований к информации: конфиденциальность; целостность; достоверность; доступность.
Нарушение любого из них может повлечь за собой значительные потери как в виде убытков, так и в виде неполученного дохода. Для обеспечения указанных требований в стандарте перечислены основные области управления информационной безопасностью:
- планирование непрерывности бизнеса (обеспечивает защиту критически важных бизнес-процессов от сбоев и нарушений);
- управление доступом (контролирует доступ к информационным ресурсам и предоставляемым услугам, а также противодействует несанкционированной активности);
- разработка и поддержка системных и прикладных средств (обеспечивает выполнение функций защиты информации в операционных системах и приложениях);
- безопасность среды (предотвращает несанкционированные изменения, кражу и повреждение средств защиты и информации);
- соответствие документам и стандартам (обеспечивает соблюдение общепринятых и внутренних правил, норм и стандартов);
- персонал (снижает риск «человеческих ошибок» и преднамеренных нарушений, а также контролирует выполнение правил политики безопасности со стороны пользователей);
- безопасность на уровне компании (управляет информационной безопасностью при взаимодействии с внешними объектами);
- управление инфраструктурой (снижает риск возникновения системных сбоев, предотвращает повреждения сетевого оборудования, а также контролирует сохранение конфиденциальности, целостности и достоверности при передаче информации);
- классификация и контроль материальных средств (обеспечивает охрану и надзор за материальными средствами организации);
- наличие политики безопасности (определяет требования к поддержке заданного уровня безопасности).
Каждая область информационной безопасности подробно детализирована и представляет собой совокупность элементов безопасности.
Полный набор элементов стандарта ISO 17799 всесторонне обеспечивает защиту информации, рассматривая весь спектр организационных вопросов. Это позволяет поддерживать уровень безопасности и не допускать появления «слабых мест».
Сфера применения
В России стандарт ISO 17799 может применяться достаточно широко, так как несет в себе информацию о комплексном подходе к обеспечению защиты данных. В отличие от зарубежных компаний, отечественные организации ввиду быстрых темпов их развития имеют гораздо больше уязвимых мест, что вынуждает руководителей ИТ-отделов применять мировые стандарты в области информационной безопасности, адаптируя их в каждом конкретном случае и дополняя на основе собственного опыта.
С практической точки зрения, стандарт ISO 17799 может применяться как средство аудита системы информационной безопасности. К примеру, некоторые программные продукты, основанные на этом стандарте (в частности, CORBA ISO 17799 Consultant), представляют процесс аудита в виде анкетирования. Полный процесс аудита в этом случае можно представить в виде четырех последовательных этапов.
Анкетирование — заполнение анкет одним или несколькими сотрудниками, ответственными за обеспечение информационной безопасности.
Определение элементов, соответствующих выдвинутым в стандарте требованиям к системе информационной безопасности.
Выявление элементов, нуждающихся в дополнительной защите (определение «слабых мест»).
Выдача рекомендаций по улучшению защиты для выявленных на предыдущем этапе элементов.
Примером таких рекомендаций в области «Управление доступом» может служить процедура регистрации пользователей, определенная в результате выявления «слабого места» в системе безопасности. Процедура регистрации пользователей должна выполнять следующие условия:
- не отображать данные о системе до тех пор, пока полностью не завершится процедура входа пользователя в систему;
- сообщать о том, что доступ к системе могут получить только авторизированные (зарегистрированные) пользователи;
- не выводить сообщения-подсказки во время процедуры входа в систему, чтобы затруднить работу незарегистрированных пользователей;
- прерывать соединение с пользователем, который предпринял попытку входа в систему, завершившуюся неудачно;
- сообщать о корректности регистрации только после заполнения всех необходимых полей;
- определить максимально возможное число попыток входа в систему, завершившихся неудачно (рекомендуется не более трех попыток); если лимит превышен, следует внести соответствующую запись в системный журнал и не возобновлять процедуру регистрации в течение определенного периода времени или полностью прервать сеанс работы с пользователем;
- определить максимальное и минимальное время процедуры регистрации пользователя; если предельные значения превышены, то процедура должна быть прервана;
- отображать информацию о дате и времени предыдущей успешной регистрации, а также полную информацию о всех некорректных процедурах регистрации, случившихся со времени последнего входа в систему.
Павел Рудаков — консультант по аналитике и маркетингу компании NV Consulting. С ним можно связаться по электронной почте: pr@nvconsulting.net.
Плюсы и минусы ISO 17799
К недостаткам стандарта можно отнести поверхностное освещение материала, который позволяет только обозначить области информационной безопасности, не конкретизируя их.
Преимуществом ISO 17799 является простота его применения и адаптации на практике. Кроме того, стандарт не зависит от конкретных технических средств и решений, что, с одной стороны, не показывает, как реализовывать защиту того или иного элемента, но с другой — обеспечивает свободу выбора платформ, оборудования, производителей и т.п.
Оценка рисков
Рассмотрение каждого из элементов происходит на основе оценки рисков. Риск возникает в связи с существованием вероятности возникновения угрозы и нанесения ущерба объекту защиты. В этом случае для наглядности и простоты можно использовать матрицу, которая описывает основные риски. В матрице указываются объекты защиты (элементы информационной безопасности) и возможные угрозы для данного объекта. Затем рассматриваются вероятности осуществления каждой угрозы и ущерб, который будет нанесен в случае реализации угрозы. Естественно, для всех элементов информационной безопасности каждый параметр должен быть определен по одной и той же шкале, причем лучше всего характеризовать параметры в процентных отношениях. В этом случае самое высокое значение риска будет у наиболее важного и незащищенного элемента.
[Угрозы [Объекты | Вероятность] Ущерб] |