Обеспечение информационной безопаснос­ти (ИБ) компьютерных систем различного назначе­ния продолжает оставаться чрезвычайно острой проблемой. Можно констатировать, что несмотря на усилия многочисленных организаций, занимаю­щихся решением этой проблемы, общая тенденция остается негативной. На рис. 1 представлен прогноз роста числа инцидентов в области ИБ, имеющих тя­желые последствия в крупных организациях по дан­ным [1]. Основных причин две:

• Возрастающая роль информационных техно­логий в поддержке бизнес-процессов, как следствие возрастающие требования к ИБ ав­томатизированных систем. Цена ошибок и сбоев информационных систем возрастает.
• Возрастающая сложность информационных процессов. Это предъявляет повышенные тре­бования к квалификации персонала, ответст­венного за обеспечение ИБ. Выбор адекватных решений, обеспечивающих приемлемый уро­вень ИБ при допустимом уровне затрат, стано­вится все более сложной задачей.

Первая причина носит объективный харак­тер, ей можно противопоставить только способ­ность организации обеспечивать возрастающие требования в области ИБ.

Для нейтрализации воздействия второй при­чины необходимо отслеживать соответствие квали­фикации персонала, ответственного за обеспече­ние ИБ и стоящих задач, получить объективную оценку состояния подсистемы ИБ.

Для решения этих задач создаются организа­ции аудиторов в области ИБ, ставящие своей целью проведение экспертизы соответствия системы ИБ некоторым требованиям, оценки системы управле­ния ИБ, повышения квалификации специалистов в области ИБ. Статус таких организаций может быть как государственный (при национальных ин­ститутах стандартов) так и независимых междуна­родных организаций.

Идея проведения аудита ИБ и аттестации информационной системы на соответствие некото­рым требованиям не нова. Система аттестации обычно появляется одновременно с принятием стандартов ИБ.

В последнее время в разных странах появи­лось новое поколение стандартов в области ИБ, по­священных практическим аспектам организации и управления ИБ, некоторые рассмотрены в [2]. Особого внимания заслуживает британский стан­дарт BS7799 и ассоциированные документы, как на­иболее проработанные и апробированные.

Построение системы управления ИБ в соот­ветствии с этими стандартами предполагает нали­чие (см. рис. 2):

• явно декларированных целей в области безо­пасности;
• эффективной системы менеджмента ИБ, име­ющей совокупность показателей для оценки ИБ в соответствии с декларированными целя­ми, инструментарий для обеспечения ИБ и оценки текущего ее состояния;
• некоторой методики проведения аудита ИБ, позволяющей объективно оценить положение дел в области ИБ.

Технология проведения аудита на соответст­вие подобным стандартам существенно отличается от технологий, применяемых для предыдущих по­колений стандартов, к которым, в частности, отно­сятся Руководящие документы (РД) Гостехкомис­сии России 1992—1993 гг. Основное отличие заключается в гораздо большей степени формализации некоторых этапов, использовании поддающихся проверке показателей и критериев, то есть в боль­шей детализации.

Рис. 2. Построение системы управления ИБ в соответствии с национальными и международными стандартами.

Это, конечно, эволюционный путь развития, но на него в настоящее время специ­алистами возлагаются большие надежды: считает­ся, что именно широкое использование процедур добровольной сертификации позволит переломить негативную тенденцию возрастания числа инци­дентов в области ИБ, имеющих тяжелые последст­вия.

Следует отметить, что должный эффект мо­жет дать только комплексный подход к аудиту, то есть проверка на соответствие определенным требованиям не только программно-технической составляющей некоторой информационной техно­логии, но и решений на процедурном уровне (орга­низация работы персонала и регламентация его дей­ствий) и административном уровне (корректность существующей программы обеспечения ИБ и прак­тика ее выполнения).

Ниже рассматриваются особенности совре­менных зарубежных стандартов в области аудита и сертификации, введенных в действие в 1998 г, а также действующие в настоящее время Россий­ские руководящие документы в области сертификации и аттестации.

Полную версию можно скачать: ссылка

Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: