Международное признание как документ, определяющий общие направления в управлении информационной безопасностью, получил стандарт ISO/IEC 17799:2000. Он сумел завоевать авторитет и признание у организаций различных отраслей экономики многих стран мира. И в нашей стране он также активно используется.
Международная организация по стандартизации ISO опубликовала 20 июня 2005 года новую версию стандарта ISO17799. В нее внесено значительное количество изменений и дополнений. Основные усилия разработчиков были направлены на придание ему большей универсальности. Многие положения, формулировавшиеся ранее как требования только к программному обеспечению, изменены таким образом, чтобы распространить их действие и на другие сферы деятельности и виды ресурсов.
Нововведения и изменения
Разработчики стандарта постарались отследить изменения последних лет (рост объемов электронной торговли, создание электронных правительств, защита персональных данных и прав интеллектуальной собственности) и соответствующее усиление требований к обеспечению информационной безопасности.
Изменился стиль и формат подачи информации. Теперь четко выделяются мера обеспечения информационной безопасности и указания по ее практической реализации, основной упор делается на меры по обеспечению соответствия законодательно-нормативным требованиям.
Хотя первая версия стандарта и говорила о необходимости оценки рисков, чтобы определить, какие требования стандарта применимы в конкретной организации, но ничего не говорила о том, как ее проводить. В новой версии даны соответствующие подробные рекомендации, указания и ссылки на другие стандарты ISO по оценке рисков.
В специальной главе говорится о порядке оповещения об инцидентах и выявленных слабых местах в системе информационной безопасности, организации работы для их предотвращения и эффективного реагирования при их возникновении (включая вопросы распределения ответственности, разработки процедур, извлечения уроков из накопленного опыта и сбора доказательств).
Стали подробнее указания по классификации ресурсов и более подробно рассматриваются меры обеспечения информационной безопасности: инвентаризация, определение ответственных, классификация, маркировка и правильное использование информационных ресурсов. Это особенно важно для организаций, желающих защитить информацию, подпадающую под законодательно-нормативные требования или являющуюся интеллектуальной собственностью.
Глава «Безопасность, связанная с персоналом» была переименована в «Кадровую безопасность» и значительно расширена. В нее включены указания по мерам безопасности, которые необходимо выполнить до приема сотрудников на работу (проверка сотрудников, определение прав и обязанностей, условия найма, управление обязанностями, обучение безопасности, дисциплинарные меры, увольнение или перемещение).
В новой версии учтено идущее во всем мире ужесточение требований к обеспечению соответствия деятельности организаций законодательно-нормативным и иным требованиям, а также растущая популярность стандарта по управлению документами ISO 15489 и накопленный опыт работы с определенными видами электронных документов.
За подробными указаниями по управлению документами новая версия отсылает к стандарту ISO15489-1, который, надо полагать, теперь уже официально будет использоваться при сертификации по стандартам информационной безопасности. Ссылка на то, что организация должна обеспечивать свою информационную безопасность в области управления документами, основываясь на положениях первого в мире международного стандарта по делопроизводству, очень важна, поскольку фактически обязывает специалистов в области информационных технологий и информационной безопасности использовать его требования в своей работе.
Изменились требования к хранению зашифрованных документов и документов, подписанных ЭЦП. В прежней версии стандарта говорилось о необходимости сохранять криптографические ключи и предоставлять их по мере необходимости авторизованным сотрудникам. Теперь предписывается обеспечить сохранность материалов, относящихся к использованию криптографических ключей и программ, чтобы иметь возможность проверять аутентичность ЭЦП и расшифровать документы в течение всего срока их хранения.
Все разделы стандарта содержат требования к документированию деятельности организации по обеспечению информационной безопасности. Правильно организованное управление документами необходимо для решения поставленных задач и для успешного прохождения международной сертификации.
Система везде и всюду
Сам стандарт ISO17799 является сводом правил «хорошей деловой практики» и не предназначен для сертификации. Комитет — разработчик стандарта в начале июля выпустил финальный проект «парного» стандарта ISO 27001 «Требования к системам управления информационной безопасностью» (на основе известного британского стандарта BS799-2) и собирается в конце 2005 года опубликовать его окончательный вариант. ISO 27001 описывает систему управления информационной безопасностью, в рамках которой можно выбирать и использовать отдельные меры, содержащиеся в ISO17799, и именно по требованиям ISO 27001 планируется организовать проведение международной сертификации. Кроме того, в нем проведена дальнейшая «гармонизация» подходов с другими стандартами менеджмента качества, такими как ISO9001, и еще более активно используется модель PDCA (Plan-Do-Check-Act —«планируй — выполни — проверь — исправь»).
Новая серия
Стандарты ISO, относящиеся к одной теме, обычно группируются в серию. Примерами служат ISO 9000 по управлению качеством и ISO 14000 по управлению окружающей средой. Теперь формируется новая серия ISO 27000 по управлению информационной безопасностью. Стандарт ISO 27001 — первый в ней. Предполагается, что в конечном итоге стандарт ISO 17799 будет «переименован» в ISO 27002. Разрабатывается еще один документ — по метрике и оценке безопасности, который предполагается впоследствии опубликовать как ISO 27004.
В России планируется утвердить ISO 17799 в качестве национального стандарта в конце 2005 года, но пока не ясно, будет ли он соответствовать версии 2005 года или старой версии 2000 года.
Обновленный стандарт ISO 17799 будет полезен при создании современной системы информационной безопасности как в государственных, так и в коммерческих организациях. Немалое внимание уделено в нем вопросам безопасности, связанным с персоналом организации, и говорится о защите таких важных информационных ресурсов, как бумажная документация и сведения, хранящиеся в головах сотрудников. Стандарт и его положения можно использовать при разработке внутренних нормативных документов организации. Знание его положений повышает квалификацию персонала.