ISO 17799 — не единственный среди международных стандартов, получивших признание у нас в стране. Он охватывает достаточно узкую, но очень важную область в информационной безопасности — управление ею и рекомендует к применению обобщенные практики в этой области.
Специалисты ведущих информационно-технологических компаний отмечают, что так как этот стандарт начинает применяться и у нас в стране, то можно предположить, что он будет принят за основу для аналогичного российского стандарта. Но чтобы обеспечить надежную безопасность информации, необходимо учитывать и руководствоваться положениями и других стандартов. Среди них, например, это: ISO/IEC 10164-8:1993«Информационные технологии. Взаимодействие открытых систем. Управление системами. Часть 8. Функция журнала, в котором фиксируются обращения к защищенным данным», ISO/IEC2382-8:1998 «Информационные технологии. Словарь. Часть 8. Защита конфиденциальных данных», ISO/IEC17779:2000 «Информационные технологии. Свод правил по управлению защитой информации», ISO/IEC13335-1:1996 «Информационные технологии. Руководство по управлению защитой IT. Часть 1. Понятия и модели для защиты информационных технологий», ISO/IEC10181-3:1996 «Информационные технологии. Взаимодействие открытых систем. Структура безопасности для открытых систем: структура обеспечения контроля за доступом», ISO/IEC 15408-2:1999 «Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности» и многие другие.
У ФСТЭК (ранее Гостехкомиссия РФ) существует целый свод практик, регулирующих вопросы информационной безопасности. И новый стандарт будет внедряться не на пустом месте. Конечно, это займет какое-то время, весьма не малый период, встанет вопрос о правильном толковании положений стандарта в свете наших особенностей и заделов. Сам по себе никакой стандарт не может быть ни хорошим, ни плохим. Все зависит от его использования и применения при решении насущных задач.
Как считает В. Андреев, директор по науке и развитию (ЗАО «Информационно-внедренческая компания»), сложно опровергать необходимость стандарта ISO 17799, но столь же сложно его безусловно поддерживать. И прежде всего исходя из его своевременности для России в самом широком смысле этого понимания. Стандарт основан на описании успешных практик обеспечения информационной безопасности. Но главный вопрос в принятии этого стандарта в качестве национального стандарта — ГОСТа — это гармонизация «их» практик и «нашей» действительности. Как показывает, например, дискуссия по ГОСТ 15408, по Закону о техническом регулировании и пр., не все гладко ложится на нашу почву. Не потому, что мы такие убогие, совсем напротив — скорее вследствие огромного опыта регулирования проблем такого рода и в СССР, и в РФ.
Безусловно, интерес к вопросам обеспечения информационной безопасности и управления ею растет. Решения по ним сегодня генерируются бывшими специалистами Комитета государственной безопасности. Но они часто руководствуются прежними представлениями о существе дела и старыми, еще советскими, документами.
Существуют и новые веяния. Например, корпоративный стандарт Центробанка по вопросам информационной безопасности. Для предприятий со сходным (финансово-инвестиционным) бизнесом он служит некоторым ориентиром.
Но проблема заключается в том, что в силу нашей своеобразности все западные, даже лучшие и обобщенные международные практики, особенно в области информационной и любой другой безопасности, трудно адаптируются к нашим условиям жизни и работы.
По мнению С. Вихорева, директора аналитического Департамента ОАО «ЭЛВИС-ПЛЮС», новая версия стандарта ISO 17799, безусловно, окажет определенную методологическую поддержку при организации информационной безопасности на предприятиях. Но сказать, что он радикально повлияет на качество самой информационной безопасности (а не управления безопасностью), вряд ли приходится ожидать. Этот стандарт можно рассматривать как аналог стандарта по управлению качеством — ИСО 9000, только в области информационной безопасности. Но, например, концерн «МИЦУБИСИ» не имеет сертификата по ИСО9000 (то есть управление производством автомобилей в концерне, по всей вероятности, не полностью соответствует этому международному стандарту), а вот наш ВАЗ — имеет. То есть управление производством отечественных автомобилей на заводе полностью соответствует ИСО 9000. Однако именно о качестве самих автомобилей «Лада» говорить не приходится. Вот и получается, как в том анекдоте: «Вам как? В «шашечку» или чтоб ехало?»