Обзор и сравнение семейства стандартов информационной безопасности ISO 27000 и отечественных стандартов - Информационная безопасность на предприятии

"ISO/IEC 27000 - серия международных стандартов, включающая стандарты, по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Серия содержит лучшие практики и рекомендации в области информационной безопасности для создания, развития и поддержания Системы Менеджмента Информационной Безопасности" - сообщает нам сайт Википедии. Данное семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.

Для этого семейства стандартов используется последовательная схема нумерации, начиная с 27000 и далее. На данный момент опубликовано 17 стандартов данного семейства. Приступим к описанию.

По стандарту ISO 27001:2005 информационная безопасность - это: "обеспечение конфиденциальности, целостности и доступности информации; также возможно обеспечение и других свойств, таких как аутентичность, идентифицируемость, отказоустойчивость и надежность"

Стоит разделить все стандарты на 4 группы:

    - Стандарты для обзора и введения в терминологию; - Стандарты, определяющие обязательные требования к СУИБ (система управления информационной безопасностью); - Стандарты, определяющие требования и рекомендации для аудита СУИБ; - Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ.

Давайте рассмотрим каждый стандарт из данного семейства.

Стандарты для обзора и введения в терминологию. К данной группе можно отнести первый стандарт семейства: ISO 27000. ISO 27000 включает в себя: информационные технологии, средства обеспечения безопасности, системы менеджмента информационной безопасности а также обзор и словарь. Другими словами, стандарт описывает основные определения, которые используются в стандартах информационной безопасности.

Стандарты, определяющие обязательные требования к СУИБ. Данная группа включает в себя всего лишь один стандарт: ISO 27001. Суть этого стандарта заключается в описании информационных технологий, методов и средств обеспечения безопасности, менеджмента информационной безопасности и выявлении требований. Стоит сказать, что это основной стандарт группы. ISO 27001 определяет требования к разработке, внедрению и улучшению менеджмента информационной безопасности.

Стандарты, определяющие требования и рекомендации для аудита СУИБ. В отличие от предшествующих групп, в данную - можно включить три стандарта: ISO 27006, ISO 27007, ISO 27008. Не сложно догадаться, что данные стандарты включают в себя указания и требования для аудита информационной безопасности. Однако давайте рассмотрим каждый стандарт отдельно. ISO 27006 включает в себя: описание информационных технологий, средств обеспечения информационной безопасности и требования для организаций, которые выполняют аудит систем менеджмента информационной безопасности. ISO 27007 описывает два первых пункта ISO 27006, а также указания для аудита систем менеджмента информационной безопасности. Данный стандарт очень полезен для аудиторов организаций. ISO 27008 включает в себя руководство для аудитор по мерам обеспечения ИБ. Данный стандарт специализирован на аудите информационной безопасности в организации.

Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ. Эта группа включает в себя оставшиеся стандарты семейства 27000, а именно стандарты:

    - ISO 27002; - ISO 27003; - ISO 27004 - ISO 27005 - ISO 27011 - ISO 27031 - ISO 27033 - ISO 27034 - ISO 27035 - ISO 27799 (специализированной руководство СУИБ в здравоохранении) - ISO 24762

Приступим к описанию данных стандартов. ISO 27002 включает в себя описание средств обеспечения информационной безопасности, а так же свод практики менеджмента информационной безопасности. Данный стандарт предоставляет указания для внедрения, разработки, поддержки и совершенства СУИБ. Можно назвать это основным стандартом для консультантов. В отличие от ISO 27002, ISO 27003 предоставляет руководство по осуществлению контроля информационной безопасности. Стандарт дает указания и методику для процессов разработки и внедрения СУИБ. Измерения менеджмента ИБ предоставлено в ISO 27004. Данный стандарт рассчитан для проектирования, выбора, улучшения методов измерения эффективности системы. ISO 27005 помогает рассмотреть различные методы защиты, а также управления рисками при ИБ. Можно назвать данный стандарт самым важным в группе, так как рассмотрение рисков является основой при обеспечении информационной безопасности. ISO 27011 специализируется на телекоммуникациях. Основа стандарта заключается в описании обеспечения информационной безопасности по СУИБ в телекоммуникационных организациях. Любая компания проводит глубокий анализ по обеспечению непрерывности своего бизнеса. Стандарт ISO 27031 поможет в этом. В нем можно найти руководство по менеджменту ИБ для телекоммуникаций.

Информационную безопасность можно разделить на несколько типов. Сетевая безопасность является одним из типов ИБ. Методы защиты информации и обеспечение сетевой безопасности подробно описаны в стандарте ISO 27033. Также здесь можно найти информацию о различных угрозах, методах проектирования сетевой инфраструктуры.

ISO 27034 несет терминологический характер. Здесь можно узнать информацию о безопасности приложений, а также методах обеспечения безопасности данного программного обеспечения. Об управлении инцидентами по ИБ можно узнать из ISO 27035. Данный стандарт является одним из ценных стандартов в группе развития и совершенствования СУИБ.

Последние два стандарта являются специализированными. ISO 27799 специализируется на здравоохранении. Он описывает информатику в здравоохранении. ISO 24762 относится к информационным и коммуникационным технологиям. В нем описаны методы защиты, а также рекомендации по услугам для аварийного восстановления ИКТ. В данной главе были описаны все возможные стандарты данного семейства. Группа стандартов ISO 27000 получила очень серьезное развитие в последние годы.

Обзор отечественных стандартов

Исторически сложилось, что в России проблемы информационной безопасности изучались и своевременно решались, специализировавшись на охране государственной тайны. Проанализировав принятые стандарты в России, можно сказать, что она очень отстает от Европы. На сегодняшний день насчитывается порядка 30 отечественных стандартов.

Проблема защиты информации на предприятиях имеет свои особенности, которые необходимо учитывать, поскольку они оказывают серьезное влияние на информационную безопасность (ИБ).

Приоритет экономических факторов. Необходимо максимально снизить финансовые потери и предоставить пользователям возможность получать прибыль. Важным условием при этом, в частности, является минимизация типично банковских рисков (например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т. п.). Необходимо обеспечить открытость проектирования, которая будет предусматривать разработку системы защиты информации.

Юридическая значимость коммерческой информации, которую можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с законодательством Российской Федерации.

В 1999 году, был введен международный стандарт ISO 15408, который в области обеспечения ИБ имел большое значение, как для разработчиков компьютерных ИС, так и для их пользователей. Стандарт ISO 15408-2002 стал своего рода гарантией качества и надежности сертифицированных по нему программных продуктов.

ГОСТ Р ИСО/МЭК 15408-2002 состоит из трех частей. Часть 1 (ГОСТ Р ИСО/МЭК 15408-1 "Введение и общая модель") устанавливает общий подход к формированию требований безопасности и оценке безопасности.

На их основе происходит разработка основных конструкций, которые представляют требования безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ.

Часть 2 (ГОСТ ИСО/МЭК 15408-2 "Функциональные требования безопасности") содержит различные функциональные требования безопасности и предоставляет возможность их детализации и расширения.

Часть 3 (ГОСТ ИСО/МЭК 15408-3 "Требования доверия к безопасности") включает систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.

ГОСТ 50739 описывает способы защиты от несанкционированного доступа. Данный стандарт устанавливает единые функциональные требования к защите средств вычислительной техники (СВТ) от несанкционированного доступа (НСД) к информации; к составу документации на эти средства, а также номенклатуру показателей защищенности СВТ, описываемых совокупностью требований к защите и определяющих классификацию СВТ по уровню защищенности от НСД к информации.

ГОСТ Р 50922-96 несет методологический характер. Он включает в себя основные термины и определения по информационной безопасности.

Защита от вирусов является первостепенной задачей при защите информационно безопасности. ГОСТ Р 51188-98 содержит в себе типовое руководство по по испытанию ПО на наличие вирусных программ. "Настоящий стандарт распространяется на испытания программных средств (ПС) и их компонентов, цели которых - обнаружить в этих ПС и устранить из них компьютерные вирусы (KB) силами специальных предприятий (подразделений), и устанавливает общие требования к организации и проведению таких испытаний" - ГОСТ 51188-98.

ГОСТ 51275-99 описывает общие положения о защите информационной безопасности и некоторые факторы, которые на нее воздействуют.

ГОСТ 7498-1 и ГОСТ 7498 - 2 описывают базовую эталонную модель информационной технологии по защите информационной безопасности. Можно сказать, что эти стандарты являются библией специалистов ИБ. В одном этих стандартов указано описание данной эталонной модели, в то время как в другой, описана архитектура защита информации в открытых системах.

Последующие три стандарта специализируются на криптографической защите. Первый из них включает в себя описание алгоритма криптографического образования. По некоторым сведениям, история этого шифра гораздо более давняя. Алгоритм, положенный впоследствии в основу стандарта, родился, предположительно, в недрах Восьмого Главного управления КГБ СССР. ГОСТ 34 10 описывает различные методы по проверке подлинности электронной подписи. Данный стандарт также включает в себя алгоритм, однако, не для защиты информации, а для формирования проверки цифровой подписи. Последний стандарт несет программистский характер. ГОСТ 3411 -91 описывает функцию хэширования. "Хеширование (иногда "хэширование", англ. hashing) - преобразование по детерминированному алгоритму входного массива данных произвольной длины в выходную битовую строку фиксированной длины", - сообщает сайт Википедии.

Сравнительный анализ зарубежных и отечественных стандартов

На сегодняшний день количество европейских стандартов в разы превышает отечественные. Примером может случить тот факт, что вступило в силу порядка 30 отечественных стандартов. Проведя обзор ISO 27000 являющимся семейством стандартов, которые насчитывает порядка 19 стандартов, можно сделать вывод о заочном проигрыше отечественных стандартов. Однако если мы проведем сравнительный анализ, то увидим, что основы, которые способствуют минимальной защите ИБ, присутствуют в России.

Критерием нашего сравнения будет служить четыре группы, которые мы выделили, при описании ISO 27000.

Терминология. К данной группе относится по одному стандарту из каждого стандарта - отечественного и зарубежного. В каждом из стандартов даны четкие определения информационной безопасности. Одна есть и отличия. Отечественный стандарт больше специализируется на терминологии защиты информации и угроз ее потери. В данном стандарте преобладают такие определения как защита информации от утечки, защита информации от разглашения, система защиты информации, цель защиты информации. Европейский стандарт больше специализируется на правах доступа к информации отдельных лиц. В ISO 27000 можно увидеть информацию о таких определениях как аутентификация, доступность, конфиденциальность, событие, результативность. Вполне возможно, что такое отличие в практически одинаковых названиях стандартов связано с отличием менталитета в Европе от России.

Определение требований к СУИБ. В данную группу опять же входят по одному стандарту из зарубежного и отечественного стандарта. Стандарт ISO 27001 от зарубежных стран и ГОСТ 15408 в трех главах от России. Европейский стандарт описывает четко и ясно алгоритм внедрения системы моделирования информационной безопасности. Ниже я предоставлю 4 первых пункта.

    1. Первый этап. - Осознать цели и выгоды внедрения СМИБ - Получить поддержку руководства на внедрение и ввод в эксплуатацию СМИБ - Распределить ответственность по СМИБ 2. Второй этап. Организационный - Создать группу по внедрению и поддержке СМИБ - Обучить группу по внедрению и поддержке СМИБ - Определить область действия СМИБ 3. Третий этап. Первоначальный анализ СМИБ - Провести анализ существующей СМИБ - Определить перечень работ по доработке существующей СМИБ 4. Четвертый этап. Определение политики и целей СМИБ - Определить политику СМИБ - Определить цели СМИБ по каждому процессу СМИБ

Отечественные стандарт разделен на 3 главы для описания полноты процесса. В первой главе происходит описание некоторых определений и предоставляется алгоритм обеспечения ИБ. Во второй главе происходит описание функциональных требований к информационной безопасности, которые также представлены в виде списка. Третья также как и вторая содержит правила в виде списка, однако, предоставляя требования для доверия к безопасности. Зарубежные стандарты рассматривают все это в отдельных стандартах, не смешивая это так, как делает Россия.

Требования и рекомендации аудита СУИБ. ГОСТ 51 -275 99 а также ГОСТ 7498 -1 можно отнести к данной группе. Базовая эталонная система обеспечения безопасности открытых систем - вот, что предоставила Россия Европе. Подробное рассмотрение модели и описание того, как должна быть структурирована открытая система для проведения аудита и обеспечения качественной защиты ИБ - вот, что включает в себя данный стандарт. Так же как и предыдущих стандарт, она разделен на две главы, однако, здесь, это упрощает понимание. Анализ факторов, которые могут быть использованы для защиты информации, вместе с эталонной моделью предоставляют хотя и неполные, однако достаточные сведения для аудита СУИБ.

Европейские стандарты отличаются краткостью и лаконичностью своих изъяснений. Их стандарт даже называется как "требования для аудита информационной безопасности".

Предложение лучшей практики внедрения, развития и совершенствования СУИБ.

Здесь, априори, первенство занимают европейские стандарты. Стоит отметить, что они выигрывают количеством в данной группе. Четкое и ясное название стандартов, например, "свод практики менеджмента информационной безопасности", предоставляет проектирование, выбор, улучшение методов измерения эффективности системы. Более того, присутствие специализированных стандартов в области здравоохранения, являются огромным плюсом в европейских стандартах. Это доказывает тот факт, что заграницей информационная безопасность распространена везде на все слои информации индивидуума. Другими словами, защита происходит не только от краж, то и от разглашения фамилии или заболеваний, если того хочет человек. Специализация российских стандартов направлена на сохранения материального статуса компаний и человека. Защита банковских карт, счетов в банке, номера кредитных карт: все это защищено. К этой группе можно отнести стандарты, относящиеся к криптографической защите, а также к стандартам, специализирующимся на испытания ПО на наличие вирусов.

Похожие статьи




Обзор и сравнение семейства стандартов информационной безопасности ISO 27000 и отечественных стандартов - Информационная безопасность на предприятии

Предыдущая | Следующая