Управление безопасностью предприятия. Международные стандарты

При построении КСЗИ большое значение имеет разработка концепции управления безопасностью предприятия. Создание системы управления информационной безопасностью (СУ И Б) должно базироваться на требованиях и рекомендациях норматив­ных и правовых актов. Однако до недавнего времени в России в области стандартизации организационных основ информацион­ной безопасности (ИБ) существовал определенный пробел, затрагивались лишь отдельные аспекты рисков бизнес-процессов (ГОСТ 15.002, серия 9000, 51901 и др.) [5|. Активность в данном направ­лении до сих пор проявлял лишь Банк России, выпустивший свой стандарт ИББС-1.0. Однако в связи с планируемым вступлением России в ВТО повысилась актуальность внедрения популярных в мире стандартов по организационным основам ИБ серии 270хх. Гехнический комитет по стандартизации ТК-362, который уже много лет занимается вопросами адаптации указанных стандартов. в мае 2007 г. подготовил первые версии проектов ГОСТ 17799 И 27001 (табл. 1.1).

При внедрении организационных стандартов появляется воз­можность добровольной сертификации не только систем качества (как это сейчас происходит, на соответствие стандартам серии 4000), но и СУИБ. Зачастую такие требования уже выдвигают за­падные партнеры наших предприятий.

Кроме того, проведение сертификации СУИБ компании позволяет: обосновать затраты на эту систему; оценить ее эффективность; определить приоритеты КСЗИ.

Например, в ряде случаев уровень безопасности можно значительно повысить организационными мерами, не прибегая при этом к существенным капиталовложениям.

Особую актуальность внедрению организационных стандартов ИБ придает развитие нового вида услуг в данной области — страхование рисков И Б. Имеются данные, что организации, обладаю­щие международными сертификатами соответствия стандартам СУИБ, получают скидки, сопоставимые с затратами на проведе­ние сертификации [5].

В настоящее время комитетом ISO/IEC JTC 1/SC27 ведется разработка стандартов для систем управления информационной безопасностью (СУИБ) серии 2700х. Разработаны и планирова, разработать следующие стандарты (сведения на лето 2007 г.): . ISO27000 — определения и основные принципы СУИБ; . 1SO27001:2005 — этот стандарт уже внедряется фирмами в Г«1>. которые не дожидаются его перевода;

. 1SO27002 — в апреле 2007 г. заменяет ISO 17799:2005; . ISO27003 — руководство по внедрению СУИБ (2007 г.); . ISO27004 — оценка эффективности СУИБ (2007 г.); . ISO27005 — управление рисками И Б (в его основе лежит IS 7799-3 : 2006, планируемый выпуск — в 2007 г.).

Осенью 2006 г. был опубликован ГОСТ Р ИСО/МЭК 17799-1005, являющийся переводом стандарта ISO 17799: 2000 (к сожа-ИПП1Ю, его, а не более современного 17799:2005). По мнению «иалитиков известного Интернет-ресурса CNews, качество рус­скою текста оставляет желать лучшего, так что рекомендуется читать ISO 17799:2005, причем в оригинале.

Кроме того, в 2007 г. в РФ планировались перевод и прямое применение следующих стандартов:

ISO/1EC 18045: 2005 — методология оценки безопасности ИТ; . ISO/IEC TR 18044:2004 — управление инцидентами ИБ; . ISO/PRF TR I3569.2, ISO/TR 13569:1997 — рекомендации по ИБ при предоставлении финансовых услуг.