Журнал ИКС

Разделы сайта

• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Ближайшие события

Дмитрий КОСТРОВ

04 декабря 2008

Зачем операторам стандарты информационной безопасности

Работа операторов связи имеет важную особенность: нарушения информационной безопасности в их сетях могут обусловливать отказы в предоставлении услуг, что приводит к потере доверия клиентов. А значит, для операторов связи (в отличие от компаний из других отраслей) обеспечение ИБ является производственной задачей.

Унифицированная, поддерживаемая в любых сетях защита операторских ресурсов невозможна без стандартизации правил и характеристик сетей. Понятие «стандартизация» определено в ФЗ «О техническом регулировании» как «деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и повышение конкурентоспособности продукции, работ и услуг». На базе этого определения сформулирована основная цель стандартизации: оптимальное упорядочение защиты информации за счет многократного использования установленных требований и норм для решения имеющихся, планируемых или потенциальных задач.

Помимо основной цели ясно просматриваются и другие, тесно с ней связанные. Например, среди таких «вложенных» целей – создание мер информационной защиты, адекватных реальным угрозам, предотвращение и/или снижение ущерба от инцидентов, повышение эффективности мероприятий по обеспечению ИБ и качества управления ИБ-системой, рост доверия клиентов, наконец, достижение стабильной работы компании.

Стандартизация позволяет построить полноценную многофункциональную ИБ-систему, эффективно управлять ею и постоянно поддерживать заданный уровень защищенности. Одновременно решается не менее важная задача формирования единых требований к обеспечению ИБ на предприятии.

К сожалению, в телекоммуникационной отрасли еще нет единых правил организации системы ИБ (в отличие, например, от банковского сектора). Необходимо разработать отраслевой стандарт обеспечения ИБ, который станет референтной моделью для всех предприятий отрасли. А пока каждое предприятие самостоятельно решает, как защищать свою информацию. Так, компания «Межрегиональный ТранзитТелеком» (МТТ) создала корпоративные стандарты обеспечения ИБ, внедрила их у себя, проверила методику аудита ИБ и теперь готова предложить свои наработки как первую версию отраслевых нормативов.

Стандарты защиты информации телекоммуникационных предприятий должны отвечать на два вопроса: чему соответствовать и как оценивать достигнутое? В МТТ это позволила сделать разработка не двух, а трех стандартов. На первый вопрос отвечает стандарт «Обеспечение информационной безопасности. Общие положения». Но для оценки системы обеспечения ИБ недостаточно лишь проверять ее соответствие установленным требованиям: необходима и унифицированная методика такой проверки, без которой полученные результаты окажутся несопоставимыми. Поэтому ответом на второй вопрос стали два стандарта – «Обеспечение информационной безопасности. Аудит информационной безопасности» и Методика оценки соответствия информационной безопасности требованиям стандарта предприятия «Обеспечение информационной безопасности. Общие положения».

Общие положения

Основу первого из упомянутых стандартов составили требования, казалось бы, далекие от технических. И не случайно.

Простота и понятность положений стандарта необходимы для его эффективного применения.

То же самое можно сказать о непротиворечивости введенных в стандарте терминов и определений. В случае нарушения этого требования следует уточнить определения.

Разделы корпоративного стандарта Общие принципы обеспечения ИБ организации. Модель угроз и нарушителей информационной безопасности компании. Общие требования к обеспечению ИБ. Аудит и мониторинг информационной безопасности организации. Специальные требования к обеспечению ИБ. Система управления информационной безопасностью. Обеспечение непрерывности ведения бизнеса. Модель зрелости процессов управления ИБ компании. Направления развития стандарта, принципы его пересмотра.

Системность – обязательное условие учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, связей, условий и факторов.

Комплексность позволяет учесть как общие принципы защиты информации, так и требования, специфичные для телекоммуникационной отрасли.

Открытость обусловливает возможность развития стандарта, последующей разработки и интеграции в него документов, которые уточняют, дополняют и детализируют положения базового стандарта.

Разумная достаточность определяет важность правильного выбора требований к процессу обеспечения ИБ. В стандарте подчеркивается, что меры информационной защиты должны быть адекватны реальным угрозам.

Прямое действие стандарта необходимо, чтобы для его применения не требовалась разработка дополнительных нормативных или распорядительных документов. Для выполнения этого принципа положения стандарта формулируются максимально лаконично и конкретно. А поскольку объектом стандартизации должны быть все процессы и действия, связанные с обеспечением ИБ, требование «прямого действия» распространяется на компанию в целом.

Обязательна гармонизация стандарта с отечественными и международными документами, стандартизирующими область ИБ или представляющими наилучшие практики (в том числе нужна гармонизация с техническими отчетами, рабочими и другими документами). Подчеркнем: предыдущий принцип («прямого действия») подразумевает, что в состав отраслевого стандарта могут войти наилучшие практики и изложение опыта решения проблем защиты.

Механизмы актуализации стандарта – его неотъемлемая часть. Могут изменяться содержимое и статус такого документа, выпускаться изменения и дополнения к нему, появляться замещающие его стандарты. Регулярные обновления стандарта позволяют гарантировать соответствие процесса обеспечения ИБ действующим нормам и требованиям.

Корпоративный стандарт создавался для телекоммуникационной компании, поэтому в нем, помимо общих (основных) требований к информационной защите, применимых в любой отрасли, фигурируют и нормы, которые обусловлены спецификой отрасли связи.

Мозаика аудитов

Одним из направлений, позволяющих определить уровень защиты информации в компании, является аудит. Он нацелен на получение свидетельств аудита ИБ и их оценку для определения степени выполнения установленных критериев. Мировой опыт свидетельствует, что в непрерывном цикле управления ИБ предприятия аудит – один из важнейших процессов.

Зарубежные стандарты аудита ИБ • ISO/IEC 27001:2005. Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. • BIP 0072:2005. Рабочая книга по оценке соответствия стандарту ISO/IEC 27001. • BIP 0073:2005. Руководство по внедрению и аудиту средств управления по стандарту ISO/IEC 27001. • ISO 19011: 2002. Руководящие указание по аудиту систем менеджмента качества и/или систем экологического менеджмента. • Control Objectives for Information and related Technology, CobiT («Цели управления для информационных и смежных технологий»). • IS Standards, Guidelines and Procedures for Auditing and Control Professionals («Стандарты, руководящие указания и процедуры для специалистов по аудиту и управлению информационными системами»; опубликованы советом по стандартам ISACA на основании требований стандарта CobiT для поддержки аудиторской деятельности).

За рубежом действуют различные стандарты, имеющие прямое или косвенное отношение к проведению аудита ИБ. В России общепринятого стандарта на аудит информационной безопасности, опирающегося на проверенные мировой практикой подходы, пока нет (возможно, этот крайне необходимый метастандарт появится в ближайшем будущем). В таких условиях для телекоммуникационного предприятия самое разумное решение – разработка собственного стандарта, в котором можно учесть специфику компании, ее потребности, используемые технологии и принципы обеспечения ИБ.

Основой для его создания могут стать действующие в нашей стране документы, которые регулируют аудиторскую деятельность, преимущественно при оценке достоверности финансовой отчетности:

– ФЗ «Об аудиторской деятельности» – правовые аспекты независимой проверки бухгалтерского учета, финансовой (бухгалтерской) отчетности организаций и индивидуальных предпринимателей;

– федеральные правила (стандарты) аудиторской деятельности – требования к порядку аудиторской деятельности, оформлению и оценке качества аудита;

– стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» – требования к проведению внешнего аудита ИБ организаций банковской системы России.

Кроме того, разработан проект Концепции аудита информационной безопасности систем информационных технологий и организаций, в котором фигурируют основные принципы создания системы аудиторской деятельности в сфере обеспечения ИБ.

Хотя упомянутые документы посвящены в основном финансовой отчетности, они содержат и положения, применимые не только к финансовому аудиту, но и к аудиту ИБ. Эти положения определяют принципы аудита, этапы его проведения, формы представления результатов, профессиональную этику, и именно они стали основой для формирования подходов к аудиту ИБ в стандарте МТТ. Однако критерии оценки ИБ и требования к ней пришлось разрабатывать отдельно.

При создании стандарта «Аудит ИБ» были использованы российские и зарубежные нормативные документы. Стандарт Банка России «Аудит информационной безопасности», устанавливающий нормы внешнего аудита ИБ организаций банковской сферы, позволил сформировать корпоративные требования к внутреннему и внешнему аудиту. При разработке положений по проведению аудита учтены тезисы стандарта ISO 19011 «Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента». Стандарт ISO/IEC 27001 использован для выработки норм проведения аудитов СУИБ.

Что и как проверять

Цели и задачи аудита ИБ – Оценка защищенности информационных ресурсов. – Оценка полноты и качества выполнения требований к обеспечению ИБ. – Определение соответствия законодательным требованиям, стандартам ИБ, нормативным документам и политикам защиты информации. – Оценка результативности управления ИБ для достижения конкретных целей. – Определение областей совершенствования защиты информации.

Основная задача аудита – оценка защиты информации в компании, а цель его проведения – определение технических средств и комплекса организационных мер, которые обеспечат безопасность информационных ресурсов и противодействие угрозам. Аудит ИБ дает как детальную информацию об уровне ИБ в сети оператора, так и возможность принимать обоснованные решения по защите информационной системы предприятия и инфраструктуры сети.

Стандартизация аудита ИБ позволяет построить полноценную многофункциональную систему обеспечения ИБ и управления ею (СИБ и СУИБ), достигнуть заданных уровней защищенности информационных ресурсов предприятия. Правда, есть небольшая загвоздка: русскоязычная терминология для СИБ и СУИБ еще не устоялась и порой в разных документах одни и те же понятия обозначены различными терминами. И это тоже стало причиной стандартизации в МТТ.

При разработке корпоративного стандарта аудита ИБ компания руководствовалась теми же требованиями, что были сформулированы для «Общих положений» (простота и понятность, непротиворечивость и др.). Кроме того, аудит ИБ определен в стандарте как систематический, независимый и документированный процесс, нацеленный на получение свидетельств аудита и их объективную оценку для установления степени выполнения критериев аудита.

Следует подчеркнуть, что аудит ИБ предприятий связи не подменяет государственного контроля над состоянием ИБ ключевых объектов телекоммуникационной инфраструктуры России. То же относится к организациям любой формы собственности, которые владеют конфиденциальной информацией, требующей защиты в соответствии с законодательством РФ, или являются ее пользователями.

Аудит ИБ является одним из важнейших компонентов непрерывного цикла процессов управления ИБ организации. По форме он может быть внутренним и внешним, а по типу – аудитом первой стороны (например, внутренним), второй стороны (выполняемым аудиторами клиентов) или третьей (осуществляемым независимыми органами сертификации). Внутренний аудит ИБ проводит сама компания (или эксперт от ее имени); его результаты могут служить основанием для принятия декларации о соответствии требованиям стандартов или нормативных документов по обеспечению ИБ. Увы, для аудитов ИБ и ИС второй и третьей сторон в России пока отсутствует законодательная и нормативная база. Мало того, соответствующих правовых норм нет и в ведомствах (т.е. на отраслевом уровне), что затрудняет регулирование отношений между заказчиком и аудитором, между государственными органами аттестации и компаниями.

Периодические аудиты ИБ должны предотвратить возможное нанесение субъектам информационных отношений материального, физического, морального или иного ущерба. Такой аудит позволяет обнаруживать бреши в СИБ и разрабатывать превентивные меры защиты от случайного или преднамеренного несанкционированного вмешательства в функционирование телекоммуникационных и информационных систем, от незаконного доступа к циркулирующим в них сведениям и их использования.

Требования МТТ к планированию и проведению аудита ИБ сформулированы с учетом целей, функций и бизнес-задач компании. Так, управление программой аудита ИБ должно выполняться в рамках цикла «Планирование – Реализация – Оценка – Корректировка» (цикл PDCA: Plan – Do – Check – Act, см. рисунок). Заключения по результатам аудита ИБ могут указывать на необходимость предупреждающих или корректирующих действий. Такие действия не являются частью стандартного аудита ИБ, и решение об их выполнении обычно принимает руководство. Вместе с тем завершение и результаты корректирующих действий должны быть верифицированы, а верификация может стать частью последующего аудита ИБ.

Подчеркнем: программа аудита ИБ телекоммуникационной компании может предусматривать последующее выполнение членами аудиторской группы определенных действий, но тогда следует позаботиться о независимости экспертов при последующих аудитах.

Как оценивать результаты проверки

Оценка соответствия – один из основных видов проверки ИБ в компании. Она позволяет выявить состояние и уровень обеспечения ИБ в рамках управления СИБ, а также служит отправной точкой для определения и достижения необходимых уровней защищенности информационных ресурсов. Стандарт «Методика оценки соответствия информационной безопасности требованиям стандарта предприятия» регламентирует оценку соответствия стандарту «Общие положения». Опора на «Методику» гарантирует применение унифицированных подходов и способов оценки при определении уровня соответствия ИБ требованиям «Общих положений» по следующим составляющим:

- текущий уровень ИБ;

- уровень зрелости процессов управления ИБ;

- уровень осознания важности обеспечения ИБ.

Этот стандарт позволяет не только получить воспроизводимые результаты аудита ИБ, но и создать методическую базу для регулярного контроля над состоянием ИБ. Главная задача «Методики» – определение состава показателей ИБ и способов их оценки, а также методов оценки текущего уровня ИБ и зрелости процессов защиты в зависимости от степени выполнения требований.

Все показатели оцениваются экспертами. Для этого анализируются нормативные, распорядительные, программные и другие документы предприятия, имеющие отношение к проверяемым областям ИБ. Важный момент – уточнение полученной информации путем опросов работников и наблюдения за их работой (проводятся интервьюирование, анкетирование и т.п.).

Остается лишь резюмировать: важность разработки отраслевых стандартов обеспечения ИБ телекоммуникационных компаний не вызывает сомнений и создание соответствующих корпоративных нормативов позволяет сделать первые шаги в этом направлении.

Заметили ошибку в тексте? Выделите её мышью и нажмите Ctrl+Enter. Спасибо!