О внедрении ГОСТ ИСО/МЭК 17799 и 27001

О внедрении ГОСТ ИСО/МЭК 17799 и 27001

С.А. Леденко
эксперт по информационной безопасности
А.С. Марков
эксперт по информационной безопасности
И.А. Чикалев
эксперт по информационной безопасности

ДО НЕДАВНЕГО ВРЕМЕНИ в нашей стране в области стандартизации организационных основ информационной безопасности (ИБ) существовал определенный пробел, затрагивались лишь отдельные аспекты рисков бизнес-процессов (ГОСТ 15.002, серия 9000, 51901 и др.). Ситуация несколько изменилась с появлением Стандарта Банка России ИББС-1.0. Однако в связи с планируемым вступлением России в ВТО повысилась актуальность внедрения популярных в мире стандартов по организационным основам ИБ серии 27000. Технический комитет по стандартизации ТК-362, который уже много лет занимается вопросами адаптации указанных стандартов, в мае текущего года подготовил первые версии проектов ГОСТ 17799 и 27001 (см. табл. 1).

Неоспоримые преимущества

Важным аспектом внедрения организационных стандартов является возможность добровольной сертификации не только систем качества, но и систем управления информационной безопасностью (ИБ). Помимо тендерных преимуществ, проведение сертификации системы управления ИБ компании позволяет:

• обосновать затраты на эту систему;
• проверить ее эффективность;
• расставить акценты в системе ИБ.

К примеру, в ряде случаев уровень безопасности можно значительно повысить организационными мерами, не прибегая при этом к существенным капиталовложениям.

Особую актуальность внедрению организационных стандартов И Б придает развитие нового вида услуг в данной области - страхование рисков ИБ. Имеются данные, что организации, обладающие международными сертификатами соответствия стандартам системы менеджмента ИБ (СМИБ), получают скидки, сопоставимые с затратами на проведение сертификации.

Актуальные стандарты

К общепризнанным в мире организационным стандартам по ИБ относятся:

• ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management1;
• ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements.

В основе указанных стандартов лежит британский стандарт BS 7799-95, состоящий из 2 частей: рекомендации и обязательные требования. В 1999 г. по согласованию с Британским институтом стандартов был принят международный стандарт ISO/IEC 17799, базирующийся на британском стандарте BS 7799-1 (часть 1), а в 2005 г. -принят ISO/IEC 27001, отражающий BS 7799-2 (часть 2).

В настоящее время актуальны стандарты реализации 2005 г. В декабре 2005 г. появился также новый британский стандарт BS 7799-3:2005 Information Security Management Systems. Guidelines for Information Security Risk Management (Системы управления ИБ. Руководство по управлению рисками ИБ). По своей сути стандарт ISO/IEC 17799:2005 является практическим руководством по созданию системы обеспечения ИБ организации и определяет 133 регулятора ИБ (меры, средства, механизмы, контрмеры), сгруппированные по 11 разделам. Стандарт может стать основой для разработки, например, корпоративной политики безопасности или торгового соглашения между компаниями. Поскольку он носит сугубо рекомендательный характер, экспертиза организаций по нему не предусматривается. Сертификация СМИБ производится на соответствие стандарту ISO/IEC 27001:2005, который определяет комплекс требований к СМИБ (вытекающих из стандарта ISO/IEC 17799) и формирует спецификации для создания, внедрения, эксплуатации, мониторинга, пересмотра, сопровождения и совершенствования СМИБ. Наличие сертификации по стандарту ISO/IEC 27001 позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление ИБ, а это в свою очередь способствует росту капитализации компании.

Краткие итоги сертификации СМИБ

В новом тысячелетии многие организации проявили интерес к стандартам BS 7799/ISO 17799, что выразилось в желании пройти сертификацию по BS 7799-2. Стимулом послужил рост информационных технологий и активная реализация их практически во всех сферах жизнедеятельности. Вследствие этого была выстроена система сертификации, создан международный регистр сертификатов соответствия СМИБ стандарту BS 7799-2. В создании регистра участвовали Департамент торговли и промышленности Великобритании и международная группа пользователей СМИБ (ISMS IEG) в кооперации с международной сетью сертифицирующих органов. Так как стандарт ISO/IEC 27001 практически полностью копирует BS 7799-2:2005, то и схема сертификации по новому международному стандарту сохранилась прежней, а выданные ранее сертификаты на соответствие BS 7799-2 остаются общепризнанными.

Статистика внедрения стандартов построена на анализе международного регистра выданных сертификатов соответствия и представлена в табл. 2-4.

Лидером по числу сертификации компаний является Япония, за ней следуют Великобритания и Индия. Остальные страны имеют количество сертификатов менее 100. Всего в мире получено около 2700 сертификатов соответствия BS 7799-2 и ISO/IEC 27001 в 65 странах.

Обращают на себя внимание ограниченные масштабы внедрения стандартов BS 7799-2 и ISO 27001 в США: при глобальных масштабах сертификации и аудита ИБ в стране насчитывается всего 39 сертифицированных по данным стандартам продуктов. Видимо, этот факт объясняется наличием достаточно представительного спектра национальных стандартов в области И Б (серия стандартов Национального института стандартов США SP 800) и набора рекомендаций по их практическому применению в условиях законодательной специфики США (например, акт Сарбаниса-Оксли), а также широким распространением стандартов аудита CobiT, COSO и др.

Для обеспечения системы сертификации СМИБ в настоящее время в мире аккредитовано в качестве органов сертификации 53 организации из ряда европейских стран, а также Японии, Сингапура, США и Индии. Кроме того, создан институт официально зарегистрированных сертифицированных  базы по организационным основам ИБ позволит принципиально поднять общий уровень информационной безопасности российских предприятий и организаций. Это произойдет за счет возможности формализованного использования накопленного годами зарубежного опыта по созданию систем управления ИБ, представленного в виде справочного комплекса рекомендаций и требований.В высокоразвитых странах компании, руководство которых связывает дальнейшее развитие бизнеса с эффективным управлением ИБ, имеют существенно более высокие рейтинги.

Сам факт выполнения компанией требований стандартов ISO/IEC 27001 обеспечивает ей серьезное конкурентное преимущество на цивилизованном рынке. Сертификация системы управления ИБ -один из этапов сертификации качества всей системы организации, при этом управление информационной безопасностью, несомненно, является одной из важнейших задач менеджмента. Осуществляя сертификацию продуктов по ГОСТ 15408 и сертификацию системы управления ИБ российские предприятия смогут сделать серьезную заявку на участие в безопасном глобальном информационном пространстве.