Стандарт ISO 17799

Назад

"ComputerWorld Россия", 9 июля 2002 г.Павел Рудаков - консультант по аналитике и маркетингу компании NV Consuming.

Определение

Стандарт построения эффективной системы безопасности ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов, описывает комплексный подход к управлению информационной безопасностью.

В соответствии со стандартом ISO 17799, при создании эффективной системы безопасности особое внимание следует уделить комплексному подходу к управлению информационной безопасностью. По этим причинам в качестве элементов управления рассматриваются не только технические, но и организационно-административные меры, направленные на обеспечение следующих требований к информации: конфиденциальность; целостность; достоверность; доступность.

Нарушение любою из них может повлечь за собой значительные потери, как в виде убытков, так и в виде неполученною дохода. Для обеспечения указанных требований в стандарте перечислены основные области управления информационной безопасностью:

  • планирование непрерывности бизнеса (обеспечивает защиту критически важных бизнес-процессов от сбоев и нарушений);
  • управление доступом (контролирует доступ к информационным ресурсам и предоставляемым услугам, а также противодействует несанкционированной активности);
  • разработка и поддержка системных и прикладных средств" (обеспечивает выполнение функций защиты информации в операционных системах и приложениях);
  • безопасность среды (предотвращает несанкционированные изменения, кражу и повреждение средств защиты и информации);
  • соответствие документам и стандартам (обеспечивает соблюдение общепринятых и внутренних правил, норм и стандартов);
  • персонал (снижает риск "человеческих ошибок" и преднамеренных нарушений, а также контролирует выполнение правил политики безопасности со стороны пользователей);
  • безопасность на уровне компании (управляет информационной безопасностью при взаимодействии с внешними объектами);
  • управление инфраструктурой (снижает риск возникновения системных сбоев, предотвращает повреждения сетевого оборудования, а также контролирует сохранение конфиденциальности, целостности и достоверности при передаче информации);
  • классификация и контроль материальных средств (обеспечивает охрану и надзор за материальными средствами организации);
  • наличие политики безопасности (определяет требования к поддержке заданного уровня безопасности).

Каждая область информационной безопасности подробно детализирована и представляет собой совокупность элементов безопасности.

Полный набор элементов стандарта ISO 17799 всесторонне обеспечивает защиту информации, рассматривая весь спектр организационных вопросов. Это позволяет поддерживать уровень безопасности и не допускать появления "слабых мест".

Сфера применения

В России стандарт ISO 17799 может применяться достаточно широко, так как несет в себе информацию о комплексном подходе к обеспечению защиты данных. В отличие от зарубежных компаний, отечественные организации ввиду быстрых темпов их развития имеют гораздо больше уязвимых мест, что вынуждает руководителей ИТ-отделов применять мировые стандарты в области информационной безопасности, адаптируя их в каждом конкретном случае и дополняя на основе собственного опыта.

С практической точки зрения, стандарт ISO 17799 может применяться как средство аудита системы информационной безопасности, К примеру, некоторые программные продукты, основанные на этом стандарте (в частности, CORBA ISO 17799 Consultant), представляют процесс аудита в виде анкетирования. Полный процесс аудита в этом случае можно представить в виде четырех последовательных этапов.

Анкетирование - заполнение анкет одним или несколькими сотрудниками, ответственными за обеспечение информационной безопасности.

Определение элементов, соответствующих выдвинутым в стандарте требованиям к системе информационной безопасности.

Выявление элементов, нуждающихся в дополнительной защите (определение "слабых мест").

Выдача рекомендаций по улучшению защиты для выявленных на предыдущем этапе элементов.

Примером таких рекомендаций в области "Управление доступом" может служить процедура регистрации пользователей, определенная в результате выявления "слабого места" в системе безопасности. Процедура регистрации пользователей должна выполнять следующие условия:

  • не отображать данные о системе до тех пор, пока полностью не завершится процедура входа пользователя в систему;
  • сообщать о том, что доступ к системе могут получить только авторизированные (зарегистрированные) пользователи;
  • не выводить сообщения-подсказки во время процедуры входа в систему, чтобы затруднить работу незарегистрированных пользователей;
  • прерывать соединение с пользователем, который предпринял попытку входа в систему, завершившуюся неудачно;
  • сообщать о корректности регистрации только после заполнения всех необходимых полей;
  • определить максимально возможное число попыток входа в систему, завершившихся неудачно (рекомендуется не более трех попыток); если лимит превышен, следует внести соответствующую запись в системный журнал и не возобновлять процедуру регистрации в течение определенного периода времени или полностью прервать сеанс работы с пользователем;
  • определить максимальное и минимальное время процедуры регистрации пользователя; если предельные значения превышены, то процедура должна быть прервана;
  • отображать информацию о дате и времени предыдущей успешной регистрации, а также полную информацию обо всех некорректных процедурах регистрации, случившихся со времени последнего входа в систему.

Плюсы и минусы ISO 17799

К недостаткам стандарта можно отнести поверхностное освещение материала, который позволяет, только обозначить области информационной безопасности, не конкретизируя их.

Преимуществом ISO 17799 является простота его применения и адаптации на практике. Кроме того, стандарт не зависит от конкретных технических средств и решений, что, с одной стороны, не показывает, как реализовывать защиту того или иного элемента, но с другой - обеспечивает свободу выбора платформ, оборудования, производителей и т.п.