"ComputerWorld Россия", 9 июля 2002 г.Павел Рудаков - консультант по аналитике и маркетингу компании NV Consuming.
Стандарт построения эффективной системы безопасности ISO 17799, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов, описывает комплексный подход к управлению информационной безопасностью.
В соответствии со стандартом ISO 17799, при создании эффективной системы безопасности особое внимание следует уделить комплексному подходу к управлению информационной безопасностью. По этим причинам в качестве элементов управления рассматриваются не только технические, но и организационно-административные меры, направленные на обеспечение следующих требований к информации: конфиденциальность; целостность; достоверность; доступность.
Нарушение любою из них может повлечь за собой значительные потери, как в виде убытков, так и в виде неполученною дохода. Для обеспечения указанных требований в стандарте перечислены основные области управления информационной безопасностью:
Каждая область информационной безопасности подробно детализирована и представляет собой совокупность элементов безопасности.
Полный набор элементов стандарта ISO 17799 всесторонне обеспечивает защиту информации, рассматривая весь спектр организационных вопросов. Это позволяет поддерживать уровень безопасности и не допускать появления "слабых мест".
В России стандарт ISO 17799 может применяться достаточно широко, так как несет в себе информацию о комплексном подходе к обеспечению защиты данных. В отличие от зарубежных компаний, отечественные организации ввиду быстрых темпов их развития имеют гораздо больше уязвимых мест, что вынуждает руководителей ИТ-отделов применять мировые стандарты в области информационной безопасности, адаптируя их в каждом конкретном случае и дополняя на основе собственного опыта.
С практической точки зрения, стандарт ISO 17799 может применяться как средство аудита системы информационной безопасности, К примеру, некоторые программные продукты, основанные на этом стандарте (в частности, CORBA ISO 17799 Consultant), представляют процесс аудита в виде анкетирования. Полный процесс аудита в этом случае можно представить в виде четырех последовательных этапов.
Анкетирование - заполнение анкет одним или несколькими сотрудниками, ответственными за обеспечение информационной безопасности.
Определение элементов, соответствующих выдвинутым в стандарте требованиям к системе информационной безопасности.
Выявление элементов, нуждающихся в дополнительной защите (определение "слабых мест").
Выдача рекомендаций по улучшению защиты для выявленных на предыдущем этапе элементов.
Примером таких рекомендаций в области "Управление доступом" может служить процедура регистрации пользователей, определенная в результате выявления "слабого места" в системе безопасности. Процедура регистрации пользователей должна выполнять следующие условия:
К недостаткам стандарта можно отнести поверхностное освещение материала, который позволяет, только обозначить области информационной безопасности, не конкретизируя их.
Преимуществом ISO 17799 является простота его применения и адаптации на практике. Кроме того, стандарт не зависит от конкретных технических средств и решений, что, с одной стороны, не показывает, как реализовывать защиту того или иного элемента, но с другой - обеспечивает свободу выбора платформ, оборудования, производителей и т.п.