Отрадно, что рынок понимает важность и необходимость ИБ, и его внимание к вопросам ИБ неустанно растет.
Чтобы объяснить эту тенденции далеко ходить не надо: на слуху громкие компрометации информационных систем, которые приносят существенные финансовые и репутационные потери. В ряде случаев они стали и вовсе необратимыми для конкретного бизнеса. Таким образом безопасность собственной информации для организации становится не только залогом ее бесперебойной работы, но и критерием надежности для ее партнеров и клиентов.
Рынок играет по единым правилам, а критерии для измерения уровня текущей защищенности и эффективности процессов управления ИБ едины для всех его игроков. В их роли выступают стандарты, которые призваны помочь компании создать требуемый уровень защиты информации. К самым популярным в банковской сфере России можно отнести стандарт ISO/IEC 27000, стандарт Банка России по обеспечению информационной безопасности организаций банковской системы и стандарт безопасности данных инфраструктуры платежных карт PCI DSS.
Международная Организация по Стандартизации (ISO) и Международная Электротехническая Комиссия (IEC) разработали и опубликовали стандарты серии ISO/IEC 27000. Они содержат рекомендации к построению системы управления информационной безопасности. Аккредитованные компании-аудиторы имеют право совершать сертификацию по стандартам, руководствуясь заложенными в них требованиями.
Отсутствие строгого требования по выполнению Стандарта для участников российского рынка выливается в то, что его распространенность достаточно низкая. Например, в одной только Японии число компаний, удачно прошедших аудит по выполнению требования международного стандарта, больше аналогичного показателя для России и стран СНГ почти в 200 раз.
При этом нельзя не отметить, что в этот расчет не попадают компании, которые по факту выполняют требования Стандарта, но не прошли формальную сертификацию. Иными словами, на территории России и стран СНГ есть множество компаний, решивших выстроить процессы управления и поддержания уровня ИБ не ради «галочки» в виде сертификата соответствия, а для реальной пользы. Все дело в том, что часто стандарты серии 27000 являются первым шагом в развитии систем ИБ. А их использование в качестве ориентира - тот базис, которые предполагает дальнейшее строительство и развитие эффективной системы менеджмента ИБ.
ИББС СТО БР - достаточно близкий ISO/IEC 27001 стандарт, созданный Банком России для организаций банковской сферы, призванный обеспечить приемлемый уровень текущего уровня информационной безопасности и процессов управления безопасностью банков. Основными целями при создании были заявлены - повышение уровня доверия к банковской сфере, обеспечение защиты от угроз безопасности и снижение уровня ущерба от инцидентов ИБ. Стандарт является рекомендательным и до версии 2010 года особой популярностью не пользовался.
Активное внедрение ИББС СТО БР началось с выхода версии стандарта, включающей в себя требования по обеспечению безопасности персональных данных, и последующего за этим информационного письма, определяющего принятие к выполнению требований стандарта альтернативным путем выполнения законодательства в области обеспечения безопасности персональных данных. На настоящий момент по неофициальной статистике порядка 70% банков приняли стандарт Банка России в качестве обязательного к выполнению.
Стандарт ИББС БР является достаточно динамично развивающимся комплектом документов, с адекватными современным угрозам требованиями к обеспечению и управлению информационной безопасности. Использование его в Банках уже становится де-факто необходимым, несмотря на официальный рекомендательный статус, для организаций нефинансовой сферы документы комплекса ИББС могут послужить набором хороших практик в обеспечении безопасности информации.
Наконец, еще один крайне важный для финансовых организаций стандарт - Payment Card Industry Data Security Standard (PCI DSS, Стандарт безопасности данных индустрии платежных карт). Он был создан по инициативе пяти крупнейших мировых платежных систем - Visa, MasterCard, JCB, American Express и Discover, организовавших Совет по безопасности индустрии платежных карт (PCI SSC). Обслуживание платежных карт должно осуществляться по единым правилам и соответствовать определенному уровню ИБ. Очевидно, что безопасность - ключевой фактор при использовании технологий, связанных с денежными средствами. Поэтому защита данных платежных карт - это приоритетная задача любой платежной системы.
Ключевое отличие стандарта PCI DSS от перечисленных выше - его обязательное применение для всех организаций, обрабатывающих платежные карты. При этом требования к оценке соответствия достаточно гибкие - они зависят от числа обрабатываемых транзакций: от самостоятельной оценки до прохождения сертификационного аудита. Последний проводится компанией, имеющей статус PCI QSA.
Ключевой особенностью появления стандарта PCI DSS было обозначение крайних сроков по приведению к соответствию. Это привело к тому, что большинство крупных игроков индустрии платежных карт проделали работу по выполнению требований. В результате это отразилось на общем уровне защищенности как отдельных участников, так и всей индустрии безналичной оплаты.
Хотя появление стандарта и было инициативой крупнейших игроков индустрии платежных систем, он может найти свое применение и стать ориентиром для организаций, с этой индустрией не связанных. Главное преимущество его использования - постоянные обновления и, как следствие, актуальные меры и рекомендации по снижению угроз ИБ.
Применение стандартов и соответствие их требованиям, несомненно, является хорошей практикой и большим шагом вперед при выстраивании системы информационной безопасности. Но, к сожалению, есть примеры того, как сам факт соответствия не гарантирует высокий уровень защищенности. Действие сертификата распространяется на определенный период, когда процедуры, сделанные исключительно для формального соответствия, перестают работать. Таким образом может получиться, что состояние системы ИБ в организации на момент проведения аудита не соответствует оценке, сделанной через полгода.
К тому же при анализе возможных рисков нельзя исключать человеческий фактор, который может означать ошибку самих аудиторов в определении области проверки, состава проверяемых компонентов и общих выводах.
В заключение хотелось бы отметить, что соответствие стандартам не отменяет постоянный процесс обеспечения безопасности критичной информации. Идеальной безопасности не бывает, но использование разных инструментов позволяет добиться максимального уровня ИБ. Стандарты ИБ являются как раз таким инструментом.
Оценить:
0 4
Рассмотрим наиболее известные международные стандарты в области информационной безопасности.
Стандарт ISO 17799 «Практические правила управления информационной безопасностью» рассматривает следующие аспекты ИБ:
Основные понятия и определения;
Политика информационной безопасности;
Организационные вопросы безопасности;
Классификация и управление активами;
Вопросы безопасности, связанные с персоналом;
Физическая защита и защита от воздействий окружающей среды;
Управление передачей данных и операционной деятельностью;
Контроль доступа;
Разработка и обслуживание систем;
Управление непрерывностью бизнеса;
Внутренний аудит ИБ компании;
Соответствие требованиям законодательства.
Важное место в системе стандартов занимает стандарт ISO 15408 «Общие критерии безопасности информационных технологий», известный как «Common Criteria». В «Общих критериях» проведена классификация широкого набора требований безопасности информационных технологий, определены структуры их группирования и принципы использования.
Важной составляющей системы стандартов является инфраструктура открытых ключей PKI (Public Key Infrastructure). Эта инфраструктура подразумевает развертывание сети центров сертификации ключей и использование цифровых сертификатов, удовлетворяющих рекомендации X.509
Российские стандарты по информационной безопасности
ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России
ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России
ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России
ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России
ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования
ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения
ГОСТ Р 53131-2008 (ИСО/МЭК ТО 24762-2008). Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения
ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России
ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России
ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средста обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий
ГОСТ Р ИСО/МЭК ТО 13335-4-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 4. Выбор защитных мер
ГОСТ Р ИСО/МЭК ТО 13335-5-2007. Информационная технология. Методы и средста обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети
ГОСТ Р ИСО/МЭК 15408 -1-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий . Часть 1. Введение и общая модель. Госстандарт России
ГОСТ Р ИСО/МЭК 15408-2-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России
ГОСТ Р ИСО/МЭК 15408-3-2008. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России
ГОСТ Р ИСО/МЭК ТО 15443-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы
ГОСТ Р ИСО/МЭК ТО 15443-2-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 2. Методы доверия
ГОСТ Р ИСО/МЭК ТО 15443-3-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 3. Анализ методов доверия
ГОСТ Р ИСО/МЭК17799- 2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью
ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности
ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
ГОСТ Р ИСО/МЭК27001- 2006. Методы и средства обеспечения безопасности.Системы менеджмента информационной безопасности . Требования
ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
ГОСТ Р ИСО/МЭК 27005-2009. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности
ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции
ГОСТ 28147 -89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования .
ГОСТ Р 34.10 -2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи .
ГОСТ Р 34.11 -94 Информационная технология. Криптографическая защита информации. Функции хэширования .
Весьма важным является семейство международных стандартов по управлению информационной безопасностью серии ISO 27000 (которые с некоторой задержкой принимаются и в качестве российских государственных стандартов). Отдельно отметим ГОСТ/ISO 27001 (Системы управления информационной безопасностью), ГОСТ/ISO 27002 (17799) (Практические правила управления информационной безопасностью)
Технологии межсетевых экранов
Межсетевой экран (МЭ) - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. МЭ также называют брандма́уэр (нем. Brandmauer ) или файрво́л (англ. firewall ). МЭ позволяет разделить общую сеть на 2 части и реализовать набор правил, определяющий условия прохождения пакетов с данными через экран из одной части сети в другую. Обычно МЭ устанавливается между корпоративной (локальной) сетью и сетью Интернет, защищая внутреннюю сеть предприятия от атак из глобальной сети, но может защищать и локальную сеть от угроз из корпоративной сети.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
