1.5. Управление безопасностью предприятия. Международные стандарты

При построении КСЗИ большое значение имеет разработка концепции управления безопасностью предприятия. Создание системы управления информационной безопасностью (СУИБ) должно базироваться на требованиях и рекомендациях норматив­ных и правовых актов. Однако до недавнего времени в России в области стандартизации организационных основ информацион­ной безопасности (И Б) существовал определенный пробел, затра­гивались лишь отдельные аспекты рисков бизнес-процессов (ГОСТ 15.002, серия 9000, 51901 и др.) [5]. Активность в данном направ­лении до сих пор проявлял лишь Банк России, выпустивший свой стандарт ИББС-1.0. Однако в связи с планируемым вступлением России в ВТО повысилась актуальность внедрения популярных в мире стандартов по организационным основам И.Б серии 270хх. Технический комитет пр стандартизации ТК-362, который уже много лет занимается вопросами адаптации указанных стандар­тов, в мае 2007 г. подготовил первые версии проектов ГОСТ 17799 и 27001 (табл. 1.1).

При внедрении организационных стандартов появляется воз­можность добровольной сертификации не только систем качества (как это сейчас происходит, на соответствие стандартам серии 9000), но и СУИБ. Зачастую такие требования уже выдвигают за­падные партнеры наших предприятий.

Кроме того, проведение сертификации СУИБ компании по­зволяет: обосновать затраты на эту систему; оценить ее эффек­тивность; определить приоритеты КСЗИ.

Например, в ряде случаев уровень безопасности можно значи­тельно повысить организационными мерами, не прибегая при этом к существенным капиталовложениям.

Особую актуальность внедрению организационных стандартов И Б придает развитие нового вида услуг в данной области — стра­хование рисков И Б. Имеются данные, что организации, обладаю­щие международными сертификатами соответствия стандартам СУИБ, получают скидки, сопоставимые с затратами на проведе­ние сертификации [5].

В настоящее время комитетом ISO/IEC JTC 1/SC27 ведется разработка стандартов для систем управления информационной безопасностью (СУИБ) серии 2700х. Разработаны и планирова­лось разработать следующие стандарты (сведения на лето 2007 г.):

. ISO27000 — определения и основные принципы СУИБ;

. ISO27001:2005 — этот стандарт уже внедряется фирмами в РФ, которые не дожидаются его перевода;

. ISO27002 — в апреле 2007 г. заменяет ISO 17799:2005;

. ISO27003 — руководство по внедрению СУИБ (2007 г.);

. 1SO27004 — оиенка эффективности СУИБ (2007 г.);

. IS027005 — управление рисками ИБ (в его основе лежит BS 7799-3:2006, планируемый выпуск — в 2007 г.).

Осенью 2006 г. был опубликован ГОСТ Р ИСО/МЭК 17799-2005, являющийся переводом стандарта ISO 17799:2000 (к сожа­лению, его, а не более современного 17799:2005). По мнению аналитиков известного Интернет-ресурса CNews, качество рус­ского текста оставляет желать лучшего, так что рекомендуется читать ISO 17799:2005, причем в оригинале.

Кроме того, в 2007 г. в РФ планировались перевод и прямое применение следующих стандартов:

. ISO/IEC 18045:2005 — методология оценки безопасности ИТ;

. ISO/IEC TR 18044:2004 — управление инцидентами ИБ;

. ISO/PRF TR 13569.2, ISO/TR 13569:1997 - рекомендации по ИБ при предоставлении финансовых услуг.

Т аблица 1.1 Основные положения российских организацмонных стандартов по ИБ.