Центральный банк ввел стандарт на системы информационной безопасности, базирующийся на ISO 17799

Для создания корпоративной системы информационной безопасности требуется комплексный подход: недостаточно иметь хорошие продукты, нужно еще обеспечить централизованное управление ими. И строить ее лучше по заранее намеченному плану, который, в частности, предлагается в стандарте на управление информационной безопасностью, который принят на международном уровне комитетом ISO. Об использовании этого стандарта и о системах управления информационной безопасностью шла речь на семинаре «Комплексный подход к построению систем информационной безопасности. Решения по обеспечению информационной безопасности», который совместно провели компании TopS Business Integrator, Digital Security и DNV.

Андрей Голов, ведущий специалист департамента системой интеграции компании TopS BI, рассказывает потенциальным заказчикам, как строить стандартные системы управления информационной безопасностью

В 1995 году в Великобритании был принят стандарт на управление информационной безопасностью. Этот стандарт, BS 7799, описывал принципы построения систем управления информационной безопасностью компаний. В нем также содержались примеры реализаций подобных систем управления, но первый вариант стандарта не позволял сертифицировать эти системы. Поэтому через три года появилась вторая часть документа BS 7799, в которой определялась процедура сертификации. В дальнейшем эти два стандарта были приняты международным институтом по стандартизации в качестве основы для международного стандарта ISO/IEC 17799.

По сути, стандарт ISO 17799 очень похож на систему управления качеством ISO 9000. Разница в том, что качество должно контролироваться извне отзывами пользователей, а информационная безопасность — внутренними процессами оценки и снижения информационных рисков. Есть и еще одно отличие в процедуре сертификации — она должна повторяться через определенный срок. В остальном же эти стандарты похожи: по требованиям создания специальных служб управления, постоянного совершенствования информационной безопасности, по организации бизнес-процессов для контроля рисков.

Информационный риск, который является движущей силой внедрения защитных механизмов, определяется как потенциальный ущерб от аварии или успешной атаки, помноженный на вероятность ее совершения. С изменением ценности информации и корпоративной ИС, а также вероятности происхождения неприятных событий его оценка меняется. Именно поэтому риск нужно оценивать постоянно и не допускать его выхода за определенные границы. Для надежности нужно иметь в компании специальную службу, которая занималась бы управлением информационной безопасностью. Расходы на такую службу должны составлять 3-5% бюджета на ИТ.

В России процедуру сертификации системы управления можно пройти, например, у компании DNV, которая ранее уже организовала сертификацию по стандарту ISO 9000. Однако пока в нашей стране не было прецедентов сертификации служб информационной безопасности, но такая ситуация может в скором времени измениться. Дело в том, что Банк России опубликовал в своем вестнике стандарт, который называется «Обеспечение информационной безопасности организаций банковской системы РФ». В основе его лежит стандарт ISO 17799, адаптированный к российским условиям. Стандарт подписан и введен в действие с 1 декабря 2004 года, пока является рекомендательным. Но банки и финансовые организации уже готовятся к его внедрению. Такие настроения могут стимулировать начало процедуры сертификации систем управления информационной безопасностью.

Хороший банк — устойчивый банк

Выдержки из стандарта Банка России «Обеспечение информационной безопасности организации банковской системы РФ»

9. Управление информационной безопасностью организации банковской системы РФ

9.1. Управление ИБ (информационной безопасностью. — Прим. ред.) организации банковской системы включает в себя:

  • разработку политики информационной безопасности;
  • разработку нормативно-методических документов обеспечения ИБ;
  • создание административного и кадрового обеспечения комплекса средств управления ИБ организации;
  • обеспечение штатного функционирования комплекса средств ИБ организации;
  • осуществление контроля (мониторинга) функционирования системы управления ИБ организации;
  • оценку рисков, связанных с нарушениями ИБ.

9.2. Для реализации этих задач рекомендуется иметь в составе организации службу по информационной безопасности, которую рекомендуется наделить следующими полномочиями:

  • управлять всеми планами по обеспечению ИБ организации;
  • разрабатывать и вносить предложения по изменению политики ИБ организации;
  • изменять существующие и принимать новые нормативно-методические документы по обеспечению ИБ организации;
  • выбирать средства управления и обеспечения ИБ организации;
  • контролировать пользователей;
  • контролировать активность, связанную с доступом и применением средств антивирусной защиты, а также других средств обеспечения ИБ;
  • осуществлять мониторинг событий, связанных с ИБ;
  • расследовать события, связанные с нарушениями ИБ;
  • участвовать в действиях по восстановлению работоспособности автоматизированной банковской системы после сбоев и аварий;
  • создавать, поддерживать и совершенствовать систему управления ИБ организации.