• Главная
    • /
  • Блог
    • /
  • Програмні засоби перевірки політики безпеки на відповідність ISO 17799

Програмні засоби перевірки політики безпеки на відповідність ISO 17799

  1. Міжнародний стандарт управління інформаційною безпекою ISO 17799
  2. Критерії проведення аудиту безпеки інформаційних систем
  3. Міжнародний стандарт безпеки інформаційних систем ISO 17799
  4. ISO 17799 в країнах СНД і Росії
  5. Переваги, які компанія після проходження сертифікації по ISO 17799
  6. Практика проходження аудиту та отримання сертифікату ISO 17799
  7. Програмні засоби перевірки політики безпеки на відповідність вимогам ISO 17799
  8. Cobra
  9. КОНДОР +

Cobra і КОНДОР

Міжнародний стандарт управління інформаційною безпекою ISO 17799

Критерії оцінки захищеності інформаційних систем

Яке питання найчастіше задають керівники вищої ланки компанії ІТ-менеджерам і фахівцям з інформаційної безпеки? Думаю, що це очевидно: «Наскільки захищена наша інформаційна система?». Це питання дійсно є наріжним каменем інформаційної безпеки і тим самим «тонким» місцем, яке зазвичай намагаються уникати фахівці з безпеки. Оцінити захищеність інформаційної системи досить складно ... але, як відомо, можна. Для цього існують, в основному, якісні методи оцінки рівня захищеності, які на виході дозволяють одержати не кількісну оцінку ( «система захищена на 4.2 бала або на 58%»), а якісну - система відповідає певному класу або рівню захищеності; того чи іншого стандарту безпеки. Кількісні методи оцінки на практиці не знайшли свого застосування. Застосування якісних методів оцінки є на сьогоднішній день єдиним способом отримати уявлення про реальний рівень захищеності інформаційних ресурсів компанії.

Критерії проведення аудиту безпеки інформаційних систем

Перейдемо до наступної частини і згадаємо, яке питання зазвичай є ключовим при проведенні аудиту безпеки. Зазвичай, це питання про стандарт безпеки, перевірку на відповідність якому буде виконувати аудитор. У Росії звичною практикою при проведенні аудиту є виконання даних робіт без прив'язки до якого-небудь критерію або стандарту - аудитор обмежується оцінкою поточного рівня захищеності і виробленні рекомендацій щодо його підвищення відповідно до свого розуміння про рівні та критерії захисту. Загалом, це нормальна практика, коли компанія довіряє обраному експерту або групі експертів, але проводити аудит, грунтуючись тільки на оцінці експертів, не враховуючи світовий досвід і існуючі стандарти безпеки, на сьогоднішній день практично неприпустимо.

Міжнародний стандарт безпеки інформаційних систем ISO 17799

Кілька років тому Британський інститут стандартів (BSI) за участю комерційних організацій, таких як Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica і інших, зайнявся розробкою стандарту інформаційної безпеки. У 1995 році був прийнятий національний стандарт BS 7799 управління інформаційною безпекою організації незалежно від сфери діяльності компанії. Служба безпеки, IT-відділ, керівництво компаній почали працювати відповідно до загального регламенту. Неважливо, чи йшла мова про захист паперового документообігу або електронних даних.

Британський стандарт BS 7799 підтримується в 27 країнах світу, в числі яких країни Британської Співдружності, а також, наприклад, Швеція та Нідерланди. У 2000 році міжнародний інститут стандартів ISO на базі британського BS 7799 розробив і випустив міжнародний стандарт менеджменту безпеки ISO / IEC 17799. Можна сказати, що BS 7799 і ISO 17799 це один і той же стандарт, який має на сьогоднішній день світове визнання.

Нижче наведені основні розділи стандарту ISO 17799:

  1. Політика безпеки
  2. Організаційні заходи щодо забезпечення безпеки
    • Управління форумами з інформаційної безпеки
    • Координація питань, пов'язаних з інформаційною безпекою
    • Розподіл відповідальності за забезпечення безпеки
  3. Класифікація та управління ресурсами
    • інвентаризація ресурсів
    • Класифікація ресурсів
  4. Безпека персоналу
    • Безпека під час натискання та роботі з персоналом
    • Тренінги персоналу з питань безпеки
    • Реагування на сек'юріті інциденти і несправності
  5. фізична безпека
  6. Управління комунікаціями і процесами
    • Робочі процедури та відповідальність
    • Системне планування
    • Захист від зловмисного програмного забезпечення (вірусів, троянських коней)
    • Управління внутрішніми ресурсами
    • управління мережами
    • Безпека носіїв даних
    • Передача інформації та програмного забезпечення
  7. Контроль доступу
    • Бізнес вимоги для контролю доступу
    • Управління доступом користувача
    • відповідальність користувачів
    • Контроль і управління віддаленого (мережевого) доступу
    • Контроль доступу до операційної системи
    • Контроль і управління доступом до додатків
    • Моніторинг доступу та використання систем
    • Мобільні користувачі
  8. Розробка та технічна підтримка обчислювальних систем
    • Вимоги з безпеки систем
    • Безпека додатків
    • криптографія
    • Безпека системних файлів
    • Безпека процесів розробки і підтримки
  9. Управління безперервністю бізнесу
    • Процес управління безперервного ведення бізнесу
    • Безперервність бізнесу та аналіз впливів
    • Створення та впровадження плану безперервного ведення бізнесу
    • Тестування, забезпечення і переоцінка плану безперервного ведення бізнесу
  10. Відповідність системи основним вимогам
    • Відповідність вимогам законодавства
    • Аналіз відповідності політики безпеки
    • Аналіз відповідності технічним вимогам
    • Аналіз відповідності вимогам системного аудиту

ISO 17799 в країнах СНД і Росії

В останні кілька років ISO 17799 почав впевнено просуватися в країнах СНД. У Молдові, наприклад, завдяки позиції Національного Банку вже більше року всі банки проходять регулярну перевірку на відповідність ISO 17799. Найближчим часом в Молдові ISO 17799 отримає статус державного стандарту.

В Україні також існують плани прийняття даного стандарту в якості державного - цю позицію озвучив представник Служби Безпеки України, який виступав в 2002 році в Києві на одному з семінарів компанії Digital Security.

У Росії стандарт ISO 17799 поки не має статус державного. Однак можна чекати зміни в недалекому майбутньому подібної ситуації. Державна Технічна Комісія при Президентові РФ вже відмовилася від використання власних стандартів захищеності автоматизованих систем і приймає ГОСТ 15408 (ISO 15408). Можливо, що те ж саме в найближчі роки відбудеться і з ISO 17799 та нам слід готуватися до появи в Росії ГОСТу 17799.

Переваги, які компанія після проходження сертифікації по ISO 17799

Які переваги отримує компанія, яка провела аудит безпеки своїх інформаційних ресурсів і отримала сертифікат відповідності системи управління інформаційної безпеки за стандартом ISO 17799?

Перш за все, після проведення аудиту інформаційна система компанії стає «прозорішою» для менеджменту, виявляються основні загрози безпеці для бізнес-процесів, виробляються рекомендації щодо підвищення поточного рівня захищеності для захисту від виявлених загроз і по усуненню недоліків в системі безпеки і управління. В результаті компанії пропонується комплексний план внесення змін до системи управління інформаційною безпекою, як для підвищення реального рівня захищеності, так і для відповідності стандарту.

Сертифікація на відповідність стандарту ISO 17799 (BS 7799) дозволяє наочно показати діловим партнерам, інвесторам і клієнтам, що в компанії налагоджено ефективне управління інформаційною безпекою. Це забезпечує компанії додаткову конкурентну перевагу.

Крім того, говорячи про сертифікацію по ISO 17799, варто взяти до уваги узгоджену з СОТ процедуру прийняття Росії до цієї організації. Ця процедура зажадає адекватної реакції від найбільш значущих в економіці Росії структур і адаптації стратегії розвитку в області інформаційних технологій з урахуванням міжнародних стандартів безпеки, таких як ISO 17799.

Практика проходження аудиту та отримання сертифікату ISO 17799

Для отримання сертифіката відповідності ISO 17799 компанія повинна пройти процедуру аудиту інформаційної безпеки, провести підготовку інформаційної системи на відповідність вимогам стандарту, впровадити зміни і провести остаточну перевірку відповідності стандарту. Дану роботу доцільно розбити на кілька етапів.

Попередній етап полягає в проведенні аудиту, на підставі якого проводиться підготовка необхідних змін системи управління інформаційною безпекою. Його може виконати спеціалізована компанія, що має досвід у проведення подібних робіт.

Потім, після підготовки комплекту необхідних документів та внесення змін до системи, необхідно провести підсумкову перевірку відповідності стандарту ISO 17799, для чого потрібна участь фахівців однієї з консалтингових компаній, які володіють ексклюзивним правом видачі даного сертифікату та мають акредитацію при United Kingdom Accreditation Service ( UKAS ), Уповноваженому державному органі Великобританії. Також, відзначимо, що в даний час до виходу 2-ий частини ISO 17799 - вимоги до аудиторам, яка намічена на 2004 рік, офіційна сертифікація можливо тільки по BS 7799. Однак між ISO і UKAS існує угода, згідно з яким після прийняття другої частини ISO 17799 всі сертифікати BS 7799 автоматично отримають статус ISO 17799.

Програмні засоби перевірки політики безпеки на відповідність вимогам ISO 17799

Розглянемо далі програмні продукти, що використовуються для перевірки відповідності політики інформаційної безпеки вимогам стандарту ISO 17799 - британський програмний комплекс Cobra (компанія C & A Systems Security Ltd ) І російський КОНДОР (компанія Digital Security ).

Cobra

Британська Cobra від компанії C & A Systems Security Ltd являє собою продукт, що дозволяє аудитору провести перевірку відповідності інформаційної системи вимогам ISO 17799. Cobra, як і будь-який продукт даного класу, є експертну систему, завдання якої, опитавши ІТ-менеджера, зробити висновок про відповідність системи ISO 17799.

На першому етапі користувач вибирає розділ стандарту, на питання по якому йому належить відповідати.
На першому етапі користувач вибирає розділ стандарту, на питання по якому йому належить відповідати

Далі, відповівши на всі питання по кожному розділу,
Далі, відповівши на всі питання по кожному розділу,

можна, попередньо налаштувавши параметри звіту,
можна, попередньо налаштувавши параметри звіту,

подивитися звіт системи і оцінити ступінь відповідності існуючої політики безпеки стандарту.
подивитися звіт системи і оцінити ступінь відповідності існуючої політики безпеки стандарту

Вартість продукту становить $ 895 і $ Рік: 1995 за систему з модулем аналізу ризиків базового рівня.

До недоліків системи Cobra можна віднести:

  • застарілий інтерфейс (незважаючи, на те що, даний продукт є в цій області одним з найбільш відомих на заході, його розробники з якихось причин не займаються модернізацією його призначеного для користувача інтерфейсу);
  • відсутність можливості установки користувачем ваги на кожну вимогу;
  • відсутність російськомовної версії;
  • виникають проблеми з генерацією звіту під Win98;
  • можлива нестабільність системи при роботі зі звітом під Win2000.

Ознайомитися з демо-версією Cobra і отримати пароль для її активації можна за адресою: http://www.riskworld.net .

КОНДОР +

Програмний продукт КОНДОР +, розроблений російською компанією Digital Security , Призначений для перевірки відповідності політики інформаційної безпеки компанії вимогам ISO 17799.

КОНДОР + включає в себе більше двохсот питань, відповівши на які, фахівець отримує звіт про стан існуючої політики безпеки, а так же модуль оцінки рівня ризиків відповідності вимогам ISO 17799.

після реєстрації
після реєстрації

користувач отримує можливість вибрати відповідний розділ стандарту ISO 17799 і відповісти на питання.
користувач отримує можливість вибрати відповідний розділ стандарту ISO 17799 і відповісти на питання

У звіті відображаються всі положення політики безпеки компанії, які відповідають і не відповідають стандарту,
У звіті відображаються всі положення політики безпеки компанії, які відповідають і не відповідають стандарту,

а також відображається існуючий рівень ризику невиконання вимог політики безпеки відповідно до стандарту.
а також відображається існуючий рівень ризику невиконання вимог політики безпеки відповідно до стандарту

До найбільш важливих елементів політики безпеки даються коментарі та рекомендації експертів.
До найбільш важливих елементів політики безпеки даються коментарі та рекомендації експертів

За бажанням фахівця, який працює з програмою, може бути обрана генерація звіту, наприклад, по якомусь одному або декількох розділів стандарту ISO 17799, загальний детальний звіт з коментарями, загальний звіт про стан політики безпеки без коментарів для подання керівництву та інші. Всі варіанти звітів для більшої наочності супроводжуються діаграмами.
За бажанням фахівця, який працює з програмою, може бути обрана генерація звіту, наприклад, по якомусь одному або декількох розділів стандарту ISO 17799, загальний детальний звіт з коментарями, загальний звіт про стан політики безпеки без коментарів для подання керівництву та інші

Крім того, КОНДОР + дає можливість фахівцеві відстежувати вносяться на основі виданих рекомендацій зміни в політику безпеки, поступово приводячи її в повну відповідність з вимогами стандарту.

Вартість продукту становить $ 225 (КОНДОР) і $ 345 (КОНДОР + з модулем аналізу ризиків базового рівня).

До недоліків КОНДОР + можна віднести:

  • відсутність можливості установки користувачем ваги на кожну вимогу;
  • відсутність можливості внесення користувачем коментарів.

Ознайомитися з демо-версією КОНДОР + можна за адресою: http://www.dsec.ru/soft/kondor.php .

Думаю, що це очевидно: «Наскільки захищена наша інформаційна система?