Такие уроки не должны проходить бесследно, и несколько лет назад Британский Институт Стандартов (BSI) при поддержке группы коммерческих организаций, среди которых были Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и другие, приступил к разработке стандарта информационной безопасности, получившего впоследствии обозначение BS7799. При разработке стандарта ставилась задача обеспечения государственных и коммерческих организаций инструментом для создания эффективных систем информационной безопасности на основе современных методов менеджмента. В редакции 1998 г. стандарт является обобщением действительно самых передовых достижений в организации информационной безопасности на предприятии и в учреждении.

BS7799 - система менеджмента
Стандарт BS7799 определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т. д. в контексте информационной безопасности. В процессе внедрения стандарта создается так называемая система менеджмента информационной безопасности, цель которой -- сокращение материальных потерь, связанных с нарушением информационной безопасности. Важно, что стандарт призван как раз сэкономить предприятию средства, а в некоторых случаях даже спасти от банкротства, и не является каким-то внешним обязательным требованием, приводящим к появлению дополнительной статьи расходов.

BS7799 - это модель системы менеджмента, и в этом смысле не является техническим стандартом. Например, BS7799 не предписывает использование каких-то определенных алгоритмов шифрования. Единственный пункт стандарта (всего их более 100), непосредственно регламентирующий шифрование, содержит буквально следующее требование: «Особо важная информация должна быть зашифрована». Что считать важной информацией и как производить шифрование, предприятие должно решить самостоятельно, основываясь на общих принципах применения стандарта. Официальное Руководство по применению стандарта, правда, содержит ряд рекомендаций необязательного характера по этому вопросу, однако и они являются весьма общими. Следует подчеркнуть, что данный подход к информационной безопасности на основе целей менеджмента, а не фиксированных технических спецификаций, является принципиальным для BS7799 как стандарта системы управления.

Пример с криптографией взят не случайно. Большая часть российских специалистов по информационной безопасности занимается техническими аспектами защиты данных, причем многие сосредоточиваются именно на криптографии. Сказывается влияние длительного периода, когда в нашей стране защитой информации занимались лишь военные и спецслужбы, стремящиеся, как правило, к максимальной закрытости. Таким образом, в этих ведомствах в основном решалась задача обеспечения наибольшей конфиденциальности. Создавшийся в результате некоторый дисбаланс в сторону технических средств, безусловно, не соответствует требованиям дня. Дело в том, что перед коммерческими и государственными хозяйственными организациями стоит более сложная задача: не только обеспечить надежную защиту информации, но также организовать эффективный доступ к данным и нормальную работу с ними. Именно эта идея лежит в основе стандарта BS7799.

Структура стандарта
BS7799 содержит 109 элементов управления информационной безопасностью, распределенных по нескольким группам.

ПОЛИТИКА В ОБЛАСТИ БЕЗОПАСНОСТИ
Цель: обеспечить четкое управление и поддержку политики в области информационной безопасности со стороны руководства предприятия.

ОРГАНИЗАЦИЯ СИСТЕМЫ БЕЗОПАСНОСТИ
Цель: создать организационную структуру, которая будет внедрять и обеспечивать работоспособность системы информационной безопасности в организации.

КЛАССИФИКАЦИЯ РЕСУРСОВ И УПРАВЛЕНИЕ
Цель: поддерживать адекватную информационную безопасность организации путем возложения персональной ответственности, а также классификации информационных ресурсов по необходимости и приоритету защиты.

БЕЗОПАСНОСТЬ И ПЕРСОНАЛ
Цель: уменьшить риск человеческих ошибок, хищений и неправильного использования оборудования, в том числе путем эффективного обучения и внедрения механизма отслеживания инцидентов.

ФИЗИЧЕСКАЯ И ВНЕШНЯЯ БЕЗОПАСНОСТЬ
Цель: предотвратить несанкционированный доступ, повреждение и нарушение работы информационной системы организации.

МЕНЕДЖМЕНТ КОМПЬТЕРОВ И СЕТЕЙ
Цель: обеспечить безопасное функционирование компьютеров и сетей.

УПРАВЛЕНИЕ ДОСТУПОМ К СИСТЕМЕ
Цель: управлять доступом к деловой информации, предотвращать несанкционированный доступ и обнаруживать несанкционированную деятельность.

РАЗРАБОТКА И ОБСЛУЖИВАНИЕ СИСТЕМЫ
Цель: обеспечить выполнение требований безопасности при создании или развитии информационной системы организации, поддерживать безопасность приложений и данных.

ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ РАБОТЫ
Цель: подготовить план действий в случае чрезвычайных обстоятельств для обеспечения непрерывности работы организации.

СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ
Цель: обеспечить выполнение требований соответствующего гражданского и уголовного законодательства, включая законы об авторских правах и защите данных.

Такая структура позволяет выбрать те средства управления, которые имеют отношение к конкретной организации или сфере ответственности внутри организации. Выделено также десять так называемых ключевых элементов управления, являющихся фундаментальными. Считается, что эти элементы имеют отношение ко всем организациям в самых различных условиях.

1. Политика по информационной безопасности.
   
2. Распределение ответственности за информационную безопасность.
   
3. Образование и тренинг по информационной безопасности.
   
4. Отчетность по инцидентам с безопасностью.
   
5. Защита от вирусов.
   
6. Обеспечение непрерывности работы.
   
7. Контроль копирования лицензируемого программного обеспечения.
   
8. Защита архивной документации организации.
   
9. Защита персональных данных.
   

Реализация политики по информационной безопасности.

Из вышеизложенного видно, что наряду с элементами управления для компьютеров и компьютерных сетей стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом (прием на работу, обучение, увольнение с работы), обеспечению непрерывности производственного процесса, юридическим требованиям.

Как это работает?
Далеко не все 109 пунктов стандарта применимы в условиях абсолютно каждой организации. Поэтому авторами стандарта был выбран подход при котором стандарт используется как некое «меню», из которого следует выбрать элементы, применимые в данных конкретных условиях. Этот выбор проводится на основе оценки риска и тщательно обосновывается.

Как известно, в математической статистике риск определяется как произведение возможной потери на вероятность того, что эта потеря произойдет. Под потерями понимаются материальные потери, связанные с нарушением следующих свойств информационного ресурса:

конфиденциальность - защищенность информации от несанкционированного доступа;
целостность - защищенность информации от несанкционированного изменения, обеспечение ее точности и полноты;
доступность - возможность пользоваться информацией, когда это требуется, работоспособность системы.

Важно, что данный стандарт не сосредоточивается лишь на обеспечении конфиденциальности. В коммерческих организациях с точки зрения возможных материальных потерь вопросы целостности и доступности данных зачастую более критичны.

В упрощенном виде анализ риска сводится к ответам на следующие вопросы:

Что может угрожать нашим информационным ресурсам (компьютерам, средствам связи, данным и т. д.)?
Какова подверженность этим угрозам, т. е. что может произойти с тем или иным информационным ресурсом?
Если это произойдет, то насколько тяжелыми будут последствия? Каков возможный ущерб?
Насколько часто следует ожидать подобных происшествий?
Существуют различные способы анализа риска: от простейших таблиц до сложных компьютеризованных методов, требующих специальной подготовки. Выбор применяемого метода зависит от условий организации. Главное, чтобы в результате такого анализа стал возможным обоснованный выбор из «меню» BS7799, который оформляется в виде Декларации по применимости. После этапа планирования и разработки системы следует длительный период внедрения. Конечно, систему менеджмента информационной безопасностью нельзя просто «установить» как новый компьютер или программный пакет, она является частью системы общего управления предприятием и затрагивает все уровни организации от высшего руководства до исполнителей.

Сертификация по BS7799
BS7799 по своей идее является добровольным стандартом, т. е. государства, где BS7799 адаптирован, не требуют его обязательного выполнения соответствующими субъектами внутри страны. Собственно, в этом нет необходимости, так как выполнение стандарта выгодно в первую очередь самому предприятию. Однако, как и другие добровольные стандарты (например, стандарт качества ISO 9000 или экологический стандарт ISO 14000), BS7799 используется в контрактных отношениях. Во многих случаях партнерам и клиентам предприятия важно знать, каким образом на предприятии обеспечивается информационная безопасность. В этом случае соответствие стандарту может являться одним из условий контракта.

Формальное подтверждение соответствия стандарту дает аккредитованная сертификация. Владельцем британской сертификационной схемы является BSI (от имени Департамента по торговле и промышленности Соединенного Королевства), который и устанавливает «правила игры». В тех странах, где приняты аналоги BS7799, соответственно существуют свои схемы сертификации, в рамках которых и работают местные аудиторы. Там, где аналоги BS7799 отсутствуют (в том числе в России), в принципе возможно использование любой внешней схемы. Так как британская схема является наиболее старой и развитой, то при прочих равных условиях предпочтение часто отдается именно ей.

Для получения сертификата система менеджмента информационной безопасности предприятия оценивается аудитором BS7799. Аудитор не может одновременно являться консультантом. На этот счет существуют очень строгие правила. Аудит по BS7799 состоит из анализа документации по системе менеджмента информационной безопасности, а также выборочного контроля в организации, который позволяет убедиться, что реальная практика соответствует описанию системы.

Аккредитованную сертификацию могут предоставить лишь те сертификационные общества (такие, как DNVQA, BSI Assessment Services, Lloyd's Register QA), которые прошли аккредитацию BSI. Сертификат, выданный такой организацией, безоговорочно признается на международном уровне.

Существенный рост сертификации согласно BS7799 ожидается в связи с развитием электронной коммерции. Одновременно серьезный интерес к сертификации по BS7799 проявляется и со стороны других секторов государственной и коммерческой деятельности. К таким отраслям относятся: государственные налоговые органы и органы внутренних дел, банки, финансовые компании, торговые фирмы, телекоммуникационные компании, медицинские учреждения, предприятия транспорта и туристические фирмы и т. д. Быстрое развитие BS7799 и большой интерес к нему свидетельствуют о том, что соответствие новому стандарту информационной безопасности станет важным условием коммерческого успеха в начале нового столетия.