Для построения системы информационной безопасности необходимо прочное основание — путеводитель, который поможет избежать ошибок, оценить полноту и надежность системы информационной безопасности.
Как уже упоминалось в статье Информационная безопасность. Вид снаружи и внутри., в Украине создано множество нормативных документов по информационной безопасности. Может обратить свой взор на них? Если система информационной безопасности создается для государственных органов, то здесь деваться некуда – требования всех этих документов там обязательны к исполнению. Ежели система информационной безопасности создается для частного бизнеса, то есть несколько весомых причин, почему бы я настоятельно рекомендовал этого не делать:
1. Требования национальных украинских документов по информационной безопасности даже по отношению к конфиденциальной информации, которая не составляет государственную тайну, очень высоки. Не обдумав этот момент можно воскликнуть: «Так ведь это прекрасно!». Но это верно только при варианте, когда защита информации – это все, а рентабельность бизнеса – ничто. Выполнение всех национальных украинских требований к информационной безопасности во-первых очень сильно (и практически всегда необоснованно) увеличит бюджет, расходуемый на информационную безопасность, во-вторых очень сильно затруднит выполнение бизнес-процессов и тем самым станет препятствием к достижению основной цели бизнеса – получению прибыли.
2. Требования национальных украинских документов по информационной безопасности зачастую неполны и противоречивы. Это вызвано их большим количеством, несгрупированностью, несвоевременным их пересмотром.
3. Требования национальных украинских документов по информационной безопасности зачастую устаревшие и неактуальные.
4. Требования национальных украинских документов по информационной безопасности ориентированы в первую очередь на государственные структуры и практически не учитывают реалий бизнеса. Из личного опыта известно, что изначально требования и образцы документов по информационной безопасности рождаются в спецслужбах, откуда потом переписываются с незначительными изменениями другими государственными министерствами и ведомствами. Получаются практически одинаковые требования как для Службы безопасности Украины, так и для, например, Министерства статистики. А кто в бизнесе даст построить «полицейское государство»?
Так чем же тогда пользоваться? Я думаю, хоть это и звучит непатриотично, нужно обратиться к международному опыту. И это будет, естественно, семейство международных стандартов ISO 27000. На конец 2008 года приняты следующие стандарты информационной безопасности этого семейства:
— ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования
— ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью (ранее ISO/IEC 17799:2005).
— ISO/IEC 27005:2008 Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности.
— ISO/IEC 27006:2007 Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью.
Первые два можно найти в интернете даже на русском языке. Россия, в отличии от Украины, приняла стандарт ISO/IEC 27002:2005 на государственном уровне – ГОСТ Р ИСО\МЭК 17799-2005 (правда мне больше нравится перевод с английского, чем вариант российского стандарта).
Последние два – скорее всего нет. Но для практической работы последний стандарт не особо нужно.
Что касается отсутствия в свободном доступе стандарта по управлению рисками, то я бы рекомендовал ознакомиться с майкрософтофским «Руководством по управлению рисками безопасности», который доступен в интернете на русском, и «Управлением рисками организаций» COSO (более предпочтителен первый документ, второй более общий и тяжелее читается).
Главным же путеводителем в создании системы информационной безопасности должен стать ISO/IEC 27002:2005. Это должна быть настольная книжка любого специалиста по информационной безопасности. Просматривая свой опыт работы по информационной безопасности, я не нахожу ни одного вопроса, который не был бы изложен в этом стандарте.