Прабатько міжнародних стандартів управління інформаційною безпекою - британський стандарт BS 7799. Його перша частина - BS 7799-1 «Практичні правила управління інформаційною безпекою» - була розроблена Британським Інститутом стандартів (BSI) в 1995 році на замовлення уряду Великобританії. Як випливає з назви, цей документ є практичним посібником з управління інформаційною безпекою в організації. Він описує 10 областей і 127 механізмів контролю, необхідних для побудови СУІБ, визначених на основі кращих прикладів зі світової практики. У 1998 році з'явилася друга частина цього британського стандарту - BS 7799-2 «Системи управління інформаційною безпекою. Вимоги та настанови щодо застосування », що визначила загальну модель побудови СУІБ і набір обов'язкових вимог для сертифікації. З появою другої частини BS 7799, що визначила, що повинна з себе представляти СУІБ, почався активний розвиток системи сертифікації в галузі управління безпекою. У 1999 році обидві частини BS 7799 були переглянуті і гармонізовані з міжнародними стандартами систем управління ISO 9001 та ISO 14001, а рік по тому технічний комітет ISO без змін прийняв BS 7799-1 в якості міжнародного стандарту ISO 17799, який згодом був перейменований в ISO 27002.
Друга частина BS 7799 переглядалася у 2002 році, а в кінці 2005 р була прийнята в якості міжнародного стандарту ISO / IEC 27001: 2005 «Інформаційні технології - Методи забезпечення безпеки - Системи управління інформаційною безпекою - Вимоги». В цей же час була оновлена і перша частина стандарту. З виходом ISO 27001 специфікації СУІБ набули міжнародного статусу, і тепер роль і престижність СУІБ, сертифікованих за стандартом ISO 27001, значно підвищилися.
BS 7799 і його міжнародні редакції поступово стали одними з найбільш важливих стандартів для галузі інформаційної безпеки. Однак, коли в серпні 2000 р в ISO обговорювалася перша редакція міжнародного стандарту ISO 17799, з труднощами вдалося досягти консенсусу. Документ викликав масу критичних зауважень з боку представників провідних ІТ держав, які стверджували, що він не відповідає основним критеріям, які висуваються до міжнародних стандартів. «Не було навіть можливості порівняти цей документ з усіма іншими роботами з безпеки, коли-небудь розглянутими в ISO», - говорить Жене Трой, представник США в технічному комітеті ISO.
Відразу кілька держав, включаючи США, Канаду, Францію і Німеччину, виступили проти прийняття ISO 17799. На їхню думку, цей документ хороший як набір рекомендацій, але не як стандарт. У США і європейських країнах до 2000 р вже була виконана величезна робота по стандартизації інформаційної безпеки. «Існує кілька різних підходів до ІТ безпеки. Ми вважали, щоб отримати дійсно прийнятний міжнародний стандарт, всі вони повинні бути прийняті до розгляду, замість того щоб взяти один з документів і прискорено його узгодити, - говорить Жене Трой. - Головний стандарт безпеки був представлений як доконаний факт, і просто не було можливості використовувати результати іншої роботи, виконаної в цій області ».
Представники BSI заперечували, що роботи, про які йде мова, стосуються в основному технічних аспектів, а BS 7799 ніколи не розглядався як технічний стандарт. На відміну від інших стандартів безпеки, таких як Commonly Accepted Security Practices and Regulations (CASPR) або ISO 15408 / Common Criteria, він визначає основні не технічні аспекти захисту інформації, представленої в будь-якій формі. «Він повинен бути таким, так як призначається для будь-яких видів організацій та зовнішніх оточень, - говорить представник BSI Стів Тайлер (Steve Tyler). - Це документ з управління інформаційною безпекою, а не каталог ІТ продуктів ».
Незважаючи на всі заперечення, авторитет BSI (що є засновником ISO, основним розробником міжнародних стандартів і головним органом по сертифікації в світі) переважив. Була запущена процедура прискореного узгодження, і стандарт незабаром був прінят.Основним гідністю ISO 17799 та споріднених йому стандартів є їх гнучкість і універсальність. Описаний в ньому набір кращих практик можна застосувати практично до будь-якої організації, незалежно від форми власності, виду діяльності, розміру і зовнішніх умов. Він нейтральний в технологічному плані і завжди залишає можливість вибору технологій. Коли виникають питання: «З чого почати?», «Як управляти ІБ?», «На відповідність якими критеріями слід проводити аудит?» - цей стандарт допоможе визначити вірний напрямок і не випустити з уваги істотні моменти. Його також можна використовувати як авторитетне джерело і один з інструментів для «продажу» безпеки керівництву організації, визначення критеріїв і обгрунтування витрат на ІБ.
У стандартах серії ISO 27000 знайшло відображення все, що потрібно для управління інформаційними ризиками. Йдеться перш за все про випущеному в 2008 році міжнародному стандарті ISO / IEC 27005: 2008, а також про його попереднику - британському стандарті BS 7799-3: 2006, який побачив світ у 2006 році. Ці стандарти в багатьох речах взаємно перегукуються, а в деяких питаннях доповнюють один одного. Вони служать фундаментом для викладається в цій книзі методології управління ризиками і широко цитуються при подальшому викладі матеріалу.
Заслуговує також згадки американський стандарт в галузі управління ризиками NIST 800-30, який, в свою чергу, спирається на ISO Guide 73, ISO 16085, AS / NZS 4360. Основні положення цього стандарту були враховані при розробці ISO 27005.
Всупереч очікуванням, ISO 27005 зовсім не є міжнародною версією BS 7799-3, на відміну від своїх попередників ISO 27001 та ISO 27002, які, як відомо, є міжнародними версіями британських стандартів BS 7799-2 і BS 7799-1 відповідно. ISO 27005 прийшов на зміну міжнародним стандартам ISO 13335-3 і ISO 13335-4, дія яких тепер скасовано. Це свідчить про позитивний процесі заміщення вже злегка застарілої серії стандартів ІТ безпеки ISO 13335 щодо нової серією стандартів в галузі управління інформаційною безпекою - ISO 27000. В результаті даного процесу стандартів стає менше, а їх якість помітно поліпшується.
Зіставляючи стандарти BS 7799-3 і ISO 27005, ми виявляємо, що вони визначають всі найбільш важливі моменти, пов'язані з ризиками, подібним чином. Це стосується процессной моделі, елементів управління ризиками, підходів до аналізу ризиків і способам їх обробки, а також питань комунікації ризиків. Обидва стандарти містять у вигляді додатків приклади типових загроз, вразливостей і вимог безпеки.
_________________________________
BS 7799-3 і ISO 27005 визначають:
основні елементи процесу управління ризиками;
процессную модель;
загальний підхід до управління ризиками;
процеси аналізу і оцінювання ризиків;
способи якісного визначення величини ризиків;
способи обробки ризиків;
процес комунікації ризиків;
приклади ризиків, загроз, вразливостей, активів, збитків, вимог законодавства і нормативної бази.
___________________________________
Однак різні джерела розробки зумовили і ряд відмінностей між британським і міжнародним стандартами управління ризиками. ISO 27005 більш детально описує критерії та підходи до оцінки ризиків, контекст управління ризиками, область і межі оцінки, а також обмеження, що впливають на зменшення ризику. У той же час BS 7799-3 тісніше пов'язаний з ISO 27001 та безпосереднім чином відображає процеси управління ризиками на процеси життєвого циклу СУІБ. Він також визначає вимоги до експерта з оцінки ризиків та ризик-менеджеру і включає в себе рекомендації по вибору інструментарію для оцінки ризиків. BS 7799-3 також містить приклади законодавчих і нормативних вимог стосовно США і країнах Європи.
_________________________________
Відмінності стандартів управління ризиками інформаційної безпеки:
ISO 27005
область дії і кордони;
підходи до оцінки ризиків;
обмеження, що впливають на зменшення ризику.
BS 7799-3
відображає процеси управління ризиками на модель життєвого циклу СУІБ згідно ISO 27001;
визначає вимоги до експерта з оцінки ризиків і до ризик-менеджеру;
містить приклади відповідності вимогам законодавства і нормативної бази;
містить рекомендації щодо вибору інструментів для управління ризиками.
__________________________________
Детальна порівняльна таблиця стандартів ISO 27001, ISO 27005 та BS 7799-3 приведена в Додатку № 1 . Відомості про ліцензійних російських перекладах цих стандартів наведені в Додатку № 12 .
Коли виникають питання: «З чого почати?», «Як управляти ІБ?
», «На відповідність якими критеріями слід проводити аудит?
<
