2 О стандартизации в области информационной безопасности Доклад на V Международной конференции Право и Интернет М.В. Левашов, Мобильные ТелеСистемы Об истории технического регулирования

Книги по разным темам Pages: | 1 | 2 |

• нормативно-правовое и методическое обеспечение ИБ;
• лицензирование и сертификация в области ИБ;
• методология оценки возможных угроз;
• создание комплексной системы безопасности информации;
• аудит, консалтинг и аутсорсинг в области защиты информации;
• экономический аспект проблем безопасности;
• персонал и безопасность; формирование корпоративной культуры безопасности.

В этом перечне в том или ином виде присутствуют почти все интересующие нас вопросы. Однако при практическом решении на конкретном предприятии указанных выше задач стандартизации ИБ их лцена в значительной степени не равнозначна.

Наиболее сложными вопросами являются вопросы методологии исследования конкретных типов угроз, присущих конкретному предприятию, а также оценки связанных с этими угрозами рисков. Здесь специалист по ИБ должен весьма полно и досконально знать все используемые информационные и бизнес-технологии, а также историю информационных и связанных с ними финансовых провалах, которые происходили на аналогичных предприятиях. По сути дела, исследователь должен уподобиться либо нарушителю7

, либо (и) злоумышленнику8

. Другими словами, если, например, речь идет о банковской сфере деятельности, то исследователь должен знать реализованные на практике случаи воровства денег из банков с использованием высоких технологий.

Вторая группа сложных вопросов связана с упорядочиванием деятельности различного уровня администраторов информационных систем, а также продвинутых пользователей, которые имеют (могут получить) широкие административные права. Это - проблема обеспечения контроля за действиями администраторов, а также регламентация их деятельности. Вторая проблема – ограничение возможностей нерегламентированного использования информационной системы продвинутыми пользователями.

Третья группа сложных вопросов сосредоточена в теме Персонал и безопасность. Формирование корпоративной культуры безопасности. Это - проблема руководства предприятия, проблема различного уровня администраторов информационных систем и, наконец, проблема рядовых пользователей.

В процессе обсуждения на различных уровнях перспектив создания некоторых корпоративных стандартов ИБ были выработаны следующие основные требования к будущим стандартам:

1) простота и понятность;

2) непротиворечивость терминов и определений;

3) открытость (под открытостью понимается как возможность развития данного стандарта, так и возможность последующей разработки и интеграции в стандарт документов более низкого уровня — уточняющих, дополняющих и детализирующих положения базового стандарта);

4) стандарт должен быть, по возможности, прямого действия (т.е. не должен требовать для своего применения дополнительных нормативных или распорядительных документов). Требования стандарта должны быть изложены в виде наилучших практик и опыта решения проблем безопасности;

5) стандарт должен быть разработан с учетом стандартов и технических отчетов ISO/IEC 15408, ISO/IEC 17799, ISO/IEC 13335, CobiT и ряда других международных документов, стандартизирующих (или представляющих наилучшие практики) область ИБ;

6) стандарт должен содержать механизмы его актуализации.

1 Федеральный закон от 27.12.2002 № 184-ФЗ.

2 См., напр.: Левашов М.В. Безопасность банковских и информационных технологий в расчетной (платежной) системе банка //Расчеты и операционная работа в банке, 2003, № 5.

3 stp.ru/

4 ISO/IEC 15408, ISO/IEC 17799, ISO/IEC 13335, CobiT, а также ряд других международных документов, стандартизирующих (или представляющих наилучшие практики) область информационных технологий.

5 риск - вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда (см. сноску 1).

6 Финансовый ущерб, ущерб для имиджа и др.

7 Работника предприятия (например, легального пользователя информационной системы).

8 Не работника предприятия.

9 ФЗ О техническом регулировании предусматривает приоритет международных стандартов перед национальными стандартами.

Pages: | 1 | 2 |

Книги по разным темам

Blog