Стандарт ISO/IEC 17799:2005
Стандарт ISO/IEC 17799:2005 «Информационные технологии и безопасность. Правила управления информационной безопасностью» разработан на базе британского стандарта BS 17799. В Республике Беларусь он действует как СТБ ИСО/МЭК 17799:2005 «Технологии информационные. Методы обеспечения защиты. Кодекс установившейся практики по управлению безопасностью информации». Стандарт устанавливает общие правила организации, реализации или сопровождения информационной безопасности в организациях (схемы классифицирования данных, методы доступа, стратегии планирования развития и оценок рисков безопасности, градации ответственностей работников и др.).
Стандарт предназначен для обеспечения общего базиса при разработке стандартов безопасности и реализации (сопровождения) эффективного управления безопасностью в организации и ее подразделениях (в частности, в их архивах), а также для обеспечения необходимой степени конфиденциальности при контактах между организациями.
Стандарт учитывает:
- существенное возрастание роли электронной коммерции во всем мире;
- общее усиление требований к безопасности информации;
- широкое распространение проектов «электронных правительств», защиты персональных данных и защиты интеллектуальной собственности.
Поэтому, в качестве базовых принципов, полная реализация которых должна гарантировать существенную прочность базы обеспечения безопасности информации в организациях, стандартом приняты:
1) защита данных и документов организации, а также обеспечение конфиденциальности персональных данных;
2) защита прав интеллектуальной собственности.
ISO/IEC 17799:2005 является фундаментом всей системы управления организацией, сводом правил «хорошей практики ведения дела». В руководство по применению стандарта включены рекомендации по выработке кадровой политики и юридических требований, системы обеспечения непрерывности производственного процесса, политик безопасности. Стандарт применяется в качестве критериев оценки механизмов безопасности организационного уровня, в том числе административные, процедурные и физические меры защиты. В нем выработаны:
- схемы классификации данных, документов и информационных материалов;
- методы доступа к ним;
- стратегии планирования развития и оценок рисков безопасности;
- градации ответственностей работников организации.
В ISO/IEC 17799:2005 заложены нормы, согласно которым организации должны обеспечивать безопасность при управлении документацией, основываясь на положениях ISO 15489, который отныне будет применяться в сертификации по международным стандартам безопасности информации.
стандарт ISO/IEC 15408-99 («Общие критерии»)
В начале 1990-х гг ISO начала вырабатывать для общего использования стандарты по критериям оценки безопасности информационных технологий - Common Criteria for Information Technology Security Evaluation. В июне 1999 г был утвержден стандарт ISO/IEC 15408-99 «Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общая модель. Часть 2: Функциональные требования безопасности. Часть 3: Гарантийные требования безопасности» («Общие критерии»), который устанавливает критерии оценки механизмов информационной безопасности на программном и аппаратном уровнях.
ISO/IEC 15408-99 направлен на защиту информации от потери возможности ее использования, модификации или несанкционированного раскрытия. Критериями защиты являются обеспечение:
1) доступности (готовности), то есть информация и средства ее автоматизированной обработки, при возникновении в них надобности, обязаны быть доступны (готовы к функционированию);
2) целостности, то есть информация должна быть достоверно защищенной от несанкционированного изменения содержания (уничтожения);
3) конфиденциальности, то есть определенная информация может быть доступна только тому кругу лиц, для которого она предназначается согласно нормативных актов, действующих в организации.
Применение методологии стандарта позволяет выработать в организациях основу критериев для разработки системы оценки защитных свойств систем автоматизации.
На основе стандарта ISO/IEC 15408-99 разрабатываются СТБ серии 34.101 в области методов и средств безопасности информационных технологий.
стандарты ISO серии 27000 по управлению безопасностью информации
Cтандарт ISO 27001 «Требования к системе управления безопасностью» заменяет стандарт BS7799. Cтандарт ISO/IEC 17799 является «сводом деловой практики» и регулирует отдельные меры по обеспечению безопасности информации.
Cтандарт BS7799 регулирует требования к системе управления информационной безопасностью, описывая систему управления информационной безопасностью, в которой возможно выбирать и применять отдельные локальные меры, описанные в стандарте ISO/IEC 17799. Стандарт BS7799 входит в состав сертификационных стандартов по информационной безопасности.
По сравнению со стандартом BS7799, в ISO 27001 внесен ряд изменений в сторону углубления гармонизации подходов с другими стандартами менеджмента ISO 9001 и более полного применения известной модели PDCA («Plan-Do-Check-Act» = «Планирование - Выполнение - Проверка - Исправление»). ISO 27001 - первый в серии 27000. ISO 17799 в настоящее время перерабатывается в ISO 27002. Разрабатывается стандарт ISO 27004 по метрике и оценке безопасности. Международная сертификация в области безопасности информации будет происходить по требованиям стандартов этой серии. В отчете «Аутентичность электронных документов» для ЮНЕСКО и Международного совета архивов (январь 2004 г.), отмечено, что «...обеспечение стандартов качества делопроизводства важно для максимально возможной защиты аутентичности электронных документов. Внедрение стандартов и сводов хорошей деловой практики должно идти рука об руку с законодательством».
Но при этом у нас фактически отсутствует:
1) единая государственная техническая политика для используемых АС ДОУ. Наличие единых национальных требований к АСДОУ заставит разработчиков программных средств делать свои системы релевантными отечественному делопроизводству, соответствующими определенным минимальным требованиям и реально взаимодействующими друг с другом;
2) официально признаваемые ТНПА для обработки ЭД, обеспечивающие признание их юридической силы судебными инстанциями и органами государственной власти и управления;
3) единообразные методики экспертизы ценности ЭД, передачи на архивное хранение, уничтожения, работы с конфиденциальными (секретными) ЭД и др.
Заключение
С учетом существующих реалий в Республике Беларусь, принимаемые ТНПА в области делопроизводства должны обеспечивать:
1) адекватное применение принципов и технологий обработки документов, гармонизированных с международными;
2) единое методологическое обеспечение создания АСДОУ для различных организаций;
3) способность АСДОУ импортировать и экспортировать документы и их метаданные в установленном государством стандартном формате.
Базовые ТНПА в области управления документами не переводятся на русский язык, известны они только ограниченному количеству специалистов. А ведь в разработке таких ТНПА должен принимать участие широкий круг представителей государственных организаций (службы ДОУ и архивного дела, ИТ, информационной безопасности); производителей (поставщиков) АСДОУ; юристов, экономистов и др.
В Республике Беларусь необходимо принять ISO 15489-1 (как СТБ ГОСТ Р ИСО 15489) и сопутствующие ему ТНПА с целью их ускоренного внедрения в практику.
Особый интерес также в условиях Республики Беларусь представляют ТНПА:
- содержащие требования к АС ДОУ;
- по правовому управлению ЭД (чтобы они принимались в качестве доказательств судебными инстанциями и органами государственной власти и управления);
- по управлению видами ЭД (e-mail, базы данных, веб-страницы и т.д.);
- по обеспечению долговременной сохранности ЭД.
Среди функциональных требований к АСДОУ, вырабатываемых в национальных ТНПА, обязательно гармонизированных с ISO 15489, евростандартом MoReq и с другими международными ТНПА, должны указываться:
- функциональные возможности, необходимые для организации юридически значимого ЭДО в органах государственной власти и управления;
- требования в общем, без излишней детализации, без определения особенностей технологий;
- общий нефункционал (требования по производительности, эргономике и т.п.).
Неурегулированность в должной степени действующим законодательством Республики Беларусь тех аспектов нормативного регулирования ЭДО и его защиты, которые уже с успехом отработаны в мировой практике, продолжает существование крайне громоздких, с большим трудом и неэффективно управляемых систем «бумажного + электронного» документооборота, в которых ЭД до сих пор продолжают легализовываться при помощи бумажных документов.
В современных условиях такое положение дел вступит в серьезное противоречие с базисным принципом функциональной эквивалентности ЭД и бумажных документов, который является фундаментальным в международном законодательстве в области электронной коммерции и электронной подписи.
|
