Сравнение стандартов ISO 17799 и BSI

В стандарте ISO 17799 (BS 7799) декларируются общие принципы, которые предлагается конкретизировать применительно к исследуемым информационным технологиям. Во второй части основное внимание уделено сертификации информационной системы на соответствие стандарту, то есть формальной процедуре, позволяющей убедиться, что декларируемые принципы реализованы. Объем стандарта сравнительно невелик - менее 120 страниц в обеих частях.

В германском стандарте BSI, напротив, обсуждается много «частных случаев» -различных элементов информационных технологий. Объем документа очень велик - несколько тысяч страниц; несомненно, он будет возрастать. Такой подход имеет свои достоинства и недостатки. К числу его достоинств относится учет специфики различных элементов. В частности, гораздо лучше, по сравнению с Британским стандартом, рассмотрены особенности обеспечения ИБ в современных сетях. Другим достоинством является гипертекстовая структура документа, что позволяет оперативно вносить изменения и корректировать связи между частями стандарта. Последняя версия стандарта всегда доступна в Internet. Недостаток -невозможность объять необъятное: для всего множества элементов современных информационных технологий сохранить одинаковый уровень детализации. Неизбежно приходится вводить раздел «Прочее», в котором в общем виде описываются менее распространенные элементы.

Что касается Британского стандарта, то его недостаток заключается в высоких требованиях к квалификации специалистов, осуществляющих проверку на соответствие требованиям стандарта. Кроме того, в нем не в полной мере учитывается специфика современных распределенных систем.

Таким образом, оба подхода, имеющие свои достоинства и недостатки, продолжают эволюционировать, и только практика их внедрения позволит выявить лучший или, возможно, предложить иной подход.

Стандарт США NIST 800-30

Данный стандарт [291] подробно рассматривает вопросы управления информационными рисками. Считается, что система управления рисками организации должна минимизировать возможные негативные последствия, связанные с использованием информационных технологий, и обеспечить выполнение основных бизнес-целей предприятия.

Для этого система управления рисками интегрируется в систему управления жизненным циклом информационных технологий компании (см. табл. 2.2).

Таблица 2.2. Управление рисками на различных стадиях жизненного цикла информационной технологии

Фаза жизненного цикла информационной технологии Соответствие фазе управления рисками
1. Предпроектная стадия (концепция данной ИС: определение целей и задач и их документирование) Выявление основных классов рисков для данной ИС, вытекающих из целей и задач, концепция обеспечения ИБ
2. Проектирование ИС Выявление рисков, специфичных для данной ИС (вытекающих из особенностей архитектуры ИС)
3. Создание ИС: поставка элементов, монтаж, настройка и конфигурирование До начала функционирования ИС должны быть идентифицированы и приняты во внимание все классы рисков
4. Функционирование ИС Периодическая переоценка рисков, связанная с изменениями внешних условий и в конфигурации ИС
5. Прекращение функционирования ИС (информационные и вычислительные ресурсы более не используются по назначению и утилизируются) Соблюдение требований информационной безопасности по отношению к выводимым информационным ресурсам

Основные стадии, которые согласно стандарту NIST 800-30 должна включать технология управления рисками, показаны на рис 2.2.

Обсудим эти стадии технологии управления информационными рисками подробнее.