Создание внутренней инфраструктуры защиты информации

Главными целью внутренней инфраструктуры защиты информации является предотвращение утечки конфиденциальной внутрефирменной информации за пределы фирмы, а также защита накопленной внутренней информации от разрушения. Первый вопрос отчасти решает FireWall (см. предыдущую главу), однако это не панацея. Главную часть инфраструктуры составляет система аудита информационной безопасности. Ниже рассматриваются особенности современных зарубежных стандартов в области аудита и сертификации, введенных в действие в 1998 г, а также действующие в настоящее время Российские руководящие документы в области сертификации и аттестации. Некоторые специалисты [8] предсказывают наступление в скором времени бума добровольной сертификации, полагая, что это позволит резко улучшить положение в области ИБ работающих систем. Основанием для такого вывода являются данные, представленные на рисунке 16. Британский стандарт со спецификациями системы управления ИБ [11], являющийся основой для проведения аудита ИБ, вышел в 1998 году. Всего за год существования стандарта и, соответственно, начала действия системы сертификации на его основе, около 3% фирм уже прошли сертификацию, около трети имеют твердые планы сделать это в ближайшее время и находятся на различных стадиях подготовки к сертификации. Более трети собирает дополнительную информацию, рассматривает такую возможность. Сознательно не собираются проводить сертификацию только 21% фирм. Основной причиной добровольной сертификации является желание Рисунок 16 Готовность фирм Великобритании к сертификации. повысить уровень ИБ, то есть большинство руководителей уверено в действенности подобного мероприятия. Следует отметить, что приведенные цифры отражают положение дел в Великобритании. В этой стране имеется длительный опыт (с 1993 года) добровольного применения стандарта по управлению информационной безопасностью [9], который в настоящее время применяет более 60 % организаций. Добровольная сертификация на соответствие этим стандартам логичное продолжение установившейся практики. В других странах желающих пройти добровольную сертификацию меньше, но тенденция та же: независимый аудит ИБ начинают рассматривать как весьма действенное средство обеспечения режима ИБ. Кроме национальных институтов стандартов, работы по выполнению аудита выполняет ряд независимых международных организаций, например, Ассоциация аудита и управления информационными системами (The Information Systems Audit and Control Association & Foundation ISACA) [11]. Ниже рассматриваются основные особенности проведения аудита в соответствии с Британским стандартом [11] и стандартами ассоциации аудита и управления информационными системами. Организация, решившая провести аудит ИБ, должна провести подготовительные мероприятия, привести в соответствие с требованиями стандарта документацию и систему управления ИБ. После этого приглашается аудитор. Процедура аудита рассматривается ниже, ее трудоемкость для крупных организаций может достигать 25-30 человеко-дней работы аудитора. Сертификаты выдаются после проведения аудита подсистемы ИБ на соответствие стандартам BS7799 [12] и действительны в течение 3 лет. Задачи аудита состоит в том, что аудиторы должны проанализировать все существенные аспекты с учетом размера проверяемой организации и специфики ее деятельности, а также ценности информации, подлежащей защите. Как следствие, опыт и компетентность аудитора являются очень существенными факторами. В результате проведения аудита создается список замечаний, выявленных несоответствий требованиям стандартов, а также рекомендаций по их исправлению. Аудиторы должны гарантировать, что были выполнены все требования процедуры сертификации.