Стандарты информационной безопасности: Россия и мир

Илья Медведовский

За двадцать лет существования стандартов информационной безопасности в результате естественного отбора остались только основополагающие, которые до сих пор претерпевают постоянные изменения. Рынок ИБ России только сегодня начинает оправляться от «влияния гостайны», и в области стандартизации это особенно заметно.

Естественный отбор

Анализируя существующую сегодня в мире ситуацию в области стандартизации по информационной безопасности, за годы развития индустрии ИБ можно выделить следующие временные периоды, название которых наиболее точным образом характеризует естественное развитие данного процесса: появление стандартов (1988 — 1995 годы), испытание практикой (1996 — 2000) и выживание сильнейших (2001 — и до настоящего времени)

Первый период характеризовался естественным развитием информационных технологий, за которым с трудом поспевала наука и практика в области ИБ. В тот период формировался понятийный аппарат и основные подходы в области ИБ, вплоть до самых экзотических. Период конца 80-х и особенно начала 90-х годов характеризовался появлением огромного числа различных стандартов в области ИБ. Стандарты появлялись как у отдельных компаний, или консорциумов (X-Open, Good Practice и т.д.), так и таких авторитетных институтов как NIST (National Institute of Standards and Technologies) и связка BSI (British Standards Institute) с ISO (International Standards Organization). Отметим, что NIST и BSI сегодня основные мировые конкуренты в области стандартизации.

Естественными недостатками стандартов этого периода являлись их слабая практическая проработка и отсутствие единых подходов, единого понимания информационной безопасности. Только время могло преодолеть эти недостатки. Что и случилось на втором и третьем периоде — практическое применение стандартов стимулировало их естественный отбор.

Период испытания практикой в середине 90-х плавно перешел в период естественного отбора и выживания сильнейших стандартов. Очевидно, что область ИБ является достаточно замкнутой и ограниченной, поэтому нет никакого смысла иметь огромное число стандартов, которые, помимо всего прочего, пересекаются друг с другом и пытаются разными способами описать одну и туже предметную область.

На практике достаточно иметь несколько основополагающих стандартов, которые признаются большинством специалистов и которые используются бизнесом на практике. Поэтому естественным образом в этой битве стандартов выживали и выжили только сильнейшие, например стандарт ISO 15408, регламентирующий требования по защищенности ПО, или стандарт управления ISO 27001/17799. Эти стандарты сегодня получили статус международных.

Правда, есть одно «но». Мир разделился на две географически независимые, с точки зрения стандартизации, зоны: Европа и Азия признают стандарты ISO, а США предпочитает использовать стандарты NIST. Отметим малоизвестный факт, что многие из наиболее известных стандартов ISO вышли из недр BSI: ISO 17799, ISO 9001, ISO 14001.

Российские особенности

В России исторически все началось в начале 90-х годов с написания своих оригинальных стандартов в области ИБ, ориентированных прежде всего на защиту гостайны. Эта российская особенность стандартизации являлась серьезным недостатком для бизнеса, так как подходы к защите гостайны и бизнес информации кардинально отличаются.

Основные недостатки такого подхода для бизнеса (а, скорее, полная его неприменимость) состояли в том, что в российских стандартах не учитывались такие важные угрозы бизнеса как доступность, не применялся подход к построению системы защиты на основе анализа рисков, отсутствовало само понятие и принципы функционирования системы управления ИБ.

При этом важно отметить, что данные стандарты изначально и не предназначались для бизнеса. Просто на момент их создания не было понимания, что, во-первых, они нужны российскому бизнес сообществу, а, во-вторых, как именно должен выглядеть бизнес-ориентированный стандарт; а других стандартов в РФ не было. В отличие же от российских, известные нам западные стандарты, были, прежде всего, ориентированы на защиту бизнес информации, поэтому широко применялись на практике западным бизнес сообществом.

Исторически в РФ область информационной безопасности регулировалась государственными регуляторами и спецслужбами. С течением времени стало очевидно, что проблема ИБ это не только проблема государственных органов, но и бизнеса, который в государстве с рыночной экономикой играет важнейшую роль. Это привело к тому, что последние годы государством взят курс как на либерализацию рынка ИБ, так и на использование лучших бизнес ориентированных западных стандартов. Первым шагом в этом направлении стало принятие ГОСТ 15408; сейчас на очереди ГОСТ 17799 и ГОСТ 27001, официальный выход которых объявлен теперь на 1 января 2007. Появление этих стандартов в ранге ГОСТ — осмысленный шаг, который в том числе призван показать ориентацию России на лучше западные стандарты при вступлении в ВТО.

В любом случае принятие и, что крайне важно, — использование на практике лучших западных стандартов (особенно ISO 27001/17799) благотворно скажется на защищенности как государственных объектов, так и бизнеса, так как сегодня вопрос обеспечения безопасности бизнеса часто становятся вопросом обеспечения безопасности государства. Например, отток вкладчиков какого-либо крупного банка, вызванный информацией об успешной хакерской атаке, может привести к цепной реакции и временными проблемами для платежной системы всей страны.

В целом, можно отметить, что сегодня процесс принятия западных стандартов в России вышел на финальную стадию и в ближайшее время мы сможем констатировать наличие российских ГОСТов, которые определяют требования к защищенному программному обеспечению (ГОСТ 15408), так и ГОСТов, описывающих требования к системе управления информационной безопасностью (ГОСТ 27001 и ГОСТ 17799).

Этот процесс должен привести как к повышению общего профессионального уровня в РФ в области обеспечения ИБ, так и к повышению уровня защищенности и управляемости информационных систем государственных и бизнес структур, что не может не радовать.