Ниже приведены основные разделы стандарта ISO 17799:
1. Политика безопасности
2. Организационные меры по обеспечению безопасности
o Управление форумами по информационной безопасности
o Координация вопросов, связанных с информационной безопасностью
o Распределение ответственности за обеспечение безопасности
3. Организационные меры по обеспечению безопасности
o Инвентаризация ресурсов
o Классификация ресурсов
4. Безопасность персонала
o Безопасность при выборе и работе с персоналом
o Тренинги персонала по вопросам безопасности
o Реагирование на секьюрити инциденты и неисправности
5. Физическая безопасность
6. Управление коммуникациями и процессами
o Рабочие процедуры и ответственность
o Системное планирование
o Защита от злонамеренного программного обеспечения (вирусов, троянских коней)
o Управление внутренними ресурсами
o Управление сетями
o Безопасность носителей данных
o Передача информации и программного обеспечения
7. Контроль доступа
o Бизнес требования для контроля доступа
o Управление доступом пользователя
o Ответственность пользователей
o Контроль и управление удаленного (сетевого) доступа
o Контроль доступа в операционную систему
o Контроль и управление доступом к приложениям
o Мониторинг доступа и использования систем
o Мобильные пользователи
8. Разработка и техническая поддержка вычислительных систем
o Требования по безопасности систем
o Безопасность приложений
o Криптография
o Безопасность системных файлов
o Безопасность процессов разработки и поддержки
9. Управление непрерывностью бизнеса
o Процесс управления непрерывного ведения бизнеса
o Непрерывность бизнеса и анализ воздействий
o Создание и внедрение плана непрерывного ведения бизнеса
o Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса
10. Соответствие системы основным требованиям
o Соответствие требованиям законодательства
o Анализ соответствия политики безопасности
o Анализ соответствия техническим требованиям
o Анализ соответствия требованиям системного аудита
4.4 ISO 17799 в странах СНГ
В последние несколько лет ISO 17799 начал уверенно продвигаться по странам СНГ. В Молдове благодаря позиции Национального Банка все банки уже более года проходят регулярную проверку на соответствие ISO 17799. В ближайшее время в Молдове ISO 17799 получит статус государственного стандарта. В Украине также существуют планы принятия данного стандарта в качестве государственного - эту позицию озвучил выступавший в 2002 году в Киеве на одном из семинаров Digital Security представитель Службы Безопасности Украины. В России стандарт ISO 17799 пока не имеет статус государственного стандарта. Однако в последнее время ситуация меняется: Государственная Техническая Комиссия при Президенте РФ уже отказалась от использования собственных стандартов защищенности автоматизированных систем и принимает ГОСТ 15408 ( ISO 15408). Ожидается, что подобная ситуация в ближайшие годы в России произойдет и с ISO 17799 и нам следует ожидать появления ГОСТ 17799.
4.5 Преимущества, получаемые компанией после прохождения сертификации по ISO 17799
Какие преимущества получает компания, которая провела аудит безопасности своих информационных ресурсов и получила сертификат соответствия системы управления информационной безопасности по стандарту ISO 17799? Прежде всего, это "неформальные" преимущества: после проведения аудита информационная система компании становится "прозрачнее" для менеджмента, выявляются основные угрозы безопасности для бизнес - процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью, как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту. Сертификация на соответствие стандарту ISO 17799 ( BS 7799) позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками. Кроме того, говоря о сертификации по ISO 17799, стоит принять во внимание согласованную с ВТО процедуру принятия России в данную организацию. Эта процедура потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии развития в области информационных технологий с учетом международных стандартов безопасности, таких как ISO 17799.
4.6 Практика прохождения аудита и получения сертификата ISO 17799
Для получения сертификата соответствия ISO 17799 компания должна пройти аудит информационной безопасности, провести подготовку информационной системы на соответствие стандарту, внедрить изменения и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов. Предварительный этап заключается в проведении аудита и, на его основании, подготовки необходимых изменений системы управления информационной безопасностью. Его может выполнить специализированная секьюрити компания, имеющая опыт в проведение подобных работ. Затем, после подготовки комплекта необходимых документов и внесения изменений в систему, необходимо провести итоговую проверку соответствия ISO 17799, для чего требуется участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при UKAS (United Kingdom Accreditation Service, http://www.ukas.com) - уполномоченном государственном органе Великобритании. Также, отметим, что в настоящее время официальная сертификация возможно только по BS 7799 (до выхода 2-ой части ISO 17799 - требования к аудиторам, которая намечена на 2004 год). Однако между ISO и UKAS существует соглашение, согласно которому после принятия второй часто ISO 17799 все сертификаты BS 7799 автоматически получают статус ISO 17799.
4.7 Программные средства создания и проверки политики безопасности на соответствие требованиям ISO 17799
Для решения задачи создания и проверки политики информационной безопасности компании применяются следующие программные комплексы: британская Cobra http://www.riskworld.net (компания C & A Systems Security Ltd) и российский КОНДОР http://www.dsec.ru/soft/kondor.php (компания Digital Security, http://www.dsec.ru )
5. Стандарты безопасности в Интернете
В качестве средств обеспечения безопасности в сети Интернет популярны протоколы защищенной передачи данных, а именно SSL (TLS), SET, IP v. 6. Они появились сравнительно недавно, и сразу стали стандартами де-факто.
SSL (TLS)
Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи.
SET
SET (Security Electronics Transaction) - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете. Он основан на использовании цифровых сертификатов по стандарту Х.509 и предназначен для организации электронной торговли через сеть.
Данный протокол является стандартом, разработанным компаниями "MasterCard" и "Visa" при участии "IBM", "GlobeSet" и других партнеров. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек. Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет.
IPSec
Спецификация IPSec входит в стандарт IP v. 6 и является дополнительной по отношению к текущей версии протоколов TCP/IP. Она разрабатывается Рабочей группой IP Security IETF. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.
Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и защищает информацию на основе сквозного шифрования: независимо от работающего приложения, шифруется каждый пакет данных, проходящий по каналу. Это позволяет организациям создавать в Интернете виртуальные частные сети. IPSec работает поверх обычных протоколов связи, поддерживая DES, MD5 и ряд других криптографических алгоритмов.
Обеспечение информационной безопасности на сетевом уровне с помощью IPSec включает:
· поддержку немодифицированных конечных систем;
· поддержку транспортных протоколов, отличных от ТСР;
· поддержку виртуальных сетей в незащищенных сетях;
· защиту заголовка транспортного уровня от перехвата (предохранение от несанкционированного анализа трафика);
· защиту от атак типа "отказ в обслуживании".
Кроме того, IPSec имеет два важных преимущества:
1. его применение не требует изменений в промежуточных устройствах сети;
2. рабочие места и серверы не обязательно должны поддерживать IPSec.