Йоханнес Зауер
Управління безпекою відповідно до ITIL, ISO і BSI.
Сучасним підприємствам адекватний рівень безпеки потрібен сьогодні більше, ніж коли-небудь. Ділові та ІТ-процеси переплітаються усе тісніше: якість перших сильно залежить від готовності служб ІТ, а недоступність останніх часто негативно позначається на конкурентоспроможності. У зв'язку з цим ось вже протягом багатьох років простежується тенденція до стандартизації методів та заходів в області безпеки інформаційних технологій.
В останні роки в області безпеки ІТ з'явилося безліч стандартів. Всі вони націлені на реалізацію адекватної захисту інформаційних технологій. Відповідні зводи правил і еталонні моделі описують британська ITIL, британський стандарт BS 7799, що спирається на нього стандарт ISO / IEC 17799 і керівництво за базовою захисту, видане німецьким відомством з безпеки інформаційної техніки (BSI).
Еталонна модель ITIL
Бібліотека інфраструктури ІТ (Information Technologies Infrastructure Library, ITIL) своєю появою зобов'язана прагненню британської влади розробити стандартизований метод для поліпшення якості, безпеки та економічності процесів ІТ. Для цього Управління державної торгівлі Великобританії разом з підприємствами і організаціями виробило еталонну модель, в рамках якої можлива універсальна реалізація процесів ІТ.
Інформація, що міститься в зводі правил ITIL бібліотека процесів пропонує практичну методологічну модель для впровадження стандартизованих процесів в управлінні службами ІТ (IT Service Management, ITSM). Головні завдання - поліпшення якості послуг ІТ для безперервних процесів і забезпечення їх економічної ефективності. Бібліотека процесів ділиться на кілька розділів. Найважливіші базові процеси описуються в розділах Service Delivery (доставка послуг) і Service Support (підтримка послуг). Темі безпеки ІТ відводиться розділ Security Management (управління безпекою).
Управління безпекою відповідно до ITIL переслідує дві вкрай важливі цілі:
виконання вимог з безпеки, що містяться в угодах про рівень сервісу (Service Level Agreement, SLA), та інших зовнішніх вимог, що випливають з договорів, законів і правил корпоративної безпеки (політики);
створення певної (не специфіковані більш докладно) базової захисту.
ITIL, як і BS 7799, сягає корінням у 1980-і рр.. З тих пір вона утвердилася в якості стандарту де-факто для моделювання, реалізації і управління діловими процесами ІТ. Можливості сертифікації підприємства на відповідність вимогам ITIL в даний момент не існує, натомість
відповідальні особи можуть підтвердити своє знання ITIL і стати володарями сертифіката ITIL Foundation Certificate. Його наявність є необхідною умовою для отримання базується на ньому і значно більш всеосяжного сертифіката ITIL Service Manager Certificate.
BS 7799 І ISO 17799
British Standard 7799, як і ITIL, містить практичний досвід, яких підприємства та організації можуть скористатися при реалізації заходів але забезпечення безпеки ІТ. Вже в кінці 80-х рр.. у британської влади виникла ідея введення стандарту в області безпеки інформації. Це призвело до розробки «Системи правил управління безпекою інформації» під керівництвом Міністерства торгівлі та промисловості. Перша частина BS 7799 була опублікована в якості стандарту в 1995 р. Всього ж у BS 7799 Дві частини:
BS 7799, частина 1 (ISO / IEC 17799) - керівництво з управління інформаційною безпекою;
BS 7799 - частина 2 - специфікація систем управління інформаційною безпекою.
Якщо в першій частині пропонуються лише рекомендації щодо прийняття необхідних заходів, то в другій - визначаються методи та вимоги до системи управління інформаційною безпекою (Information Security Management System, ISMS). Оскільки BS 7799 привернув до себе увагу фахівців інших країн, в січні 2000 р. перша частина була перетворена в стандарт Міжнародної організації зі стандартизації (International Organization for Standardization, ISO). ISO / IEC 17799:2000 в даний момент знаходиться на доопрацюванні і ймовірно влітку поточного року буде опублікована у версії 17799:2005 е. Головні цілі ISO / IEC 17799 включають в себе наступне:
визначення практично корисних мінімальних вимог у сфері безпеки ІТ;
створення загальної бази для підприємств, зацікавлених у розробці, реалізації та вимірюванні ефективної системи безпеки;
надання контрольного стандарту для управління безпекою ІТ у межах організації.
ISO / IEC 17799:2000 складається з десяти тематичних розділів, де міститься 127 рекомендацій, які не представляють собою обов'язкових норм. Тому сертифікація можлива лише в рамках BS 7799-2.
Керівництво BSI
Ще один можливий підхід спирається на керівництво за базовою захисту інформаційних технологій BSI. Кожні півроку але міру накопичення і придбання нових знань про інформаційні небезпеки і технологіях BSI оновлює керівництво. Воно містить опис стандартних заходів з безпеки, вказівки по реалізації, допоміжні засоби для численних найбільш часто використовуваних конфігурацій ІТ і націлене на вирішення регулярно виникаючих проблем, підтримання підвищеного рівня безпеки та спрощення розробки концепції безпеки ІТ. Пропоновані тут стандартні заходи орієнтуються на середню потребу в захисті, типову для більшості систем ІТ.
Вихідним пунктом для вибору адекватних заходів безпеки є так звана концепція безпеки, яка виробляється на основі наявних процесів. Для того ж спочатку на підприємстві проводиться аналіз структури з метою визначення фактичного стану систем ІТ та програм, а потім встановлюється ступінь потреби в захисті (планований стан). Яке базується на цих результатах порівняння бажаних показників з фактичними відображає дефіцит безпеки, на основі чого визначаються необхідні заходи (див. Малюнок 1). Дуже корисним виявляється побудова керівництва у вигляді блок-схеми, завдяки якому стає можливим просте застосування комплексних заходів.
Метод ефективний багато в чому завдяки тому, що мета створення вимірюваної базової захисту ІТ досягається без дорогого аналізу ризиків. Додатковий аналіз (наприклад, аналіз ризиків та загроз) необхідний лише в тому випадку, якщо система має потребу в більш високому рівні безпеки. BSI пропонує підприємствам сертифікацію: сертифікат базової захисту інформаційних технологій. Крім того, існує можливість «самопізнання», що включає два щаблі: «початковий рівень базової захисту ІТ» і «стандартний рівень базової захисту ІТ».
Порівняння підходів
Всі три підходи мають на меті довгострокового забезпечення безпеки ІТ і відрізняються лише лежать у тому основі принципами.
Керівництво BSI за базовою захисту ІТ пропонує структурований метод створення концепції безпеки та реалізації управління безпекою ІТ. У ньому чітко описуються необхідні кроки по розробці концепції безпеки. Багато в чому завдяки такій процесної структурі його використання виявляється дуже ефективним. Комплекс заходів дуже конкретний, і в деяких випадках навіть наводяться значення параметрів, які безпосередньо можуть бути реалізовані у відповідній системі ІТ. Це очевидна сильна сторона моделі BSI. Ступінь деталізації рекомендацій але запропонованих заходів дозволяє швидко запровадити адекватний рівень безпеки інформаційних технологій. Однак така технічна глибина не завжди виправдана при інтеграції в галузі ділових процесів, де потрібна вища ступінь абстракції. Так, приміром, керівництво BSI не описує, як підприємство може інтегрувати ISMS у вже існуючі процеси.
На противагу цьому TSO / TEC 17799 описує вимоги до заходів з безпеки ІТ скоріше з інформаційної точки зору і орієнтується на якийсь типовий рівень. 127 загальновизнаних рекомендацій ISO / IEC 17799 чосят все ж приблизний характер: вони служать в якості орієнтира і не обов'язкові до виконання. Так, користувач не знайде рад з приводу довжини пароля й інших деталей конфігурації систем ІТ, як це властиво для керівництва за базовою безпеки систем ІТ. Такий описовий підхід дозволяє провести загальне визначення цілей безпеки, не вникаючи в усі технічні деталі.
Обидва названих стандарту концентруються виключно на безпеці ІТ, тим часом як ITIL з'явилася внаслідок зовсім інший мотивації. Хоча безпеку ІТ - дуже важлива частина самих різних базових процесів ITIL, приміром управління безперервністю, первинної мотивацією впровадження ITIL є цілі бізнесу: ITIL в першу чергу націлена на те, щоб адаптувати ландшафт ІТ до вимог користувачів і клієнтів. У цей ієрархічний процесний підхід включається та управління безпекою. Тому впровадження системи управління безпекою відповідно до 1TIL має сенс лише тоді, коли організація ІТ вже відповідає вимогам ITIL або її планується привести у відповідність з ними. Тоді стане можливим звертатися до наявних процесів ITIL і доповнювати їх функціями і процесам і безпеки.
Впровадження управління безпекою відповідно до ITIL надає значний вплив на організацію служб ІТ: звід правил передбачає доповнення всіх базових процесів значним - яка належить до безпеки - вмістом (Service Desk, наприклад, в якості єдиної точки звернення за допомогою). При цьому можуть використовуватися наявні структури процесів та інструменти звітності. ITIL пропонує можливість визначення ключового індикатора продуктивності (Key Performance Indicator, KPI) для вимірювання ефективності на основі кількісних характеристик. Так, про ефективність вжитих заходів можна судити за кількістю інцидентів в області безпеки за певний проміжок часу.
Крім того, база даних управління конфігурацією (Configuration Management Database, CMDB) надає централізовану структуру даних. Вона дуже добре розширюється відповідно до вимог трьох цілей захисту: готовності, надійність і цілісність. Таким чином виявляється доступний всеосяжний інструмент з широким набором інтерфейсів. Що стосується ISMS, то IT1L в цьому випадку посилається на BS 7799 як на еталон в управлінні безпекою, а в додатку А дасться порівняння ITIL і BS 7799.
У випадку всіх трьох підходів мова йде про визнаних на міжнародному рівні стандарти безпеки інформаційних технологій, причому ITIL, в силу історичних причин, займає особливе місце. Кожен відрізняється своїми особливостями. Одним з можливих критеріїв вибору може бути прагнення або потреба сертифікації: ITIL пропонує лише можливість персональної сертифікації; сертифікація в рамках BS 7799 проводиться тільки для другої частини (7799-2), а сертифікат базової захисту ІТ, навпаки, включає в себе перевірку визначеного в ньому управління безпекою ІТ, а також реалізацію відповідних заходів. На практиці часто пропонується свого роду комбінація з метою найкращого використання особливостей змісту і методів кожного стандарту.
Список літератури
Журнал LAN № серпня 2005