|
|
|
Только одна пятая каждого стандарта ИБ, действительно, уникальнаВсего стандартов по ИБ насчитывается сегодня около 600, и их количество постоянно увеличивается. С другой стороны, нет необходимости внедрять их все. Принцип Парето применим здесь так же, как и во многих других отраслях. Иными словами, все стандарты на 80% содержат одинаковые требования и рекомендации, и только одна пятая каждого стандарта уникальна. Стандарт — это то, без чего немыслим наш современный мир. Не будь стандартов, розетки создавались бы с разными расстояниями между отверстиями для вилки, кредитные карты были бы разного размера и не входили бы в прорезь банкомата, красный цвет светофора мог быть сигналом для автомобилей как стоять, так и ехать и т.д. Стандарты упорядочивают нашу жизнь, приводя многие ее аспекты к единому знаменателю. Еще одна функция стандартов — установление обязательных требований для выпускаемой продукции, оказываемых услуг, выполняемых действий, реализуемых процессов и т.п. Аналогичную роль выполняют и стандарты по информационной безопасности. Они не только предъявляют определенные требования к выпускаемым на рынок продуктам или строящимся в компаниях системам защиты, но и позволяют получить единую или сопоставимую оценку по разным компаниям в разных странах мира. У некоторых консалтинговых агентств и компаний есть такая услуга, как Security Benchmarking, которая позволяет сравнить разные компании по различным параметрам в области информационной безопасности. Без единого стандарта, принятого в компании-оценщике, предложить такую услугу было бы невозможно. Наличие не внутреннего, а публичного стандарта могло бы поднять такого рода сервисы на более высокую планку. И такие стандарты существуют. Какие стандарты мы знаем? Если спросить среднестатистического специалиста по информационной безопасности, сколько стандартов по ИБ он знает, то его ответ может быть примерно таким: ISO 17799, ISO 27001, ISO 15408 (и их российские аналоги), PCI DSS, РД ФСТЭК, СТР-К, Стандарт Банка России, ГОСТ 28147-89, ГОСТ Р 34.10-94, CoBIT, ITIL… Пожалуй, и все. Отдельные индивидуумы, специализирующиеся на законотворческой деятельности смогут вспомнить ISO 13335, ISO 13569, X.805, FISMA, FERPA, 27002-27005, документы NIST, OCTAVE, ISF SoGP, GAISP, и т.д. Всего пару десятков различных стандартов. Однако необходимо разочаровать тех, кто считает, что они хорошо знакомы со стандартами ИБ. В действительности таковых несколько сотен — точнее около 600. Несколько лет назад вышло известное новозеландское исследование, в котором были перечислены все существовавшие на тот момент стандарты ИБ (исключая Россию) и дано их краткое описание. Не 20, не пятьдесят, не 100… Свыше пяти сотен! Основной минус — их число множится и им сложно становится соответствовать или их внедрять. Плюс в том, что далеко не все 600 стандартов и надо внедрять в отдельно взятой организации. Более того, известный закон Парето, известный по многим отраслям нашей жизни, может быть применимо и в стандартизации. Этот принцип, также известный как «80-20», гласит, что небольшая доля причин, вкладываемых средств или прилагаемых усилий, отвечает за большую долю результатов, получаемой продукции или заработанного вознаграждения. Иными словами все стандарты на 80% содержат одинаковые требования и рекомендации и только одна пятая каждого стандарта уникальна. Надо ли России идти своим путем? От «славянофилов от безопасности» часто можно услышать, что нечего смотреть на Запад — надо использовать или разрабатывать собственные, отечественные стандарты в области безопасности. Очень часто находятся причины не согласиться с таким однополярным мнением. Не потому, что мы не можем ничего создать, а просто потому, что история информационной безопасности в России пока не в состоянии похвастаться большим числом наработок в этой области. За всю историю коммерческой безопасности, являющейся противоположностью безопасности государственной, мы своего так ничего и не придумали. Руководящие документы ФСТЭК (а ранее Гостехкомиссии) являются калькой с первых книг американской «Радужной» серии. СТР-К — просто переделка уже имеющихся, но давно устаревших. ГОСТ Р ИСО/МЭК 15408 является, как видно из названия, переводом международного стандарта ISO с тем же номером. То же касается и стандартов ГОСТ Р ИСО/МЭК 17799 и 27001. Стандарт Банка России также нельзя назвать исконно российским — в его основу положены многие западные стандарты — CoBIT, ISO 27001 и т.д. Готовящиеся сейчас при Ассоциации документальной электросвязи (АДЭ) рекомендации по базовому уровню информационной безопасности операторов связи хотя и разработаны в России, но заказчиком выступает Международный союз электросвязи (ITU) и использовать эти рекомендации планируется по всему миру. Эти рекомендации как раз являются тем редким, а возможно и единственным примером, который показывает, каким путем должна идти Россия. Надо участвовать в совместной разработке наряду с другими странами, не быть эгоистами и делать что-то сугубо «для личного использования». Разумеется, в безопасности есть области, в которых не стоит безоглядно принимать все, пришедшее с Запада. При необходимости надо адаптировать международные стандарты к нашей специфике и гармонизировать с нашим законодательством. Но главное, — не надо идти по пути создания всего с нуля. На Западе уже существует огромная законотворческая база, которую можно и нужно использовать. Сегодня на повестке дня уже не стоит вопрос «Нужны ли нам западные стандарты?». Скорее — «Как организовать их внедрение?». Но широкий переход на западные стандарты зависит главным образом от государства, которое должно дать им зеленый свет. Пока же преимущественно ищутся «скрытые угрозы» в этих стандартах, делаются попытки понять, где нас хотят обмануть, где заложена «мина замедленного действия». Именно такие отговорки наиболее часто приходится слышать на различных конференциях и семинарах, посвященных интеграции России в мировое сообщество. И пока не произойдет перехода к позитивной оценке этих стандартов, положительного сдвига в их активном внедрении не предвидится. Хотя в ожидании положительных сдвигов в действиях нашего правительства, сидеть на месте, сложа руки, тоже не надо. Действия должны осуществляться по всем фронтам — повышение осведомленности специалистов, подготовка кадров, выработка процедур и рекомендаций по внедрению, разработка инструментария для такого внедрения и т.д. Если все заинтересованные стороны объединят свои усилия, то скоро мы действительно сможем говорить о повсеместном распространении стандартов ИБ. Алексей Лукацкий |