ISO 17799: Эволюция стандарта в период 2002 - 2005

Илья Медведовский, к.т.н., Digital Security

2005-12-15

История стандарта глазами очевидца

Сегодня стандарт ISO 17799 прочно вошел в нашу жизнь, став на практике стандартом де-факто построения систем управления информационной безопасностью ведущих компаний как в Европе и Азии, так и в России и странах СНГ. Как менялось отношение специалистов к стандарту, и какова история его развития? Я бы хотел рассказать историю стандарта глазами очевидца. Тем более, в феврале 2006 года будет 4 года с тех пор, как автор этих строк провел первый в России учебный курс "Практическое применение международного стандарта управления безопасностью ISO 17799". До самого недавнего времени этот курс компании Digital Security был единственный в СНГ курсом по стандарту (в 2005 году появились курсы других компаний). За 4 года на нашем курсе прошло обучение более 1500 специалистов компаний, при этом курс неоднократно проводился в таких городах как: Москва, Санкт-Петербург, Новосибирск, Казань, Томск, Тюмень, Екатеринбург, Челябинск, Иркутск, Киев, Днепропетровск, Одесса, Кишинев, Рига, Таллинн, Алматы, Ташкент.

За это время в период с 2002 по 2005 год специалисты Digital Security реализовали свой опыт в применении ISO 17799 и анализе и управлении рисками, проведя только в 2005 году более 15 аудитов на соответствие требованиям ISO 17799/BS 7799:2 и создав в 2003 году единственные в СНГ широко используемые системы анализа и управления информационными рисками и политикой безопасности ГРИФ и КОНДОР, объединенные в 2005 году в единый интегрированный продукт Digital Security Office 2005.

ISO 17799 - этапы большого пути.

1995 год - появление стандарта BS 7799

В середине 90-х годов Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др., занялся разработкой стандарта управления информационной безопасностью. И в 1995 г. был принят национальный британский стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы ее деятельности. Первая часть стандарта носила рекомендательный характер. Вторая часть была предназначена для сертификации и содержала часть обязательных требований, не входивших в первую часть, основные требования первой части стандарта приведены в приложении.

Как и любой национальный стандарт BS 7799 в период 1995 - 2000 пользовался, скажем так, умеренной популярностью только в рамках стран британского содружества

1999 - появление стандарта ISO 17799

В конце 1999 эксперты международной организации по стандартизации ISO пришли к выводу, что в рамках существующих стандартов ISO отсутствует специализированный стандарт управления информационной безопасностью. Соответственно, ISO было принято решение не заниматься разработкой нового стандарта, а по согласованию с британским институтом стандартов, взяв за базу BS 7799:1, принять стандарт ISO 17799.

Соответственно 2000 год вдохнул новую жизнь в BS 7799:1, который, став ISO 17799, получил теперь уже статус международного стандарта, что кардинально изменило расстановку сил и отношение к стандарту (между локальным и международным стандартом разница очевидна).

Что же касается официальной сертификации по ISO 17799, то она изначально не была предусмотрена (полная аналогия с BS 7799). Была предусмотрена только сертификация по BS 7799:2, который представлял собой ряд обязательных требований (не вошедших в первую часть BS 7799/ISO 17799) и в приложении перечень условно обязательных (на усмотрение сертификатора) наиболее важных требований BS7799:1/ISO 17799. Процедура сертификации по ISO должна была появиться только после выхода в рамках ISO стандарта аналога BS 7799:2 (отметим, что это случилось только в конце 2005 года с выходом сертификационного стандарта ISO 27001).

При этом была предусмотрена стандартная процедура сертификации по BS 7799:2 такая же, как и для всех стандартов ISO. Сертификатор (компания, специализирующаяся на сертификации по различным стандартам от ISO 9001 до ISO 14001, обязательная аккредитованная при UKAS, например BSI, TUV, URS, DNV и др.) не имеет право готовить компании к сертификации: этим занимаются партнеры - независимые консультанты. В свою очередь консультант не имеет право заниматься сертификацией.

2001 - 2002

Февраль 2002 года можно смело называть отправной точкой развития стандарта ISO 17799 в России и странах СНГ. В середине 2001 года в мире сложилась непростая ситуация в области стандартизации по информационной безопасности. Существовали различные стандарты, применимость которых на практике вызывала вопросы и серьезные сомнения. Кроме того, у большинства специалистов преобладал исключительно технологический подход к защищенности, и вопросам управления безопасностью уделялось минимальное внимание. Однако у узкого круга специалистов существовало понимание, что исключительно технологический подход к защите информации - это путь в никуда, это еще далеко не все. Поэтому нам всем жизненно необходимо еще выработать некий единый подход к тому, что теперь называется СУИБ (система управления информационной безопасностью). И здесь палочкой-выручалочкой стал именно ISO 17799, который специализировался именно в вопросах управления информационной безопасностью и стал тем недостающим звеном, которого так не хватало на практике. Так случилось, что тогда именно мы первые в России обратили внимание на еще очень молодой ISO 17799 и пришли к выводу, что за этим стандартом будущее (и как показала мировая практика, так и случилось). Соответственно в 2001 году после изучения и осмысления требований стандарта и адаптации его требований при проведении аудита информационной безопасности у ряда заказчиков автор этих строк разработал соответствующий учебный курс по практике применения ISO 17799, с которым первый раз широкая общественность познакомилась в Санкт-Петербурге в феврале 2002 года. Причем в тот момент перспективы развития стандарта были далеко не так очевидны, как сегодня.

Отношение бизнеса и большинства специалистов-практиков стран СНГ к стандарту в то время выражалось одной фразой: "Мы до этого еще доросли", то есть мы констатировали теоретический интерес.

К концу 2002 года число компаний в мире, имевших сертификат BS 7799-2, было примерно около 150.

2003

Этот год можно назвать годом начала экспоненциального роста интереса специалистов и бизнеса к ISO 17799.

Официальные регулирующие органы РФ впервые обратили внимание на стандарт, заметив, что он не противоречит действующим документам Государственной Технической Комиссии РФ. В конце года на конференциях начались робкие разговоры о возможности появления в России ГОСТа 17799.

Наиболее интересным событием года в СНГ стало то, что именно в 2003 году Национальный Банк Молдовы начал первым в СНГ на практике применять требования стандарта, обязав все местные банки выполнять его требования, создавая систему управления информационной безопасностью на основе ISO 17799.

Отношение бизнеса и специалистов-практиков стран СНГ к стандарту и процессу управления информационной безопасностью, основанному на анализе и управление рисками - умеренный зарождающийся интерес.

Число компаний в мире, получивших официальный сертификат - около 350

2004

Общая либерализация рынка информационной безопасности в России, ориентация на лучшие западные стандарты, подготовка ГОСТа 15408 и многие другие факторы привели к тому, что представители официальных органов РФ открыто заявили о необходимости принятия ГОСТа 17799 и что это лишь вопрос времени.

Тем не менее, не в России, а в Белоруссии - первой (и до сих пор единственной на момент 2005 г.) из стран СНГ в ноябре 2004 года был принят ГОСТ 17799.

В России ряд ведущих компаний начали работу по построению СУИБ в соответствии с ISO 17799 и принятию корпоративных стандартов на его базе. Анализ и управление информационными рисками - основа стандарта ISO 17799 - прочно вошли в жизнь большинства специалистов и стали применяться на практике.

ЦБ РФ на базе ISO 17799 создал стандарт управления информационной безопасностью для банковской сферы РФ.

Число компаний в мире, получивших официальный сертификат - более 1000! Обратим внимание на трехкратный рост числа сертифицированных компаний в 2004 году - этот год стал основным годом, показавшим тенденцию общего практического интереса к стандарту в мире и странах СНГ.

2005

Буквально взрывной интерес участников рынка стран СНГ к стандарту. Россия, Казахстан, Молдова, Узбекистан, Украина - стандарт стал повсеместно применяться на практике (или пришло осознание необходимости его применения как лучшей мировой практики).

Компании начали активно разрабатывать и внедрять СУИБ в соответствии со стандартом.

В России разработан и передан на обсуждение специалистам проект ГОСТа 17799. Выход ГОСТа 17799 ожидается в 2006 году.

Вышла новая значительно расширенная по сравнению с 2000 годом редакция стандарта ISO 17799:2005.

Впервые в рамках ISO появился сертификационный стандарт ISO 27001, пришедший на смену BS 7799:2, и теперь сертификация проводится уже по ISO 27001; схема сертификации не изменилась.

Анализ и управление информационными рисками, система управления информационной безопасностью на основе ISO 17799/BS 7799:2 стали основной темой на всех конференциях по информационной безопасности.

Число компаний в мире, получивших официальный сертификат - более 1800.

В России появились две первые компании, получившие сертификат BS 7799:2, что свидетельствует о начале интереса к официальной сертификации.

Вывод: ISO 17799 - назад в будущее

Какой же вывод? Сегодня стало совершенно очевидно то, что было совершенно неочевидно 4 года назад - стандарт ISO 17799, основанный на анализе и управлении рисками, занял лидирующие позиции в Европе и Азии и стал стандартом де-факто в построении систем управления информационной безопасностью.

Наблюдая за последние годы экспоненциальный рост интереса к стандарту, очевидно, что в ближайшие годы нас ждет бум интереса как к применению стандарта на практике, так и к процессу официальной сертификации по ISO 27001. Сегодня в конце 2005 года ISO 17799 - это та объективная реальность, которая уже не имеет альтернативы.