При построении КСЗИ большое значение имеет разработка концепции управления безопасностью предприятия. Создание системы управления информационной безопасностью (СУ И Б) должно базироваться на требованиях и рекомендациях нормативных и правовых актов. Однако до недавнего времени в России в области стандартизации организационных основ информационной безопасности (ИБ) существовал определенный пробел, затрагивались лишь отдельные аспекты рисков бизнес-процессов (ГОСТ 15.002, серия 9000, 51901 и др.) [5|. Активность в данном направлении до сих пор проявлял лишь Банк России, выпустивший свой стандарт ИББС-1.0. Однако в связи с планируемым вступлением России в ВТО повысилась актуальность внедрения популярных в мире стандартов по организационным основам ИБ серии 270хх. Гехнический комитет по стандартизации ТК-362, который уже много лет занимается вопросами адаптации указанных стандартов. в мае 2007 г. подготовил первые версии проектов ГОСТ 17799 И 27001 (табл. 1.1).
При внедрении организационных стандартов появляется возможность добровольной сертификации не только систем качества (как это сейчас происходит, на соответствие стандартам серии 4000), но и СУИБ. Зачастую такие требования уже выдвигают западные партнеры наших предприятий.
Кроме того, проведение сертификации СУИБ компании позволяет: обосновать затраты на эту систему; оценить ее эффективность; определить приоритеты КСЗИ.
Например, в ряде случаев уровень безопасности можно значительно повысить организационными мерами, не прибегая при этом к существенным капиталовложениям.
Особую актуальность внедрению организационных стандартов ИБ придает развитие нового вида услуг в данной области — страхование рисков И Б. Имеются данные, что организации, обладающие международными сертификатами соответствия стандартам СУИБ, получают скидки, сопоставимые с затратами на проведение сертификации [5].
В настоящее время комитетом ISO/IEC JTC 1/SC27 ведется разработка стандартов для систем управления информационной безопасностью (СУИБ) серии 2700х. Разработаны и планирова, разработать следующие стандарты (сведения на лето 2007 г.):. ISO27000 — определения и основные принципы СУИБ;. 1SO27001:2005 — этот стандарт уже внедряется фирмами в Г«1>. которые не дожидаются его перевода;
. 1SO27002 — в апреле 2007 г. заменяет ISO 17799:2005;. ISO27003 — руководство по внедрению СУИБ (2007 г.);. ISO27004 — оценка эффективности СУИБ (2007 г.);. ISO27005 — управление рисками И Б (в его основе лежит IS 7799-3: 2006, планируемый выпуск — в 2007 г.).
Осенью 2006 г. был опубликован ГОСТ Р ИСО/МЭК 17799-1005, являющийся переводом стандарта ISO 17799: 2000 (к сожа-ИПП1Ю, его, а не более современного 17799:2005). По мнению «иалитиков известного Интернет-ресурса CNews, качество русскою текста оставляет желать лучшего, так что рекомендуется читать ISO 17799:2005, причем в оригинале.
Кроме того, в 2007 г. в РФ планировались перевод и прямое применение следующих стандартов:
ISO/1EC 18045: 2005 — методология оценки безопасности ИТ;. ISO/IEC TR 18044:2004 — управление инцидентами ИБ;. ISO/PRF TR I3569.2, ISO/TR 13569:1997 — рекомендации по ИБ при предоставлении финансовых услуг.