double arrow

Директивы ОЭСР

25 июля 2002 г. Совет Организации экономического сотрудничества и развития (ОЭСР) принял Директивы по безопасности информационных систем и сетей «К культуре безопасности» (далее — Директивы). Директивы состоят из 9 принципов, составляющих структуру рассматриваемых вопросов безопасности. Принципы имеют краткие и основополагающие формулировки, благодаря которым доступны для понимания всеми участниками. Директивы уделяют внимание развивающимся рискам и все большей взаимосвязанности сетевой экономики. Эти новые обстоятельства также расширили масштаб применимости Директив. До относительно недавнего времени безопасность ИТ была специальной областью, которая редко привлекала внимание кого-либо в сфере бизнеса или правительствах кроме профессионалов в сфере ИТ. Мировые события, связанные с вирусными атаками, способными разрушить бизнес, и вопросами, затрагивающими физическую безопасность, выдвинули информационную безопасность в ряд главнейших забот бизнеса, правительства и гражданского общества. Это меняющееся отношение к безопасности отразилось в новом подзаголовке Директив «К культуре безопасности» и в том факте, что они адресованы всем участникам в соответствии с их ролями.

Девять принципов Директив могут быть сгруппированы в три основные категории.

1. Опорные принципы:

- осознание;

- ответственность;

- реакция.

2. Общественные принципы:

- этика;

- демократия.

3. Принципы жизненного цикла безопасности:

- оценка риска;

- проектирование и реализация безопасности;

- менеджмент безопасности;

- ревизия.

Опорные принципы сосредоточиваются на необходимости сознавать риски, предпринимать ответственное действие, связанное с этими рисками, и координировать это действие в своевременной реакции. Общественные принципы обращаются к вопросам, связанным с поведением, честностью, открытостью, прозрачностью и ценностями. Последние четыре принципа более оперативны по своему характеру и обращаются к «жизненному циклу безопасности». Они сосредоточиваются на необходимости:

- идентифицировать и оценивать риски;

- проектировать и реализовывать системы и решения, соответствующие требуемому уменьшению рисков;

- разрабатывать политики, процессы и процедуры, необходимые для обращения с этими системами и решениями;

- пересматривать риски, системы, решения, политику, процедуры и процессы в свете новых рисков, новых технологий, инцидентов и нормального жизненного цикла систем.

В Директивах указывается на роль бизнеса в культуре безопасности. Отмечается, что все стороны играют свои роли в культуре безопасности, но бизнес, как основной новатор, разработчик, пользователь и поставщик информационных технологий и технологий связи, играет более важную роль, чем большинство других сторон. Бизнес может быть разработчиком, реализатором и пользователем технологии, практических приемов и политики безопасности, как сказано в принципе 7 Директив: «безопасность должна быть основным элементом всех продуктов, услуг, систем и сетей, а также интегральной частью проекта и архитектуры системы. Для конечных пользователей проектирование и реализация безопасности в значительной степени состоит из выбора и компоновки продуктов и услуг для их системы».

Бизнес может помочь обеспечить планирование безопасности в продуктах, повысить осознание клиентов в отношении значимости безопасности и шагов, которые они могут предпринять для развития культуры безопасности, может способствовать развитию безопасной технологии, обеспечить информацию и содействие для безопасного конфигурирования и внедрения технологии.

Бизнес, в свою очередь, может извлечь из Директив определенную пользу. Хотя эти Директивы являются добровольными и распространяются межправительственной организацией, они были разработаны в партнерстве со всеми секторами бизнеса и общества и адресованы им. Их основной посыл — безопасность представляет сейчас интегральную часть гражданской ответственности каждого — имеет далеко идущее значение для бизнеса, занимающего уникальное положение по отношению к обществу. Бизнес является преимущественным владельцем и оператором информационных систем и сетей, составляющих сетевую экономику. Бизнес обладает наибольшим оперативным контролем над текущей и будущей безопасностью этих систем и сетей и является основным разработчиком и инициатором решений, мер, практических приемов и политики безопасности. Международные деловые круги должны рассматривать эту ответственность как подтверждение значимости безопасности, как обязывающий и способствующий фактор для существующего и развивающегося бизнеса.

Концепция культуры безопасности заключает в себе понятие того, что уместно для роли индивидуальных участников и ситуаций. Хотя многие концепции безопасности и вопросы политики кажутся уместными только на уровне предприятия, они применяются и в домашнем офисе и на малых и средних предприятиях. Культура безопасности должна вылиться в интуитивное поведение и реакцию. Инструментальные средства, такие, как программы проверки на вирусы, могут быть полезны только в том случае, если они используются и обновляются. Пароли и другие аутентификационные процедуры будут эффективны только в том случае, если они хранятся в тайне. Эти концепции должны стать рефлекторными.

С точки зрения бизнеса наиболее важная роль Директив заключается в том, что они дополняют и в некотором смысле делают более совершенной существующую иерархию практических приемов, процессов и политики бизнеса в сфере безопасности информационных технологий и технологий связи. Обеспечивая основополагающий набор общих принципов, Директивы включают существующую структуру бизнеса в более широкий общественный контекст. Они соединяются с все более строгими инструктивными и юридическими рамками, в которых функционирует бизнес в глобальном масштабе. Подобные рамки, например документы Банка международных расчетов (Базель II) по контролю операционного риска в финансовом секторе, требуют, чтобы фирмы проводили свои операции безопасным управляемым образом.

В приведенной ниже таблице показано соответствие Базельских требований (Basel II) и Директив ОЭСР.

Принципы операционного риска Базель II Директивы ОЭСР
1. Директора должны определить структуру менеджмента операционного риска Принцип 1
2. Должен существовать внутренний аудит структуры менеджмента операционного риска Принцип 8
3. Ответственность за структуру операционного риска должна возлагаться на высшее руководство Принцип 2 Принцип 7
4. Для всех новых систем должна осуществляться оценка операционного риска Принцип 6
5. Должен проводиться регулярный мониторинг операционного риска и существовать механизм предоставления отчетов правлению. Принцип 9
6. Должны проводиться периодическая проверка и корректировка стратегии менеджмента операционного риска Принцип 9
7. Должны существовать план на случай непредвиденных обстоятельств и план обеспечения непрерывности бизнеса Принцип 3
8. Должна существовать структура для идентификации, оценки, мониторинга, контроля/уменьшения материальных операционных рисков Принцип 8
9. Должно производиться независимое внешнее оценивание политики, процедур и практических приемов, связанных с операционным риском Принцип 5
10. Необходимо достаточное публичное раскрытие информации, чтобы сделать возможной оценку механизмов контроля операционного риска Принцип 4 Принцип 5

У больших и малых фирм существуют многообразные потребности безопасности, ресурсы и возможности. Нет решения, которое подошло бы всем, часто даже в пределах одного предприятия. Требования безопасности для критических приложений отличаются от требований безопасности для более рутинных приложений, однако все они связаны и должны трактоваться таким образом.

Международная торговая палата и Консультативный комитет ОЭСР по предпринимательству и промышленности от имени мирового делового сообщества надеются способствовать распространению и реализации Директив. Этот документ должен стать жизненным документом, он будет обновляться по мере необходимости, чтобы отражать меняющиеся обстоятельства и развивающиеся настоятельные требования безопасности. В 2003 г. с этой целью они выпустили комментарии для международного бизнеса по Директивам ОЭСР 2002 г. по безопасности сетей и информационных систем «К культуре безопасности» под названием «Доверие информационной безопасности для руководящих работников». В этом документе отмечается, что бизнес должен быть в состоянии использовать Директивы и данные комментарии, чтобы:

- обеспечить контекст для понимания руководящими работниками деловых результатов безопасности на предприятии и в обществе;

- обеспечить высокоуровневые ресурсы, которые он может использовать, чтобы гарантировать, что его компании продолжают отвечать ожиданиям причастной стороны, клиентов, служащих, распорядительных органов и широкой публики;

- повысить осознание, касающееся безопасности, у тех фирм, которые не имеют в штате или по договору специалистов в сфере информационных технологий и технологий связи или только недавно вступили в сферу электронной торговли;

- помочь бизнесу понять, какую роль он может играть в содействии определению и разработке культуры безопасности.

Представляет интерес обзор законодательства ряда развитых в технологическом отношении стран. Но это требует дополнительного изучения.


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



Сейчас читают про: