Илья Медведовский (idm@dsec.ru)
к.т.н.
Digital Security

Сегодня стандарт ISO 27001 прочно вошел в нашу жизнь, став на практике стандартом де-факто построения систем управления информационной безопасностью ведущих компаний как в Европе и Азии, так и в России и странах СНГ. Как менялось отношение специалистов к стандарту, и какова история его развития?

Рассмотрим историю стандарта глазами очевидца. Тем более, в феврале 2007 года исполнилось 5 лет с тех пор, как автор этих строк провел первый в России учебный курс «Практическое применение международного стандарта управления безопасностью ISO 17799». До недавнего времени этот курс компании Digital Security был единственный в СНГ курсом по стандарту (в 2005 году появился курс компании BSI). За более чем 5 лет на нашем курсе прошло обучение более 1500 специалистов компаний, при этом курс неоднократно проводился в таких городах как: Москва, Санкт-Петербург, Новосибирск, Казань, Томск, Тюмень, Екатеринбург, Челябинск, Иркутск, Киев, Днепропетровск, Одесса, Кишинев, Рига, Таллинн, Алматы, Ташкент.

ISO 17799 - этапы большого пути

1995 год - появление стандарта BS 7799

В середине 90-х годов Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks&Spencer, Logica и др., занялся разработкой стандарта управления информационной безопасностью. И в 1995 г. был принят национальный британский стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы ее деятельности. Первая часть стандарта носила рекомендательный характер. Вторая часть была предназначена для сертификации и содержала часть обязательных требований, не входивших в первую часть. Как и любой национальный стандарт BS 7799 в период 1995 – 2000 пользовался, скажем так, умеренной популярностью только в рамках стран британского содружества.

1999 - появление стандарта ISO 17799

В конце 1999 эксперты международной организации по стандартизации ISO пришли к выводу, что в рамках существующих стандартов ISO отсутствует специализированный стандарт управления информационной безопасностью. Соответственно, ISO было принято решение не заниматься разработкой нового стандарта, а по согласованию с британским институтом стандартов, взяв за базу BS 7799:1, принять стандарт ISO 17799.

Соответственно 2000 год вдохнул новую жизнь в BS 7799:1, который, став ISO 17799, получил теперь уже статус международного стандарта, что кардинально изменило расстановку сил и отношение к стандарту (между локальным и международным стандартом разница очевидна).

Что же касается официальной сертификации по ISO 17799, то она изначально не была предусмотрена (полная аналогия с BS 7799). Была предусмотрена только сертификация по BS 7799:2, который представлял собой ряд обязательных требований (не вошедших в первую часть BS 7799/ISO 17799) и в приложении перечень условно обязательных (на усмотрение сертификатора) наиболее важных требований BS7799:1/ISO 17799. Процедура сертификации по ISO должна была появиться только после выхода в рамках ISO стандарта аналога BS 7799:2 (отметим, что это случилось только в конце 2005 года с выходом сертификационного стандарта ISO 27001).

При этом была предусмотрена стандартная процедура сертификации по BS 7799:2 такая же, как и для всех стандартов ISO. Сертификатор (компания, специализирующаяся на сертификации по различным стандартам от ISO 9001 до ISO 14001, обязательная аккредитованная при UKAS, например BSI, TUV, URS, DNV и др.) не имеет право готовить компании к сертификации: этим занимаются партнеры – независимые консультанты. В свою очередь консультант не имеет право заниматься сертификацией.

2001 - 2002

Февраль 2002 года можно смело называть отправной точкой развития стандарта ISO 17799 в России и странах СНГ. В середине 2001 года в мире сложилась непростая ситуация в области стандартизации по информационной безопасности. Существовали различные стандарты, применимость которых на практике вызывала вопросы и серьезные сомнения. Кроме того, у большинства специалистов преобладал исключительно технологический подход к защищенности, и вопросам управления безопасностью уделялось минимальное внимание. Однако у узкого круга специалистов существовало понимание, что исключительно технологический подход к защите информации – это путь в никуда, это еще далеко не все. Поэтому нам всем жизненно необходимо еще выработать некий единый подход к тому, что теперь называется СУИБ (система управления информационной безопасностью). И здесь палочкой-выручалочкой стал именно ISO 17799 в паре с BS 7799:2, который специализировался именно в вопросах управления информационной безопасностью и стал тем недостающим звеном, которого так не хватало на практике. Так случилось, что тогда именно мы первые в России обратили внимание на еще очень молодой ISO 17799 и пришли к выводу, что за этим стандартом будущее (и как показала мировая практика, так и случилось). Соответственно в 2001 году после изучения и осмысления требований стандарта и адаптации его требований при проведении аудита информационной безопасности у ряда заказчиков автор этих строк разработал соответствующий учебный курс по практике применения ISO 17799, с которым первый раз широкая общественность познакомилась в Санкт-Петербурге в феврале 2002 года. Причем в тот момент перспективы развития стандарта были далеко не так очевидны, как сегодня.

Отношение бизнеса и большинства специалистов-практиков стран СНГ к стандарту в то время выражалось одной фразой: «Мы до этого еще не доросли», то есть мы констатировали теоретический интерес.

К концу 2002 года число компаний в мире, имевших сертификат BS7799-2, было примерно около 150.

2003

Этот год можно назвать годом начала экспоненциального роста интереса специалистов и бизнеса к ISO 17799.

Официальные регулирующие органы РФ впервые обратили внимание на стандарт, заметив, что он не противоречит действующим документам Государственной Технической Комиссии РФ. В конце года на конференциях начались робкие разговоры о возможности появления в России ГОСТа 17799.

Наиболее интересным событием года в СНГ стало то, что именно в 2003 году Национальный Банк Молдовы начал первым в СНГ на практике применять требования стандарта, обязав все местные банки выполнять его требования, создавая систему управления информационной безопасностью на основе ISO 17799 и BS 7799:2.

Отношение бизнеса и специалистов-практиков стран СНГ к стандарту и процессу управления информационной безопасностью, основанному на анализе и управление рисками – умеренный зарождающийся интерес.

Число компаний в мире, получивших официальный сертификат – около 350.

2004

Общая либерализация рынка информационной безопасности в России, ориентация на лучшие западные стандарты, подготовка ГОСТа 15408 и многие другие факторы привели к тому, что представители официальных органов РФ открыто заявили о необходимости принятия ГОСТа 17799 и что это лишь вопрос времени.

Тем не менее, не в России, а в Белоруссии – первой (и до сих пор единственной на момент 2005 г.) из стран СНГ в ноябре 2004 года был принят ГОСТ 17799.

В России ряд ведущих компаний начали работу по построению СУИБ в соответствии с ИСО 17799 и принятию корпоративных стандартов на его базе. Анализ и управление информационными рисками – основа стандартов ISO17799 и BS 7799:2 - прочно вошли в жизнь большинства специалистов и стали применяться на практике.

ЦБ РФ, во многом опираясь на ISO 17799 и BS 7799:2 создал стандарт управления информационной безопасностью для банковской сферы РФ.

Число компаний в мире, получивших официальный сертификат – более 1000! Обратим внимание на трехкратный рост числа сертифицированных компаний в 2004 году – этот год стал основным годом, показавшим тенденцию общего практического интереса к стандарту в мире и странах СНГ.

2005

Буквально взрывной интерес участников рынка стран СНГ к стандарту. Россия, Казахстан, Молдова, Узбекистан, Украина – стандарт стал повсеместно применяться на практике (или пришло осознание необходимости его применения как лучшей мировой практики).

Компании начали активно разрабатывать и внедрять СУИБ в соответствии со стандартом.

В России у компании BSI, первой из остальных международных сертификационных компаний, появились русскоговорящие ведущие аудиторы, имеющие право официальной сертификации по стандарту BS 7799:2. В нашей стране разработан и передан на обсуждение специалистам проект ГОСТа 17799. Вышла новая значительно расширенная по сравнению с 2000 годом редакция стандарта ISO 17799:2005.

2005 год ознаменовался важнейшим моментом в истории стандартизации. Наконец, в рамках ISO появился сертификационный стандарт ISO 27001, пришедший на смену BS 7799:2, и теперь сертификация проводится уже по ISO 27001, что вдохнуло в стандарт новую жизнь, при этом схема сертификации не изменилась. Кроме того, анонсирована новая линейка стандартов ISO 2700x, куда впоследствии должен влиться стандарт ISO 17799 (под номером ISO 27002).

Анализ и управление информационными рисками, система управления информационной безопасностью на основе ISO 17799/ISO 27001 стали основной темой на всех конференциях по информационной безопасности.

Число компаний в мире, получивших официальный сертификат – более 1800.

В России появились две первые компании, получившие сертификат ISO 27001, что свидетельствует о начале интереса к официальной сертификации.

2006 - начало 2007

Это год стал продолжением тенденции создания СУИБ крупными компаниями на основе ISO 27001 и дальнейшей сертификации по стандарту. В этом году стандарт ISO 27001, безусловно, стал стандартом де-факто для систем управления ИБ.

Наиболее значимым событием в России становится выход ГОСТа 17799. Правда пока этот ГОСТ является переводом стандарта ISO 17799:2000, но начало положено. Ведется работа над переводами и скоро ожидается выход ГОСТ 17799:2005 и ГОСТ 27001.

Число компаний в мире, получивший официальный сертификат – более 3500.

В России число компаний, получивших сертификаты, выросло до 6. В остальных странах СНГ (Армения, Молдова, Украина) - 3 сертифицированные компании. Число компаний в СНГ, находящихся в стадии подготовки к сертификации – более 10.

ISO 27001 - назад в будущее

Какой же вывод? Сегодня стало совершенно очевидно то, что было совершенно неочевидно 5 лет назад – стандарт ISO 27001, основанный на анализе и управлении рисками, занял лидирующие позиции в Европе и Азии и стал стандартом де-факто в построении систем управления информационной безопасностью. Наблюдая за последние годы экспоненциальный рост интереса к стандарту, очевидно, что в ближайшие годы нас ждет бум интереса как к применению стандарта на практике, так и к процессу официальной сертификации по ISO 27001. Сегодня в 2007 году ISO 27001 - это та объективная реальность, которая уже не имеет альтернативы.

наверх