На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 1 январь-февраль 2007 г.
Тема номера:
РАЗВИТИЕ СТАНДАРТА ISO 17799 В РОССИИ


Материалы членов Ассоциации «ЕВРААС»
МЕЖДУНАРОДНЫЕ СТАНДАРТЫ ИБ: ПРАКТИКИ РАЗРАБОТКИ И ПРИМЕНЕНИЯ

С. В. Иванищак, генеральный директор Ассоциации «ЕВРААС»


Предыдущая статьяСледующая статья

Начиная с 2000 года, в области информационной безопасности заметно расширилась практика прямого применения стандартов, в основном разработанных совместным техническим комитетом международной организации по стандартизации и международного электротехнического комитета «Безопасность информационных технологий» ISO/IEC JTC1/SC27. В первую очередь, это стандарты ИСО/МЭК 15408, 17799, 27001, 13335, TR 19791.

В условиях быстрого роста рынка продуктов и услуг в области информационной безопасности с одной стороны и дефицита отечественной нормативной базы с другой – такая практика обеспечивает решение проблемы нормативного обеспечения информационной безопасности.

Тем не менее, сегодня это решение не представляется оптимальным. Любые, даже самые качественные, но заочные переводы стандартов, ставят авторов под неизбежный огонь критики и порождают умножение толкований, поскольку чрезвычайно сложно сделать адекватную русскоязычную интерпретацию текста без многолетнего участия в согласительных процедурах в рамках международных организаций по стандартизации.

Однако для такой организации процесса необходимо, как говорится, «иметь, что сказать» в условиях отставания российских бизнес-практик обеспечения информационной безопасности, сохранять политическую волю к последовательной и непрерывной работе, не взирая на постоянные административные изменения и неустойчивость бизнес-планов, наконец, обладать немалыми финансовыми средствами.

Необходима разработка и реализация сбалансированной интересами государственных регуляторов рынка, бизнеса и потребителей стратегии стандартизации в области информационной безопасности. Кроме этого, ничто принципиально не мешает воспользоваться кровью заработанным Советским Союзом во второй мировой войне правом выносить к принятию оригинальные международные стандарты ИСО на одном из трех официальных языков – русском, что полностью снимает проблемы оценки качества переводов.

При разработке стратегии стандартизации, кроме создания современной нормативной базы как основы для контрольно-надзорной деятельности, возможно также преду-смотреть достижение и других целей, таких как:

  • продвижение на международные рынки передовых и конкурентноспособных отечественных решений, например, криптографических средств защиты информации, средств защиты информации от несанкционированного доступа и утечки по техническим каналам;
  • поддержка и распространение экономически успешных и эффективных организаций и бизнес-практик;
  • увеличение внутреннего и международного оборота продуктов и услуг в области информационной безопасности;
  • содействие быстрому распространению передовых знаний и новшеств для усиления конкуренции в бизнесе и, как следствие, повышения качества продуктов и услуг, установление обоснованных цен;
  • сокращение объема административных регуляторов рынка за счет делегирования бизнесу компетенции разработки стандартов как одной из составляющих технического регулирования;
  • устранение международных и внутрироссийских отраслевых технических барьеров при распространении продуктов и услуг в области информационной безопасности;
  • содействие взаимопроникновению технологий из разных сфер безопасности;
  • внедрение процедур разработки стандартов с ограниченным согласованием в качестве средства поддержки продуктов с короткими фазами разработки и эксплуатации;
  • использование стандартизации как механизма защиты инвестиций в разработку и продвижение новых продуктов, в том числе государственных капиталовложений в НИОКР;
  • использование механизмов соглашений по совместной разработке стандартов ИСО для взаимодействия с другими международными организациями, работающими в области информационной безопасности (ITU, ICANN, IETF, ETSI, ENISA);
  • фактическая реализация через стандартизацию модели технического самоуправления в отрасли информационной безопасности.

Признание необходимости достижения этих целей может оказать значительное влияние на содержание и формы проведения работ по стандартизации в области информационной безопасности. В первую очередь это приведет к увеличению возможности и необходимости участия в процессах стандартизации бизнес-организаций. Практика работы иностранных компаний в международных организациях по стандартизации показывает целесообразность и возможность такого участия преимущественно для крупных и финансово стабильных компаний.

Участие российских бизнес-организаций в работе международных технических комитетов в одиночку затруднено в силу следующих причин:

  • принадлежности большинства отечественных участников рынка информационной безопасности к малому и среднему бизнесу с соответствующими финансовыми, организационными и кадровыми ограничениями;
  • сложности организации одновременной разработки продукта и его поддержки стандартизацией в течение 3–5 лет, несовпадения современного «горизонта» российского бизнес-планирования со сроками разработки стандартов;
  • сложности одиночного отстаивания позиций в условиях сильного конкурентного давления и фактического ведения лингвистической борьбы с англоязычными оппонентами.

Одним из возможных решений комплекса этих проблем может быть организация участия компаний-представителей рынка в процедурах международной стандартизации в форме частно-государственного партнерства. При этом даже небольшая финансовая поддержка государства позволит консолидировать усилия многих участников рынка, создать реальные постоянно-действующие экспертные группы, обеспечить непрерывность и преемственность работы, согласовать бизнес-интересы отдельных компаний и не допустить узко-конъюнктурных предложений. В то же время, государственные регуляторы рынка получат возможность требовать от импортеров интеграции производимой ими продукции с нашими решениями, заставлять сертифицировать импортные продукты в отечественных системах сертификации (работающих, в том числе, и на основе международных стандартов), без чего их продвижение на российском рынке должно быть затруднено.

Реализация стратегии стандартизации, преследующей эти цели, разу-меется, потребует больших усилий. Необходимо будет:

  • организовывать взаимодействие государственных регуляторов, бизнеса и ассоциаций;
  • упорядочить распределение сфер ответственности за разработку стандартов в области информационной безопасности между различными национальными техническими комитетами, стремясь сделать структуру «зеркальную» по отношению к международной системе стандартизации;
  • создавать реально работающие сети для связей с общественностью и информационной деятельности;
  • рекламировать преимущества стандартизации;
  • интенсифицировать образование и подготовку кадров в области стандартизации;
  • оценивать рыночную значимость проектов новых стандартов;
  • интегрировать работы по стандартизации в исследования и разработку;
  • следить за развитием новых рынков и технологий; определять наиболее приоритетные направления среди российских технологий обеспечения информационной безопасности;
  • разграничивать стандартизацию и законодательную деятельность, внедрять отношение к стандартам, как к договору между производителем и потребителем.

Разумеется, такая работа столкнется со значительными трудностями. Сложно будет найти, обосновать и поддерживать государственное софинансирование проекта, найти конкурентоспособные технологии, требующие поддержки на уровне международной стандартизации, преодолевать обычаи ведомственной обособленности сфер деятельности, препятствующие стандартизации интегрированных технологий и пр. Однако даже начало этой деятельности, знакомство с практикой разработки международных стандартов, направлениями совершенствования международной системы стандартов в области информационной безопасности и перспективами развития технологий в этой сфере может придать серьезный импульс отечественным организациям – производителям продуктов и услуг в области информационной безопасности.

Практически апробировать предлагаемые подходы будет возможно уже весной этого года. Ассоциация «ЕВРААС» выступает техническим организатором выездного заседания технического подкомитета ISO/IEC JTC1/SC27, впервые проводимого на территории России и стран СНГ (http://sc27.evraas.ru). Заседание пройдет на борту теплохода, следующего по маршруту Москва – Санкт-Петербург с 2 по 12 мая 2007 года. Там же, 3 мая в Москве, 5 мая в Ярославле и 10 мая в Санкт-Петербурге, пройдет международная конференция «Проблемы международной стандартизации в области безопасности информационных технологий» с участием руководителей рабочих групп технического подкомитета ISO/IEC JTC1/SC27, представителей государственных и корпоративных структур. Представителям рынка будет предложна возможность присутствовать на заседаниях рабочих групп и конференции, что позволит каждой организации определить свою позицию в отношении необходимости собственного участия в международной стандартизации.


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100