Директивы ОЭСР
25 июля 2002 г. Совет Организации экономического сотрудничества и развития (ОЭСР) принял Директивы по безопасности информационных систем и сетей «К культуре безопасности» (далее — Директивы). Директивы состоят из 9 принципов, составляющих структуру рассматриваемых вопросов безопасности. Принципы имеют краткие и основополагающие формулировки, благодаря которым доступны для понимания всеми участниками. Директивы уделяют внимание развивающимся рискам и все большей взаимосвязанности сетевой экономики. Эти новые обстоятельства также расширили масштаб применимости Директив. До относительно недавнего времени безопасность ИТ была специальной областью, которая редко привлекала внимание кого-либо в сфере бизнеса или правительствах кроме профессионалов в сфере ИТ. Мировые события, связанные с вирусными атаками, способными разрушить бизнес, и вопросами, затрагивающими физическую безопасность, выдвинули информационную безопасность в ряд главнейших забот бизнеса, правительства и гражданского общества. Это меняющееся отношение к безопасности отразилось в новом подзаголовке Директив «К культуре безопасности» и в том факте, что они адресованы всем участникам в соответствии с их ролями.
Девять принципов Директив могут быть сгруппированы в три основные категории.
1. Опорные принципы:
- осознание;
- ответственность;
- реакция.
2. Общественные принципы:
- этика;
- демократия.
3. Принципы жизненного цикла безопасности:
- оценка риска;
- проектирование и реализация безопасности;
- менеджмент безопасности;
- ревизия.
Опорные принципы сосредоточиваются на необходимости сознавать риски, предпринимать ответственное действие, связанное с этими рисками, и координировать это действие в своевременной реакции. Общественные принципы обращаются к вопросам, связанным с поведением, честностью, открытостью, прозрачностью и ценностями. Последние четыре принципа более оперативны по своему характеру и обращаются к «жизненному циклу безопасности». Они сосредоточиваются на необходимости:
- идентифицировать и оценивать риски;
- проектировать и реализовывать системы и решения, соответствующие требуемому уменьшению рисков;
- разрабатывать политики, процессы и процедуры, необходимые для обращения с этими системами и решениями;
- пересматривать риски, системы, решения, политику, процедуры и процессы в свете новых рисков, новых технологий, инцидентов и нормального жизненного цикла систем.
В Директивах указывается на роль бизнеса в культуре безопасности. Отмечается, что все стороны играют свои роли в культуре безопасности, но бизнес, как основной новатор, разработчик, пользователь и поставщик информационных технологий и технологий связи, играет более важную роль, чем большинство других сторон. Бизнес может быть разработчиком, реализатором и пользователем технологии, практических приемов и политики безопасности, как сказано в принципе 7 Директив: «безопасность должна быть основным элементом всех продуктов, услуг, систем и сетей, а также интегральной частью проекта и архитектуры системы. Для конечных пользователей проектирование и реализация безопасности в значительной степени состоит из выбора и компоновки продуктов и услуг для их системы».
Бизнес может помочь обеспечить планирование безопасности в продуктах, повысить осознание клиентов в отношении значимости безопасности и шагов, которые они могут предпринять для развития культуры безопасности, может способствовать развитию безопасной технологии, обеспечить информацию и содействие для безопасного конфигурирования и внедрения технологии.
Бизнес, в свою очередь, может извлечь из Директив определенную пользу. Хотя эти Директивы являются добровольными и распространяются межправительственной организацией, они были разработаны в партнерстве со всеми секторами бизнеса и общества и адресованы им. Их основной посыл — безопасность представляет сейчас интегральную часть гражданской ответственности каждого — имеет далеко идущее значение для бизнеса, занимающего уникальное положение по отношению к обществу. Бизнес является преимущественным владельцем и оператором информационных систем и сетей, составляющих сетевую экономику. Бизнес обладает наибольшим оперативным контролем над текущей и будущей безопасностью этих систем и сетей и является основным разработчиком и инициатором решений, мер, практических приемов и политики безопасности. Международные деловые круги должны рассматривать эту ответственность как подтверждение значимости безопасности, как обязывающий и способствующий фактор для существующего и развивающегося бизнеса.
Концепция культуры безопасности заключает в себе понятие того, что уместно для роли индивидуальных участников и ситуаций. Хотя многие концепции безопасности и вопросы политики кажутся уместными только на уровне предприятия, они применяются и в домашнем офисе и на малых и средних предприятиях. Культура безопасности должна вылиться в интуитивное поведение и реакцию. Инструментальные средства, такие, как программы проверки на вирусы, могут быть полезны только в том случае, если они используются и обновляются. Пароли и другие аутентификационные процедуры будут эффективны только в том случае, если они хранятся в тайне. Эти концепции должны стать рефлекторными.
С точки зрения бизнеса наиболее важная роль Директив заключается в том, что они дополняют и в некотором смысле делают более совершенной существующую иерархию практических приемов, процессов и политики бизнеса в сфере безопасности информационных технологий и технологий связи. Обеспечивая основополагающий набор общих принципов, Директивы включают существующую структуру бизнеса в более широкий общественный контекст. Они соединяются с все более строгими инструктивными и юридическими рамками, в которых функционирует бизнес в глобальном масштабе. Подобные рамки, например документы Банка международных расчетов (Базель II) по контролю операционного риска в финансовом секторе, требуют, чтобы фирмы проводили свои операции безопасным управляемым образом.
В приведенной ниже таблице показано соответствие Базельских требований (Basel II) и Директив ОЭСР.
Принципы операционного риска Базель II | Директивы ОЭСР |
1. Директора должны определить структуру менеджмента операционного риска | Принцип 1 |
2. Должен существовать внутренний аудит структуры менеджмента операционного риска | Принцип 8 |
3. Ответственность за структуру операционного риска должна возлагаться на высшее руководство | Принцип 2 Принцип 7 |
4. Для всех новых систем должна осуществляться оценка операционного риска | Принцип 6 |
5. Должен проводиться регулярный мониторинг операционного риска и существовать механизм предоставления отчетов правлению. | Принцип 9 |
6. Должны проводиться периодическая проверка и корректировка стратегии менеджмента операционного риска | Принцип 9 |
7. Должны существовать план на случай непредвиденных обстоятельств и план обеспечения непрерывности бизнеса | Принцип 3 |
8. Должна существовать структура для идентификации, оценки, мониторинга, контроля/уменьшения материальных операционных рисков | Принцип 8 |
9. Должно производиться независимое внешнее оценивание политики, процедур и практических приемов, связанных с операционным риском | Принцип 5 |
10. Необходимо достаточное публичное раскрытие информации, чтобы сделать возможной оценку механизмов контроля операционного риска | Принцип 4 Принцип 5 |
У больших и малых фирм существуют многообразные потребности безопасности, ресурсы и возможности. Нет решения, которое подошло бы всем, часто даже в пределах одного предприятия. Требования безопасности для критических приложений отличаются от требований безопасности для более рутинных приложений, однако все они связаны и должны трактоваться таким образом.
Международная торговая палата и Консультативный комитет ОЭСР по предпринимательству и промышленности от имени мирового делового сообщества надеются способствовать распространению и реализации Директив. Этот документ должен стать жизненным документом, он будет обновляться по мере необходимости, чтобы отражать меняющиеся обстоятельства и развивающиеся настоятельные требования безопасности. В 2003 г. с этой целью они выпустили комментарии для международного бизнеса по Директивам ОЭСР 2002 г. по безопасности сетей и информационных систем «К культуре безопасности» под названием «Доверие информационной безопасности для руководящих работников». В этом документе отмечается, что бизнес должен быть в состоянии использовать Директивы и данные комментарии, чтобы:
- обеспечить контекст для понимания руководящими работниками деловых результатов безопасности на предприятии и в обществе;
- обеспечить высокоуровневые ресурсы, которые он может использовать, чтобы гарантировать, что его компании продолжают отвечать ожиданиям причастной стороны, клиентов, служащих, распорядительных органов и широкой публики;
- повысить осознание, касающееся безопасности, у тех фирм, которые не имеют в штате или по договору специалистов в сфере информационных технологий и технологий связи или только недавно вступили в сферу электронной торговли;
- помочь бизнесу понять, какую роль он может играть в содействии определению и разработке культуры безопасности.
Представляет интерес обзор законодательства ряда развитых в технологическом отношении стран. Но это требует дополнительного изучения.
Дата добавления: 2015-02-03; просмотров: 1125;