Обеспечение информационной безопасности компьютерных систем является чрезвычайно острой проблемой. И несмотря на усилия многочисленных организаций, занимающихся её решением, общая тенденция остается негативной.
Прогноз роста числа инцидентов в области информационной безопасности, имеющих тяжелые последствия в крупных организациях неизменно растёт. Основные причины этого
- возрастающая роль информационных технологий в поддержке бизнес-процессов, как следствие - цена ошибок и сбоев информационных
- возрастающая сложность информационных процессов
Первая причина носит объективный характер, ей можно противопоставить только способность организации обеспечивать возрастающие требования в области информационной безопасности. Для нейтрализации воздействия второй причины необходимо отслеживать соответствие квалификации персонала, ответственного за обеспечение стоящих задач, получить объективную оценку состояния подсистемы безопасности.
Для решения этих задач создаются организации аудиторов в области информационной безопасности, ставящие своей целью проведение экспертизы соответствия системы некоторым требованиям, оценки системы управления, повышения квалификации специалистов в области информационной безопасности. Статус таких организаций может быть как государственный (при национальных институтах стандартов) так и независимых международных организаций.
В последнее время в разных странах появилось новое поколение стандартов в области ИБ, посвященных практическим аспектам организации и управления ИБ. Особого внимания заслуживает британский стандарт BS7799 и ассоциированные документы, как наиболее проработанные и апробированные.
Технология проведения аудита на соответствие подобным стандартам существенно отличается от технологий, применяемых для предыдущих поколений стандартов, к которым, в частности, относятся Руководящие документы (РД) Гостехкомиссии России 1992—1993 гг. Основное отличие заключается в гораздо большей степени формализации некоторых этапов, использовании поддающихся проверке показателей и критериев, то есть в большей детализации. Это, конечно, эволюционный путь развития, но на него в настоящее время специалистами возлагаются большие надежды: считается, что именно широкое использование процедур добровольной сертификации позволит переломить негативную тенденцию возрастания числа инцидентов в области ИБ, имеющих тяжелые последствия.
Следует отметить, что должный эффект может дать только комплексный подход к аудиту, то есть проверка на соответствие определенным требованиям не только программно-технической составляющей некоторой информационной технологии, но и решений на процедурном уровне (организация работы персонала и регламентация его действий) и административном уровне (корректность существующей программы обеспечения информационной безопасности и практика ее выполнения).