03 Августа 2004 11:08 | 03 Авг 2004 11:08 | |

Поделиться

Обеспечение ИБ: "запрещено все, что не разрешено"

Прежде всего, необходимо четко сформулировать основную тему — «защищенная система». Распространенным заблуждением остается мнение, что защищенная система — это система, в которую установлены некоторые средства защиты информации, например, антивирусы и межсетевые экраны. Однако А. Сабанов, коммерческий директор компании «Aladdin R.D.», определяет понятие защищенной автоматизированной системы (обработки, передачи и хранения) информации как системы, которая обеспечивает безопасность (целостность, конфиденциальность и, одновременно, доступность для всех авторизованных пользователей) обрабатываемой информации и поддерживает свою работоспособность («живучесть» и восстанавливаемость) в условиях воздействия на нее заданного множества угроз.

Но такое определение имеет один существенный недостаток: защищенность в предложенной формулировке явлется качественной характеристикой системы и ее нельзя измерить в каких-либо единицах. Более того, нельзя с однозначным результатом сравнить уровень защищенности двух систем: одна будет лучше противостоять угрозам в одних условиях, другая — в других. В общих чертах, для обеспечения безопасности и ее качественного определения необходимо ответить на следующие вопросы: какая информация нуждается в защите, какие пользователи и в какой степени имеют к ней доступ. Особенно важен второй вопрос, ведь известно, что более двух третей угроз безопасности КИС несут ее пользователи.

Распределение потерь по их источникам

Источник: Computer Security Institute

Ответив на эти вопросы и руководствуясь принципом «Запрещено все, что не разрешено», можно выработать политику информационной безопасности, а собственно безопасность можно будет оценить выполненностью положений политики безопасности. Такое «расставление галочек» скрывается за термином «аудит системы безопасности».

По определению В. Исаева, эксперта по информационной безопасности, политика информационной безопасности организации — это внутренний нормативный документ, который имеет трехуровневую иерархию.

Общая структура политики информационной безопасности

Источник: Computer Security Institute

• Требования — это высокоуровневые положения, которые определяют принципы и направления выполнения действий. Например, для критичных серверов должно выполняться регулярное резервное копирование.
• Стандарты — это детальные положения, которые определяют особенности выполнения действий. Например, для серверов А, Б и В ежедневно должно выполняться инкрементальное резервное копирование и еженедельно — полное резервное копирование.
• Организационно-распорядительные и нормативно-технические документы — это инструкции, определяющие последовательность выполнения требований и стандартов. Например, инструкция по резервному копированию.

Политика безопасности — внутренний стандарт, обязательный для всех, должна быть выработана таким образом, чтобы решить следующие задачи:

• зафиксировать единый перечень требований по информационной безопасности для всей организации;
• распределить зоны ответственности между подразделениями и персоналом организации в части информационной безопасности.

Разработка политики позволит обеспечить ИБ с учетом требований национальных и международных стандартов (например, ISO 17799, ISO 15408), скоординировать, формализовать и зафиксировать требования и процедуры обеспечения ИБ, обосновать и планировать мероприятия по обеспечению ИБ, зафиксировать ответственность администраторов и пользователей, оценить возможные убытки и соразмерить их с затратами. Однако следует заметить, что хотя политика безопасности информации и позволит оценить и преупредить многие потенциальные проблемы, она не сможет избавить от проблем полностью, поскольку безопасность оперирует вероятностями и оценивает их с заданной долей вероятности.

В любом случае при составлении политики безопасности надо учитывать и человеческий фактор: неправильно понятый и, соответственно, неправильно исполненный стандарт также может служить угрозой безопасности, а сам он превратится просто в кучу бумаги.

Необходимо отметить, что если для частного лица безопасность его домашнего компьютера — это его личное дело, то для компаний — это уже вопрос юридический, поскольку они имеют дело не только, например, с коммерческой тайной, базами данных с личными сведениями о сотрудниках, но зачастую имеют доступ к государственной тайне. Помимо этого, как отмечает Ю. Малинин, руководитель проектов НОУ «Академия Информационных Систем», в преддверии вступления России в ВТО, особую значимость приобретает совершенствование нормативно-правовой базы в области информационных технологий. Сейчас проводится ряд мероприятий для решения этого вопроса как на федеральном, так и региональном уровнях. Так чем же руководствоваться компаниям, какие нормативные акты и стандарты использовать?

Законы на страже безопасности

С 1 июля прошлого года вступил в силу Закон 184 ФЗ «О техническом регулировании», который изменяет существующую систему стандартизации в Российской Федерации, в том числе и в сфере ИБ. С момента принятия этого закона существуют обязательные стандарты по безопасности, или технические регламенты по безопасности. Основой для их разработки являются международные и национальные стандарты. Технические регламенты будут вводиться в действие в виде Законов РФ, Указов президента и Постановлений правительства. Пока же положения, действовавшие до принятия закона о техническом регулировании, остаются в силе и будут действовать вплоть до 2010 года.

Интеграция России в ВТО не сможет осуществиться без обеспечения соответствия национальных стандартов международным. В настоящее время утверждено 60 международных стандартов в области ИБ. Некоторые из них введены в действие и широко используются в России на основе прямого применения международных стандартов, например, ГОСТ Р ИСО/МЭК 7498–2-99, ГОСТ Р ИСО/МЭК 9594–8-98, ГОСТ Р ИСО/МЭК 9294–93.

Особое внимание специалистов в области ИБ приковано к международному стандарту «Критерии оценки безопасности информационных технологий», известному также как «Общие критерии». Согласно международному «Соглашению по взаимному признанию Общих критериев оценки безопасности информационных технологий», оценка по Общим критериям, проведенная в одной стране, будет официально признана во всех странах (на данный момент — более пятнадцати), подписавших данное соглашение. С 1 января этого года в России введен в действие стандарт ГОСТ Р ИСО/МЭК 15408–2002 «Критерии оценки безопасности информационных технологий» на основе прямого применения «Общих критериев» и в соответствии с ним сейчас Гостехкомиссией России разрабатываются руководящие документы. На подходе к введению находится другой стандарт — ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Кодекс устоявшейся практики по управлению защитой информации».

В заключение хотелось бы подчеркнуть, что никакие аппаратные и программные средства, законы и постановления не в состоянии гарантировать полную надежность и безопасность систем, но в то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.

Вера Саломатина, CNews.ru

Поделиться

Короткая ссылка