Законодательный, административный и процедурный уровни информационной безопасности
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Необходимо всячески подчеркивать важность проблемы ИБ, сконцентрировать ресурсы на важнейших направлениях исследований, скоординировать образовательную деятельность, создать и поддерживать негативное отношение к нарушителям ИБ - все это функции законодательного уровня.
На законодательном уровне особого внимания заслуживают правовые акты и стандарты.
Российские правовые акты в большинстве своем имеют ограничительную направленность. Но то, что для Уголовного кодекса РФ или Кодекса РФ об административных правонарушениях, по отношению к Закону «Об информации, информационных технологиях и о защите информации» является принципиальным недостатком. В законах фактически не предусмотрена ответственность государственных органов за нарушения ИБ. Реальность такова, что в России в деле обеспечения ИБ на помощь государства рассчитывать практически не приходится.
На этом фоне поучительным является знакомство с законодательством США и ряда европейских стран в области ИБ, которое гораздо обширнее и многограннее российского, хотя надо отметить, что и в нашей стране в последние годы произошли значительные подвижки в правовом регулировании информационной сферы. Отметим, в частности, четвертую часть Гражданского кодекса РФ, которая посвящена регулированию отношений, связанных с результатами интеллектуальной деятельности (интеллектуальной собственности). Указанная часть ГК РФ включает в том числе и нормы по правовой охране программ для ЭВМ и баз данных. Предоставляемая кодексом правовая охрана распространяется на все виды программ для компьютеров (в том числе на операционные системы и программные комплексы), которые могут быть выражены на любом языке и в любой форме. Для признания и реализации авторского права на компьютерную программу не требуется ее регистрация в какой-либо организации, хотя такая регистрация может быть произведена при желании автора(правообладателя). Авторское право на компьютерную программу возникает автоматически при ее создании. Для оповещения о своих правах разработчик программы может, начиная с первого выпуска в свет программы, использовать знак охраны авторского права, состоящий из трех элементов:
· буквы С в окружности или круглых скобках;
· наименования (имени) правообладателя;
· года первого выпуска программы.
Среди стандартов в сфере ИБ выделяются «Оранжевая книга», рекомендации X.800 и «Критерии оценки безопасности информационных технологий».
«Оранжевая книга» заложила понятийный базис; в ней определяются важнейшие сервисы безопасности и предлагается метод классификации информационных систем по требованиям безопасности.
Рекомендации X.800 весьма глубоко трактуют вопросы защиты сетевых конфигураций и предлагают развитый набор сервисов и механизмов безопасности.
Международный стандарт ISO 15408, известный как «Общие критерии», реализует более современный подход, в нем зафиксирован чрезвычайно широкий спектр сервисов безопасности (представленных как функциональные требования). Принятие в качестве национального стандарта его аналога – ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» (действует в России с января 2004 года) важно не только из соображений интеграции в мировое сообщество; оно, как можно надеяться, облегчило жизнь владельцам информационных систем, существенно расширив спектр доступных сертифицированных решений. Из отечественных стандартов отметим также стандарты криптографической защиты информации - ГОСТ 28147-89, ГОСТ 31.11-94 и ГОСТ 34.10-2001.
Главная задача мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов.
Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого, в свою очередь, является ознакомление с наиболее распространенными угрозами.
Главные угрозы - внутренняя сложность ИС, непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
На втором месте по размеру ущерба стоят кражи и подлоги.
Реальную опасность представляют пожары и другие аварии поддерживающей инфраструктуры.
В общем числе нарушений растет доля внешних атак, но основной ущерб по-прежнему наносят "свои".
Для подавляющего большинства организаций достаточно общего знакомства с рисками; ориентация на типовые, апробированные решения позволит обеспечить базовый уровень безопасности при минимальных интеллектуальных и разумных материальных затратах.
Существенную помощь в разработке политики безопасности может оказать британский стандарт BS 7799:1995, предлагающий типовой каркас.
Разработка программы и политики безопасности может служить примером использования понятия уровня детализации. Они должны подразделяться на несколько уровней, трактующих вопросы разной степени специфичности. Важным элементом программы является разработка и поддержание в актуальном состоянии карты ИС.
Необходимым условием для построения надежной, экономичной защиты является рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Выделяют следующие этапы жизненного цикла:
· инициация;
· закупка;
· установка;
· эксплуатация;
· выведение из эксплуатации.
Безопасность невозможно добавить к системе; ее нужно закладывать с самого начала и поддерживать до конца.
Меры процедурного уровня ориентированы на людей (а не на технические средства) и подразделяются на следующие виды:
· управление персоналом;
· физическая защита;
· поддержание работоспособности;
· реагирование на нарушения режима безопасности;
· планирование восстановительных работ.
На этом уровне применимы важные принципы безопасности:
· непрерывность защиты в пространстве и времени;
· разделение обязанностей;
· минимизация привилегий.
Здесь также применимы объектный подход и понятие жизненного цикла. Первый позволяет разделить контролируемые сущности (территорию, аппаратуру и т.д.) на относительно независимые подобъекты, рассматривая их с разной степенью детализации и контролируя связи между ними.
Понятие жизненного цикла полезно применять не только к информационным системам, но и к сотрудникам. На этапе инициации должно быть разработано описание должности с требованиями к квалификации и выделяемыми компьютерными привилегиями; на этапе установки необходимо провести обучение, в том числе по вопросам безопасности; на этапе выведения из эксплуатации следует действовать аккуратно, не допуская нанесения ущерба обиженными сотрудниками.
Информационная безопасность во многом зависит от аккуратного ведения текущей работы, которая включает:
· поддержку пользователей;
· поддержку программного обеспечения;
· конфигурационное управление;
· резервное копирование;
· управление носителями;
· документирование;
· регламентные работы.
Элементом повседневной деятельности является отслеживание информации в области ИБ, как минимум, администратор безопасности должен подписаться на список рассылки по новым пробелам в защите (и своевременно знакомиться с поступающими сообщениями).
Нужно, однако, заранее готовиться к событиям неординарным, то есть к нарушениям ИБ. Заранее продуманная реакция на нарушения режима безопасности преследует три главные цели:
· локализация инцидента и уменьшение наносимого вреда;
· выявление нарушителя;
· предупреждение повторных нарушений.
Выявление нарушителя - процесс сложный, но первый и третий пункты можно и нужно тщательно продумать и отработать.
В случае серьезных аварий необходимо проведение восстановительных работ. Процесс планирования таких работ можно разделить на следующие этапы:
· выявление критически важных функций организации, установление приоритетов;
· идентификация ресурсов, необходимых для выполнения критически важных функций;
· определение перечня возможных аварий;
· разработка стратегии восстановительных работ;
· подготовка реализации выбранной стратегии;
· проверка стратегии.