Законодательный, административный и процедурный уровни информационной безопасности

 

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Необходимо всячески подчеркивать важность проблемы ИБ, сконцентрировать ресурсы на важнейших направлениях исследований, скоординировать образовательную деятельность, создать и поддерживать негативное отношение к нарушителям ИБ - все это функции законодательного уровня.

На законодательном уровне особого внимания заслуживают правовые акты и стандарты.

Российские правовые акты в большинстве своем имеют ограничительную направленность. Но то, что для Уголовного кодекса РФ или Кодекса РФ об административных правонарушениях, по отношению к Закону «Об информации, информационных технологиях и о защите информации» является принципиальным недостатком. В законах фактически не предусмотрена ответственность государственных органов за нарушения ИБ. Реальность такова, что в России в деле обеспечения ИБ на помощь государства рассчитывать практически не приходится.

На этом фоне поучительным является знакомство с законодательством США и ряда европейских стран в области ИБ, которое гораздо обширнее и многограннее российского, хотя надо отметить, что и в нашей стране в последние годы произошли значительные подвижки в правовом регулировании информационной сферы. Отметим, в частности, четвертую часть Гражданского кодекса РФ, которая посвящена регулированию отношений, связанных с результатами интеллектуальной деятельности (интеллектуальной собственности). Указанная часть ГК РФ включает в том числе и нормы по правовой охране программ для ЭВМ и баз данных. Предоставляемая кодексом правовая охрана распространяется на все виды программ для компьютеров (в том числе на операционные системы и программные комплексы), которые могут быть выражены на любом языке и в любой форме. Для признания и реализации авторского права на компьютерную программу не требуется ее регистрация в какой-либо организации, хотя такая регистрация может быть произведена при желании автора(правообладателя). Авторское право на компьютерную программу возникает автоматически при ее создании. Для оповещения о своих правах разработчик программы может, начиная с первого выпуска в свет программы, использовать знак охраны авторского права, состоящий из трех элементов:

· буквы С в окружности или круглых скобках;

· наименования (имени) правообладателя;

· года первого выпуска программы.

Среди стандартов в сфере ИБ выделяются «Оранжевая книга», рекомендации X.800 и «Критерии оценки безопасности информационных технологий».

«Оранжевая книга» заложила понятийный базис; в ней определяются важнейшие сервисы безопасности и предлагается метод классификации информационных систем по требованиям безопасности.

Рекомендации X.800 весьма глубоко трактуют вопросы защиты сетевых конфигураций и предлагают развитый набор сервисов и механизмов безопасности.

Международный стандарт ISO 15408, известный как «Общие критерии», реализует более современный подход, в нем зафиксирован чрезвычайно широкий спектр сервисов безопасности (представленных как функциональные требования). Принятие в качестве национального стандарта его аналога – ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» (действует в России с января 2004 года) важно не только из соображений интеграции в мировое сообщество; оно, как можно надеяться, облегчило жизнь владельцам информационных систем, существенно расширив спектр доступных сертифицированных решений. Из отечественных стандартов отметим также стандарты криптографической защиты информации - ГОСТ 28147-89, ГОСТ 31.11-94 и ГОСТ 34.10-2001.

Главная задача мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов.

Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого, в свою очередь, является ознакомление с наиболее распространенными угрозами.

Главные угрозы - внутренняя сложность ИС, непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

На втором месте по размеру ущерба стоят кражи и подлоги.

Реальную опасность представляют пожары и другие аварии поддерживающей инфраструктуры.

В общем числе нарушений растет доля внешних атак, но основной ущерб по-прежнему наносят "свои".

Для подавляющего большинства организаций достаточно общего знакомства с рисками; ориентация на типовые, апробированные решения позволит обеспечить базовый уровень безопасности при минимальных интеллектуальных и разумных материальных затратах.

Существенную помощь в разработке политики безопасности может оказать британский стандарт BS 7799:1995, предлагающий типовой каркас.

Разработка программы и политики безопасности может служить примером использования понятия уровня детализации. Они должны подразделяться на несколько уровней, трактующих вопросы разной степени специфичности. Важным элементом программы является разработка и поддержание в актуальном состоянии карты ИС.

Необходимым условием для построения надежной, экономичной защиты является рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Выделяют следующие этапы жизненного цикла:

· инициация;

· закупка;

· установка;

· эксплуатация;

· выведение из эксплуатации.

Безопасность невозможно добавить к системе; ее нужно закладывать с самого начала и поддерживать до конца.

Меры процедурного уровня ориентированы на людей (а не на технические средства) и подразделяются на следующие виды:

· управление персоналом;

· физическая защита;

· поддержание работоспособности;

· реагирование на нарушения режима безопасности;

· планирование восстановительных работ.

На этом уровне применимы важные принципы безопасности:

· непрерывность защиты в пространстве и времени;

· разделение обязанностей;

· минимизация привилегий.

Здесь также применимы объектный подход и понятие жизненного цикла. Первый позволяет разделить контролируемые сущности (территорию, аппаратуру и т.д.) на относительно независимые подобъекты, рассматривая их с разной степенью детализации и контролируя связи между ними.

Понятие жизненного цикла полезно применять не только к информационным системам, но и к сотрудникам. На этапе инициации должно быть разработано описание должности с требованиями к квалификации и выделяемыми компьютерными привилегиями; на этапе установки необходимо провести обучение, в том числе по вопросам безопасности; на этапе выведения из эксплуатации следует действовать аккуратно, не допуская нанесения ущерба обиженными сотрудниками.

Информационная безопасность во многом зависит от аккуратного ведения текущей работы, которая включает:

· поддержку пользователей;

· поддержку программного обеспечения;

· конфигурационное управление;

· резервное копирование;

· управление носителями;

· документирование;

· регламентные работы.

Элементом повседневной деятельности является отслеживание информации в области ИБ, как минимум, администратор безопасности должен подписаться на список рассылки по новым пробелам в защите (и своевременно знакомиться с поступающими сообщениями).

Нужно, однако, заранее готовиться к событиям неординарным, то есть к нарушениям ИБ. Заранее продуманная реакция на нарушения режима безопасности преследует три главные цели:

· локализация инцидента и уменьшение наносимого вреда;

· выявление нарушителя;

· предупреждение повторных нарушений.

Выявление нарушителя - процесс сложный, но первый и третий пункты можно и нужно тщательно продумать и отработать.

В случае серьезных аварий необходимо проведение восстановительных работ. Процесс планирования таких работ можно разделить на следующие этапы:

· выявление критически важных функций организации, установление приоритетов;

· идентификация ресурсов, необходимых для выполнения критически важных функций;

· определение перечня возможных аварий;

· разработка стратегии восстановительных работ;

· подготовка реализации выбранной стратегии;

· проверка стратегии.