WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     || 2 |

О стандартизации в области информационной безопасности

Доклад на V Международной конференции «Право и Интернет»

М.В. Левашов, Мобильные ТелеСистемы

  1. Об истории «технического регулирования» информационной безопасности.

В начале июля текущего года вступил в силу Федеральный закон «О техническом регулировании»1, которому суждено стать важнейшей вехой в области стандартизации процедур защиты информационных технологий и информации в различных сферах деятельности. Исторически вопросами информационной безопасности (далее ИБ) отечественные корпоративные структуры начали серьезно интересоваться в середине 90-х годов, когда стало понятно, что без систематического внимания к этим проблемам невозможно дальнейшее развитие и укрепление корпоративных цифровых технологий, включая использование ресурсов сети Интернет.

Такое понимание и, соответственно, внимание возникло в сфере частного бизнеса прежде всего в крупных финансовых структурах, в корпорациях нефтегазового комплекса, среди компаний, обеспечивающих системы связи и телекоммуникаций.

К этому времени на ряде крупных предприятий (включая аудиторские и консалтинговые фирмы) появляются специалисты и подразделения, занимающиеся вопросами ИБ.

Постепенно увеличивается глубина рассматриваемых проблем, начинают разрабатываться отечественные требования ИБ, а также применяться международные стандарты безопасности информационных технологий.

Одними из первых отраслевых стандартов в области защиты информации появились стандарты газовой промышленности России:

ОСТ 51-06-98. Информационные технологии. Защита информации. Алгоритм кодирования данных;

ОСТ 51-07-98. Информационные технологии. Защита информации. Процедура цифровой аутентификации;

ОСТ 51-08-98. Информационные технологии. Защита информации. Протокол формирования общего конфиденциального ключа;

ОСТ 51-09-98. Информационные технологии. Защита информации. Хеширование.

Вопросами создания корпоративных стандартов в области ИБ начали также активно заниматься и финансовые структуры. В частности, в настоящее время под эгидой Банка России ведется разработка банковского стандарта ИБ. Аналогичными вопросами занимаются также некоммерческие организации: Общественный комитет содействия внедрению стандартов ИБ банков2, а также Некоммерческое партнерство «Стандарты электронного обмена информацией»3

. В последнее время тематикой разработки корпоративных стандартов ИБ заинтересовались крупные операторы фиксированной и мобильной связи.

С начала 90-х годов начала развиваться отечественная нормативная база ИБ. Были приняты ряд важнейших нормативных актов (прежде всего, федеральные законы (далее ФЗ) «Об информации, информатизации и защите информации» и «Об электронной цифровой подписи»). Гостехкомиссия разработала значительное количество «Руководящих документов», регламентирующих вопросы организации и защиты информационных технологий, используемых в государственных структурах. ФАПСИ издало ряд нормативных документов для государственных и коммерческих предприятий, регулирующих вопросы криптографической защиты информации. Кроме того, были приняты ГОСТы на основные элементы криптографической защиты (шифрование, хеширование, электронную цифровую подпись).

В этот же период в разных странах начали появляться национальные стандарты безопасности информационных технологий. Некоторые из этих стандартов затем с помощью ISO перешли в разряд международных4.

  1. О современной трактовке информационной безопасности.

Безопасность это - состояние1

5

, при котором отсутствует недопустимый риск5

6, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений.

Информационную безопасность можно трактовать как отсутствие недопустимого риска, связанного с причинением прямого или косвенного имущественного (финансового) ущерба предприятию (физическому лицу), который вызван нарушением конфиденциальности, целостности и доступности информации.

Состояние ИБ становится в настоящее время одним из рейтинговых показателей надежности и устойчивости предприятия. ИБ предполагает проведение ряда организационных (административных), технических, юридических, учебно-консультационных м ероприятий, а также мероприятий социальной инженерии, направленных на предупреждение, обнаружение, отражение, ликвидацию всевозможных видов угроз функционированию информационно й инфрастру ктуры предприятия, минимизацию или поддержание на фиксированном низком уровне рисков, а также минимизацию возможного ущерба, возникшего при реализации этих угроз.

Особенностью обеспечения ИБ предприятия является участие в этой деятельности практически всех его сотрудников. Требования ИБ должны охватывать и реализовываться всеми должностными группами, начиная со вспомогательных служб (автохозяйство, блоки питания, хозяйственные блоки (уборка, ремонт) и др.), и заканчивая администраторами операционных (включая сетевые) и прикладных автоматизированных информационных систем, систем связи и телекоммуникаций. Все работники предприятия, так или иначе связанные с категорированной (см. п. 3.2) информацией, обязаны выполнять требования по ее защите. Как уже указывалось выше, этот тезис относится не только к сотрудникам, владеющим или имеющим права доступа к категорированной информации. Он весьма актуален и для работников, которые могут, исходя из своих должностных обязанностей, преодолевать лишь отдельные рубежи защиты (проходить внутрь помещений с ограниченным доступом, иметь доступ в компьютерную сеть без доступа к прикладному программному обеспечению, базам данных и др.). Защите должна подвергаться категорированная информация, носителями которой являются сами сотрудники, листы бумаги, магнитные, магнитооптические и другие устройства хранения информации, и которая передается (либо происходит ее утечка) по электромагнитным, акустическим и другим техническим каналам. Защите должны подвергаться также и те процедуры (порядки взаимодействия, регламенты и др.), с помощью которых категорированная информация создается, хранится, обрабатывается и передается.

3. Основные концептуальные вопросы стандартов ИБ.

3.1.Объекты и субъекты информационной безопасности (информация, информационные технологии, персонал, потенциальные нарушители и злоумышленники).

3.2.Категории информации, формируемые по принципу «от чего защищать» (разглашение, изменение, утрата (блокирование)).

3.3.Угрозы информационной безопасности.

Под угрозой информационной безопасности понимается наличие потенциальной возможности использования категорированной информации или воздействия на категорированную информацию, ведущие к прямому или опосредованному ущербу6

7 для предприятия. Применимость угроз информационной безопасности к конкретной категорированной информации определяется моделями потенциального нарушителя7

8 и злоумышленника8

9.

3.4. Полнота (достаточность) защиты информации определяется, исходя из большого количества факторов, носящих как объективный, так и субъективный характер. Среди объективных факторов находятся, например:

  • строгие математические доказательства неких постулатов, характеризующих уровень защиты информации (сложность криптографических методов защиты, оценка радиуса охраняемого периметра в зависимости от степени затухания сигнала побочного излучения в технических каналах и т.д.), сделанные в рамках соответствующих моделей;
  • степень близости указанных выше моделей к реальным процессам;
  • степень реализации международных стандартов безопасности информационных технологий9
  • 10;
  • степень реализации требований нормативных документов РФ (включая национальные стандарты), относящихся к ИБ;
  • степень реализации Руководящих документов Гостехкомиссии и требований ФАПСИ;
  • наличие на предприятии и состав нормативной базы по рассматриваемой тематике;
  • наличие документов, подтверждающих проведение внутреннего (внешнего) аудита вопросов ИБ;
  • наличие материалов, содержащих выводы проверок выполнения пользователями информационных ресурсов предприятия требований нормативных документов по вопросам защиты информации;
  • результаты мониторинга безопасности используемых на предприятии информационных систем;
  • наличие у фирм-производителей используемых на предприятии средств защиты информации государственных лицензий на данный вид деятельности;
  • наличие у используемых на предприятии средств защиты информации государственных сертификатов;
  • наличие соответствующим образом оформленных договоров между предприятием и внешними организациями об обмене информацией в электронном виде, предусматривающих достаточную степень защиты информации и возможность успешного для предприятия решения возможных спорных ситуаций в судебных органах;
  • наличие в договорах между предприятием и поставщиками информационных систем пунктов, связанных с информационной безопасностью.

Субъективные факторы:

  • экспертная оценка, сделанная как внутренними, так и сторонними экспертами;
  • тестирование, проводящееся с учетом субъективного мнения опрашиваемых сотрудников предприятия;
  • степень информированности сотрудников предприятия о вопросах информационной безопасности.

Достаточность защиты информации может также определяться путем построения и расчета специальных моделей. Например, путем доказательства следующего постулата: защита информации является достаточной, если дальнейшее увеличение расходов на нее не увеличивает разницу между возможным потенциальным предотвращенным ущербом и произведенными расходами на обеспечение ИБ. Основная сложность использования подобного подхода заключена в расчете потенциального предотвращенного ущерба.

  1. Проблемы стандартизации ИБ.

4.1. Юридические проблемы связаны со следующими факторами.

Во-первых, это – недостаточно развитая законодательная база. Ряд важных для рассматриваемого вопроса законопроектов находятся где-то в недрах законодательных органов РФ. Это, например, проекты ФЗ, связанные с электронным документом, с коммерческой тайной и др.

Во-вторых, это – противоречивые, недостаточно проработанные и грамотные относящиеся к ИБ ФЗ как с точки зрения сути вопросов, так и с точки зрения соответствия известной мировой практике. Здесь, прежде всего, имеется в виду ФЗ «Об электронной цифровой подписи».

В-третьих, это – не устоявшиеся и юридически слабо проработанные терминологические вопросы, которые оказывают существенное влияние на правоприменительную практику. В качестве примеров можно привести проблемы соотношения терминов шифровальные методы (техника), криптографические методы и методы кодирования; электронная цифровая подпись и цифровая аутентификация и т.д. Проблемы появляются в связи с тем, что некоторые нормативные акты РФ относятся к одним из этих терминов, но не относятся к другим, которые, по сути, обозначают одни и те же процедуры.

В-четвертых, это – очень малый объем правоприменительной (судебной) практики по каким-либо спорным вопросам, относящимся к ИБ.

4.2. Технические проблемы охватывают значительное многообразие вопросов.

Во-первых, существующие международные стандарты безопасности информационных технологий в большей (ISO 15408) или меньшей (ISO 17799) степени ориентированы на некие оболочки, наполнить конкретным содержанием которые должны специалисты, работающие в конкретных условиях конкретных предприятий и отраслей. Практическим же работникам хотелось бы иметь уже готовые правила, методы и способы решения задачи обеспечения ИБ. Ведь даже крупные предприятия не всегда в состоянии обеспечить своими силами и средствами задачу выработки корпоративного стандарта ИБ, а что уж говорить о средних и небольших организациях

Во-вторых, задачи обеспечения ИБ столь многообразны, что относятся к различным направлениям деятельности и наукам. Это – математика, автоматизированные системы и компьютерные технологии, юриспруденция и социальная инженерия, вопросы взаимодействия сложных систем и др. Поэтому бытующее в умах многих технических специалистов мнение о том, что для обеспечения ИБ достаточно защитить локальную компьютерную сеть предприятия от внешних сетей, например, путем использования известных стандартных методов подключения к внешним сетям и настроек межсетевых экранов, не совсем верно. Несомненно, что этот вопрос является очень важным. Однако, кроме него, существует еще много технических (не говоря о других) вопросов, которым, как правило, уделяется существенно меньшее внимание. При этом практика показывает, что нарушения ИБ происходят чаще всего именно на стыке различных наук.

Третья проблема проистекает из огромного многообразия информационных технологий, которые получили распространение в мире при построении автоматизированных систем, и которые при этом продолжают быстро меняться и совершенствоваться. Получается, на первый взгляд, неразрешимая дилемма. С одной стороны очень сложно (да и практически невозможно) стандартизировать все эти технологии, с другой – невозможно, да и не нужно ограничиваться рамками каких-либо фиксированных технологий.

4.3. Вопросы социальной инженерии. Требования ИБ затрагивают интересы (проходят через) практически всех работников предприятия. Ситуация осложнена тем, что, наряду со своими основными обязанностями, эти работники должны выполнять, зачастую, непонятные и, поэтому, часто, отторгаемые функции и процедуры, связанные с выполнением требований ИБ.

4.4. Вопросы сохранения коммерческой тайны. Здесь основная проблема заключается в том, что при описании потенциальных угроз и методов противодействия им необходимо учитывать имеющийся практический опыт в отрасли (на предприятии). Однако этот опыт, как правило, является особо охраняемой конфиденциальной информацией. В связи с этим существует мнение о том, что стандарты ИБ вообще не нужны, а каждое предприятие должно самостоятельно с сохранением особой конфиденциальности проводить соответствующие работы.

  1. Практические вопросы стандартизации ИБ.

На последней конференции «Информационная безопасность корпорации: практический подход», организованной издательством "Открытые системы" и исследовательской компанией IDC и прошедшей в апреле 2003г. в Москве были обозначены следующие вопросы:

Pages:     || 2 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.