 |
Информационная безопасность с точки зрения законодательства и политика безопасности
|
|
|
|
Стандарты и рекомендации образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности. В то же время этот базис ориентирован, в первую очередь, на производителей и "оценщиков" систем и в гораздо меньшей степени - на потребителей.
Стандарты и рекомендации статичны, причем статичны, по крайней мере, в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько с людьми.
Иными словами, стандарты и рекомендации не дают ответов на два главных и весьма актуальных с практической точки зрения вопроса:
Ø как приобретать и комплектовать информационную систему масштаба предприятия, чтобы ее можно было сделать безопасной?
Ø как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося окружения и структуры самой системы?
Как уже отмечалось, стандарты и рекомендации несут на себе "родимые пятна" разработавших их ведомств. На первом месте в "Оранжевой книге" (документе, освещающем проблемы информационной безопасности в США) и аналогичных Руководящих документах Гостехкомиссии при Президенте РФ стоит обеспечение конфиденциальности. Это, конечно, важно, но для большинства гражданских организаций целостность и доступность - вещи не менее важные. Не случайно в приведенном определении информационной безопасности конфиденциальность поставлена на третье место.
|
|
|
Таким образом, стандарты и рекомендации являются лишь отправной точкой на длинном и сложном пути защиты информационных систем организаций. С практической точки зрения интерес представляют по возможности простые рекомендации, следование которым дает пусть не оптимальное, но достаточно хорошее решение задачи обеспечения информационной безопасности. Прежде чем перейти к изложению подобных рекомендаций, полезно сделать еще одно замечание общего характера.
Несмотря на отмеченные недостатки, у "Оранжевой книги" есть огромный идейный потенциал, который пока во многом остается невостребованным. Прежде всего, это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы - от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях. В то же время, ее наличие на этапе выполнения позволило бы по-новому поставить и решить многие проблемы информационной безопасности. Например, знание того, к каким объектам или их классам может осуществлять доступ программа, существенно затруднило бы создание "троянских коней" и распространение вирусов. К сожалению, пока для принятия решения о допустимости того или иного действия используется скудная и, в основном, косвенная информация - как правило, идентификатор (пароль) владельца процесса, - не имеющая отношения к характеру действия.
В реальной жизни термин "политика безопасности" трактуется гораздо шире, чем в "Оранжевой книге". Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
С практической точки зрения политику безопасности целесообразно разделить на три уровня. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:
|
|
|
Ø формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных за продвижение программы;
Ø формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
Ø обеспечение базы для соблюдения законов и правил;
Ø формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Для политики уровня руководства организации цели в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение случаев потерь, повреждений или искажений данных. Для организации, занимающейся продажами, вероятно, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь заботится о защите от несанкционированного доступа - конфиденциальности.
На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров. Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.
В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь. В этом смысле политика является основой подотчетности персонала.
|
|
|
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень послушания персонала, а для этого нужно выработать систему поощрений и наказаний. Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.
К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов - отношение к передовым, но еще недостаточно проверенным технологиям: доступ к Internet (как сочетать свободу получения информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.
Политика обеспечения информационной безопасности на среднем уровне должна освещать следующие темы:
1) Область применения. Следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли организаций-субподрядчиков политика отношения к неофициальному программному обеспечению? Затрагивает ли она работников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?
2) Позиция организации. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного обеспечения и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще, стиль документов по политике безопасности, как и перечень этих документов, может быть существенно различным для разных организаций.
|
|
|
3) Роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь. Например, если для использования работником неофициального программного обеспечения нужно официальное разрешение, то должно быть известно, у кого и как его следует получать. Если должны проверяться дискеты, принесенные с других компьютеров, необходимо описать процедуру проверки. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.
4) Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.
5) Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" является должностное лицо, и это не зависит от того, какой конкретный человек занимает в данный момент данный пост.
Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо детальнее. Есть много вещей, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ при следовании политике безопасности нижнего уровня:
Ø кто имеет право доступа к объектам, поддерживаемым сервисом?
Ø при каких условиях можно читать и модифицировать данные?
Ø как организован удаленный доступ к сервису?
При формулировке целей политика нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. Ее цели должны быть конкретнее. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только работникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.
Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству придется найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а работники не окажутся чрезмерно скованы. Обычно ввиду особой важности данного вопроса наиболее формально задаются права доступа к объектам.
|
|
|
Заключение
Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты. Одной из основных задач защиты информации является организация эффективной антивирусной защиты автономных рабочих станций, локальных и корпоративных компьютерных сетей, обрабатывающих информацию ограниченного доступа, в том числе содержащую государственную и служебную тайну.
Из рассмотренного становится очевидно, что обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.
Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.
Использование высокоэффективных информационных систем является обязательным условием успешной деятельности современных организаций и предприятий. Безопасность информации — это один из основных показателей качества информационной системы. Поданным статистики, наиболее успешными методами реализации угроз безопасности информации в автоматизированных системах являются вирусные атаки. На их долю приходится около 57% инцидентов с безопасностью информации и около 60% реализованных угроз из числа зафиксированных и попавших в статистические обзоры.
Список используемой литературы
1) А.Э. Саак, Е.В. Пахомов, В.Н. Тюшняков - Информационные технологии управления 2-е издание: Учебник для ВУЗов, 2-е издание – СПб.: Питер, 2009. – 320 с.: ил. – (Серия «Учебник для ВУЗов). ООО «Питер Пресс», 2009.
2) Информатика и информационные технологии: учебное пособие/ Ю. Д. Романова, И. Г. Лесничая, В. И. Шестаков, И. В. Миссинг, П. А. Музычкин; под ред. Ю. Д. Романовой. – 3-е изд., перераб. И доп. – М.: Эксмо, 2008. - 592 с. – (Высшее экономическое образование).
3) Информационные технологии управления: Учеб. Пособие для ВУЗов/ Под ред. Проф. Г.А. Титоренко. – 2-е изд., доп. – М.: ЮНИТИ-ДАНА, 2008. – 439 с.
4) Корнеев И. К., Ксандопуло Г. Н., Машурцев В. А. – Информационный технологии: учеб. – М.: ТК Велби, Изд-во Проспект, 2009. – 224 с.
5) Логинов В.Н. Информационные технологии управления: учебное пособие / В.Н. Логинов. – М.: КНОРУС, 2008. – 240 с.
6) Федотова Е. Л. – Информационные технологии и системы: учеб. пособие. – М.: ИД «ФОРУМ»: ИНФРА-М, 2009. – 352 с.: ил. – (Профессиональное образование).
|
|
|
