Рисунок 1. Информационная система типичной государственной организации.
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать непринято.
Мы будем различать на законодательном уровне две группы мер:
К первой группе следует отнести в первую очередь главу 28 ("Преступления в сфере компьютерной информации") раздела IX новой редакции Уголовного кодекса. Эта глава достаточно полно охватывает основные угрозы информационным системам, однако обеспечение практической реализуемости соответствующих статей пока остается проблематичным.
Закон "Об информации, информатизации и защите информации" можно причислить к этой же группе. Правда, положения этого закона носят весьма общий характер, а основное содержание статей, посвященных информационной безопасности, сводится к необходимости использовать исключительно сертифицированные средства, что, в общем, правильно, но далеко не достаточно.
Насколько можно судить по планам Государственной Думы, готовятся законы "О праве на информацию", "О коммерческой тайне", "О персональных данных". Это, безусловно, шаги в правильном направлении, так как делается попытка охватить все категории субъектов информационных отношений.
К группе направляющих и координирующих законов и нормативных актов относится целая группа документов, регламентирующих процессы лицензирования и сертификации в области информационной безопасности. Главная роль здесь отведена Федеральному агентству правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (Гостехкомиссии) при Президенте Российской Федерации.
В области информационной безопасности законы реально преломляются и работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны Руководящие документы Гостехкомиссии, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем. Особенно выделим утвержденный в июле 1997 года Руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самым современных классов защитных средств.
Как уже указывалось, самое важное на законодательном уровне — создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Конечно, законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности. Пока, пожалуй, только Гостехкомиссия России демонстрирует способность динамично развивать нормативную базу.
В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Мы хотели бы обратить особое внимание на желательность приведения российских стандартов и сертификационных нормативов в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть много причин, по которым это должно быть сделано. Одна из них — необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских организаций. Вторая (более существенная) — доминирование аппаратно-программных продуктов зарубежного производства.
На законодательном уровне должен получить реалистичное решение вопрос об отношении к таким изделиям. Здесь необходимо разделить два аспекта: независимость в области информационных технологий и информационную безопасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь военных) в принципе может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встраивания закладных элементов. В то же время, в подавляющем большинстве случаев потенциальные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использования зарубежных разработок (ввиду сложностей с их сертификацией) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то оснований.
Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно является сложной, однако, как показывает опыт европейских стран, она может быть успешно решена. Сложившаяся в Европе система сертификации по требованиям информационной безопасности позволила оценить операционные системы, системы управления базами данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в сертификационных испытаниях в состоянии снять имеющееся противоречие между независимостью в области информационных технологий и информационной безопасностью без какого-либо снижения национальной безопасности.
Главное же, чего, на наш взгляд, не хватает современному российскому законодательству (и что можно почерпнуть из зарубежного опыта), это позитивной (не карательной) направленности. Информационная безопасность — это новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать. Общество должно осознать важность данной проблематики, понять основные пути решения соответствующих задач, должны быть скоординированы научные, учебные и производственные планы. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются интеллектуальные вложения.
Пример позитивного законодательства — Британский стандарт BS 7799:1995, описывающий основные положения политики безопасности (в следующем разделе мы разъясним этот термин). Более 60% крупных организаций используют этот стандарт в своей практике, хотя закон, строго говоря, этого не требует. Еще один пример — Computer Security Act (США), возлагающий на конкретные государственные структуры ответственность за методическую поддержку работ в области информационной безопасности. Со времени вступления этого закона в силу (1988 год) действительно было разработано много важных и полезных документов.
Подводя итог, можно наметить следующие основные направления деятельности на законодательном уровне:
Основой мер административного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности.
Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности определяет стратегию организации в области информационной безопасности, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить.
Стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Административный уровень — белое пятно в отечественной практике информационной безопасности. Нет законов, обязывающих организации иметь политику безопасности. Ни одно из ведомств, курирующих информационную безопасность, не предлагает типовых разработок в данной области. Ни одно учебное заведение не готовит специалистов по составлению политики безопасности. Мало кто из руководителей знает, что такое политика безопасности, еще меньшее число организаций такую политику имеют. В то же время, без подобной основы прочие меры информационной безопасности повисают в воздухе, они не могут быть всеобъемлющими, систематическими и эффективными. Например, меры защиты от внешних хакеров и от собственных обиженных сотрудников должны быть совершенно разными, поэтому в первую очередь необходимо определиться, какие угрозы чреваты нанесением наибольшего ущерба. (Отметим в этой связи, что по статистике наибольший ущерб происходит от случайных ошибок персонала, обусловленных неаккуратностью или некомпетентностью, поэтому в первую очередь важны не хитрые технические средства, а меры обучения, тренировка персонала и регламентирование его деятельности.)
Разработка политики безопасности требует учета специфики конкретных организаций. Бессмысленно переносить практику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы. В этой области целесообразно предложить, во-первых, основные принципы разработки политики безопасности, а, во-вторых, — готовые шаблоны для наиболее важных разновидностей организаций.
Анализ ситуации на административном уровне информационной безопасности еще раз показывает важность созидательного, а не карательного законодательства. Можно потребовать от руководителей наличия политики безопасности (и в перспективе это правильно), но сначала нужно разъяснить, научить, показать, для чего она нужна и как ее разрабатывать.
К процедурному уровню относятся меры безопасности, реализуемые людьми. В отечественных организациях накоплен богатый опыт составления и реализации процедурных (организационных) мер, однако проблема состоит в том, что они пришли из докомпьютерного прошлого, и поэтому нуждаются в существенном пересмотре.
Можно выделить следующие группы процедурных мер, направленных на обеспечение информационной безопасности:
Управление персоналом в контексте информационной безопасности является в России белым пятном. Во-первых, для каждой должности должны существовать квалификационные требования по информационной безопасности. Во-вторых, в должностные инструкции должны входить разделы, касающиеся информационной безопасности. В-третьих, каждого работника нужно научить мерам безопасности теоретически и оттренировать выполнение этих мер практически (и проводить подобные тренировки дважды в год).
Без всякого преувеличения, нужна информационная гражданская оборона. Спокойно, без нагнетания страстей, нужно разъяснять обществу не только преимущества, но и опасности, вытекающие из использования информационных технологий. Акцент, на наш взгляд, следует делать не на военной или криминальной стороне дела, а на чисто гражданских аспектах, связанных с поддержанием нормального функционирования аппаратного и программного обеспечения, то есть концентрироваться на вопросах доступности и целостности данных.
Разумеется, разделы, касающиеся информационной безопасности, должны стать частью школьных и, тем более, ВУЗовских курсов информатики.
Меры физической защиты, известные с давних времен, нуждаются в доработке в связи с распространением сетевых технологий и миниатюризацией вычислительной техники. Прежде всего, следует защититься от утечки информации по техническим каналам. Этим занимается Гостехкомиссия России.
Поддержание работоспособности — еще одно белое пятно, образовавшееся сравнительно недавно. В эпоху господства больших ЭВМ удалось создать инфраструктуру, способную обеспечить по существу любой наперед заданный уровень работоспособности (доступности) на всем протяжении жизненного цикла информационной системы. Эта инфраструктура включала в себя как технические, так и процедурные регуляторы (обучение персонала и пользователей, проведение работ в соответствии с апробированными регламентами и т.п.). При переходе к персональным компьютерам и технологии клиент/сервер инфраструктура обеспечения доступности во многом оказалась утраченной, однако важность данной проблемы не только не уменьшилась, но, напротив, существенно возросла. Перед государственными и коммерческими организациями стоит задача соединения упорядоченности и регламентированности, присущих миру больших ЭВМ, с открытостью и гибкостью современных систем.
Реагирование на нарушения информационной безопасности — снова белое пятно. Допустим, пользователь или системный администратор понял, что имеет место нарушение. Что он должен делать? Попытаться проследить злоумышленника? Немедленно выключить оборудование? Позвонить в милицию? Проконсультироваться со специалистами ФАПСИ или Гостехкомиссии? Ни одно ведомство, причастное к информационной безопасности, не предложило регламента действий в подобной экстремальной ситуации или своей консультационной помощи. Необходимо организовать национальный центр информационной безопасности, в круг обязанностей которого входило бы, в частности, отслеживание современного состояния этой области знаний, информирование пользователей всех уровней о появлении новых угроз и мерах противодействия, оперативная помощь организациям в случае нарушения их информационной безопасности.
Планирование восстановительных работ и вся проблематика, связанная с восстановлением работоспособности после аварий, также является белым пятном. А ведь ни одна организация от таких нарушений не застрахована. Здесь необходимо отработать действия персонала во время и после аварий, заранее позаботиться об организации резервных производственных площадок, отработать процедуру переноса на эти площадки основных информационных ресурсов, а также процедуру возвращения к нормальному режиму работы. Подчеркнем, что подобный план нужен не только сверхважным военным организациям, но и обычным коммерческим компаниям, если они не хотят понести крупные финансовые потери.
Львиная доля активности в области информационной безопасности приходится на программно-технический уровень. Если иметь в виду зарубежные продукты, здесь существует полный спектр решений. Если ограничиться разработками, имеющими российские сертификаты по требованиям безопасности, картина получается существенно более разреженной.
Согласно современным воззрениям, в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности:
Кроме того, информационной системой в целом и механизмами безопасности в особенности необходимо управлять. И управление, и механизмы безопасности должны функционировать в разнородной, распределенной среде, построенной, как правило, в архитектуре клиент/сервер. Это означает, что упомянутые средства должны:
В соответствии с действующим в России порядком, за идентификацию/аутентификацию, управление доступом, протоколирование/аудит отвечает Гостехкомиссия России, за криптографию — ФАПСИ, межсетевое экранирование является спорной территорией, доступностью не занимается никто.
На сегодняшний день подавляющее большинство разработок ориентировано на платформы Intel/DOS/Windows. В то же время, наиболее значимая информация концентрируется на иных, серверных платформах. В защите нуждаются не отдельные персональные компьютеры, не только локальные сети на базе таких компьютеров, но, в первую очередь, существенно более продвинутые современные корпоративные системы. Пока для этого почти нет сертифицированных средств.
Рассмотрим типичную государственную организацию, имеющую несколько производственных площадок, на каждой из которых могут находиться критически важные серверы, в доступе к которым нуждаются работники, базирующиеся на других площадках, и мобильные пользователи. В число поддерживаемых информационных сервисов входят файловый и почтовый сервисы, системы управления базами данных (СУБД), Web-сервис и т.д. В локальных сетях и при межсетевом доступе основным является протокол TCP/IP. Схематически информационная система такой организации представлена на Рис. 1 .
Для построения эшелонированной обороны подобной информационной системы необходимы по крайней мере следующие защитные средства программно-технического уровня:
На момент написания статьи из интересующего нас спектра продуктов были сертифицированы по требованиям безопасности для применения в госорганизациях ряд межсетевых экранов, операционных систем и реляционных СУБД. Даже если включить в этот перечень продукты, сертифицированные ФАПСИ для применения в коммерческих организациях (систему "ШИП", поддерживающую виртуальные частные сети, и средства криптографической защиты семейства "Верба"), большинство рубежей остается без защиты.
Таким образом, на сегодняшний день государственная организация не может получить современную информационную систему, защищенную сертифицированными средствами.
Коммерческие структуры, в отличие от госорганизаций, в определенной степени свободнее в своем выборе защитных средств. Тем не менее, в силу целого ряда обстоятельств (необходимость взаимодействия с госструктурами, расширительная трактовка понятия гостайны — "гостайна по совокупности", необходимость получения лицензии на эксплуатацию криптосредств, ограничения на импорт криптосредств) эта свобода не слишком велика. Практически на все категории субъектов информационных отношений перенесен подход, рассчитанный на госструктуры.
|
|
|
| Доступность, целостность, конфиденциальность | Содержание | Заключение |
| Copyright ╘ 1993-2000, Jet Infosystems |