Законодательный, административный и процедурный уровни

 

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Необходимо всячески подчеркивать важность проблемы ИБ; сконцентрировать ресурсы на важнейших направлениях исследований; скоординировать образовательную деятельность; создать и поддерживать негативное отношение к нарушителям ИБ - все это функции законодательного уровня.

 

На законодательном уровне особого внимания заслуживают правовые акты и стандарты.

 

Российские правовые акты в большинстве своем имеют ограничительную направленность. Но то, что для Уголовного или Гражданского кодекса естественно, по отношению к Закону об информации, информатизации и защите информации является принципиальным недостатком. Сами по себе лицензирование и сертификация не обеспечивают безопасности. К тому же в законах не предусмотрена ответственность государственных органов за нарушения ИБ. Реальность такова, что в России в деле обеспечения ИБ на помощь государства рассчитывать не приходится.

 

На этом фоне поучительным является знакомство с законодательством США в области ИБ, которое гораздо обширнее и многограннее российского.

 

Среди стандартов выделяются " Оранжевая книга", рекомендации X.800 и " Критерии оценки безопасности информационных технологий".

 

" Оранжевая книга" заложила понятийный базис; в ней определяются важнейшие сервисы безопасности и предлагается метод классификации информационных систем по требованиям безопасности.

 

Рекомендации X.800 весьма глубоко трактуют вопросы защиты сетевых конфигураций и предлагают развитый набор сервисов и механизмов безопасности.

 

Международный стандарт ISO 15408, известный как " Общие критерии", реализует более современный подход, в нем зафиксирован чрезвычайно широкий спектр сервисов безопасности (представленных как функциональные требования). Его принятие в качестве национального стандарта важно не только из абстрактных соображений интеграции в мировое сообщество; оно, как можно надеяться, облегчит жизнь владельцам информационных систем, существенно расширив спектр доступных сертифицированных решений.

 

Главная задача мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

 

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов.

 

Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого, в свою очередь, является ознакомление с наиболее распространенными угрозами.

 

Главные угрозы - внутренняя сложность ИС, непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

 

На втором месте по размеру ущерба стоят кражи и подлоги.

 

Реальную опасность представляют пожары и другие аварии поддерживающей инфраструктуры.

 

В общем числе нарушений растет доля внешних атак, но основной ущерб по-прежнему наносят " свои".

 

Для подавляющего большинства организаций достаточно общего знакомства с рисками; ориентация на типовые, апробированные решения позволит обеспечить базовый уровень безопасности при минимальных интеллектуальных и разумных материальных затратах.

 

Существенную помощь в разработке политики безопасности может оказать британский стандарт BS 7799: 1995, предлагающий типовой каркас.

 

Разработка программы и политики безопасности может служить примером использования понятия уровня детализации. Они должны подразделяться на несколько уровней, трактующих вопросы разной степени специфичности. Важным элементом программы является разработка и поддержание в актуальном состоянии карты ИС.

 

Необходимым условием для построения надежной, экономичной защиты является рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Выделяют следующие этапы жизненного цикла:

инициация;

закупка;

установка;

эксплуатация;

выведение из эксплуатации.

 

Безопасность невозможно добавить к системе; ее нужно закладывать с самого начала и поддерживать до конца.

 

Меры процедурного уровня ориентированы на людей (а не на технические средства) и подразделяются на следующие виды:

управление персоналом;

физическая защита;

поддержание работоспособности;

реагирование на нарушения режима безопасности;

планирование восстановительных работ.

 

На этом уровне применимы важные принципы безопасности:

непрерывность защиты в пространстве и времени;

разделение обязанностей;

минимизация привилегий.

 

Здесь также применимы объектный подход и понятие жизненного цикла. Первый позволяет разделить контролируемые сущности (территорию, аппаратуру и т.д.) на относительно независимые подобъекты, рассматривая их с разной степенью детализации и контролируя связи между ними.

 

Понятие жизненного цикла полезно применять не только к информационным системам, но и к сотрудникам. На этапе инициации должно быть разработано описание должности с требованиями к квалификации и выделяемыми компьютерными привилегиями; на этапе установки необходимо провести обучение, в том числе по вопросам безопасности; на этапе выведения из эксплуатации следует действовать аккуратно, не допуская нанесения ущерба обиженными сотрудниками.

 

Информационная безопасность во многом зависит от аккуратного ведения текущей работы, которая включает:

поддержку пользователей;

поддержку программного обеспечения;

конфигурационное управление;

резервное копирование;

управление носителями;

документирование;

регламентные работы.

 

Элементом повседневной деятельности является отслеживание информации в области ИБ; как минимум, администратор безопасности должен подписаться на список рассылки по новым пробелам в защите (и своевременно знакомиться с поступающими сообщениями).

 

Нужно, однако, заранее готовиться к событиям неординарным, то есть к нарушениям ИБ. Заранее продуманная реакция на нарушения режима безопасности преследует три главные цели:

локализация инцидента и уменьшение наносимого вреда;

выявление нарушителя;

предупреждение повторных нарушений.

 

Выявление нарушителя - процесс сложный, но первый и третий пункты можно и нужно тщательно продумать и отработать.

 

В случае серьезных аварий необходимо проведение восстановительных работ. Процесс планирования таких работ можно разделить на следующие этапы:

выявление критически важных функций организации, установление приоритетов;

идентификация ресурсов, необходимых для выполнения критически важных функций;

определение перечня возможных аварий;

разработка стратегии восстановительных работ;

подготовка реализации выбранной стратегии;

проверка стратегии.