1. Політика ІБ: російських законів мало При розробці політики безпеки підприємству необхідно спиратися...

Політика ІБ: російських законів мало

Наше деловое партнерство www.banwar.org

При розробці політики безпеки підприємству необхідно спиратися не тільки на нормативно-правові акти російського законодавства, а й на міжнародні стандарти.

"Букет" законів

Розвиток ІТ в Росії значно випереджає темпи розробки відповідної рекомендаційною і нормативно-правової бази. З цієї причини вирішення питання про розробку ефективної політики інформаційної безпеки на сучасному підприємстві пов'язано з проблемою вибору критеріїв і показників захищеності, а також ефективності корпоративної системи захисту інформації.

Експерти відзначають, що на додаток до вимог і рекомендацій стандартів 1 , Конституції і федеральним законам 2 , Керівними документами Гостехкомиссии Росії, доводиться використовувати ряд міжнародних рекомендацій, адаптувати до вітчизняних умов і застосовувати на практиці методики таких міжнародних стандартів, як ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL 3 . Тільки такий комплексний підхід дозволяє повноцінно реалізувати методики управління інформаційними ризиками в сукупності з оцінками економічної ефективності інвестицій в забезпечення захисту інформації підприємства.

Сучасні методики управління ризиками дозволяють вирішити ряд завдань перспективного стратегічного розвитку сучасного підприємства. По-перше, кількісно оцінити поточний рівень інформаційної безпеки підприємства, що потребують виявлення ризиків на правовому, організаційно-управлінському, технологічному, а також технічному рівнях забезпечення захисту інформації.

По-друге, розробити політику безпеки і плани вдосконалення корпоративної системи захисту інформації для досягнення прийнятного рівня захищеності інформаційних активів компанії. На шляху до вирішення цих завдань необхідно:

• обґрунтувати і провести розрахунок фінансових вкладень в забезпечення безпеки на основі технологій аналізу ризиків, співвіднести витрати на забезпечення безпеки з потенційним збитком і ймовірністю його виникнення;
• виявити і провести першочергове блокування найбільш небезпечних вразливостей до здійснення атак на вразливі ресурси;
• визначити функціональні відносини і зони відповідальності при взаємодії підрозділів і осіб щодо забезпечення інформаційної безпеки компанії, створити необхідний пакет організаційно-розпорядчої документації;
• розробити та узгодити зі службами організації, наглядовими органами проект впровадження необхідних комплексів захисту, що враховує сучасний рівень і тенденції розвитку інформаційних технологій;
• забезпечити підтримку впровадження комплексу захисту відповідно до умов, що змінюються роботи організації, регулярними доробками організаційно-розпорядчої документації, модифікацією технологічних процесів і модернізацією технічних засобів захисту.

Рішення названих завдань відкриває нові можливості перед посадовими особами різного рівня. Керівникам верхньої ланки це допоможе об'єктивно і незалежно оцінити поточну рівень інформаційної безпеки компанії, забезпечити формування єдиної стратегії безпеки, розрахувати, узгодити і обгрунтувати необхідні витрати на захист компанії.

На основі отриманої оцінки начальники відділів і служб зможуть виробити і обгрунтувати необхідні організаційні заходи (склад і структуру служби інформаційної безпеки, положення про комерційну таємницю, пакет посадових інструкцій та інструкції дії в нештатних ситуаціях).

Менеджери середньої ланки зможуть обгрунтовано вибрати засоби захисту інформації, а також адаптувати і використовувати в своїй роботі кількісні показники оцінки інформаційної безпеки, методики оцінки та управління безпекою з прив'язкою до економічної ефективності компанії.

Практичні рекомендації по нейтралізації та локалізації виявлених вразливостей системи, отримані в результаті аналітичних досліджень, допоможуть в роботі над проблемами інформаційної безпеки на різних рівнях і, що особливо важливо, визначити основні зони відповідальності, в тому числі матеріальної, за неналежне використання інформаційних активів компанії.

При визначенні масштабів матеріальної відповідальності за шкоду, заподіяну роботодавцю, в тому числі розголошенням комерційної таємниці, слід керуватися положеннями гл. 39 Трудового кодексу РФ.

сучасні методики

Відповідно до ст. 20 Федерального закону «Про інформацію, інформатизації і захисту інформації» цілями захисту інформації є в тому числі: запобігання витоку, розкрадання, втрати, спотворення, підробки інформації; запобігання несанкціонованим діям зі знищення модифікації, спотворення, копіювання, блокування інформації; запобігання інших форм незаконного втручання в інформаційні ресурси та інформаційні системи.

Головна мета будь-якої системи інформаційної безпеки полягає в забезпеченні сталого функціонування об'єкта: запобігання загроз його безпеки, захисту законних інтересів власника інформації від протиправних посягань, у тому числі кримінально караних діянь у даній сфері відносин, передбачених Кримінальним кодексом РФ 4 , Забезпеченні нормальної виробничої діяльності всіх підрозділів об'єкта. Інше завдання зводиться до підвищення якості послуг, що надаються і гарантій безпеки майнових прав та інтересів клієнтів 5 , Для чого, на думку експертів слід:

• віднести інформацію до категорії обмеженого доступу (службової таємниці) 6 ;
• прогнозувати і своєчасно виявляти загрози безпеки інформаційних ресурсів, причини та умови, що сприяють нанесенню фінансового, матеріального і морального збитку, порушення його нормального функціонування і розвитку 7 ;
• створити умови функціонування з найменшою вірогідністю реалізації загроз безпеки інформаційних ресурсів і нанесення різних видів збитку 8 ;
• створити механізм і умови оперативного реагування на загрози інформаційної безпеки і прояву негативних тенденцій у функціонуванні, ефективне припинення зазіхань на ресурси на основі правових, організаційних і технічних заходів і засобів забезпечення безпеки 9 ;
• створити умови для максимально можливого відшкодування та локалізації збитку, що наноситься неправомірними діями фізичних і юридичних осіб, і тим самим послабити можливий негативний вплив наслідків порушення інформаційної безпеки 10 .

При розробці політики безпеки можна використовувати модель, засновану на адаптації Загальних Критеріїв (ISO 15408) і проведенні аналізу ризику (ISO 17799). Ця модель відповідає спеціальним нормативним документам щодо забезпечення інформаційної безпеки, прийнятим в Російській Федерації, міжнародним стандартом ISO / IEC 15408 «Інформаційна технологія - методи захисту - критерії оцінки інформаційної безпеки», стандарту ISO / IEC 17799 «Управління інформаційною безпекою» і враховує тенденції розвитку вітчизняної нормативної бази (зокрема, Гостехкомиссии РФ) з питань захисту інформації.

Модель побудови корпоративної системи захисту інформації

Представлена ​​модель - це сукупність об'єктивних зовнішніх і внутрішніх факторів і їх вплив на стан інформаційної безпеки на об'єкті та на збереження матеріальних або інформаційних ресурсів.

адекватні оцінки

Для створення ефективної політики безпеки передбачається спочатку провести аналіз ризиків в області інформаційної безпеки. Потім визначити оптимальний рівень ризику для підприємства на основі заданого критерію. Політику безпеки і відповідну корпоративну систему захисту інформації належить побудувати таким чином, щоб досягти заданого рівня ризику.

Запропонована методика розробки політики інформаційної безпеки підприємства дозволяє проаналізувати і документально оформити вимоги, пов'язані з забезпеченням інформаційної безпеки. Крім цього, методика дозволяє уникнути витрат на зайві заходи безпеки, можливі при суб'єктивній оцінці ризиків, надати допомогу в плануванні і здійсненні захисту на всіх стадіях життєвого циклу інформаційних систем, забезпечити проведення робіт в стислі терміни, уявити обгрунтування для вибору заходів протидії, оцінити ефективність контрзаходів , порівняти різні варіанти контрзаходів.

В ході розробки політики ІБ повинні бути встановлені межі дослідження. Для цього необхідно виділити ресурси інформаційної системи, для яких в подальшому будуть отримані оцінки ризиків. При цьому належить розділити розглядаються ресурси і зовнішні елементи, з якими здійснюється взаємодія. Ресурсами можуть бути кошти обчислювальної техніки, програмне забезпечення, дані, а також відповідно до ст. 2 Федерального закону «Про інформацію, інформатизації і захисту інформації» - інформаційні ресурси - окремі документи і окремі масиви документів, документи і масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних, інших інформаційних системах). Прикладами зовнішніх елементів є мережі зв'язку (абз. 4 ст. 2 Федерального закону «Про зв'язок»), зовнішні сервіси і т.п.

При побудові моделі будуть враховуватися взаємозв'язку між ресурсами. Наприклад, вихід з ладу будь-якого обладнання може призвести до втрати даних або виходу з ладу іншого критично важливого елемента системи. Подібні взаємозв'язки визначають основу побудови моделі організації з точки зору ІБ.

Ця модель, відповідно до запропонованої методики, будується наступним чином: для виділених ресурсів визначається їх цінність, як з точки зору асоційованих з ними можливих фінансових втрат, так і з точки зору шкоди репутації організації, дезорганізації її діяльності, моральної шкоди від розголошення конфіденційної інформації і т.д. Потім описуються взаємозв'язку ресурсів, визначаються загрози безпеки і оцінюються ймовірності їх реалізації.

На основі побудованої моделі можна обґрунтовано вибрати систему контрзаходів, що знижують ризики до допустимих рівнів і володіють найбільшою цінової ефективністю. Частиною системи контрзаходів будуть рекомендації з проведення регулярних перевірок ефективності системи захисту.

Забезпечення підвищених вимог до ІБ передбачає відповідні заходи на всіх етапах життєвого циклу інформаційних технологій. Планування цих заходів проводиться після завершення етапу аналізу ризиків та вибору контрзаходів. Обов'язковою складовою частиною цих планів є періодична перевірка відповідності існуючого режиму ІБ політиці безпеки, сертифікація інформаційної системи (технології) на відповідність вимогам певного стандарту безпеки.

По завершенні робіт, можна буде визначити міру гарантії безпеки інформаційного середовища, засновану на оцінці, з якої можна довіряти інформаційному середовищі об'єкта. Даний підхід передбачає, що велика гарантія випливає з застосування великих зусиль при проведенні оцінки безпеки.

Адекватність оцінки заснована на залученні в процес оцінки більшого числа елементів інформаційного середовища об'єкта, глибині, що досягається за рахунок використання при проектуванні системи забезпечення безпеки більшого числа проектів і описів деталей виконання, строгості, яка полягає в застосуванні більшого числа інструментів пошуку і методів, спрямованих на виявлення менш очевидних вразливостей або на зменшення ймовірності їх наявності.

Експерти підкреслюють, що перш ніж впроваджувати будь-які рішення щодо захисту інформації необхідно розробити політику безпеки, адекватну цілям і задачам сучасного підприємства. Зокрема, політика безпеки повинна описувати порядок надання і використання прав доступу користувачів, а також вимоги звітності користувачів за свої дії в питаннях безпеки.

Система інформаційної безпеки (СІБ) виявиться ефективною, якщо вона буде надійно підтримувати виконання правил політики безпеки, і навпаки. Етапи побудови політики безпеки - це внесення в опис об'єкта автоматизації структури цінності і проведення аналізу ризику, і визначення правил для будь-якого процесу користування даним видом доступу до ресурсів об'єкта автоматизації, які мають даний ступінь цінності. При цьому політику безпеки бажано оформити у вигляді окремого документа і затвердити керівництвом підприємства.

Сергій Петренко, Володимир Курбатов

1. ГОСТ 51583-00 «Захист інформації. Порядок створення автоматизованих систем в захищеному виконанні. Загальні вимоги. »ГОСТ Р 51624-00« Захист інформації. Автоматизовані системи в захищеному виконанні. Загальні вимоги."
2. Федеральний закон «Про інформацію, інформатизації і захисту інформації», № 24-ФЗ, 1995 г., ст. 2, Конституція Російської Федерації, ст. 23, Цивільний кодекс Російської Федерації, частина I, ст.ст. 139, 128.
3. Міжнародні стандарти безпеки ISO розроблені the International Organization for Standartization (ISO) і the International Electrotechnical Commission (IEC) і регламентують питання інформаційної безпеки. У Росії стандарти ISO поки не є загальноприйнятими, за винятком ISO 15408, адаптована версія якого була прийнята Держстандартом і Гостехкомиссией влітку 2002 року. ISO не вступають в протиріччя з діючими в РФ стандартами і рекомендаціями Гостехкомиссии при Президентові РФ і рекомендуються до застосування провідними фахівцями в області інформаційної безпеки. Тексти ISO можна знайти за адресою: www.iso.org
4. КК РФ, 1996 г., ст.ст. 183, 272 - 274.
5. Румянцев О. Г., Додонов В. Н., Юридичний енциклопедичний словник, М., «ИНФРА-М», 1997 р
6. Указ Президента Російської Федерації від 6 березня 1997 № 188 «Про затвердження Переліку відомостей конфіденційного характеру». Постанова Уряду Російської Федерації від 5 грудня 1991 № 35 «Про перелік відомостей, які не можуть становити комерційну таємницю».
7. Див. Виноску 1, 2.
8. Федеральний закон «Про інформацію, інформатизації і захисту інформації», № 24-ФЗ, 1995, ст. 2.
9. Див. Виноску 8, Конституцію Російської Федерації, ст. 23.
10. Див. Виноску 9, Цивільний кодекс РФ, частина I, ст.ст. 139, 128.

Олександр Соколов: За кордоном «загальні критерії» - це дійсно «загальні критерії», а у нас в країні це ще ISO 15408

Про те, як «загальні критерії» вплинули на розвиток російського ринку ІБ, про тенденції, проблеми та перспективи на цьому ринку в інтерв'ю CNews.ru розповів Олександр Соколов, генеральний директор компанії «Елвіс-Плюс».

CNews.ru: Які, на ваш погляд, ключові тенденції відбуваються на ринку захисту інформації в Росії в даний час?

Олександр Соколов: Однією з основних тенденцій, на мій погляд, є вступ в силу «загальних критеріїв». Поки що ситуація з критеріями дуже не однозначна. Справа в тому, що стандарт є, і він діє, Гостехкомиссией вже зареєстровано понад 40 профілів, сертифіковане кілька продуктів.

Тобто технологія вже освоєна, по крайней мере, декількома організаціями. Однак в масах поки що немає розуміння, для чого потрібна ця технологія. Адже, по суті, що ми маємо: стандарт прийнятий, але разом з ним діє закон про технічний «дерегулювання», який передбачає, що сертифікація не обов'язкова. Тому виникає щось типу правової ніші: якщо не обов'язково сертифікуватися, то навіщо це робити? Адже сертифікація - це гроші і час. А що в підсумку виходить - ніхто не може сказати.

Хочу відразу звернути увагу на іншу сторону проблеми. Стандарт ISO 15408 прийнятий в Росії, проте, наша країна не бере участі в міжнародній угоді про «загальні критерії». Виходить, що за кордоном «загальні критерії» - це дійсно «загальні критерії», а у нас в країні це все ще ISO 15408. Так, стандарти схожі за змістом, проте отриманий в нашій країні сертифікат не діє за кордоном. І навпаки, отриманий «там» сертифікат вимагає додаткової досертіфікаціі у нас в країні. Повторюся, що технологія освоєна, а ось авторитету на внутрішньому ринку даний стандарт ще не має.

В ідеалі, для розвитку сертифікації по «загальним критеріям» страхові компанії повинні почати серйозно продумувати ціну сертифіката страхування інформаційних ризиків. Це могло б дуже серйозно вплинути на становлення «авторитета» ISO 15408. Замовники і постачальники відчували б за сертифікатом реальні гроші. Поки що такого немає, і ринок знаходиться в підвішеному стані.

Крім «загальних критеріїв», про яких можна ще дуже довго говорити, можна відзначити ще одну тенденцію. Її суть в тому, що останнім часом помітно зростає освітній рівень. Відмінності в порівнянні, наприклад, з 2002 р, дуже великі. Користувачі стали більш грамотними, почали розбиратися в цих питаннях захисту інформації.

Якщо подивитися програму практично будь-який ІТ-конференції, всюди можна знайти спеціальні заходи, присвячені питанням інформаційної безпеки. У російських вузах йде активна підготовка профільних фахівців, що сприяє появі на ринку молодих, талановитих та енергійних професіоналів.

Державні структури стали приділяти дуже багато уваги популяризації питань інформаційної безпеки. Так що, в цілому зростає грамотність, а разом з нею - і якість споживача. Все це, безсумнівно, повинно позначитися на якості пропозиції.

CNews.ru: Відомо, що Гостехкомиссией при президенті РФ перейшла в підпорядкування Міноборони. Як, на ваш погляд, ця подія позначиться на російському ринку ІБ?

Олександр Соколов: Будь-яка реорганізація призводить до збою. Завжди так було. По крайней мере, до затримок. Скажімо так, адміністративна реформа ще не закінчена. Як це буде виглядати в завершеному стані - я думаю, що доведеться почекати до осені. Але те, що будуть певні затримки, - безумовно.

Така будь-яка адміністративна реформа - люди не знають, за які питання будуть відповідати. Раніше у них було все відомо - існувала якась сфера діяльності, існував список питань, які вирішувала Гостехкомиссией. А зараз незрозуміло - в якому складі, як і міра відповідальності, яка зона питань. У свій час звучала назва - Комісія з експорту, але це зовсім інший спектр питань. Тому давайте, напевно, почекаємо закінчення адміністративної реформи. Так буде видно. Але якісь затримки будуть, безумовно.

Ті ж самє зараз відбувається и з ФАПСИ. Сталося перепідпорядкування. Здавалося б, ну вже зовсім споріднена структура, звідки вийшли - туди і повернулися. А, тим не менш, затримки відбуваються.

Повний текст інтерв'ю