|
|
Политика ИБ: российских законов малоПри разработке политики безопасности предприятию необходимо опираться не только на нормативно-правовые акты российского законодательства, но и на международные стандарты. "Букет" законов Развитие ИТ в России значительно опережает темпы разработки соответствующей рекомендательной и нормативно-правовой базы. По этой причине решение вопроса о разработке эффективной политики информационной безопасности на современном предприятии связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Эксперты отмечают, что в дополнение к требованиям и рекомендациям стандартов1, Конституции и федеральным законам2, руководящим документам Гостехкомиссии России, приходится использовать ряд международных рекомендаций, адаптировать к отечественным условиям и применять на практике методики таких международных стандартов, как ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL3. Только такой комплексный подход позволяет полноценно реализовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия. Современные методики управления рисками позволяют решить ряд задач перспективного стратегического развития современного предприятия. Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом,
Решение названных задач открывает новые возможности перед должностными лицами разного уровня. Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании. Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ. Современные методики В соответствии со ст. 20 Федерального закона «Об информации, информатизации и защите информации» целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы. Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ4, обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов5, для чего, по мнению экспертов следует:
При разработке политики безопасности можно использовать модель, основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология методы защиты критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью» и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам защиты информации. Модель построения корпоративной системы защиты информации Представленная модель это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов. Адекватные оценки Для создания эффективной политики безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и соответствующую корпоративную систему защиты информации предстоит построить таким образом, чтобы достичь заданного уровня риска. Предлагаемая методика разработки политики информационной безопасности предприятия позволяет проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности. Помимо этого, методика позволяет избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер. В ходе разработки политики ИБ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные, а также в соответствии со ст. 2 Федерального закона «Об информации, информатизации и защите информации» информационные ресурсы отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примерами внешних элементов являются сети связи (абз. 4 ст. 2 Федерального закона «О связи»), внешние сервисы и т.п. При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации. На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты. Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности. По завершении работ, можно будет определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на вовлечении в процесс оценки большего числа элементов информационной среды объекта, глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения, строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия. Эксперты подчеркивают, что прежде чем внедрять Система информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения политики безопасности это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. При этом политику безопасности желательно оформить в виде отдельного документа и утвердить руководством предприятия. Сергей Петренко, Владимир Курбатов
Александр Соколов: За рубежом «общие критерии» это действительно «общие критерии», а у нас в стране это еще ISO 15408О том, как «общие критерии» повлияли на развитие российского рынка ИБ, о тенденциях, проблемах и перспективах на этом рынке в интервью CNews.ru рассказал Александр Соколов, генеральный директор компании « CNews.ru: Какие, на ваш взгляд, ключевые тенденции происходят на рынке защиты информации в России в настоящее время? Александр Соколов: Одной из основных тенденций, на мой взгляд, является вступление в силу «общих критериев». Пока что ситуация с критериями очень не однозначна. Дело в том, что стандарт есть, и он действует, Гостехкомиссией уже зарегистрировано более 40 профилей, сертифицировано несколько продуктов. Т.е. технология уже освоена, по крайней мере, несколькими организациями. Однако в массах пока что нет понимания, для чего нужна эта технология. Ведь, по сути, что мы имеем: стандарт принят, но вместе с ним действует закон о техническом «дерегулировании», который предполагает, что сертификация не обязательна. Поэтому возникает Хочу сразу обратить внимание на другую сторону проблемы. Стандарт ISO 15408 принят в России, однако, наша страна не участвует в международном соглашении об «общих критериях». Получается, что за рубежом «общие критерии» это действительно «общие критерии», а у нас в стране это все еще ISO 15408. Да, стандарты похожи по содержанию, однако полученный в нашей стране сертификат не действует за рубежом. И наоборот, полученный «там» сертификат требует дополнительной досертификации у нас в стране. Повторюсь, что технология освоена, а вот авторитета на внутреннем рынке данный стандарт еще не имеет. В идеале, для развития сертификации по «общим критериям» страховые компании должны начать серьезно продумывать цену сертификата страхования информационных рисков. Это могло бы очень серьезно повлиять на становление «авторитета» ISO 15408. Заказчики и поставщики чувствовали бы за сертификатом реальные деньги. Пока что такого нет, и рынок находится в подвешенном состоянии. Помимо «общих критериев», о которых можно еще очень долго говорить, можно отметить еще одну тенденцию. Ее суть в том, что в последнее время заметно растет образовательный уровень. Отличия по сравнению, например, с 2002 г., очень большие. Пользователи стали более грамотными, начали разбираться в этих вопросах защиты информации. Если посмотреть программу практически любой Государственные структуры стали уделять очень много внимания популяризации вопросов информационной безопасности. Так что, в целом растет грамотность, а вместе с ней и качество потребителя. Все это, несомненно, должно отразиться на качестве предложения. CNews.ru: Известно, что Гостехкомиссия при президенте РФ перешла в подчинение Минобороны. Как, на ваш взгляд, это событие отразится на российском рынке ИБ? Александр Соколов: Любая реорганизация приводит к сбою. Всегда так было. По крайней мере, к задержкам. Скажем так, административная реформа еще не закончена. Как это будет выглядеть в завершенном состоянии я думаю, что придется подождать до осени. Но то, что будут определенные задержки, безусловно. Такова любая административная реформа люди не знают, за какие вопросы будут отвечать. Раньше у них было все известно существовала То же самое сейчас происходит и с ФАПСИ. Произошло переподчинение. Казалось бы, ну уж совсем родственная структура, откуда вышли туда и вернулись. А, тем не менее, задержки происходят. |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP