Обзор подготовлен   CNewsAnalytics

Политика ИБ: российских законов мало

Политика ИБ: российских законов мало При разработке политики безопасности предприятию необходимо опираться не только на нормативно-правовые акты российского законодательства, но и на международные стандарты.

"Букет" законов

Развитие ИТ в России значительно опережает темпы разработки соответствующей рекомендательной и нормативно-правовой базы. По этой причине решение вопроса о разработке эффективной политики информационной безопасности на современном предприятии связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации.

Эксперты отмечают, что в дополнение к требованиям и рекомендациям стандартов1, Конституции и федеральным законам2, руководящим документам Гостехкомиссии России, приходится использовать ряд международных рекомендаций, адаптировать к отечественным условиям и применять на практике методики таких международных стандартов, как ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL3. Только такой комплексный подход позволяет полноценно реализовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия.

Современные методики управления рисками позволяют решить ряд задач перспективного стратегического развития современного предприятия. Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.

Во-вторых, разработать политику безопасности и планы совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. На пути к решению этих задач необходимо:

  • обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
  • выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
  • определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;
  • разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
  • обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Решение названных задач открывает новые возможности перед должностными лицами разного уровня. Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании.

На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях).

Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.

Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании.

При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.

Современные методики

В соответствии со ст. 20 Федерального закона «Об информации, информатизации и защите информации» целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ4, обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов5, для чего, по мнению экспертов следует:

  • отнести информацию к категории ограниченного доступа (служебной тайне)6;
  • прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития7;
  • создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба8;
  • создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности9;
  • создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности10.

При разработке политики безопасности можно использовать модель, основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология — методы защиты — критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью» и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам защиты информации.

Модель построения корпоративной системы защиты информации

Модель построения корпоративной системы защиты информации

Представленная модель — это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Адекватные оценки

Для создания эффективной политики безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и соответствующую корпоративную систему защиты информации предстоит построить таким образом, чтобы достичь заданного уровня риска.

Предлагаемая методика разработки политики информационной безопасности предприятия позволяет проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности. Помимо этого, методика позволяет избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.

В ходе разработки политики ИБ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные, а также в соответствии со ст. 2 Федерального закона «Об информации, информатизации и защите информации» — информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примерами внешних элементов являются сети связи (абз. 4 ст. 2 Федерального закона «О связи»), внешние сервисы и т.п.

При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.

Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.

На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты.

Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

По завершении работ, можно будет определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности.

Адекватность оценки основана на вовлечении в процесс оценки большего числа элементов информационной среды объекта, глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения, строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

Эксперты подчеркивают, что прежде чем внедрять какие-либо решения по защите информации необходимо разработать политику безопасности, адекватную целям и задачам современного предприятия. В частности, политика безопасности должна описывать порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.

Система информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Этапы построения политики безопасности — это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. При этом политику безопасности желательно оформить в виде отдельного документа и утвердить руководством предприятия.

Сергей Петренко, Владимир Курбатов


  1. ГОСТ 51583–00 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования.» ГОСТ Р 51624–00 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования.»
  2. Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995 г., ст. 2, Конституция Российской Федерации, ст. 23, Гражданский кодекс Российской Федерации, часть I, ст.ст. 139, 128.
  3. Международные стандарты безопасности ISO разработаны the International Organization for Standartization (ISO) и the International Electrotechnical Commission (IEC) и регламентируют вопросы информационной безопасности. В России стандарты ISO пока не являются общепринятыми, за исключением ISO 15408, адаптированная версия которого была принята Госстандартом и Гостехкомиссией летом 2002 года. ISO не вступают в противоречие с действующими в РФ стандартами и рекомендациями Гостехкомиссии при Президенте РФ и рекомендуются к применению ведущими специалистами в области информационной безопасности. Тексты ISO можно найти по адресу: www.iso.org
  4. УК РФ, 1996 г., ст.ст. 183, 272 — 274.
  5. Румянцев О. Г., Додонов В. Н., Юридический энциклопедический словарь, М., «ИНФРА-М», 1997 г.
  6. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера». Постановление Правительства Российской Федерации от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять коммерческую тайну».
  7. См. сноску 1, 2.
  8. Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995, ст. 2.
  9. См. сноску 8, Конституцию Российской Федерации, ст. 23.
  10. См. сноску 9, Гражданский кодекс РФ, часть I, ст.ст. 139, 128.

Александр Соколов: За рубежом «общие критерии» — это действительно «общие критерии», а у нас в стране это еще ISO 15408

Александр СоколовО том, как «общие критерии» повлияли на развитие российского рынка ИБ, о тенденциях, проблемах и перспективах на этом рынке в интервью CNews.ru рассказал Александр Соколов, генеральный директор компании «Элвис-Плюс».

CNews.ru: Какие, на ваш взгляд, ключевые тенденции происходят на рынке защиты информации в России в настоящее время?

Александр Соколов: Одной из основных тенденций, на мой взгляд, является вступление в силу «общих критериев». Пока что ситуация с критериями очень не однозначна. Дело в том, что стандарт есть, и он действует, Гостехкомиссией уже зарегистрировано более 40 профилей, сертифицировано несколько продуктов.

Т.е. технология уже освоена, по крайней мере, несколькими организациями. Однако в массах пока что нет понимания, для чего нужна эта технология. Ведь, по сути, что мы имеем: стандарт принят, но вместе с ним действует закон о техническом «дерегулировании», который предполагает, что сертификация не обязательна. Поэтому возникает что-то типа правовой ниши: если не обязательно сертифицироваться, то зачем это делать? Ведь сертификация — это деньги и время. А что в итоге получается — никто не может сказать.

Хочу сразу обратить внимание на другую сторону проблемы. Стандарт ISO 15408 принят в России, однако, наша страна не участвует в международном соглашении об «общих критериях». Получается, что за рубежом «общие критерии» — это действительно «общие критерии», а у нас в стране это все еще ISO 15408. Да, стандарты похожи по содержанию, однако полученный в нашей стране сертификат не действует за рубежом. И наоборот, полученный «там» сертификат требует дополнительной досертификации у нас в стране. Повторюсь, что технология освоена, а вот авторитета на внутреннем рынке данный стандарт еще не имеет.

В идеале, для развития сертификации по «общим критериям» страховые компании должны начать серьезно продумывать цену сертификата страхования информационных рисков. Это могло бы очень серьезно повлиять на становление «авторитета» ISO 15408. Заказчики и поставщики чувствовали бы за сертификатом реальные деньги. Пока что такого нет, и рынок находится в подвешенном состоянии.

Помимо «общих критериев», о которых можно еще очень долго говорить, можно отметить еще одну тенденцию. Ее суть в том, что в последнее время заметно растет образовательный уровень. Отличия по сравнению, например, с 2002 г., очень большие. Пользователи стали более грамотными, начали разбираться в этих вопросах защиты информации.

Если посмотреть программу практически любой ИТ-конференции, везде можно найти специальные мероприятия, посвященные вопросам информационной безопасности. В российских вузах идет активная подготовка профильных специалистов, что способствует появлению на рынке молодых, талантливых и энергичных профессионалов.

Государственные структуры стали уделять очень много внимания популяризации вопросов информационной безопасности. Так что, в целом растет грамотность, а вместе с ней — и качество потребителя. Все это, несомненно, должно отразиться на качестве предложения.

CNews.ru: Известно, что Гостехкомиссия при президенте РФ перешла в подчинение Минобороны. Как, на ваш взгляд, это событие отразится на российском рынке ИБ?

Александр Соколов: Любая реорганизация приводит к сбою. Всегда так было. По крайней мере, к задержкам. Скажем так, административная реформа еще не закончена. Как это будет выглядеть в завершенном состоянии — я думаю, что придется подождать до осени. Но то, что будут определенные задержки, — безусловно.

Такова любая административная реформа — люди не знают, за какие вопросы будут отвечать. Раньше у них было все известно — существовала какая-то сфера деятельности, существовал список вопросов, которые решала Гостехкомиссия. А сейчас непонятно — в каком составе, какова мера ответственности, какая зона вопросов. Одно время звучало название — Комиссия по экспорту, но это совершенно другой спектр вопросов. Поэтому давайте, наверное, подождем окончания административной реформы. Так будет видно. Но какие-то задержки будут, безусловно.

То же самое сейчас происходит и с ФАПСИ. Произошло переподчинение. Казалось бы, ну уж совсем родственная структура, откуда вышли — туда и вернулись. А, тем не менее, задержки происходят.

Полный текст интервью

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.

Toolbar | КПК-версия | Подписка на новости  | RSS