Особенности отечественных нормативных документов 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Особенности отечественных нормативных документов



Большинство документов в области защиты информации датируются 1992 годом и относятся к информационным технологиям на базе уже устаревших аппаратных средств. Документы отражают «военную» точку зрения на проблемы информационной безопасности, в соответствии с которой основные усилия направлены на обеспечение конфиденциальности (защищенности от несанкционированного доступа - НСД). Другим аспектам - сохранению целостности и доступности — уделено гораздо меньше внимания. При этом особенности современных автоматизированных систем (АС) гражданского применения не учитываются.

Требования к безопасности АС сформулированы по подсистемам. Устанавливается 9 классов защищенности АС от НСД к информации. Каждый класс характеризуется некоторой минимальной совокупностью требований к защите. Классы подразделяются на три группы в зависимости от специфики обработки информации в АС: группа 3 - это АС, где работает один пользователь, допущенный ко всей информации; группа 2 - пользователи имеют одинаковые права доступа к информации разного уровня конфиденциальности; группа 1 - многопользовательские АС с разными правами доступа пользователей к различным категориям информации.

В пределах каждой группы соблюдается иерархия требований по защите.

Представление об этих требованиях дает таблица из документа «Классификация автоматизированных систем и требования по защите информации» [23].

Эксперты утверждают, что в настоящее время действует нормативная база в области безопасности информационных технологий, разработанная в начале 90-х годов. Данная нормативная база уже не в полной мере соответствует уровню развития информационных технологий и не обеспечивает требуемого уровня защиты информационных ресурсов. Поэтому следует продолжать поступательное совершенствование нормативной базы на основе развития отечественной науки и использования опыта передовых мировых держав, постепенно переходя к принятым в настоящее время в Европе «Общим критериям» [41].

В 2004 году в России вводится в экспериментальном режиме международный стандарт ISO 15408 («Общие критерии»), который можно будет применять как альтернативу действующим РД Гостехкомиссии при обеспечении информационной безопасности в автоматизированных системах, не содержащих сведения, относящиеся к государственной тайне. В международном стандарте ISO 15408 «Общие критерии оценки безопасности информационных технологий» обобщен опыт использования «Оранжевой книги» - Европейских критериев ITSEC. Требования по ИБ хорошо структурированы и сформулированы для большого числа классов ИС. Стандартом можно пользоваться как при задании требований к продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.

Документ состоит из следующих основных частей:

Часть 1. «Представление и общая модель». Определяются общая концепция, принципы и цели оценки безопасности ИТ [211].

Часть 2. «Требования к функциям безопасности». Приведены требования к функциям безопасности и установлен набор показателей для оценки безопасности информационных технологий. Имеется каталог требований к различным семействам и классам ИС [215].

Часть 3. «Требования гарантированности безопасности». Перечислены требования к гарантиям безопасности, сгруппированные в семейства, классы и уровни. Определены критерии оценки для профилей защиты и заданий по безопасности [216].

С практической точки зрения существенным является то, что в документе формулируются только критерии оценки и не содержатся методики ее проведения. В значительной мере остается открытым вопрос выбора комплекса мер безопасности применительно к рассматриваемым классам информационных технологий.

Однако, по мнению авторов, принятие и ввод в действие международного стандарта «Общие критерии» ИСО/МЭК 15408 - безусловно нужный, но явно запоздалый шаг. Эксперты отмечают, что на апробацию и практическое освоение этого стандарта уйдет несколько лет. Сегодня этим стандартом пользуются только отдельные энтузиасты.

Учет остаточных рисков

Второй национальной особенностью организации режима информационной безопасности в отечественных компаниях является специфическое отношение к остаточным информационным рискам. При построении корпоративной системы защиты информации необходимо помнить, что абсолютной 100-процентной защиты не существует, остаточные риски присутствуют при любом варианте создания или реорганизации корпоративной системы защиты информации. Понятно, что чем больше защищена КИС, тем меньше такие риски.

Настоящий собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор. К сожалению, это делается крайне редко. Автоматизированным системам отечественных предприятий, в зависимости от своего класса, надлежит иметь подсистемы безопасности с определенными формальными свойствами. При этом зачастую существует мнение, что сама постановка задачи об остаточных информационных рисках в области информационной безопасности, неизбежно присутствующих в любой АС (и об ответственности за их уровень), некорректна, особенно в случае обработки сведений, составляющих государственную тайну.

В плане подхода к обеспечению ИБ в АС можно выделить четыре группы отечественных заказчиков работ в области защиты информации:

· государственные структуры;

· коммерческие структуры с формальными собственниками информационных ресурсов компании;

· коммерческие структуры с настоящими собственниками информационных ресурсов компании;

· структуры, для которых обязательно соответствие зарубежным стандартам в области информационной безопасности.

Как правило, в государственных структурах ответственные лица и руководители, занимающиеся организацией режима информационной безопасности на предприятии, пока не заинтересованы в том, чтобы нести бремя ответственности за выбор остаточных информационных рисков. Поэтому решения относительно построения корпоративной системы защиты информации отвечают в обязательном порядке только принятым и утвержденным российским стандартам и РД. Как следствие, исполнители работ в области защиты информации, например системные интеграторы, вынуждены предлагать решения, удовлетворяющие лишь формальным требованиям существующих нормативов и РД. При этом предлагаемые и внедряемые решения не соответствуют в целом даже начальному базовому уровню обеспечения информационной безопасности, который определяется согласно современным международным стандартам в области информационной безопасности. К сожалению, в настоящее время государственные структуры уделяют мало внимания новым идеям и направлениям развития в области защиты информации. По мнению аналитиков, ситуация начнет изменяться в течение ближайших двух-пяти лет - после принятия новых российских стандартов и РД, адекватных целям и задачам развития национальной системы информационной безопасности.

Вторая группа - коммерческие структуры с формальными собственниками информационных ресурсов (сюда же относятся структуры, для которых информационные ресурсы не являются особенно ценными, что характерно для 80% случаев) -склонна заказывать проектирование подсистемы безопасности в соответствии с передовыми зарубежными стандартами базового уровня.

Третья группа - коммерческие структуры с настоящими собственниками информационных ресурсов в случае, если информационные ресурсы представляют для них существенную ценность (как правило, финансовые структуры). В этой ситуации руководство осознанно выбирает остаточные риски, производит анализ по критерию «стоимость-эффективность» различных вариантов защиты. Как следствие, затраты на выбор подсистем безопасности являются обоснованными с точки зрения заказчика. Такие заказчики предлагают проектировщикам выполнить полный цикл работ, начиная с анализа рисков и кончая системой поддержания режима информационной безопасности на всех стадиях жизненного цикла.

Этот класс заказчиков отличается недоверием к любым посторонним подрядчикам, поэтому проблемы безопасности они стараются решать сами. Зачастую заказываются методики внутреннего аудита или анализа рисков для данной системы с апробацией на отдельном некритичном фрагменте системы и обучением местных специалистов.

Четвертую группу составляют организации, по разным причинам заинтересованные в получении формальных документов о том, что отдельные аспекты их деятельности отвечают зарубежным стандартам, в частности стандартам в области информационной безопасности. Такого рода документы обычно выдают крупные зарубежные аудиторские фирмы. При этом подготовку к сертификации проводят, как правило, отечественные организации, имеющие в этой области соответствующий опыт.

В заключение отметим, что вместе с развитием теории и практики защиты информации среди отечественных руководителей различных коммерческих структур и организаций растет понимание важности и необходимости соответствия автоматизированных систем предприятия некоторому базовому уровню безопасности (согласно зарубежным стандартам). Число «настоящих собственников», осознанно выбирающих уровень остаточных рисков, также увеличивается. Все это вместе внушает определенный оптимизм относительно становления и развития отечественной практики защиты информации и, в частности, решения задач анализа информационных рисков и управления ими, что необходимо для определения перспектив развития и управления развитием отечественных предприятий и организаций.

 



Поделиться:


Последнее изменение этой страницы: 2016-12-27; просмотров: 256; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 54.167.52.238 (0.021 с.)