В области информационной безопасности.

"Закон об информационной безопасности" (January 8, 1988).

Его цель - реализация минимально достаточных действий по обеспечению безопасности информации в федеральных компьютерных системах, без ограничений всего спектра возможных действий.
В 1997 году появилось продолжение описанного закона - законопроект "О совершенствовании информационной безопасности", направленный на усиление роли Национального института стандартов и технологий и упрощение операций с криптосредствами.
«Закон о защите данных». Он целиком посвящен защите персональных данных.

Управление рисками.

Основные понятия

Управление рисками, равно как и выработка собственной политики безопасности, актуально только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными.

Суть мероприятий по управлению рисками состоит в том, чтобы:

· оценить их размер

· выработать эффективные и экономичные меры снижения рисков

· убедиться, что риски заключены в приемлемые рамки (и остаются таковыми).

Следовательно, управление рисками включает в себя два вида деятельности, которые чередуются циклически:

· (пере)оценка (измерение) рисков;

· выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

· ликвидация риска (например, за счет устранения причины);

· уменьшение риска (например, за счет использования дополнительных защитных средств);

· принятие риска (и выработка плана действия в соответствующих условиях);

· переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы:

1. Выбор анализируемых объектов и уровня детализации их рассмотрения.

2. Выбор методологии оценки рисков.

3. Идентификация активов.

4. Анализ угроз и их последствий, выявление уязвимых мест в защите.

5. Оценка рисков.

6. Выбор защитных мер.

7. Реализация и проверка выбранных мер.

8. Оценка остаточного риска.

Подготовительные этапы управления рисками

Создание карты информационной системы организации. Для управления рисками подобная карта особенно важна, поскольку она наглядно показывает, какие сервисы выбраны для анализа, а какими пришлось пренебречь. Если ИС меняется, а карта поддерживается в актуальном состоянии, то при переоценке рисков сразу станет ясно, какие новые или существенно изменившиеся сервисы нуждаются в рассмотрении.

Уязвимым является каждый компонент информационной системы - от сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть разрушена из-за неумелых действий администратора

Очень важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства стоит использовать.

При идентификации активов, то есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации.

Одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее (структуры) использования. Эти сведения целесообразно нанести на карту ИС в качестве граней соответствующих объектов.

Основные этапы управления рисками

Первый шаг в анализе угроз - их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла, но в пределах выбранных видов провести максимально подробный анализ.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования.

После идентификации угрозы необходимо оценить вероятность ее осуществления. Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).

После того, как накоплены исходные данные и оценена степень неопределенности, можно переходить к обработке информации, то есть собственно к оценке рисков. Вполне допустимо применить такой простой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9

Выбирая подходящий способ защиты, целесообразно учитывать возможность экранирования одним механизмом обеспечения безопасности сразу нескольких прикладных сервисов. Так поступили в Массачусетском технологическом институте, защитив несколько тысяч компьютеров сервером аутентификации Kerberos.

Процедурный уровень информационной безопасности.

Основные классы мер процедурного уровня.

На процедурном уровне можно выделить следующие классы мер:
- управление персоналом;
- физическая защита;
- поддержание работоспособности;
- реагирование на нарушения режима безопасности;
- планирование восстановительных работ.

Управление персоналом

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше - с составления описания должности. Уже на данном этапе желательно подключить к работе специалиста по информационной безопасности для определения компьютерных привилегий, ассоциируемых с должностью. Существует два общих принципа, которые следует иметь в виду:
- разделение обязанностей;
- минимизация привилегий.
Принцип разделения обязанностей предписывает как распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. Например, нежелательна ситуация, когда крупные платежи от имени организации выполняет один человек.
Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа очевидно - уменьшить ущерб от случайных или умышленных некорректных действий.

Поддержание работоспособности.

Можно выделить следующие направления повседневной деятельности:
- поддержка пользователей - подразумевает прежде всего консультирование и оказание помощи при решении разного рода проблем.
- поддержка программного обеспечения - необходимо следить за тем, какое программное обеспечение установлено на компьютерах и контроль за отсутствием неавторизованного изменения программ и прав доступа к ним.
- конфигурационное управление - позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию.
- резервное копирование - необходимо для восстановления программ и данных после аварий.
- управление носителями - необходимо для обеспечения физической защиты и учета дискет, лент, печатных выдач и т.п.
- документирование - в виде документов оформляется почти все - от политики безопасности до журнала учета носителей.
- регламентные работы - сотрудник, осуществляющий регламентные работы, получает исключительный доступ к системе. Здесь на первый план выходит степень доверия к тем, кто выполняет работу.

Реагирование на нарушения режима безопасности.

Реакция на нарушения режима безопасности преследует три главные цели:
- локализация инцидента и уменьшение наносимого вреда;
- выявление нарушителя;
- предупреждение повторных нарушений.

Планирование восстановительных работ.

Процесс планирования восстановительных работ можно разделить на следующие этапы:

- выявление критически важных функций организации, установление приоритетов;
- идентификация ресурсов, необходимых для выполнения критически важных функций;

- определение перечня возможных аварий;

- разработка стратегии восстановительных работ;

- подготовка к реализации выбранной стратегии;

- проверка стратегии.