Это же обстоятельство породило весьма проработанную систему мер юридической защиты интересов государства. Создано достаточно развитое законодательство, регулирующее деятельность в сфере защиты государственной тайны, включая нормы прямой уголовной и административной ответственности за действия, приведшие к утечке (хищению) этой информации.
Суть действий субъекта легального доступа абсолютно противоположна. Ему разрешено работать с информационными ресурсами организации; более того, он не только использует эти ресурсы в процессе своей служебной деятельности, но и создает их. К этой категории субъектов угроз просто не применимы широко используемая в проблеме безопасности терминология, да и инструментарий. Ведь речь тут идет не о защите от несанкционированного доступа, а о предоставлении доступа легальному пользователю информации и управлении этим доступом в соответствии с административной политикой организации. Как поступит этот самый легальный пользователь с информацией, ставшей ему известной или доступной в результате выполнения им своих служебных обязанностей? Поняв это еще в 1958 году, американские специалисты начали разрабатывать основы административных норм поведения служащих, соответствующие кодексы поведения. Было сформулировано понятие «конфликт интересов», в данном случае — конфликт интересов организации и ее сотрудника. Естественно, разрабатывались и соответствующие технические средства, однако это были уже системы управления и регистрации доступа, а также всевозможные базы данных, конфликт которых по общему критерию поиска и классифицируется как «конфликт интересов».
А как быть с ситуацией, когда огромное количество самой разнообразной информации, напрямую затрагивающей интересы граждан, за бесценок продается в Internet теми, кто явно имел или имеет легальный доступ к этой информации?
Такая ситуация — следствие отсутствия эффективного законодательного регулирования в сфере защиты подобной информации, отсутствия административных, организационных и технических инструментов, позволяющих правильно организовать работу персонала, отсутствия, как это ни банально звучит, этики корпоративного поведения сотрудников, считающих, что все, что лежит у них на столе и не имеет инвентарного номера, по определению является их собственностью.
Эти вопросы настоятельно требуют своего разрешения.
Оценка интегрального уровня ИТ-безопасности
Одним из обобщенных параметров, характеризующих устойчивость ИТ-инфраструктуры, является показатель «живучести», включающий в качестве компонентов безопасность, надежность и доступность. Под «живучестью» следует подразумевать способность инфраструктуры достигать поставленной цели постоянным (непрерывным) способом в условиях атак, сбоев и аварий. Целью же является устойчивость и процветающая деятельность организации в целом.
Естественно, достижение эффекта только в одном из компонентов (в том числе, и в безопасности информационных систем) не даст руководству необходимых гарантий того, что ИТ-инфраструктура, а потому и сама организация будет функционировать надлежащим образом.Как следствие, исключительную практичность приобретает вопрос о методах и критериях оценки безопасности информационных систем. Система оценок должна носить интегральный характер, так как руководство организации по сути дела интересует не столько конкретный уровень безопасности в частных технологических вопросах, сколько общий уровень качества функционирования самой организации, обеспечиваемый, в том числе, и уровнем безопасности информационных систем.
С практической точки зрения этот вопрос — самый тяжелый. Имеющиеся подходы к проблеме создания инструментов и методик оценки интегрального уровня ИТ-безопасности организации весьма противоречивы. Тем не менее, перечислим существующие подходы.
Использование стандартов и норм аудита финансовых организаций, включая аудит их информационных систем и аудит безопасности этих систем. Важнейшей особенностью используемых в этой сфере подходов является комплексность оценки всех сторон деятельности организации, каким-либо образом влияющих на риски безопасности. В силу ясного осознания сложности описания аудируемого объекта, в методиках этой категории применяется механизм качественного описания результатов проверки и мягкая рейтинговая система их оценки. Наиболее распространенный рейтинговый стандарт проверки информационных технологий — американский URSIT (Uniform Rating System for Information Technology).
Представляется, что этот подход наиболее объективен, однако он принят только в финансовом секторе и не находит применения вне него.
Проведение аудита ИТ-инфраструктуры организации по стандарту безопасности компьютерных систем ISO 17799. Пока известно лишь о первых, весьма ограниченных попытках применения этого метода, поэтому о практическом опыте говорить рано. Между тем разработчики стандарта заявляют, что после проведения подобного аудита информационная система организации становится «прозрачнее» для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. К сожалению, официально введение данного стандарта в России даже не рассматривается — возможно потому, что его комплексный характер и более широкая и приближенная к жизни модель угроз не соответствует рамкам полномочий ведомств, осуществляющих государственное регулирование в этой сфере.
Применение для оценки защищенности информационных систем стандартов ISO 15408 «Открытые критерии». В этих стандартах детально проработаны вопросы разработки информационных систем с учетом требований и гарантий их безопасности. Вместе с тем авторами стандарта сделаны серьезные ограничения, которые фактически не позволяют использовать его в качестве универсального инструмента комплексной оценки безопасности и жестко ограничивают область его применения только вопросами безопасности информационных систем. Стандарт не затрагивает административных и правовых вопросов обеспечения безопасности и далеко не полностью учитывает роль легального пользователя во всей совокупности проблем обеспечения безопасности.
В настоящее время ведется работа по введению в России этого стандарта как государственного (с некоторыми временными ограничениями по его вводу в действие), что само по себе можно только приветствовать. Однако в силу органически заложенных в стандарте ограничений он не слишком подходит для целей комплексной оценки интегрального уровня безопасности организации.
Использование для оценки защищенности информационных систем частных методик и критериев, предназначенных для оценки криптографической стойкости алгоритмов шифрования и защищенности информации от утечки по техническим каналам. При этом происходит фактическая подмена модели угроз, в центре которой стоят проблемы борьбы с легальным пользователем системы (он, как уже упоминалось, и является основным источником проблем), моделью соответствующих ведомств, в центре которых стоят субъекты несанкционированного доступа.
При таком подходе фактически одни и те же вопросы в организации подвергаются различным проверкам по различным методикам, по итогам которых выносятся определенные суждения об уровне безопасности отдельных подсистем. Руководство как было, так и остается в некотором неведении в отношении того, насколько правильно организована работа, достаточен ли уровень безопасности, не обесценились ли вложения в эту сферу, или, напротив, не слишком ли много средств расходуется на безопасность.
Применительно к целям руководства, которое объективно заинтересованно в обеспечении устойчивого и эффективного функционирования организации, безопасность является обеспечивающей основные задачи функцией, проявляясь при этом на всех уровнях функционирования организации и оказывая прямое воздействие на ее деятельность в целом. С этой точки зрения важнейшим свойством безопасности в обеспечении интересов организации в целом оказывается возможность обеспечения ее прозрачности и контролируемости. Это необходимо учитывать при разработке политики безопасности информационных систем.
Под прозрачностью здесь следует понимать возможность получения объективной и целостной информации на всех уровнях организации в ограниченные сроки без создания конфликтной ситуации. Под контролируемостью понимают возможность получения в ограниченные сроки объективной оценки результатов решений, принимаемых на данном уровне организации, и внесения соответствующих изменений в действия сотрудников и подразделений в целях получения желаемого результата.
Реализация этих свойств позволяет руководству организации:
сосредоточить свое внимание на наиболее важных аспектах обеспечения безопасности организации;
принимать решения на основе объективной и целостной информации;
контролировать возникающие риски;
добиваться с большей эффективностью исполнения принятых решений;
отслеживать качество принимаемых решений и оперативно вносить необходимые коррективы;
значительно повысить предсказуемость результатов принимаемых решений.
Политика ИТ-безопасности организации
К настоящему времени в нашей стране еще не сложился стандартный подход к оценке эффективности работы подразделений информационной безопасности и определенный взгляд на роль факторов, оказывающих влияние на уровень интегральной безопасности организации. Регулирующие ведомства пока не подают признаков того, что они готовы трансформировать свои взгляды в сторону более реального учета проблем и потребностей гражданского сектора.