|
|
|
Проблемы информатизации : Теоретические основы информационной безопасности |
|
20.10.2003. О парадигме информационной безопасности
Прорабатывая вопросы совершенствования системы информационной безопасности, многие отечественные и зарубежные специалисты приходят к выводу о том, что существуют более глубокие, чем думалось ранее, причинно-следственные связи такой, казалось бы, «частной» проблемы, как безопасность ИТ с общими целями и задачами, а главное, с результатами и эффективностью деятельности организации в целом. Также парадоксален на первый взгляд и вывод о колоссальном влиянии на уровень информационной безопасности позиции высшего менеджмента организации, взаимоотношений в коллективе, личного отношения каждого сотрудника к выполнению мер безопасности, сложившегося в коллективе психологического климата, правильного финансирования и т. д. На наличие подобных связей прямо указывают результаты международного исследования, проведенного аудиторской компанией Ernst & Young в 2003 году. В этом отчете, в частности, говорится об аналогичных российским проблемах, возникающих у специалистов по информационной безопасности, когда высший менеджмент организации начинает предпринимать меры, направленные на уменьшение расходов организации, под которые попадает и система информационной безопасности. В первую очередь из-за сокращения финансирования страдают такие важнейшие направления работ информационной безопасности, как обучение персонала, поддержка технологий и инфраструктуры. Кому из отечественных специалистов не знакомы подобные проблемы! Не есть ли это очередное проявление, увы, слишком распространенной в нашем обществе беды — принятия менеджером-дилетантом в данной сфере деятельности неправильных решений, которые строятся на нехитрых посылках:
Ну а если вспомнить о возможных «скрытых» целях менеджмента, которые не соответствуют провозглашенным и носят зачастую криминальный оттенок, то становится понятно, что правильно организованная безопасность для них просто вредна, так как преследует прямо противоположную цель: добиться максимально возможной прозрачности в деятельности коллектива по выполнению официально сформулированных перед ним задач. Итак, различные риски, возникающие в ходе деятельности организации, взаимосвязаны — в том числе и риски, касающиеся проблем безопасности и управленческого аппарата. Обобщение этих отдельных, самостоятельных факторов приводит к необходимости формирования ясной концептуальной исходной системы взглядов и выявления способов, обеспечивающих требуемый уровень информационной безопасности. Конечно, для специалистов, работающих в области ИТ-безопасности, имеющих особое техническое образование (к тому же зачастую ангажированных спецификой задач ведомств, которые они представляют), это не просто. Попытки решить проблему ИТ-безопасности исключительно методами криптографии не приводят к должному результату, так же как и упорное желание решить технико-социально-психологическую проблему обеспечения информационной безопасности только техническими инструментами. Парадигма безопасности опирается на следующие базовые понятия: «актив», «собственник», «злоумышленник», «угроза», «уязвимость», «риск», «политика безопасности», «управление безопасностью», «мониторинг». Рисунок 1. Активы, уязвиомсти, угрозы и риски Фундаментальным, как отмечается в ГОСТ ISO 15408 «Открытые критерии», является взаимное соотношение понятий «актив», «уязвимость», «угроза». Пересечение этих трех порождает понятие «риск». (Под угрозой следует понимать потенциальную возможность нанесения ущерба каким-либо заранее известным злоумышленнику способом. Уязвимость — это слабость в системе мер защиты, которую угроза может преодолеть. Под риском подразумевается сочетание вероятности нанесения ущерба путем преодоления системы защиты с использованием уязвимостей и тяжести этого ущерба.) Минимизация рисков осуществляется с помощью разработки схемы поведения, так называемой «политики безопасности» и управления ею. Управление работами по реализации политики безопасности — это и есть управление рисками. Существующие стандарты по-разному определяют понятие «актив». Согласно ГОСТ ISO 15408 «Открытые критерии», под активом понимается значимая для собственника информация, обрабатываемая в информационной системе. В соответствии с созданным в США и получившим в последнее время широкое распространение стандартом OCTAVE, в активы входят: информация; информационные системы; программное обеспечение; технические (аппаратные) средства; персонал. (Для банковской организации в это понятие следует дополнительно включить финансы.) Данная интерпретация понятия «актив» представляется наиболее предпочтительной. В конечном итоге качество активов определяет эффективность выполнения организацией своей «миссии», то есть достижения ее главных целей и задач. Как говорит известная пословица, дьявол прячется в мелочах. Применительно к нашему случаю более частные моменты определяют суть и современный вид проблемы информационной безопасности. И главное тут — оторванность, автономность предлагаемых общественности мер защиты, а значит и отсутствие каких-либо методик интегральной оценки уровня безопасности. Вместе с тем в системе защиты выделяются следующие группы мер защиты, реализация которых позволяет решить эту проблему:
При этом управление безопасностью предполагает согласованное решение задач собственно управления, финансирования, управления рисками, обучения и контроля знаний, а также аудита (мониторинга). Взаимодействие угроз, активов и системы защиты поясняет рисунок 1. Совершенно очевидно, что ущерб (то есть реализация уязвимости) может наступить только в том случае, если субъект угроз сможет реализовать имеющиеся в мерах защиты уязвимости. Также ясно, что пренебрежение какой-либо группой мер защиты существенно повышает риски безопасности. В заключение отметим, что все эти группы мер защиты должны быть применимы на каждом из семи известных уровней структурирования информационного комплекса организации, начиная с физической защиты зданий и оборудования и заканчивая бизнес-процессами организации. Парадигма — исходная концептуальная схема, модель постановки проблем и их решения, методов исследования, господствующих в течение определенного исторического периода в научном сообществе. Советский энциклопедический словарь / Гл. ред. М. А. Прохоров. 3-е изд. М.: Сов. Энциклопедия, 1985. 1600 с. Постулаты парадигмы безопасностиПонятие парадигмы (при том, что оно практически не употреблялось в специальной терминологии) не является чем-то новым и необычным. Некая исходная концептуальная схема, то есть парадигма, в обязательном порядке лежала в основе тех воззрений, под влиянием которых была сформирована действующая в стране нормативная база по информационной безопасности. Она в свою очередь формирует модель злоумышленника и далее политику безопасности, отраженную в нормативных документах. Предлагаемые постулаты, по мнению автора и его коллег, базируются на опыте реализации задач по созданию и обеспечению успешного функционирования конкретных систем информационной безопасности, на анализе трудностей, о которых сказано ранее, на устранении противоречий, имеющихся в действующем подходе к решению этой весьма сложной проблемы, а главное — в получении эффекта, заметного для организации и экономически ощутимого. Принятие их за основу, естественно, приведет к пересмотру существующей нормативной базы. С другой стороны, нам предоставляется прекрасная возможность учесть в этой нормативной базе все лучшие последние достижения, известные в мировой практике. Однако проблемы, связанные с разработкой таких документов, являются предметом отдельной статьи и вдумчивого, заинтересованного разговора. Позволительно вывести несколько постулатов парадигмы безопасности.
Андрей Курило — зам. начальника Главного управления защиты данных
Банка России, к. т. н. Статью "20.10.2003. О парадигме информационной безопасности" |
||
|
Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др. | info@morepc.ru |
|