Безопасность инфосистемы

Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Национальный информационный ресурс является сегодня одним из главных источников экономической мощи государства. Проникая во все сферы деятельности государства, информация приобретает конкретные политические, материальные и стоимостные выражения. На этом фоне все более остроактуальный характер приобретает в последние десятилетия и, особенно в настоящее время, задача обеспечения информационной безопасности Российской Федерации, как неотъемлемого элемента ее национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач. Защита информации обеспечивается в любом государстве и в своем развитии проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств ее добывания, правового режима в государстве и реальных усилий его по обеспечению защиты информации. Обеспечение информационной безопасности (ИБ) компьютерных систем различного назначения продолжает оставаться чрезвычайно острой проблемой. Можно констатировать, что несмотря на усилия многочисленных организаций, занимающихся решением этой проблемы, общая тенденция остается негативной. На рисунке 10 представлен прогноз роста числа инцидентов в области ИБ, имеющих тяжелые последствия в крупных организациях по данным [8]. Основных причин две: • Возрастающая роль информационных технологий в поддержке бизнес процессов, как следствие возрастающие требования к ИБ автоматизированных систем. Цена ошибок и сбоев информационных систем возрастает. • Возрастающая сложность информационных процессов. Это предъявляет повышенные требования к квалификации персонала, ответственного за обеспечение ИБ. Выбор адекватных решений, обеспечивающих приемлемый уровень ИБ при допустимом уровне затрат, становится все более сложной задачей. Первая причина носит объективный характер, ей можно противопоставить только способность организации обеспечивать возрастающие требования в области ИБ. Для нейтрализации воздействия второй причины необходимо отслеживать соответствие квалификации персонала, ответственного за обеспечение ИБ и стоящих задач, получить объективную оценку состояния подсистемы ИБ. Рисунок 10 Процент организаций, имевших серьёзные инциденты в области информационной безопасности. Для решения этих задач создаются организации аудиторов в области ИБ, ставящие своей целью проведение экспертизы соответствия системы ИБ некоторым требованиям, оценки системы управления ИБ, повышения квалификации специалистов в области ИБ. Статус таких организаций может быть как государственный (при национальных институтах стандартов) так и независимых международных организаций. Идея проведения аудита ИБ и аттестации информационной системы на соответствие некоторым требованиям не нова. Система аттестации обычно появляется одновременно с принятием стандартов ИБ. В последнее время в разных странах появилось новое поколение стандартов в области ИБ, посвященных практическим аспектам организации и управления ИБ, некоторые рассмотрены в. Особого внимания заслуживает британский стандарт BS7799 и ассоциированные документы, как наиболее проработанные и апробированные [9]. Построение системы управления ИБ в соответствии с этими стандартами предполагает наличие (рисунок 11): • явно декларированных целей в области безопасности; • эффективной системы менеджмента ИБ, имеющей совокупность показателей для оценки ИБ в соответствии с декларированными целями, инструментарий для обеспечения ИБ и оценки текущего ее состояния; • некоторой методики проведения аудита ИБ, позволяющей объективно оценить положение дел в области ИБ. Рисунок 11 Построение системы управления ИБ в соответствии с национальными и международными стандартами. Технология проведения аудита на соответствие подобным стандартам существенно отличается от технологий, применяемых для предыдущих поколений стандартов, к которым, в частности, относятся Руководящие документы (РД) Гостехкомиссии России 1992-1993 гг. Основное отличие заключается в гораздо большей степени формализации некоторых этапов, использовании поддающихся проверке показателей и критериев, то есть в большей детализации. Это, конечно, эволюционный путь развития, но на него в настоящее время специалистами возлагаются большие надежды: считается, что именно широкое использование процедур добровольной сертификации позволит переломить негативную тенденцию возрастания числа инцидентов в области ИБ, имеющих тяжелые последствия. Рисунок 12 Ущерб по видам нападений (количество нападений в год). Рисунок 13 Виды выявленных нападений обнаруженные в течение 1998 года (средний размер убытков, тыс. $) Рисунок 14 Субъективная оценка вероятных источников нападений. Следует отметить, что должный эффект может дать только комплексный подход к аудиту, то есть проверка на соответствие определенным требованиям не только программно-технической составляющей некоторой информационной технологии, но и решений на процедурном уровне (организация работы персонала и регламентация его действий) и административном уровне (корректность существующей программы обеспечения ИБ и практика ее выполнения). Иллюстрацией этого положения являются рисунки 12, 13 и 14, построенные на основании данных Института компьютерной безопасности (Computer Security Institute, CSI) [8]. В рамках предприятия предложим следующую схему разработки, внедрения и проверки системы безопасности (рисунок 15): Определение надёжности источников  Кодирование информации на канальном уровне  Настройка информационного шлюза предприятия  Создание внутренней инфраструктуры защиты информации  Аудит системы безопасности и ввод её в действие  Постоянное совершенствование системы безопасности Рисунок 15 Схема внедрения системы безопасности