Введение
Проблемой информационной компьютерной безопасности начали заниматься с того самого момента, когда компьютер стал обрабатывать данные, ценность которых высока для пользователя. В последние годы в связи с ростом спроса на электронные услуги и развитием компьютерных систем и сетей ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей IT-средств.
Стандартизация в области информационных технологий направлена на повышение степени соответствия своему функциональному назначению видов информационных технологий, составляющих их компонент и процессов. При этом устраняются технические барьеры в международном информационном обмене.
Стандарты обеспечивают возможность разработчикам информационных технологий использовать данные, программные, коммуникационные средства других разработчиков, осуществлять экспорт/импорт данных, интеграцию разных компонентов информационных технологий.
К примеру, для регламентации взаимодействия между различными программами предназначены стандарты межпрограммного интерфейса (один из них - стандарт технологии OLE (Object Linking and Embedding - связывание и встраивание объектов). Без таких стандартов программные продукты были бы «закрытыми» друг для друга.
Требования пользователей по стандартизации в сфере информационных технологий реализуются в стандартах на пользовательский интерфейс, например, в стандарте GUI (Graphical User Interface).
Стандарты занимают все более значительное место в направлении развития индустрии информационных технологий. Более 1000 стандартов или уже приняты организациями по стандартизации, или находятся в процессе разработки. Процесс стандартизации информационных технологий еще не закончен.
Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикетированию, правила и методы исследований (испытаний) и измерений, правила отбора образцов.
Стандарты информационной безопасности - это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
1. Функции стандартов ИБ АС
Стандарты в области информационной безопасности <#"896547.files/image001.gif">
Рис.1
2. Роль стандартов в обеспечении ИБ АС
Главная задача стандартов информационной безопасности - создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности. Потребители заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности. Потребители также нуждаются в инструменте, с помощью которого они могли бы формулировать свои требования производителям. При этом потребителей интересуют исключительно характеристики и свойства конечного продукта, а не методы и средства их достижения. К сожалению, многие потребители не понимают, что требования безопасности обязательно противоречат функциональным требованиям (удобству работы, быстродействию и т.д.), накладывают ограничения на совместимость и, как правило, вынуждают отказаться от широко распространенных и поэтому незащищенных прикладных программных средств. Производители нуждаются в стандартах как средстве сравнения возможностей своих продуктов и в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора. С точки зрения производителя, требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т.д. Кроме того, требования не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания информационных продуктов. Этот подход также нельзя принять в качестве доминирующего, так как он не учитывает нужд пользователей и пытается подогнать требования защиты под существующие системы и технологии.
Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор. Эксперты по квалификации находятся в двойственном положении: с одной стороны, они, как и производители, заинтересованы в четких и простых критериях, над которыми не надо ломать голову, как их применить к конкретному продукту, а с другой - они должны дать обоснованный ответ пользователям, удовлетворяет продукт их нужды или нет. Таким образом, перед стандартами информационной безопасности стоит непростая задача - примирить три разные точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем ущемление потребностей хотя бы одной из них приведет к невозможности взаимопонимания и взаимодействия и, следовательно, не позволит решить общую задачу - создание защищенной системы обработки информации.
Необходимость в таких стандартах была осознана достаточно давно, и в этом направлении достигнут существенный прогресс, закрепленный в документах разработки 1990-х годов. Первым и наиболее известным документом была Оранжевая книга (по цвету обложки) «Критерии безопасности компьютерных систем» Министерства обороны США. В этом документе определены четыре уровня безопасности - D, С, В и А. По мере перехода от уровня D до А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (C1, C2, В1, В2, ВЗ). Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее защита должна удовлетворять оговоренным требованиям.
К другим важным стандартам информационной безопасности этого поколения относятся руководящие документы Гостехкомиссии России, Европейские критерии безопасности информационных технологий, Федеральные критерии безопасности информационных технологий США, Канадские критерии безопасности компьютерных систем.
В последнее время в разных странах появилось новое поколение стандартов в
области защиты информации, посвященных практическим вопросам управления
информационной безопасностью компании. Это, прежде всего международные
стандарты управления информационной безопасностью ISO 15408, ISO 17799 и
некоторые другие. Представляется целесообразным проанализировать наиболее
важные из этих документов, сопоставить содержащиеся в них требования и критерии,
а также оценить эффективность их практического применения.
. Правовые и нормативные ресурсы в обеспечении ИБ АС
Базовым объектом отрасли является информация. В понятие информации ученые разных научных подходов вкладывают различные значения. Постулируется, что информация представляет собой результат отражения движения объектов материального мира в системах живой природы. То есть понятие информации появляется только в жизнедеятельности живых организмов, не являясь абстрактным атрибутом материи.
Информация представляется в виде сведений об окружающем мире и протекающих в нем процессах, воспринимаемые человеком или специальным устройством, либо сообщений, осведомляющих о положении дел.
Сообщение представляет собой набор знаков, с помощью которого сведения могут быть переданы другому организму и восприняты им. Соответственно информация в виде сообщений субъективна, изменяема как в процессе передачи от организма к организму, так и в процессе восприятия и осознания получателем. Кроме этого, сообщения обладают свойством материальности (не хранятся без носителя) и, как следствие, свойствами копируемости и уничтожаемости.
Из всех форм представления информации наиболее выделяют «Данные». Под последним понимают представление информации в некотором формализованном виде, пригодном для передачи, интерпретации или обработки. Данные могут обрабатываться людьми или автоматическими средствами.
Основными свойствами информации являются:
. Свойство физической неотчуждаемости информации. Оно основано на том, что знания не отчуждаемы от человека, их носителя. Исходя из этого, при передаче информации от одного лица к другому и юридического закрепления этого факта процедура отчуждения информации должна заменяться передачей прав на ее использование и передаваться вместе с этими правами.
. Свойство, обособляемое информации. Для включения в оборот информация всегда овеществляется в виде символов, знаков, волн, вследствие этого обособляется от ее производителя (создателя) и существует отдельно и независимо от него. Это подтверждает факт оборотоспособности информации как самостоятельного отдельного объекта правоотношений, в результате чего появляется возможность передачи информации в такой форме от одного субъекта к другому.
. Свойство информационной вещи (информационного объекта). Это свойство возникает в силу того, что информация передается и распространяется только на материальном носителе или с помощью материального носителя и проявляется как "двуединство" информации (ее содержания) и носителя, на котором эта информация (содержание) закреплено. Это свойство позволяет распространить на информационную вещь (объект) совместное и взаимосвязанное действие двух институтов института авторского права и института вещной собственности.
. Свойство тиражируемое (распространяемости) информации. Информация может тиражироваться и распространяться в неограниченном количестве экземпляров без изменения ее содержания. Одна и та же информация (содержание) может принадлежать одновременно неограниченному кругу лиц (неограниченный круг лиц может знать содержание этой информации). Отсюда следует, что юридически необходимо закреплять объем прав по использованию информации (ее содержания) лицами, обладающими такой информацией (обладающими знаниями о содержании информации).
. Свойство организационной формы. Информация, находящаяся в обороте, как правило, представляется в документированном виде, т.е. в форме документа. Это могут быть подлинник (оригинал) документа, его копия, массив документов на бумажном или электронном носителе (банк данных или база данных) тоже в виде оригинала или копии, библиотека, фонд документов, архив и т.п. Такое свойство дает возможность юридически закреплять факт "принадлежности" документа конкретному лицу, например, закрепив его соответствующей подписью в традиционном или в электронном виде (с помощью ЭЦП). Это свойство позволяет также относить к информационным вещам (информационным объектам) как отдельные документы, так и сложные организационные информационные структуры.
. Свойство экземплярности информации. Это свойство заключается в том, что информация распространяется, как правило, не сама по себе, а на материальном носителе, вследствие чего возможен учет экземпляров информации через учет носителей, содержащих информацию. Понятие экземплярности дает возможность учитывать документированную информацию и тем самым связывать содержательную сторону информации с ее "вещным" обрамлением, т.е. с отображением на носителе, вводить понятие учитываемой копии документа, а отсюда и механизма регистрации информации, в особенности учитывать обращение оригиналов (подлинников) документов. Экземплярность информации уже сегодня активно реализуется при обращении информации ограниченного доступа.
Указанные юридические особенности и свойства должны учитываться при правовом регулировании информационных отношений.
Правовые основы защиты информации.
Характеристика деятельности по защите информации.
Определение понятия «защита информации» дается в Ст. 16 ФЗ «Об информации, информационных технологиях и защите информации»:
«Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
) соблюдение конфиденциальности информации ограниченного доступа;
) реализацию права на доступ к информации».
Анализ Ст. 16 указанного Закона показывает, что
· деятельность по защите информации применима ко всем категориям информации, описанной в Ст. 5 Закона. Для различных категорий информации содержание защиты (выбираемые способы защиты информации) будет различаться;
· выбираемые способы защиты информации применимы ко всем описанным ранее объектам информационного права;
· государственное регулирование отношений в сфере защиты информации осуществляется в двух формах: установление требований о защите информации и установление ответственности за нарушение информационного законодательства;
· основным субъектом информационного права, на которого возложена обязанность защиты информации, является обладатель информации;
· для защиты государственных информационных ресурсов и технологий федеральные органы исполнительной власти устанавливают обязательные для исполнения требования на обеспечение информационной безопасности этих ресурсов и технологий;
· федеральное законодательство может ограничивать использование в РФ определенных средств защиты информации и осуществление отдельных видов деятельности по защите информации для всех субъектов информационного права. Ограничения могут выражаться в форме прямых запретов или государственного контроля (например, лицензирование деятельности).
Защита информации правовыми методами, включает в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
Техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств
Физическая защита информации - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.
К объектам физической защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.
Криптографическая защита информации - защита данных (информации) при помощи криптографического преобразования данных, т.е. при помощи шифрования и (или) выработки имитовставки.
Организационные меры обеспечения информационной безопасности - меры обеспечения информационной безопасности, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации.
Категории защищаемой информации.
По критерию ограничения доступа к информации, согласно положениям N 149ФЗ "Об информации, информационных технологиях и о защите информации", информацию можно разделить на:
) общедоступную информацию;
) конфиденциальную информацию;
) информацию, относимую к гостайне.
Конфиденциальная информация - это информация, не относимая к гостайне, доступ к которой ограничен федеральными законами. Среди конфиденциальной информации выделяют:
) информацию, относимую к коммерческой тайне;
) служебную информацию ограниченного распространения (для служебного пользования);
) информацию, относимую к профессиональной тайне;
) информацию, содержащую персональные данные.
Каждая из перечисленных категорий информации определяется и защищается правовыми нормами, источники которых можно рассматривать отдельно.
К деятельности по обеспечению информационной безопасности относят также защиту интеллектуальной собственности.
С вопросами обеспечения информационной безопасности тесно увязаны вопросы правового регулирования информационных технологий, которые можно разделить по сферам деятельности:
) обеспечение связи и коммуникаций;
) использования криптографических средств, в т.ч. шифрования и ЭЦП;
) лицензирование, сертификация и аттестация объектов и средств защиты информации.
Кроме этого, к деятельности по защите информации относят механизмы применения мер ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации. Эта деятельность регулируется на государственном уровне.