Если исходить из положений Концепции информационной безопасности для
органов государственной власти, то ее основные постулаты используют
общие принципы для организации системы информационной
безопасности как в государственных, так и коммерческих структурах.
Положения Концепции отражают цели, которые должны быть достигнуты в
части защиты информации:
- целостность
- доступность
- конфиденциальность
- возможность установления авторства электронных документов
Следом за целями указаны задачи, посредством решения которых они достигаются:
- защита информации от несанкционированного доступа или изменения
- организация защищенного доступа в открытые сети связи, в том числе в Интернет или по другим каналам
- защита от воздействия компьютерных атак и вирусов
Основной особенностью подхода к защите ИС в госструктурах является
обязательное применение сертифицированных средств, преимущественно
отечественных производителей — лицензиатов федеральных органов
власти.
Сертифицированные средства — палка о двух концах
Использование сертифицированных средств, с одной стороны,
обеспечивает конфиденциальность передаваемой информации (в первую
очередь это касается
информации, содержащей гостайну) и соблюдение законодательства — что,
вне всякого сомнения, важно и необходимо. С другой стороны,
разработчики таких средств часто отталкиваются от требований, которые
предъявляет сертифицирующий орган, забывая при этом про
функциональность, что приводит к серьезным неудобствам при обработке
информации. Кроме этого, время, затраченное разработчиком на
сертификацию,
также играет не на пользу функциональности — получившее сертификат
средство может изначально быть устаревшим с точки зрения поддерживаемых
платформ и т. д.
В качестве наиболее характерного примера можно привести средства
криптографической защиты, получившие широкое распространение в
госструктурах. Для обработки информации, содержащей гостайну, в
госструктурах используются СКЗИ, которые сертифицирует ФСБ России.
Интерфейс, возможности управления коллективной работы с такими
средствами на порядок отстают от их западных аналогов.
Взаимодействие между различными государственными ведомствами
Так сложилось, что информационные системы различных ведомств
разрабатывались обособленно, в результате унифицированные и
стандартизированные правила взаимодействия между различными
госструктурами
выработаны не были. Разработка схемы взаимодействия с другими
госструктурами каждым из государственных ведомств в отдельности —
дорогостоящий процесс, и его эффективность зависит в том числе и от
факторов, на которые можно повлиять лишь косвенно либо нельзя повлиять
вовсе. Например, электронное взаимодействие с другими ведомствами может
быть ограничено возможностями информационных систем данных ведомств и
применяющимися регламентами по защите информации. Кроме того,
дифференциация в финансировании статей бюджета на информационную
безопасность для различных государственных организаций влечет за собой
и ощутимую разницу в применяемых решениях и технологиях.
Решение этой проблемы можно ожидать не ранее, чем будет принят
стандарт для системы взаимодействия между государственными ведомствами,
предусматривающий систему унифицированного документооборота
между госструктурами и единые требования к обеспечению информационной
безопасности при взаимодействии между государственными ведомствами.
Не в деньгах счастье, но все же…
Сегодня в государственных организациях актуальной остается проблема
недостаточного финансирования, предназначенного для обеспечения
безопасности информации. Но ситуация постепенно меняется, и во
многих госструктурах эта проблема успешно решается, но существует еще
немало организаций, которых она касается самым непосредственным
образом. В результате организации пытаются «сэкономить», и
последствия такой «выгоды» очевидны. Так, проектирование системы информационной безопасности проводится
собственными силами, без привлечения сторонних специалистов. Это
зачастую приводит к тому, что решения по защите сложных
информационных систем берутся «с потолка» и при выборе архитектуры
решения руководствуются не реальными задачами, а соблюдением формальных
требований. Кроме того, знания кадровых работников многих
госструктур, отвечающих за информационную безопасность, не достаточны.
Как правило, такие сотрудники наиболее компетентны в области
обязательных требований к средствам защиты информации — в итоге
информационная безопасность сводится к формальному соблюдению
законодательства и регламентов. Тогда как реальная информационная
безопасность — гораздо более широкое понятие.
Внутренний враг
Еще одной проблемой является расстановка приоритетов — куда именно
должны быть направлены усилия по обеспечению ИБ и насколько сильно
следует «закручивать гайки», чтобы обеспечить необходимый уровень
защищенности. Сегодня в СМИ много говорится о проблеме внутренней
информационной безопасности, но статистика свидетельствует о том, что
на этом направлении имеются большие пробелы. Если на
вредоносные программы и хакерские атаки всегда реагируют как на угрозу,
от которой необходимо защищаться, то внутренние враги (или инсайдеры),
хотя и воспринимаются как столь же опасные, однако меры
защиты от них применяются не всегда, не везде и в недостаточной
степени. К сожалению, нет четких данных о том, в какой мере защита от
внутренних угроз внедрена именно в государственных организациях.
Впрочем, достаточно показательны итоги опроса компании InfoWatch,
около 10% респондентов которого составили государственные министерства
и ведомства.
Как можно видеть из статистических данных,
все организации, хотя и признают внутреннюю угрозу одной из наиболее
опасных, защите от утечек информации уделяют недостаточное внимание.
Что
касается ситуации с внутренней безопасностью в госструктурах, средства
по разграничению доступа и контролю утечки информации способны
охватывать далеко не все каналы утечки, и для того, чтобы их
применение было эффективным, желательно пересматривать политику
информационной безопасности в части каналов передачи данных, которые
могут быть доступны пользователям. Так, использование
интернет-пейджеров, по данным InfoWatch, влечет за собой порядка 85%
утечек, а через мобильные устройства (далеко не все из них
контролируются средствами обеспечения внутренней безопасности) в
некоторых организациях может «уходить» до 91% от всех утечек критичной,
и в том числе конфиденциальной, информации.
Оценка эффективности системы ИБ
На завершающем этапе — после того, как решены вопросы что, от кого и
каким образом защищать, внедрены средства и применены политики и
регламенты, — необходимо оценить эффективность всех применяемых
методов и средств. На практике часто выходит так, что именно последний
этап проводится спустя рукава либо не реализуется вовсе. В результате
недоделки тянутся из года в год, мешая развитию и
успешному функционированию системы информационной безопасности. Приходится констатировать, что информационную безопасность в
госсекторе пока не удалось полностью избавить от перечисленных выше
проблем, однако существуют возможности, используя которые,
государственные организации в состоянии вывести защищенность своих
информационных систем на более высокий и прогрессивный уровень.
Тенденции и рекомендации
Можно не изобретать велосипед, а обратиться к опыту построения систем
информационной безопасности в государственных структурах на Западе.
Мировым рекордсменом по нормативной базе и стандартам,
регулирующим создание подобных систем, вне всякого сомнения, являются
США. Среди нормативных актов можно назвать Закон о контроле за
информационной безопасностью США, California Senate Bill № 1386,
акт Sarbanes-Oxley. Все организации, как государственные, так и
коммерческие, могут использовать положения этих нормативных документов
(часть из них носит обязательный, а другая — рекомендательный
характер), чтобы построить систему информационной безопасности в
соответствии с проверенной методологией. Хотелось бы акцентировать внимание на некоторых тенденциях,
которые можно наблюдать сегодня при организации защиты информационных
систем в госструктурах. Наиболее прогрессивные государственные
ведомства начинают ориентироваться на концептуальный подход к защите
информации, основанный не на внедрении отдельных средств защиты, а на
разработке системного подхода к обеспечению информационной
безопасности. Подобный подход включает предварительное проектирование
системы, анализ рисков и последующую оценку эффективности всех
применяемых мер.
Ключевым элементом системы ИБ является система управления рисками.
Это подразумевает аудит информационной системы и определение наименее
защищенных ресурсов, потенциальных рисков и способов
защиты. Как показывает практика, не стоит слепо верить в
жизнеспособность инфраструктуры ИС и уповать на счастливый случай или
приобретенные и установленные средства защиты, а больше доверять
системному подходу к решению задачи, процедурам и апробированным
методологиям — тогда и эффективность затраченных на информационную
безопасность средств будет выше.
Примером одного из международных стандартов, уже нашедших применение
в России, может служить BS ISO/IEC 27001:2005 (BS 77992:2005). Его
применение помогает значительно улучшить качество
информационного обмена наряду с повышением уровня защищенности
информационной системы. Пока использование данного стандарта в
государственных структурах не получило широкого распространения, хотя
интерес к такой методологии есть и, более того, некоторые госструктуры
уже начали применять данный стандарт. В частности, его используют в
качестве основы для разработки собственной методологии
построения системы управления ИБ. Но «необязательность» этого стандарта
и упомянутые выше проблемы финансирования IT-бюджетов являются
сдерживающими факторами для более широкого его внедрения.
Вместе с тем наметилась положительная тенденция к улучшению ситуации
с финансированием государственных организаций. Хочется верить, что
госструктуры смогут воспользоваться этой ситуацией себе во
благо и начать действия по реорганизации своих информационных систем,
используя современные и проверенные на практике подходы.
Другие материалы по теме
|
