Система обеспечения информационной безопасности в государственном учреждении

Теоретический смысл  поправок Гудкова-Хинштейна в приложении к сфере информационной безопасности сводился к резкому отделению  отече-ственного рынка информационной безопасности, работающего с госструктурами, от посягательств на него со стороны внешних поставщиков решений информационной безопасности, ставя во главу угла разработчиков и производителей отечественных средств. Большой вес государственного потребления в области информационной безопасности делает число потребителей этого рынка не маленьким. Кроме того, к нему нужно прибавить все смежные с государственными структуры, которые правительство сочло бы стратегическими или важными — ВПК и ведомства безопасности, энергетические отрасли, транспортная система, финансовая система расчетов с государством во главе с Центробанком, и т.д. Плюс, сюда же отойдут все косвенно зависимые от государства предприятия, которые осуществляют с госорганизациями информационный обмен, а также многие, кто исторически или по опыту склонны считать государственные требования в информационной безопасности самыми правильными и принимать государственные сертификаты на средства защиты информации, как гарантию их качества и безопасности.

С другой стороны, наложение  теории на практику вызвало массу  сомнений и критики у экспертов, утверждавших, что создание отечественных  систем, столь же сложных, как используемые сегодня западные аналоги, требует  нереальных для страны денег и  времени, аналогичных затраченным  на это мировыми гигантами индустрии  информационных технологий, при этом эффективность и защищенность отечественных  систем должна быть реализована на таком же высоком уровне.

28 июня 2006 года законопроект  «Об информации, информационных  технологиях и о защите информации»  был принят Государственной Думой  во втором чтении, при этом  поправки Гудкова-Хинштейна были  отклонены. В частности, глава  Мининформсвязи РФ заявил, что  в критических системах оборонного  комплекса России применяются  только те программно-технические  средства, которые прошли доскональную  проверку в уполномоченных органах. 

28 января 2002 г. постановлением  Правительства Российской Федера-ции № 65 утверждена федеральная целевая программа "Электронная Россия (2002 - 2010 годы)".

Особенно важно, что  целью указанной программы является создание условий для развития демократии, повышение эффективности функционирования экономики, государственного управления и местного самоуправления за счет внедрения и массового распространения  информационных и коммуникационных технологий, обеспечения прав на свободный  поиск, получение, передачу, производство и распространение информации, расширения подготовки специалистов по информационным и коммуникационным технологиям  и квалифицированных пользователей.

На первом этапе  реализации указанной программы  основным направлением является совершенствование  правового регулирования отношений  в области развития современных  информационно-телекоммуникационных технологий. Это предполагает проведение анализа нормативной правовой базы с целью выявления ключевых проблем, препятствующих широкому внедрению  информационных и коммуникационных технологий, изучение уровня информатизации эко-номики, проведение полного учета государственных информационных ресурсов.

На втором (2003 - 2004 годы) и третьем (2005 - 2010 годы) этапах реализации программы будет сформирована единая информационная и телекоммуникационная инфраструктура для органов государственной  власти и органов местного самоуправления, бюджетных и некоммерческих организаций, общественных пунктов подключения  к общедоступным информационным системам.

В течение 2002 - 2010 годов  программой предусмотрена реализация опытного проекта по созданию на базе Федерального регистра нормативных правовых актов субъектов Российской Федерации единого регистра нормативных правовых актов Российской Федерации, а также обеспечение представления информации федеральных органов исполнительной власти в сети Интернет.

Реализация предусмотренных  программой мероприятий должна обеспечить распространение информационно-телекоммуникационных технологий в России, и выполнение указанных задач требует приоритетного  решения вопросов совершенствования  информационного законодательства.  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

2. Создание системы  информационной безопасности 

Сегодня многие российские организации решают задачи создания системы информационной безопасности, которая соответствовала бы «лучшим  практикам» и стандартам в области  информационной безопасности и отвечала современным требованиям защиты информации по параметрам конфиденциальности, целостности и доступности. Причем, этот вопрос важен не только для  «молодых» организаций, развивающих  свою работу с использованием современных  информационных технологий управления. Не менее, а скорее и более важной эта проблема является для предприятий  и организаций, существующих достаточно давно, которые приходят к необходимости  либо модернизировать существующую у них систему информационной безопасности, либо создавать систему  вновь.

С одной стороны, необходимость повышения эффективности  системы информационной безопасности связана с обострением проблем  защиты информации. Здесь можно упомянуть, во-первых, растущую потребность обеспечения  конфиденциальности данных. Российские организации, вслед за своими западными  коллегами, приходят к необходимости  учитывать так называемые репутационные  риски, ответственность по обеспечению  конфиденциальности данных своих клиентов, субподрядчиков, партнеров. Вместе с  тем, в большинстве российских организаций  организационная составляющая системы  информационной безопасности проработана  слабо. Например, данные как таковые  зачастую не классифицированы, то есть организация не имеет четкого  представления о том, какие у  нее есть типы данных с позиций  их конфиденциальности, критичности  для успешной работы. А это влечет за собой целый ряд проблем, начиная  от сложностей в обосновании адекватности мероприятий по защите информации и  заканчивая невозможностью при возникновении  инцидента использовать правовые методы их расследования.

Еще одна острая проблема в сфере защиты данных связана  с обеспечением непрерывности функционирования информационных систем. Для многих современных организаций бесперебойная  работа информационных систем, поддерживающих основной бизнес, и доступность данных становятся критичным вопросом. Сбои в работе систем ведут к прерыванию рабочих процессов и, соответственно, к недовольству клиентов, штрафам и другим потерям. А в обеспечении доступности данных немаловажную роль играют системы защиты, предотвращающие злонамеренные атаки на информационную систему (атаки типа «отказ в обслуживании» и др.).

С другой стороны, в  большинстве крупных организаций  имеет место унаследованная «лоскутная»  автоматизация. Развитие корпоративной  информационной системы (ИС) осуществляется довольно хаотично; немногие организации  опираются на продуманную стратегию  информационных технологий или планы  развития ИС. Обычно используется политика «латания дыр», новые сервисы информационных технологий добавляются без привязки к уже существующим и без учета их взаимосвязи. И точно так же отсутствует продуманная архитектура системы информационной безопасности, мало кто до настоящего времени определял, насколько система информационной безопасности полная, насколько она покрывает риски, избыточна она или, наоборот, недостаточна и т.д. И что немаловажно – система информационной безопасности редко бывает обос-нованной экономически.

Построение эффективной  системы информационной безопасности должно опираться на анализ рисков (в том числе анализ возможного ущерба), который является основой  при выборе технических подсистем, их экономическом обосновании. Плюс комплекс организационных мер и  создание системы управления информационной безопасностью (системы управления информационными рисками). И, наконец, соблюдение выверенных на практике принципов  построения системы информационной безопасности, например, принципа «многоэшелонированной» защиты.

Таким образом, при  построении (модернизации) системы  информационной безопасности целесообразно  реализовывать цикл работ (рис. 1), включающий обязательный этап диагностического обследования с оценкой уязвимостей информационной системы и угроз, на основе которого производится проектирование системы  и ее внедрение.

Рис. 1. Полный цикл работ  по обеспечению информационной безопасности [34] 
 
 

2.1 Диагностическое  обследование(аудит) системы информационной

безопасности. 

Для построения эффективной  системы информационной безопасно-сти(ИБ), выбор и внедрение адекватных технических средств защиты должен предваряться анализом угроз, уязвимостей информационной системы и на их основе - анализом рисков информационной безопасности. Выбор программно-аппаратного обеспечения защиты и проектирование систем информационной безопасности основывается на результатах такого анализа с учетом экономической оценки соотношения «стоимость контрмер по снижению рисков / возможные потери компании от инцидентов информационной безопасности».

Таким образом, построение системы информационной безопасности организации целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы организации, а также  существующих средств контроля информационной безопасности. Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует  ли уровень безопасности информационно-технологических  ресурсов организации выдвигаемым  требованиям, то есть, обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и  воздействия на информацию иногда целесообразно  выполнять тесты на про-никновение.

Существует несколько  видов обследования:

- предпроектное диагностическое обследование, которое выполняется при модернизации или построении системы информационной безопасности;

- аудит системы информационной безопасности (или системы управления информационной безопасностью) на соответствие требованиям внутренним стандартам организации или международным (национальным) стандартам.

При проведении диагностического обследования (аудита) системы ин-формационной безопасности последовательно выполняются следующие этапы работы:

-  Сбор данных и описание текущего состояния системы ИБ. Выработка (определение) критериев защищенности информационной системы;

-  Анализ соответствия системы ИБ выработанным критериям;

- Отчет о проведенном обследовании с рекомендациями по устранению вы-явленных недостатков. [34]

Каждый этап работ  имеет реальные, контролируемые результаты, что позволяет обеспечить эффективный  контроль проекта на всем его протяжении.

В процессе обследования и анализа системы информационной безопасности также идентифицируются «владельцы» ресурсов информационных технологий(включая автоматизированные системы и корпоративные данные) и лица, ответственные за целостность этих ресурсов. Устанавливаются требования к системе разделения прав доступа (пароли, разрешения), включая все правила доступа к информационной системе организации. Ресурсы информационных технологий классифицируются по степени важности/критичности.

Проверяются все  процедуры безопасности, в том  числе поддержка системы информационной безопасности, процесс расследования  нарушений информационной безопасности, организация системы резервного копирования, разграничение прав пользователей, процедуры удаленного доступа, защиты учетных записей и др. Определяются лица, ответственные за развитие и  поддержку системы информационной безопасности.

В ходе анализа и  моделирования возможных сценариев  атак на систему ИБ выявляются ситуации, которые могут привести к нарушению  нормального «течения» бизнес-процессов. Определяются возможные последствия  несоответствия системы информационной безопасности политике безопасности организации.

Если обследование выполняется сторонней организацией, то на всех стадиях проекта необходимо привлечение к работам персонала  организации-заказчика. Это гарантирует  учет основных требований, специфики  и интересов обследуемой организации.

Существенным преимуществом  привлечения к аудиту внешнего испол-нителя (компании-интегратора) является возможность использования накоп-ленного консультантом опыта при анализе каждого компонента системы ин-формационной безопасности на соответствие требованиям по обеспечению информационной безопасности, в том числе и с позиции «лучшей практики» для конкретной индустрии.

В результате руководителям  и заинтересованным менеджерам предоставляется детальный отчет с рекомендациями по изменению или дополнению существующей инфраструктуры системы информационной безопасности. Составляется список необходимых мероприятий по обеспечению информационной безопасности в соответствии с требованиями международных (ISO 17799, ISO 13335) или национальных стандартов (Стандарт ЦБ РФ, СТР-К, NIST SP800-14, BSI и др.), техническими требованиями поставщиков решений в области информационной безопасности (CISCO, Check Point и др.), рекомендациями NSA (National Security Agency). 

2.2. Проектирование  системы информационной безопасности