Статті компанії Алтекс-Софт. Як захищати інформацію з довірою

Інформаційні системи все глибше проникають в наше життя, з ними сучасна людина стикається на кожному кроці і в професійній діяльності і в побуті. Ми перестали боятися надавати їм те, що має для нас значну цінність: персональні дані, фінанси і багато іншого. На чому ж ґрунтується наша віра в те, що самими інформаційними системами або через них нам не буде завдано шкоди або більш правильно збиток, що нас переконує в безпеці ІС?
У тих областях, де питання безпеки регулює держава, а це державні інформаційні системи, інформаційні системи персональних даних, системи критичних додатків, криптографічний захист інформації - відповідь напрошується такий: "тому, що вони захищені відповідно до вимог нормативних правових документів". І за формою це вірно, а по суті? Чи є це твердження підставою для довіри до безпеки інформаційних систем? А як знайти довіру до безпеки інформаційних систем тим, на кого не поширюється дія нормативних правових актів щодо захисту інформації? Давайте спробуємо з цим розібратися.
Але попередньо необхідно зробити одне важливе зауваження. Ми аж ніяк не хочемо посіяти недовіру до прийнятих в державі нормативно-правовим актам і сумніви в необхідності їх дотримання. Ні і ще раз ні. Нормативні правові акти вимагають від нас прийняття необхідного базового комплексу заходів, спрямованих на забезпечення безпеки інформації та інформаційних систем і, відповідно, забезпечують базовий рівень довіри до безпеки. Але той, хто хоче мати більшу впевненість у своїй захищеності може приймати спрямовані на це додаткові заходи безпеки, які забезпечували б більшу впевненість у безпеці. Тому, як цього досягти з використанням сучасних стандартів і кращих світових практик і буде присвячений розділ на нашому сайті "Зарубіжні стандарти безпеки" .
На чому ґрунтується наша довіра до чогось? Наприклад, до автомобіля, літака або електронного пристрою? На репутації виробника, на результатах випробувань, обов'язкової або добровільної сертифікації, на відгуках. Ми знаємо, що японські автомобілі та електроніка, німецька побутова техніка надійні, а автомобілі, електроніка і побутова техніка деяких інших виробників, не згадуватимемо яких, не зовсім. А чому? А тому, що різні виробники по-різному ставляться до процесів розробки і виробництва своїх продуктів і систем, по різному їх організовують, витрачають різні ресурси і кошти на відпрацювання і випробування, використовують різні комплектуючі. У них різна система якості розробки та виробництва продукції. І ми, як правило, з недовірою ставимося до продукції, хоча і має дуже багатий функціонал, але не виробляється компанією вселяє довіри виробником, тому що знаємо, що вони можуть скоро взагалі перестати працювати і намучишся їх ремонтувати.
Довіра до продукції, її високу якість, заслуга чи це тільки її виробника? Ні, в цьому значну роль відіграє держава, яка за допомогою своєї нормативної правової діяльності визначає вимоги до виробників, до їх системам якості, сертифікує їх і здійснює за ними державний контроль і нагляд. Як говорив Гліб Жеглов: "правопорядок визначається не наявністю злодіїв, а вмінням влади їх знешкоджувати!"
Повернемося тепер до захищеності інформаційних систем. Яку інформаційну систему можна вважати захищеною? ГОСТ Р 51624-2000. Захист інформації. АВТОМАТИЗОВАНІ СИСТЕМИ В захищеному ВИКОНАННІ. Загальні вимоги дає таку відповідь на це питання: "Автоматизована система в захищеному виконанні - автоматизована система, що реалізує інформаційну технологію виконання встановлених функцій відповідно до вимог стандартів і / або інших нормативних документів щодо захисту інформації". Відповідь точний, але не дуже інформативний. Як в анекдоті про летять на повітряній кулі, які втратили орієнтацію і запитувачів людини, над яким пролітають: "Ми де?". Відповідь отримують абсолютно точний і абсолютно даремний: "Ви на повітряній кулі".
Інше визначення захищеної АС дається в Спеціальної публікації NIST 800-53 "Заходи забезпечення безпеки і приватності для Федеральних інформаційних систем і організацій":
Довірена інформаційна система - система, яка здатна до дії в межах певних рівнів ризику, незважаючи на екологічні руйнування, людські помилки, структурні відмови і цілеспрямовані атаки, які, як очікується, можуть відбутися в середовищі її експлуатації.
У чому різниця між цими визначеннями? Перше вірно по формі, а по суті, з точністю до досконалості стандартів і / або інших нормативних документів щодо захисту інформації. Друге вірно по суті, але за формою може не забезпечувати відповідність вимогам встановлених стандартів та / або інших нормативних документів щодо захисту інформації. В ідеалі потрібно і те і інше. Тобто, необхідно, щоб інформаційна система задовольняла вимогам встановлених стандартів та / або інших нормативних документів щодо захисту інформації, а й розуміти, чи забезпечує це необхідний рівень ризику порушення інформаційної безпеки або, по-іншому, чи досягається необхідна ступінь довіри до безпеки інформаційної системи .
У тому, як забезпечувати якість продукції, довіру до неї, особливого секрету немає, всі секрети викладені в міжнародних стандартах по системам якості відомої серії міжнародних стандартів ISO / IEC 9000. Є така серія стандартів і в області інформаційної безпеки - ISO / IEC 27000, а також такі вимоги є в спеціалізованих стандартах з безпеки інформаційних систем, ISO / IEC 19791, і продуктів інформаційних технологій, ISO / IEC 15408. у додатку до безпеки інформаційних технологій ці вимоги так і називаються: вимоги довіри (Assurance requirements).
Що ж таке довіра по відношенню до безпеки продуктів і систем інформаційних технологій? З точки зору інформаційної безпеки довіру це ступінь впевненості в тому, що сутність, важлива для безпеки, буде вести себе передбачувано зібрав задовольняючи певного набору вимог безпеки при зазначених умовах, піддаючись руйнувань, людських помилок, збоїв, відмов і цілеспрямованим атакам, які можуть статися в середовищі експлуатації. Вимоги довіри спрямовані на те, щоб забезпечити прийняття розробником і експлуатуючою організацією таких заходів, які забезпечували б достатній рівень впевненості в безпеці інформаційної системи. Таким чином, чим жорсткіше вимоги довіри, тим більшу впевненість ми можемо відчувати в безпеці інформаційної системи. У чинної російської нормативну базу в галузі безпеки інформаційних систем питань забезпечення довіри до безпеки інформаційних систем чомусь приділяється недостатня увага. Вони повністю були відсутні в нормативній базі зразка 90-х років, не знайшли вони, на жаль, прямого відображення і в останніх нормативних актах з безпеки інформаційних систем. Слід зазначити, що стосовно продуктів інформаційних технологій такі вимоги до щастя є і містяться вони в прийнятому керівному документі ФСТЕК Росії "БЕЗПЕКА ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ. Критерії оцінки безпеки інформаційних технологій", і що випускаються останнім часом ФСТЕК Росії документах по конкретних видах продуктів інформаційних технологій.
А разом з тим, в нормативній базі провідних зарубіжних країн довірі до безпеки інформаційних систем приділяється визначальне значення. Ось, наприклад, як трактує значення довіри до безпеки інформації та інформаційних систем нормативний документ американського Національного інституту стандартів і технологій 800-53 "Заходи забезпечення безпеки і приватності для Федеральних інформаційних систем і організацій":
При зростанні значущості безпеки для організації та підвищення сприйнятливості інформаційних систем до постійних розвиваються загрозам порушників з високим потенціалом не тільки мають сенс, але потрібні підвищені рівні довіри. Крім того, оскільки організації стають більш залежними від зовнішніх сервісів інформаційних систем і постачальників, довіру стає все більш важливим, забезпечуючи більшу здатність проникнення в суть і ступінь впевненості організацій в розумінні і перевірці можливостей безпеки зовнішніх постачальників і послуг, наданих федеральному уряду. Таким чином, коли потенційний вплив на діяльність і активи організацій, людей, інші організації або Націю є великим, що збільшується рівень зусилля повинен бути спрямований на забезпечення довіри.
Таким чином, підбиваючи підсумок можна сказати, що захищеної може називатися будь-яка інформаційна система, яка задовольняє вимог чинних в державі стандартів і / або інших нормативних документів щодо захисту інформації, а ось довіреними можна вважати тільки ті з них, для яких розробники і експлуатуючі організації приймають необхідних заходів довіри, які відповідають положенням сучасних міжнародних стандартів і кращих світових практик.
В розділі "Зарубіжні стандарти безпеки" ми будемо розміщувати матеріали, які допомагатимуть сумлінним розробникам і експлуатуючим організаціям застосовувати заходи забезпечення безпеки які забезпечували б довіру до їх інформаційних систем.
Одночасно з власне нормативними та методичними документами з безпеки інформаційних систем ми будемо публікувати також і деякі законодавчі акти, що характеризують політику держав в сфері інформаційної безпеки, що визначає випуск відповідних нормативних документів.

Автор статті: к.т.н. Трубачов А.П.