Тамара Михайловна Пестунова,
кандидат технических наук, доцент,
член межрегиональной общественной организации
«Ассоциация защиты информации»,
профессор кафедры экономической информатики
Новосибирского государственного университета экономики и управления |
|
Актуальные аспекты управления безопасностью в
информационных системах
Информационная и компьютерная
безопасность в современных условиях. В условиях становления глобального
информационного общества информация является важнейшим стратегическим ресурсом,
а задача обеспечения информационной безопасности (ИБ) приобретает
первостепенное значение. Информация играет большую роль в обеспечении
политической стабильности, безопасности государства, охраны общественного
порядка, сохранности собственности, общения между людьми и в других социальных
областях. Защита национальной конфиденциальной информации и информации о
гражданах является приоритетом государственной политики в большинстве развитых
стран. В обиход прочно вошли такие понятия, как «электронное государство» и
«информационное оружие».
В
самом общем виде ИБ – это защита интересов субъектов информационных отношений,
к числу которых относятся органы государственной власти, предприятия и
организации различных форм собственности, граждане. В таком широком смысле это понятие
рассматривается, например, в Доктрине информационной безопасности РФ: состояние
всесторонней защищенности национальных интересов в информационной сфере,
которые определяются сбалансированностью интересов личности, общества и
государства. При этом интересы личности в информационной сфере заключаются в
реализации конституционных прав человека на доступ к информации и ее использование
в интересах осуществления не запрещенной законом деятельности, физического,
духовного и интеллектуального развития, а также в защите информации,
обеспечивающей личную безопасность. Интересы общества заключаются в обеспечении
интересов личности в этой сфере, упрочении демократии, создании правового
социального государства, достижении и поддержании общественного согласия, в
духовном обновлении России. Интересы государства направлены на создание условий
для гармоничного развития российской информационной инфраструктуры, реализации
прав и свобод граждан в области получения и использования информации, обеспечение
незыблемости конституционного строя, суверенитета и территориальной целостности
России, политической, экономической и социальной стабильности, законности и
правопорядка, развитие взаимовыгодного международного сотрудничества.
В
более узком смысле под ИБ понимается защищенность информации и поддерживающей
инфраструктуры от случайных и преднамеренных воздействий естественного или
искусственного характера, чреватых нанесением неприемлемого ущерба
собственникам, владельцам, пользователям информации. Трактовка проблем ИБ в свете
данных определений может быть различна для разных категорий субъектов
информационных отношений и охватывать широкий спектр задач от организационного
и программно-технического предотвращения несанкционированного доступа к информации
до исследования гуманитарно-правовых аспектов «защиты от информации» (предотвращения
негативного влияния информации на субъектов информационных отношений).
Безопасность
информационных систем (ИС) и технологий, компьютерная безопасность являются понятиями
более узкими. Однако именно развитие компьютерной техники, сетей, цифровых
методов обработки информации явилось определяющим фактором того, что информация
стала стратегически значимым ресурсом. По мере расширения использования
электронных средств получения, обработки, передачи и хранения информации в
самых разных областях человеческой деятельности именно обеспечение безопасности
ИС становится ключевым фактором в решении комплексной проблемы ИБ. Вместе с
тем, защищая информацию, циркулирующую в электронной среде, важно иметь в виду,
что ее безопасность определяется совокупностью всех составляющих, из которых
самым слабым звеном зачастую является человек. Все это приводит к необходимости
управления безопасностью ИС, исходя из требований действующего
законодательства, опираясь на принципы системности и комплексного подхода.
Управление безопасностью ИС начинается с выявления
субъектов информационных отношений и определения их интересов в информационной
сфере. Дальнейшие шаги включают проведение инвентаризации информационных
ресурсов, определение для них приоритетных направлений безопасности
(целостности, конфиденциальности, доступности), анализ информационных рисков (выявление
актуальных угроз в сопоставлении с оценкой потенциального ущерба при нарушении
защищенности информации). Результаты такого анализа оформляются в виде внутренних
нормативных документов, обычно называемых в совокупности «политикой ИБ» и дающих
ответ на два ключевых вопроса: что защищать и от чего защищать. На основе этих
данных определяются требования по защите информации, и реализуется необходимый
комплекс мер безопасности. Обеспечение ИБ в целом и безопасности ИС в частности
требует финансовых, кадровых и организационных ресурсов. Соответствующие
вопросы также должны быть отражены в политике безопасности.
Требования
по защите информации в ряде случаев предписываются законодательством (это
относится, например, к государственной тайне, персональным данным и др.). В
других случаях определяющим фактором является уровень информационных рисков,
связанный с нарушением защищенности информации. Здесь надо руководствоваться
принципом разумной достаточности, который гласит, что затраты на защиту
информации должны быть меньше потенциального ущерба, который возникнет в случае
нарушения ее защищенности. Практика показывает, что для обеспечения базовой
безопасности ИС система обеспечения безопасности должна включать подсистемы:
идентификации-аутентификации, контроля доступа к ресурсам, контроля целостности
и резервного копирования, антивирусной защиты, регистрации учета событий
безопасности, обнаружения вторжений, а также использовать криптографические
средства для сохранности информации при ее хранении и передачи по сети.
Функционирование системы защиты информации должно быть подкреплено
организационными мерами, включающими разработку внутренних нормативных
документов, назначение ответственных лиц, реализацию системы мотивации
(наказаний и поощрений) и т.п.
Обеспечение
безопасности ИС не сводится к однократному созданию системы защиты. Динамические
процессы, сопутствующие жизненному циклу ИС (изменения технологий, состава
пользователей, приобретение новых и вывод из эксплуатации устаревших
информационных сервисов и т.п.), требуют мониторинга и периодической
корректировки в системе безопасности. Современная практика рекомендует
организовывать менеджмент ИБ, опираясь на стандарты ГОСТ Р ИСО/МЭК 17799-2005
«Информационная технология. Практические правила управления информационной
безопасностью», гармонизированные с соответствующими международными документами.
Актуальные направления безопасности ИС. В последние годы
в нашей стране идет активный процесс совершенствования законодательства в
области защиты информации. К числу таких ключевых законов относятся принятые в
2006 году Закон об информации, информационных технологиях и защите информации и
Закон о персональных данных. Согласно Закону о персональных данных все ИС в РФ,
в которых обрабатываются персональные данные (ИСПд), должны быть приведены в
соответствие требованиям законодательства до 2010 года. Порядок классификации
ИСПд и рекомендации по их защите изложены в документах, утвержденных совместным
приказом ФСТЭК России, ФСБ России и Мининформсвязи России в феврале
2008 г
. Категорирование ИСПд
определено в зависимости от того, какие именно персональные данные и в каком
количестве обрабатываются в системе. Рекомендации по защите увязаны с режимом
обработки информации, наличием интернет-подключений и рядом других значимых
характеристик ИСПд. Особо рассматриваются случаи, когда решения, касающиеся
субъектов персональных данных, принимаются исключительно на основе результатов
электронной обработки информации.
В
2008 году на государственном уровне приняты важные концептуальные документы:
Стратегия развития информационного общества в РФ, Концепция формирования в РФ
электронного правительства до
2010
г
., а также ряд связанных с ними правительственных
постановлений. Под электронным государством понимается реализация функций
государственного управления всех ветвей государственной власти, при которой
изменения юридических статусов и факты юридически значимо учитываются
(регистрируются) в электронной форме. Программно-техническая основа решения
этой задачи заключается в интеграции государственных ИС и внедрении
инфраструктуры поддержки технологий электронной цифровой подписи. В рамках
реализации этой стратегии поставлены очень серьезные задачи. В частности,
намечено довести к
2010 г
.
долю государственных услуг, которые может получить население с использованием
информационных и телекоммуникационных технологий, до 100% в общем объеме госуслуг
населению. Планируется полный переход на электронные технологии в сфере
размещения заказов на поставку товаров и услуг для государственных и
муниципальных нужд. Все библиотечные каталоги, а также 50% фондов общедоступных
библиотек должны быть переведены в электронную форму. Прорабатывается комплексное
решение по созданию единой социальной карты гражданина РФ. И это далеко не
полный перечень.
Заключение. Задачи, решаемые
в ходе информатизации образования – внедрение ИС, развитие электронных
технологий при предоставлении образовательных и сопутствующих услуг, электронный
обмен информацией с государственными и иными организациями – требуют серьезного
внимания к вопросам ИБ. Обеспечение безопасности ИС – это непрерывный процесс, начинающийся
на этапе проектирования, а управление ИБ – важная часть стратегического
менеджмента организации.
|
