Обеспечение информационной безопасности – это комплексная проблема, для решения которой требуется сочетание мер законодательного, административного, процедурного и программно-технического уровней. Соответственно выделяют три уровня формирования режима информационной безопасности:
– законодательно-правовой;
– административный (организационный);
– программно-технический.
Законодательно-правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус. Кроме того, к этому уровню относятся стандарты и спецификации в области информационной безопасности. Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечивать организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты и ответственности субъектов информационных отношений. К этому уровню можно отнести и морально-этические нормы поведения, которые сложились традиционно или складываются по мере распространения вычислительных средств в обществе. Морально-этические нормы могут быть регламентированными в законодательном порядке, т. е. в виде свода правил и предписаний.
Разработка и принятие правовых вопросов призваны регулировать вопросы использования информационной структуры и телекоммуникаций, доступа к информации, защиты информации от несанкционированного доступа и утечки по техническим каналам, защиты граждан, общества и государства от ложной информации, защиты информации телекоммуникационных сетей от неправомерных действий, обеспечения техногенной безопасности и ее информационных аспектов.
Принято выделять два направления формирования информационного законодательства. К первому относиться меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Среди российских законов сюда можно отнести Закон «Об информации, информатизации и защиты информации», соответствующие главы Уголовного кодекса РФ и т.д.
Ко второму можно отнести принятие нормативных документов, способствующих повышению образованности общества в области информационной безопасности, определяющих в разработку и распространение средств обеспечения информационной безопасности. Многообразие нормативных документов представлено международными, национальными, отраслевыми нормативными документами и соответствующими нормативными документами организаций, предприятий и фирм.
Большую работу в этом направлении проводят Международная организация по стандартизации – ISO, Международная электротехническая комиссия – IEC, Международный союз электросвязи – ITU. Кроме того, значительные усилия предпринимают национальные организации по стандартизации ANSI и NIST – в США, DIN в ФРГ, Госстандарт в России и т.д. Активно участвуют в разработках SWIFT – общество всемирных межбанковских финансовых телекоммуникаций, GISA – германское агентство защиты информации и т.д.
Вопросы сертификации и лицензирования средств обеспечения информационной безопасности в России рассматривает Федеральная служба по техническому и экспортному контролю при Президенте РФ. При проведении работ по стандартизации и сертификации в области обеспечения информационной безопасности учитывают два аспекта: формальный – определение критериев, которым должны соответствовать защищенные информационные технологии и практический – определение конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии.
Основными критериями работоспособности концепций и стандартов ИБ в настоящее время считаются следующие:
Исходя из подобных критериев оценки, наиболее работоспособным из созданных уже документов считают «Единые общие критерии оценки безопасности информационных технологий», представляющие собой результат совместной работы Международной организации по стандартизации, Национального института стандартов и технологии США, организаций Великобритании, Канады, Германии, Франции и Нидерландов.
Среди стандартов практических аспектов информационной безопасности можно также отметить британский BS 7799 «Практические правила управления информационной безопасностью», в котором обобщен опыт обеспечения режима информационной безопасности в информационных системах различного профиля, и немецкий BSI, который относиться к этапу анализа рисков.
Административный уровень включает комплекс взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты в процессе создания и эксплуатации систем защиты информации. Организационный уровень должен охватывать все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.
В основе административных мер, предпринимаемых руководством организации, лежит политика безопасности, под которой понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности определяет стратегию организации в области информационной безопасности, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным на это выделить.
Основой программно-технического уровня являются следующие механизмы безопасности:
– идентификация и аутентификация пользователей;
– управление доступом;
– протоколирование и аудит;
– криптография;
– экранирование;
– обеспечение высокой доступности и т.д.
Программно-технический уровень включает три подуровня: физический, технический (аппаратный) и программный. Физический подуровень решает задачи с ограничением физического доступа к информации и информационным системам, соответственно к нему относятся технические средства, реализуемые в виде автономных устройств и систем, не связанных с обработкой, хранением и передачей информации: система охранной сигнализации, система наблюдения, средства физического воспрепятствования доступу (замки, ограждения, решетки и т. д.).
Средства защиты аппаратного и программного подуровней непосредственно связаны с системой обработки информации. Эти средства либо встроены в аппаратные средства обработки, либо сопряжены с ними по стандартному интерфейсу. К аппаратным средствам относятся схемы контроля информации по четности, схемы доступа по ключу и т. д. К программным средствам защиты, образующим программный подуровень, относятся специальное программное обеспечение, используемое для защиты информации, например антивирусный пакет и т. д. Программы защиты могут быть как отдельные, так и встроенные.
Важное значение имеют специализированные политики безопасности. Потенциально существуют десятки специализированных политик, которые могут применяться большинством организаций среднего и большого размера. Некоторые политики предназначаются для каждой организации, другие – специфичны для определенных компьютерных окружений.
