Visa или MasterCard? Карту какой платежной системы выбрать? Кто на свете всех богаче? Анализ роста благосостояния в мире.

Мост над пропастью

В пользовавшейся во времена оттепели огромной популярностью повести Дж. Селинджера «Над пропастью во ржи» главный герой мечтал спасать играющих на поле ржи детей, не давая им свалиться в пропасть. Если представить себе сложившееся в настоящее время правовое пространство информационной безопасности в виде поля ржи, то окажется, что в нем тоже существует пропасть. О том, что необходимо сделать, чтобы не упасть в эту пропасть, рассказывает данная статья.

Правовое пространство, регулирующее процессы обеспечения информационной безопасности (ИБ), имеет многоуровневую структуру. На самом верхнем уровне располагаются законодательные акты — законы, постановления, указы и прочие аналогичные документы. Уровнем ниже находятся государственные программы. Под ними размещаются акты регулирующих органов, например руководящие документы Гостехкомиссии. Все перечисленные документы создаются и принимаются соответствующими государственными органами. Здесь существуют опробованные критерии и процедуры написания.

Следующий уровень в иерархии процессов организации информационной безопасности занимают ведомственные, корпоративные или внутренние документы предприятий и оргаризаций, например приказы Министерства финансов Российской Федерации. Они подразделяются на организационные (концепции, политики), распорядительные (инструкции, правила), требования к техническим средствам, документацию по реализации мер и эксплуатационную документацию. Последние два вида документов разрабатывают фирмы — изготовители средств защиты и технические специалисты. Здесь тоже имеет место достаточно полное понимание того, что именно и как следует писать.

Хуже всего обстоит дело с ведомственными и корпоративными документами организационно-распорядительного типа, которые должны формироваться должностными лицами организаций и предприятий. Это не всегда выполняется, а если и делается, то чаще всего при этом руководствуются лишь общими соображениями здравого смысла. Никаких общих канонов написания таких документов не существует.

Таким образом, в рассмотренном правовом пространстве существует разрыв между верхними и нижними уровнями, который необходимо заполнить, чтобы обеспечить целостность пространства. Стандарты информационной безопасности призваны заполнить именно этот пробел. Они нацелены на обеспечение грамотного (комплексного, системного) подхода к разработке таких документов. В рамках Ассоциации российских банков функцию создания стандартов информационной безопасности возложили на специально созданный подкомитет комитета по стандартам и унифицированным правилам.

Как работает подкомитет

Применение стандартов информационной безопасности в банках будет эффективным лишь при условии создания целостной системы, обеспечивающей не только разработку и принятие стандартов, но и обучение специалистов банков их применению, а также контроль соответствия систем обеспечения ИБ требованиям нормативных документов.

В связи с этим предполагаются следующие направления деятельности подкомитета по стандартам информационной безопасности:

В качестве иллюстрации деятельности подкомитета рассмотрим предлагаемый порядок разработки стандарта информационной безопасности.

Организационный цикл разработки стандарта

Рассмотрим процедуру подготовки и принятия стандарта, например по использованию инфраструктуры открытых ключей в кредитно-финансовой сфере. Сначала рабочая группа по тематике готовит предложения по содержанию стандарта. На заседании рабочей группы происходит обсуждение этих предложений. Если они будут признаны разумными, то предложения утверждаются. Руководитель подкомитета формирует рабочую группу по разработке стандарта, в которую входят работающие в банковской сфере авторитетные специалисты по применению криптографии для обеспечения информационной безопасности. В ходе своей деятельности члены группы готовят проект стандарта, который представляется в экспертный совет подкомитета для оценки.

Затем начинается процедура согласования и утверждения стандарта. Сначала его направляют в совет комитета по стандартам и унифицированным правилам АРБ. Если стандарт планируется принять в качестве корпоративного стандарта АРБ (т. е. стандарта объединения юридических лиц), то инициируется соответствующая процедура его утверждения. Если же стандарт предполагается принять в качестве национального, то его необходимо подвергнуть экспертизе в подкомитете по стандартам информационной безопасности в банках ТК 362 Госстандарта, а также в Гостехкомиссии. При положительном заключении экспертизы стандарт проходит процедуру утверждения в качестве национального. Схема организационного цикла разработки стандарта приведена на рисунке.

Как использовать стандарт

Решая задачу организации системы информационной безопасности банка, следует воспользоваться стандартом, содержащим необходимые рекомендации. Рассмотрим в качестве примера стандарт ISO 17799, определяющий практические правила обеспечения информационной безопасности. Он содержит критерии, применяемые для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на 10 разделов:

Стандарт ISO 17799 «Кодекс устоявшейся практики по управлению защитой информации» представляет собой набор рекомендаций по написанию инструкций безопасности. По аналогии с широко распространенным в среде ИТ термином «метаданные», означающим сведения, описывающие используемые в информационной системе данные, его можно назвать метаинструкцией.

Каждый раздел стандарта охватывает весь спектр вопросов, относящихся к указанной теме. Например, раздел «Планирование бесперебойной работы организации» подробно описывает систему такого планирования, включая не только сам процесс планирования, но и возможность введения нескольких уровней планирования. В этом же разделе рассматриваются процедуры, которые необходимо предусмотреть в планах. В заключительной части раздела говорится о необходимости предусмотреть тестирование планов и их регулярное обновление.

Как использовать профиль защиты

В стандарте ГОСТ Р ИСО/МЭК 15408-2 «Критерии оценки безопасности информационных технологий», известном под названием «Общие критерии», профиль защиты определен как «независимая от реализации совокупность требований безопасности для некоторой категории объектов (продуктов или систем ИТ), отвечающая специфическим запросам потребителя».

Профиль защиты позволяет выразить независимые от конкретной реализации требования безопасности для некоторой совокупности объектов, которые полностью согласуются с набором целей безопасности. Профиль защиты предоставляет потребителям средство ссылки на определенную совокупность потребностей в безопасности. В дальнейшем это существенно облегчит процесс оценки защищенности информационной системы.

После того как будут установлены угрозы и сформулированы цели безопасности для конкретного объекта (которые определяются исходя из перечисленных угроз), можно приступить к выбору профиля защиты. Чтобы наиболее адекватно отразить предъявляемые к системе безопасности требования, можно выбрать не один, а несколько профилей защиты. При необходимости набор требований, содержащихся в выбранных профилях, может быть пополнен дополнительными требованиями.

Использование прошедших регистрацию профилей защиты облегчает формирование совокупности требований безопасности для банковской информационной инфраструктуры. Профили защиты играют роль своеобразных строительных блоков, из которых складывается система требований информационной безопасности. При этом можно не бояться, что какие-то важные вопросы будут упущены. Гарантией того, что «никто не забыт, ничто не забыто», является хорошо продуманная процедура регистрации, во время которой профили проходят тщательную и скрупулезную проверку полноты, непротиворечивости и технической осуществимости. Это дает уверенность, что они обеспечат достижение заявленных целей безопасности.

Вячеслав Степанов, Александр Велигура

Статьи, интервью, публикации