1956
.pdfАктивы или ресурсы (assets) – это «все, что имеет ценность для организации» [12].
При этом, выделяются следующие типы активов:
a)информация;
b)программное обеспечение;
c)материальные активы, например компьютер;
d)услуги;
e)люди и их квалификация, навыки и опыт;
f)нематериальные активы, такие как репутация и
имидж.
Чтобы определить, что такое «информационная безопасность», рассмотрим сначала само понятие
«безопасности».
Закон «О безопасности» 1992 г. гласит, что «безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз».
Угроза (threat) – возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации [12].
Инцидент информационной безопасности (information security incident) [12] – одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс подвергнуть риску деловые операции и поставить под угрозу информационную безопасность.
В качестве некоторых примеров инцидентов в ГОСТе указаны:
- утрата услуг, оборудования или устройств; - системные сбои или перегрузки; - ошибки пользователей;
- несоблюдение политики или рекомендаций по ИБ; - нарушение физических мер защиты; - неконтролируемые изменения систем;
10
-сбои программного обеспечения и отказы технических
средств;
-нарушение правил доступа.
Событием в системе информационной безопасности
(information security event) является выявленный случай системы, услуги или состояния сети, указывающий на возможное нарушение информационной безопасности, политики, нарушение или отказ средств управления или прежде неизвестная ситуация, которая может иметь значение для безопасности [12].
С инцидентом связано следующее понятие. Ввоздействие (impact) – неблагоприятное изменение
уровня достигнутых бизнес-целей [12].
Говоря об угрозах, часто используется понятие «модели угроз», которая, включает описание источников угроз,
уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери, масштабов потенциального ущерба.
Источник угроз – субъект, материальный объект или физическое явление, создающее угрозу безопасности информации.
Для источников угроз – людей – разрабатывается
модель нарушителя.
В модели нарушителя конкретизируются субъекты, их средства, знания и опыт, с помощью которых они могут реализовать угрозы и нанести ущерб объектам, а также мотивации их действий.
Частным видом нарушителя является злоумышленник. Злоумышленник – основной субъект угроз, источник
противоборства с собственником в борьбе за активы и доходы. Уязвимость (vulnerability): слабость актива или
средства управления, которой может воспользоваться угроза. Уязвимость – недостатки или слабые места активов,
которые могут быть использованы угрозой [12].
11
Ущерб – физическое повреждение или другой вред здоровью людей, имуществу (активам) или окружающей среде.
Риск (risk) – сочетание вероятности события и его последствий [12].
Информационный риск (ИТ-риск) – это опасность возникновения убытков или ущерба в результате применения информационных технологий.
Менеджмент риска (risk management) –
скоординированные действия по руководству и управлению организацией в отношении риска.
Примечание. Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска, коммуникацию риска, мониторинг и обзор риска [12].
Защитная мера (или мера защиты, контрмера, мера контроля) – мера, используемая для уменьшения риска.
Базовые защитные меры (baseline controls) –
минимальный набор защитных мер, установленный для системы или организации.
Они соответствуют базовому уровню безопасности
(Baseline Security) – обязательный минимальный уровень защищенности для информационных систем.
Вцелом средства контроля могут обеспечивать один или несколько из следующих видов защиты: предупреждение, сдерживание, обнаружение, снижение, восстановление, исправление, мониторинг и информированность.
Защитные меры (контроли) имеют разветвленную сложную структуру и состоят из организационных и программно-технических мер (или средств) на верхнем уровне. В свою очередь, организационные меры включают
законодательные, административные и процедурные меры
защиты.
ВГОСТ Р ИСО/МЭК 15408-1-2008 «Методы и средства безопасности. Критерии оценки безопасности информационных технологий», высокоуровневые понятия безопасности
иих взаимосвязь представлены в виде рисунка (рис. 1.1).
12
Рис. 1.1. Понятия безопасности и их взаимосвязь
13
За сохранность рассматриваемых активов отвечают их владельцы, для которых эти активы имеют ценность. Существующие или предполагаемые нарушители также могут придавать значение этим активам и стремиться использовать их вопреки интересам их владельцев. Владельцы будут воспринимать подобные угрозы как потенциал воздействия на активы, приводящего к понижению их ценности для владельцев. К специфическим нарушениям безопасности обычно относят (но не ограничиваются): наносящее ущерб раскрытие актива несанкционированным получателям (потеря конфиденциальности), ущерб активу вследствие несанкционированной модификации (потеря целостности) или несанкционированное лишение доступа к активу (потеря доступности).
Владельцы активов будут анализировать угрозы, применимые к их активам и среде, определяя связанные с ними риски. Анализ угроз может помочь при выборе контрмер для противостояния угрозам и уменьшения рисков до приемлемого уровня.
Контрмеры предпринимают для уменьшения уязвимостей и выполнения политики безопасности владельцев активов (прямо или косвенно распределяя их между этими составляющими). Но и после введения контрмер могут сохраняться остаточные уязвимости. Такие уязвимости могут использоваться нарушителями, определяя уровень остаточного риска для активов. Владельцы будут стремиться минимизировать этот риск с учетом имеющихся ограничений.
Удобно далее говорить о системе обеспечения безопасности. Она включает силы и средства обеспечения безопасности, которые действуют и используются на основе разработанных заранее и закрепленных некоторым формальным образом принципов и правил (в виде нормативноправовых актов, ведомственных инструкций, положений и т.п.).
14
Можно говорить, что сущность функционирования системы безопасности заключается в выявлении, прогнозировании, предотвращении, нейтрализации, пресечении, локализации, устранении, отражении и уничтожении угроз защищаемому объекту, а также формировании условий, благоприятствующих деятельности данного объекта, достижения им своих целей, защиты его интересов.
Система обеспечения безопасности того или иного объекта решает следующие задачи:
1.Своевременное выявление и прогнозирование внешних и внутренних угроз.
2.Осуществление комплекса оперативных и долговременных мер по предупреждению и нейтрализации внутренних и внешних угроз.
3.Создание и поддержание в готовности сил и средств для обеспечения безопасности.
4.Управление силами и средствами обеспечения безопасности в нормальных (повседневных) условиях и при возникновении чрезвычайных ситуаций.
5.Осуществление системы мер по нормальному функционированию объектов безопасности после возникновения чрезвычайных ситуаций.
6.Участие в мероприятиях по обеспечению безопасности за пределами своего объекта в соответствии с договоренностями (соглашениями) внутри корпорации или объединения фирм (предприятий).
В последнее время все чаще в обиход входит понятие
«система комплексной безопасности». Под этим термином понимается «совокупность организационных мероприятий и действий подразделений охраны и служб безопасности организаций и автоматизированных систем по защите информации, направленных на обеспечение установленного режима, порядка и правил поведения, предотвращение, обнаружение и ликвидацию угроз жизни, среде обитания,
15
имуществу и информации, а также поддержание работоспособности технических средств и систем на охраняемом объекте с целью ограничения или предотвращения действий нарушителя для осуществления опасных несанкционированных операций на объекте, приводящих к частичному или полному нарушению функционирования данного объекта».
Перейдем от понятия «безопасность» к понятию «информационная безопасность».
Понятие «информационная безопасность» было нормативно закреплено в качестве самостоятельной составляющей понятия безопасности в ФЗ «О безопасности» в 1992 г.
Далее в 1996 г. в ФЗ «Об участии в международном информационном обмене» сказано, что «информационная безопасность – состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций и государства». Здесь «информационная среда – сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации».
ВДоктрине информационной безопасности РФ от 2000 г. это определение приспособлено и уточнено для России.
Именно под «информационной безопасностью Российской Федерации» понимается – состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
ВГОСТ ИСО/МЭК 27000-2012 вводится следующее определение информационной безопасности [12].
Информационная безопасность (information security): сохранение конфиденциальности, целостности и доступности информации.
16
Примечание. Также сюда могут быть включены другие свойства, такие как подлинность, подотчётность, неотказуемость и достоверность.
Доступность (availability) – свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
Целостность (integrity) – свойство сохранения правильности и полноты активов.
Конфиденциальность (confidentiality) – свойство информации быть недоступной и закрытой для неавторизованных лиц, субъектов или процессов.
Подлинность (authenticity) – свойство, гарантирующее, что субъект или ресурс идентичен заявленному.
Подотчётность (accountability) – ответственность субъекта за его действия и решения.
Неотказуемость (non-repudiation) – способность удостоверять имевшее место событие или действие и их субъекты так, чтобы это событие или действие и субъекты, имеющие к нему отношение, не могли быть поставлены под сомнение.
Достоверность (reliability) – свойство соответствия предусмотренному поведению и результатам.
Исторически к конфиденциальности было больше внимания. С этим понятием связано понятие «тайна», которое имеет множество производных: государственная тайна, коммерческая тайна, адвокатская тайна, банковская тайна, врачебная тайна, налоговая тайна, нотариальная тайна, персональные данные, личная и семейная тайна, служебная тайна, тайна голосования, тайна переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, тайна следствия и судопроизводства, тайна совещания судей, тайна страхования, тайна усыновления (удочерения), аудиторская тайна и др. (всего около 40).
Приведем некоторые из них, которым посвящены отдельные законы Российской Федерации в силу их важности.
17
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации
[59].
Коммерческая тайна – режим конфиденциальной информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду [62].
Информационная безопасность включает в себя
компьютерную безопасность в качестве неотъемлемой составной части. Кроме того, по своему содержанию информационная безопасность включает: компьютерную безопасность; безопасность информационных систем и процессов; безопасность среды для реализации информационных процессов.
Компьютерная безопасность – свойство компьютерной информации, ЭВМ, системы ЭВМ, сети ЭВМ, при котором с требуемой вероятностью обеспечивается защита компьютерной информации (данных) от утечки, хищения, утраты, несанкционированного доступа, уничтожения, искажения, модификации, копирования, блокирования, а также защита ЭВМ, системы ЭВМ, сети ЭВМ от неправомочного доступа, создания, использования и распространения вредоносных программ, нарушения правил эксплуатации, несанкционированной модификации программ и т.п.
Помимо системы обеспечения (информационной) безопасности, важна система менеджмента информационной безопасности.
Система менеджмента (management system) – система, включающая в себя политики, процедуры, рекомендации и
18
связанные с ними ресурсы для достижения целей организации
[15].
Система менеджмента информационной безопасности (СМИБ) (information security management system (ISMS) – часть общей системы менеджмента, основанная на подходе бизнес-рисков, по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности.
Примечание. Система менеджмента включает в себя организационную структуру, политики, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы.
В ГОСТ Р ИСО/МЭК 27001-2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» при структурировании всех процессов СМИБ рекомендуется использовать модель "Планирование (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)" (PDCA). Связи между представленными процессами представлены на рис. 1.2 и в табл. 1.1).
19