ПРЕДПОСЫЛКИ И ОСНОВНЫЕ МОМЕНТЫРАЗВИТИЯ МЕНЕДЖМЕНТА В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Большинство современных информационных ресурсов, а также информационных систем практически не могут рассматриваться в отрыве от комплекса элементов (факторов), связанных с обеспечением информационной безопасности: угроз для информационных ресурсов, различных средств и мер защиты, барьеров для проникновения, а также уязвимостей в системах защиты информации. Таким образом, под информационной безопасностью в более общем виде следует понимать совокупность средств, методов и процессов (процедур), обеспечивающих защиту информационных активов и, следовательно, гарантирующих сохранение эффективности и практической полезности как технической инфраструктуры информационных систем, так и сведений, которые в таких системах хранятся и обрабатываются.
Все негативные воздействия на информационные активы, защиту от которых (воздействий) предполагает информационная безопасность, могут быть разделены на три основных вида:
нарушение конфиденциальности информации; разрушение (утеря, необратимое изменение) информации;
недоступность информационных ресурсов - возникновение ситуаций, когда пользователи (все или их часть) на некоторый период времени теряют возможность доступа к необходимым данным (или информационным системам).
На практике основными наиболее распространенными способами нарушения информационной безопасности являются:
· получение несанкционированного доступа (в том числе и путем превышения прав при санкционированной работе с информационными системами) к определенным сведениям или массивам данных, распространение которых ограничено, с целью их изучения, копирования, распространения, незаконного использования и т.п.;
· несанкционированное использование информационных ресурсов (ресурсов вычислительных и телекоммуникационных систем) с целью получения выгоды или нанесения ущерба (как тем системам, которые незаконно используются, так и третьим лицам); несанкционированная злонамеренная модификация (изменение) данных;
· кража денежных средств в электронных платежных системах и системах "клиент-банк", а также кража бездокументарных ценных бумаг и иные формы незаконного присвоения имущественных прав; вывод из строя (полный или частичный) программных и аппаратных средств обработки, передачи и хранения информации;
· осуществление атак типа «отказ в обслуживании» - DoS (в частности, в отношении серверов в сети Интернет);
· распространение вирусов и других вредоносных программ, осуществляющих различные негативные воздействия.
Современная практика использования информационных систем характеризуется большим количеством и постоянным ростом числа нарушений информационной безопасности. Одним из важных факторов этого является постоянно растущая доступность современных информационных технологий для преступников, а также постоянно растущая привлекательность информационных систем как потенциальных объектов нападения. Также важным обстоятельством является постоянное усложнение и рост разнообразия используемых информационных систем и, в частности, программных продуктов. Так, например, объем (и, соответственно, сложность) одной из наиболее распространенных операционных систем - Microsoft Windows- увеличился с примерно 4 миллионов строк программного кода в 1992 году (Windows NT) до более чем 35 миллионов строк в 2000 году (Windows 2000). С учетом того, что в среднем каждая тысяча строк программного кода может содержать от 5 до 15 ошибок, появление все большего числа различных уязвимостей, создающих угрозы для информационной безопасности, становится практически неизбежным.
Результатом этого является постоянный рост количества различных нарушений, связанных с информационной безопасностью. Число сообщений о различных инцидентах в сфере защиты информации, полученных одним только "Центром реагирования на инциденты, связанные с информационной безопасностью" при университете Карнеги-Меллон (CERT), в период с 1999 по 2003 годы увеличилось более чем в 14 раз, а число получаемых ежегодно сообщений о выявленных уязвимостях в различных информационных системах - примерно в 10 раз.
Таким образом, все перечисленные обстоятельства: рост многообразия возможных нарушений, увеличение их количества, увеличение сложности информационных технологий, постоянно возрастающая доступность компьютеров и телекоммуникационных средств для преступников - объясняют рост потребности владельцев информационных ресурсов (предприятий, организаций, государственных ведомств) в реализации систематических, всеобъемлющих мер по обеспечению информационной безопасности.
Отдельные процессы, процедуры, механизмы и инструменты защиты информации, используемые владельцами информационных ресурсов и информационных систем, могут быть направлены:
· на ограничение и разграничение доступа; информационное скрытие;
· введение избыточной информации и использование избыточных информационных систем (средств хранения, обработки и передачи информации);
· использование методов надежного хранения, преобразования и передачи информации; нормативно-административное побуждение и принуждение.
На практике современные технологии защиты информации основаны на различных базовых сервисах (таких, как аутентификация, обеспечение целостности, контроль доступа и др.), и используют различные механизмы обеспечения безопасности (такие, как шифрование, цифровые подписи, управление маршрутизацией др.). Однако комплексность и массовость использования информационных технологий, их интеграция в повседневную деятельность предприятий, организаций, правительственных учреждений не позволяют решать задачи информационной безопасности только одними техническими средствами. Во всем комплексе деятельности по защите информации одно из наиболее важных мест занимает организационно-управленческая деятельность - организационное обеспечение информационной безопасности, которое представляет собой одно из четырех основных направлений работы в общей системе мер в сфере информационной безопасности, включающей в себя также разработку специализированного программного обеспечения, изготовление и использование специальных аппаратных средств и совершенствование криптографических (математических) методов защиты информации.
Основными задачами организационно-управленческой деятельности (менеджмента) в сфере информационной безопасности являются:
· обеспечение комплексности всех решений, реализуемых в процессе обеспечения информационной безопасности;
· обеспечение непрерывности и целостности процессов информационной безопасности; решение методических задач, лежащих в основе эффективного управления информационной безопасностью, таких, как вопросы управления рисками, экономическое моделирование и т.п.; управление человеческими ресурсами и поведением персонала с учетом необходимости решения задач информационной безопасности.
Под комплексностью решения задач информационной безопасности подразумевается взаимоувязанное выявление всех значимых информационных объектов, а также существующих и потенциально возможных угроз. На основе этого анализа необходимо обеспечить исчерпывающе полное (комплексное) внедрение и применение средств защиты информации, которые в той или иной мере могли бы нейтрализовать все существенные угрозы на всех потенциально уязвимых участках прохождения информационных потоков в течение всех этапов жизненного цикла информационных систем и организационных процедур. Меры по нейтрализации рисков также должны быть реализованы в комплексе с другими механизмами, такими, как, например, страхование. Другими словами, задачей менеджмента является системное использование всех необходимых частных (узкоспециальных) технологий и решений для каждой конкретной ситуации таким образом, чтобы во всей системе мер по защите информационных ресурсов не осталось "узких мест" — уязвимых участков, через которые могут быть осуществлены нападения и в которых могут произойти непреднамеренные нарушения. Сложность такого рода задач связана с тем, что они предполагают по возможности исчерпывающий анализ как всех информационных ресурсов, так и всех возможных сценариев нападения на них и последующий подбор наиболее подходящих средств защиты.
Непрерывность процессов обеспечения информационной безопасности предполагает выделение необходимых ресурсов и организацию выполнения необходимых функций по защите информации в течение всего времени функционирования информационных систем и выполнения бизнес-функций (в том числе и в режиме ”24x7x365” в тех случаях, когда это необходимо).
Разработка, совершенствование и поддержание в актуальном состоянии методических основ управления информационной безопасностью включает в себя, главным образом, применение общих для многих сфер менеджмента концепций и теорий - таких как, например, математические модели оценки рисков или теория инвестиционного анализа - применительно к ресурсам, используемым для обеспечения информационной безопасности, и информационным процессам.
Управление человеческими ресурсами в рамках управления информационной безопасностью включает в себя комплекс задач, охватывающий все основные аспекты деятельности людей: отбор и допуск персонала для работы с определенными информационными ресурсами, обучение, контроль правильности выполнения обязанностей, создание необходимых условий для работы и т.п.
При этом конкретная структура и состав всех основных задач управления и организации в сфере информационной безопасности, а также непосредственно используемые методы будут определяться как уровнем, на котором осуществляется управленческая и организационная деятельности, так и конкретными условиями, в которых функционируют информационные системы, нуждающиеся в защите. Под организационным обеспечением и менеджментом в сфере информационной безопасности обычно принято понимать решение управленческих вопросов на уровне отдельных субъектов (предприятий, организаций) или групп таких субъектов (партнеров по бизнесу, организаций, которые совместно решают определенные задачи, требующие защиты информации).
Однако сложность и комплексность современных проблем в сфере информационной безопасности, глобализация информационных взаимодействий требуют более полного и широкого понимания организационной работы и менеджмента в этой области.
В частности, по мере глобализации информационных взаимодействий, усложнения программных и аппаратных средств обработки информации, проникновения информационных технологий в повседневную деятельность всех организаций и жизнь большинства людей появилась необходимость в специальных организационных и управленческих усилиях, направленных не на обеспечение защищенности отдельных информационных активов, а на поддержание различных элементов информационной инфраструктуры, которая в той или иной мере работает на обеспечение информационной безопасности определенных сообществ (заранее не определенного множества пользователей информационных систем и владельцев информационных ресурсов).
Таким образом, с развитием информационных технологий и интенсификацией информационного обмена организационная и управленческая работа в сфере информационной безопасности оказывается направленной не только на собственно защиту определенных информационных ресурсов, но и на более глобальный объект- создание и развитие безопасной информационной инфраструктуры (в разных смыслах этого термина и с учетом различных его аспектов). На практике такая инфраструктура может включать в себя:
· надежную инфраструктуру передачи информации и рынок услуг доступа к таким каналам связи;
· рынок программных и аппаратных средств, обеспечивающих защиту информации;
· систему подготовки, переподготовки и повышения квалификации специалистов в сфере информационной безопасности;
· общие правила использования информации, а также ее передачи, совместной эксплуатации информационных сетей (в том числе протоколы информационного обмена);
· систему обмена информацией и распространения знаний о существующих уязвимостях тех или иных информационных технологий, возможных угрозах информационной безопасности и способах их нейтрализации;
· законодательную и правоприменительную систему, обеспечивающую охрану имущественных и иных интересов всех участников информационного обмена и другие составляющие.
Потребность в целенаправленном развитии и поддержании такой инфраструктуры порождает необходимость в выработке специфичных организационных и управленческих приемов, как правило, не характерных для информационной безопасности в привычном ("узком") ее понимании.
Такое расширение сферы интересов менеджмента информационной безопасности объясняет причины, по которым необходимо разделять несколько относительно самостоятельных организационных уровней, характеризующихся специфическими задачами, подходами к решению этих задач и используемыми организационными методами.
Уровень международных профессиональных объединений (как правило, неправительственных и некоммерческих), так или иначе связанных со сферой информационных технологий, телекоммуникаций и информационной безопасности.
Уровень крупных компаний, работающих в сфере информационных технологий и в значительной мере определяющих (прямо или косвенно) состояние информационной безопасности в сообществе пользователей информационных систем, а также влияющих на безопасность различных элементов информационной инфраструктуры.
Государственный уровень - уровень государственных и межправительственных организаций, так или иначе влияющих на жизнь общества, состояние правовой системы, развитие экономики и технологий.
Уровень отдельных компаний (предприятий и организаций) - сообщество пользователей информационных систем, так или иначе заинтересованных в собственной информационной безопасности и обеспечивающих защиту имеющихся у них информационных ресурсов собственными силами.
Также отдельно можно выделить дополнительный промежуточный уровень, включающий в себя консалтинговые и внедренческие компании, учебные центры (включая также сообщество специалистов, занимающихся консультациями, внедрениями и обучением в индивидуальном порядке), работающие в сфере информационной безопасности и действующие как связующее звено между различными организационными уровнями, а также представляющие интересы различных участников информационного взаимодействия.
Все эти составляющие образуют своеобразную организационную иерархию, представленную на рис. 2.1.
| ОРГАНИЗАЦИИ – ВЛАДЕЛЬЦЫИНФОРМАЦИОННЫХ РЕСУРСОВ |
| Уровень крупных IT – компаний (Microsoft…) |
| Международные организации (ITU…) |
| Государственный уровень |
Рис.2.1. Иерархия уровней организационной работы в сфере информационной безопасности.
Следует понимать, что субъекты, находящиеся на верхних ступенях данной иерархии (в частности, государственные органы, крупные ГГ-корпорации), выступают не только как владельцы собственных информационных ресурсов, требующих защиты, но и как субъекты, которые воздействуют на инфраструктуру, лежащую в основе обмена и хранения информации, а также на общественно-экономические отношения, влияющие на информационную безопасность. И тот факт, что такие субъекты сами уделяют значительное внимание защите собственных ресурсов (вкладывают существенные средства в обеспечение информационной безопасности, инициируют новые разработки для собственных нужд, используют наиболее передовые технологии в этой сфере и т.п.), не должен отвлекать внимание от того обстоятельства, что эти субъекты фактически создают инфраструктуру для повседневной деятельности множества компаний, организаций, людей, профессиональных и бизнес-сообществ и используют для этого организационные методы и приемы, которые существенно отличаются по своей природе от методов, характерных для работы по обеспечению информационной безопасности отдельных субъектов и защите отдельных информационных активов.
Итак, необходимость самостоятельного рассмотрения субъектов, относящихся к верхнему уровню, с точки зрения организационного обеспечения информационной безопасности обусловлена тем, что в связи со своей особой ("инфраструктурной”) ролью в системе общественных отношений и информационного обмена эти субъекты используют специфичные методы организационно-управленческой работы. При этом, как правило, параллельно с применением таких специфичных методов они используют и методы, характерные для субъектов нижнего уровня представленной иерархии, т.к. являются владельцами собственных информационных ресурсов.
Представленное разделение на уровни должно быть основой для более целенаправленного развития системы менеджмента и налаживания взаимосвязей между различными уровнями организационной работы. Важность выделения и самостоятельного рассмотрения верхних уровней управленческой работы обусловлена тем, что целенаправленное осознание организационных вопросов, специфичных для верхних уровней иерархии, и их решение позволит более эффективно решать задачи развития национальных и региональных экономик в целом и отдельных отраслей (телекоммуникации, финансовые услуги и т.п.), а не только решать задачи отдельных субъектов, участвующих в информационном обмене.
| Международные организации |
| Государственные структуры |
| Инфраструктура ИБ |
| Консалтинговые компании |
| Сообщество пользователей ИС |
| Глобальные IT-компании |
Рис. 2.2. Взаимосвязи уровней организации информационной безопасности.
Основные особенности организационной работы на каждом из перечисленных уровней организации представлены в Таблице 2.1.
Таблица 2.1. Задачи, роли и методы, используемые на различных уровнях.
| Организационный уровень | Основные задачи и роли | Основные специфичные методы организационной работы |
| 1. Международные организации | Разработка правил и стандартов (в том числе и сетевых протоколов), имеющих глобальное значение; Обмен актуальной информацией и предупреждениями о новых угрозах. | Координация работы специалистов, экспер-тов и исследователей, представляющих раз-личные заин-тересованные стороны |
| 2. Глобальные ИТ- компании | Методологическая и организационная поддержка использования продуктов и услуг, поставляемых на рынок. | Гибкое взаимодействие с клиентами (пользо-вателями продуктов и услуг) с целью повышения эффек-тивности исполь-зования информа-ционных систем и получения отзывов для дальнейшего повы-шения качества постав-ляемых продуктов и услуг. |
| 3. Государственные организации | Регулирование исполь-зования информационных сис-тем и распространения информации с целью недопущения противоп-равных действий, ущер-ба другим участникам информационного об-мена, обществу и государственным ор-ганам. | Разработка национальных и международных правил (законов, конвенций, соглашений и т.п.), регулирующих отношения в информационной сфере; Осуществление контроля (в различных формах); Осуществление правоприменительной и правоохранительной деятельности. |
| 4. Пользователи информационных систем - владельцы информации | Защита собственных информационных ресурсов. | Выделение подразделений и специалистов, отвечающих за ИБ; Разработка и применение внутренних политик и правил безопасности. |
| 5. Консалтинговые и внедренческие компании, работающие в сфере ИБ | Разработка и внедрение индивидуальных реше-ний в сфере ИБ более эффективно, чем это могли бы сделать сами владельцы инфор-мационных ресурсов. | Накопление и обобщение теоретических знаний и практических навыков с целью создания и внедрения организационных и технических решений в интересах клиентов. |
Таблица 2.1, а также рисунок 2.2 наглядно демонстрируют причины, по которым каждый из уровней организационной работы в сфере информационной безопасности нуждается в индивидуальном подходе и применении специфичных методов организации и управления. В соответствии с этим разделением и строится структура данного модуля — он включает в себя рассмотрение основных форм и приемов организации работы по обеспечению информационной безопасности на основных перечисленных уровнях:
· на уровне международных профессиональных организаций и бизнес-сообществ;
· на уровне крупных поставщиков технических (программных и аппаратных) средств обработки и передачи информации, имеющих влияние на состояние информационной безопасности большого числа предприятий, организаций и индивидуальных пользователей;
· на уровне государственных органов (в частности, правительств отдельных стран);
· на уровне отдельных предприятий, учреждений и организаций, являющихся непосредственными владельцами и пользователями информационных ресурсов.
ДЕЯТЕЛЬНОСТЬ МЕЖДУНАРОДНЫХ ОРГАНИЗАЦИЙ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В числе международных организаций, действующих в сфере информационной безопасности и оказывающих существенное влияние на функционирование глобальных информационных систем и деятельность всего информационного сообщества, выделяются организации следующих типов.
1. Крупные международные некоммерческие и неправительственные организации, объединяющие специалистов в определенных областях, существующие, как правило, уже в течение многих лет и охватывающие множество основных направлений развития компьютерной инженерии, электроники и телекоммуникаций, включая в том числе и определенные вопросы обеспечения безопасности современных информационных технологий.
2. Отдельные относительно небольшие организации, которые специализируются на более или менее узких вопросах информационной безопасности, имеющих глобальное значение для всего сообщества пользователей информационных систем, и появились на базе частных компаний или исследовательских структур в течение последнего десятилетия, когда проблемы информационной безопасности стали особенно актуальными.
3. Совместные структуры (комитеты, альянсы и т.п.), создаваемые (иногда временно) крупными компаниями (иногда при участии крупных исследовательских центров, учебных заведений и правительственных структур) для решения определенных задач в сфере информационных технологий и информационной безопасности.
Каждый из них, в свою очередь, имеет свои специфические организационные особенности, однако все они, как правило, решают задачу разработки, согласования и дальнейшего распространения общих для всего сообщества пользователей информационных систем технических и организационных решений, таких как:
· протоколы глобальных сетей;
· архитектуры, алгоритмы, протоколы публичных средств шифрования данных;
· правила построения глобальных сетей обмена данными и других элементов глобальной инфраструктуры информационной безопасности.
Также важными элементам организационной работы на уровне международных структур являются:
организация обмена знаниями и актуальными новостями в среде специалистов по информационной безопасности в таких формах, как публикация специализированных периодических изданий и сборников научных работ, организация специализированных научно-практических конференций, семинаров и т.п.; организация и поддержание в актуальном состоянии баз данных и баз знаний, которые содержат сведения, необходимые пользователям информационных систем, администраторам, разработчикам и другим участникам для обеспечения информационной безопасности. Примерами этого являются базы данных, содержащие сведения о выявленных уязвимостях различных программных и аппаратных платформ информационных систем.
В целом организационная работа на уровне международных структур не является универсальной, и в большинстве случаев они строят свою работу самостоятельно. Однако можно выделить некоторые основные организационные принципы, характерные для деятельности многих из них.
1. Принцип добровольности участия в работе таких структур и в отдельных проектах или во всей работе.
2. Принцип открытости (доступности) результатов работы (всех или их части) для сообщества специалистов в сфере информационных технологий.
3. Принцип самофинансирования.
Работа международных профессиональных объединений
Работа крупных международных профессиональных (отраслевых) организаций (объединений), как правило, имеет следующие отличительные особенности.
· Она, как правило, не направлена только на решение задач информационной безопасности - задачи информационной безопасности решаются в комплексе со множеством других проблем (развития информационных технологий, построения телекоммуникационных систем и т.п.).
· Она в определенной мере может опираться на поддержку со стороны различных государственных структур.
· Она объединяет большое количество специалистов из различных исследовательских, учебных, коммерческих организаций, но при этом большинство участников (членов) может не иметь конкретных обязательств, обязывающих вносить вклад в работу и достигать определенных целей.
Основными наиболее крупными и известными международными профессиональными объединениями, так или иначе связанными с вопросами информационной безопасности, являются:
· ITU - International Telecommunication Union;
· IEEE - Institute of Electrical and Electronics Engineers;
· ACM - Association for Computing Machinery;
· W3 Consortium;
· ISSA - Information Systems Security Association;
· ISO - International Organization for Standardization;
· IETF - Internet Engineering Task Force;
· ICSA - International Computer Security Association;
· Information Systems Audit and Control Association (ISACA);
· Internet Security Alliance.
International Telecommunication Union (ITU) — Международный союз электросвязи.
ITU является старейшей международной организацией, связанной с информационными технологиями. Она была основана в 1885 году как Международный телеграфный союз и получила свое новое название в 1934 году. В настоящее время ITU объединяет 189 государств. Как понятно из названия, основной ее задачей изначально было управление и координация деятельности в сфере передачи информации и, в частности, в радиосвязи и телеграфной связи. Однако по мере развития глобальных компьютерных сетей и интеграции компьютерных и телекоммуникационных систем, область деятельности ITU была значительно расширена и в настоящее время включает в себя множество вопросов, связанных с построением компьютерных сетей, передачей цифровых данных, обработкой информации и т.п.
Членами ITU-T являются:
1) государственные органы власти (министерства и ведомства связи отдельных стран);
2) научные организации и компании - производители телекоммуникационного оборудования;
3) региональные и международные телекоммуникационные организации.
Функциональными органами ITU-T являются:
1) Всемирная ассамблея по стандартизации телекоммуникаций (World Telecommunication Standardization Assembly), проводимая каждые четыре года, - основной руководящий орган сектора стандартизации;
2) Бюро по стандартизации телекоммуникаций (Telecommunication Standardization Bureau) - исполнительное подразделение сектора стандартизации;
3) Исследовательские группы (всего их 14);
4) Консультативная группа по стандартизации телекоммуникаций (Telecommunication Standardization Advisory Group) - вспомогательное подразделение, осуществляющее координационную работу.
Высшим органом власти Союза является Полномочная Конференция (Plenipotentiary Conference), собрание делегаций государств - членов Союза, проходящее раз в четыре года. Основные исполнительные органы — Совет и Генеральный секретариат ITU. Основные рабочие подразделения разделены на три сектора:
· сектор стандартизации связи, ITU-T;
· сектор радиосвязи, ITU-R;
· сектор развития электросвязи ITU-D.
Institute of Electrical and Electronics Engineers (IEEE) - Институт инженеров по электронике и электротехнике.
IEEE является одной из наиболее известных профессиональных организаций, существует с 1884 года и в настоящее время насчитывает около 380000 членов из 150 стран мира. В сферу ее интересов входит множество вопросов, связанных с электротехникой, радиоэлектроникой, вычислительной техникой, информатикой, а также некоторыми разделами физики и математики. Основные направления работы этой организации:
· проведение специализированных профессиональных конференций; публикация специализированных изданий; поддержка образовательной деятельности;
· поддержка инновационных технических и методических разработок в различных сферах; разработка и распространение технических стандартов.
В состав IEEE входят 10 региональных отделений, 38 профессиональных обществ, 4 совета и 1450 студенческих отделений. Текущее управление деятельностью на верхнем уровне осуществляется Советом директоров и Исполнительным комитетом, работу которых возглавляют Президент и Исполнительный директор.
Одним из основных подразделений IEEE, специализирующихся на вопросах информационной безопасности, является Технический комитет по безопасности и защите частной информации - "IEEE Computer Society Technical Committee on Security and Privacy" (https://www.ieee-security.org/). В его составе функционируют три подкомитета:
· Подкомитет по стандартам (Subcommittee on Standards);
· Подкомитет по академической работе (Subcommittee on Academic Affairs);
· Подкомитет по специализированным конференциям (Subcommittee on Security Conferences).
Основными мероприятиями, которые проводит этот комитет, являются:
· Ежегодный симпозиум по безопасности и защите частной информации (IEEE CS Symposium on Security and Privacy);
· Ежегодный семинар по основам информационной безопасности (Computer Security Foundations Workshop.
Также комитет ведет работу по сбору и обобщению актуальной информации о событиях в сообществе специалистов по информационной безопасности: объявления о планируемых конференциях, отчеты о прошедших конференциях и семинарах, обзоры литературы и периодики, ссылки на ресурсы в сети Интернет и т.п. Специальный информационный бюллетень с этой информацией - "Cipher" - рассылается подписчикам в среднем один раз в два месяца.