6.4.2. Информационная безопасность
По определению экспертов по информационной безопасности, политика информационной безопасности организации — это внутренний нормативный документ, который имеет трехуровневую иерархию:
• требования — это высокоуровневые положения, которые определяют принципы и направления выполнения действий. Например, для критичных серверов должно выполняться регулярное резервное копирование;
-
стандарты — это детальные положения, которые определяют особенности выполнения действий. Например, для серверов А, Б и В ежедневно должно выполняться инкрементальное резервное копирование и еженедельно — полное резервное копирование;
-
организационно-распорядительные и нормативно-технические документы — это инструкции, определяющие последовательность выполнения требований и стандартов. Например, инструкция по резервному копированию.
Политика безопасности — внутренний стандарт, обязательный для всех, – должна быть выработана таким образом, чтобы решить следующие задачи:
-
зафиксировать единый перечень требований по информационной безопасности для всей организации;
-
распределить зоны ответственности между подразделениями и персоналом организации в части информационной безопасности.
Разработка политики позволит обеспечить ИБ с учетом требований национальных и международных стандартов (например, ISO 17799, ISO 15408), скоординировать, формализовать и зафиксировать требования и процедуры обеспечения ИБ, обосновать и планировать мероприятия по обеспечению ИБ, зафиксировать ответственность администраторов и пользователей, оценить возможные убытки и соразмерить их с затратами.
Однако следует заметить, что хотя политика безопасности информации и позволит оценить и предупредить многие потенциальные проблемы, она не сможет избавить от проблем полностью, поскольку безопасность оперирует вероятностями и оценивает их с заданной долей вероятности.
В любом случае при составлении политики безопасности надо учитывать и человеческий фактор: неправильно понятый и, соответственно, неправильно исполненный стандарт также может служить угрозой безопасности, а сам он превратится просто в кучу бумаги.
Необходимо отметить, что если для частного лица безопасность его домашнего компьютера — это его личное дело, то для компаний — это уже вопрос юридический, поскольку они имеют дело не только, например, с коммерческой тайной, базами данных с личными сведениями о сотрудниках, но зачастую имеют доступ к государственной тайне.
Помимо этого, как отмечает Ю. Малинин, руководитель проектов НОУ «Академия Информационных Систем», в преддверии вступления России в ВТО особую значимость приобретает совершенствование нормативно-правовой базы в области информационных технологий. Сейчас проводится ряд мероприятий для решения этого вопроса как на федеральном, так и региональном уровнях. Так чем же руководствоваться компаниям, какие нормативные акты и стандарты использовать?
6.4.3. Информационное законодательство
С 1 июля 2006 года вступил в силу Федеральный Закон 184 – ФЗ «О техническом регулировании», который изменяет существующую систему стандартизации в Российской Федерации, в том числе и в сфере информационной безопасности. С момента принятия этого закона существуют обязательные стандарты по безопасности, или технические регламенты по безопасности. Основой для их разработки являются международные и национальные стандарты.
Технические регламенты будут вводиться в действие в виде Законов РФ, Указов Президента и постановлений Правительства.
Интеграция России в ВТО не сможет осуществиться без обеспечения соответствия национальных стандартов международным. В настоящее время утверждено 60 международных стандартов в области ИБ. Некоторые из них введены в действие и широко используются в России на основе прямого применения международных стандартов, например ГОСТ Р ИСО/МЭК 7498-2-99, ГОСТ Р ИСО/МЭК 9594-8-98, ГОСТ Р ИСО/МЭК 9294-93.
Особое внимание специалистов в области ИБ приковано к международному стандарту «Критерии оценки безопасности информационных технологий», известному также как «Общие критерии». Согласно международному «Соглашению по взаимному признанию Общих критериев оценки безопасности информационных технологий», оценка по «Общим критериям», проведенная в одной стране, будет официально признана во всех странах (на данный момент – более пятнадцати), подписавших данное соглашение. В России введен в действие стандарт ГОСТ РИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» на основе прямого применения «Общих критериев», и в соответствии с ним сейчас Гостехкомиссией России разрабатываются руководящие документы. На подходе к введению находится другой стандарт — ГОСТ РИСО/МЭК 17799 «Информационная технология. Кодекс устоявшейся практики по управлению защитой информации».