Простота. Хуже воровства?

В данной статье рассматриваются мифы и реальность касательно простейших (с точки зрения затрат, реализации и осознания) подходов к защите информации в существующих условиях.

Ни для кого не секрет, что обеспечение безопасности считается достаточно "паразитической" деятельностью для бизнеса. Психология топ-менеджмента строится таким образом, что затраты на предотвращение каких-либо событий представляются неоправданными, так как не дают результата. Знаменитый афоризм "связь - как воздух" применим тут в наиболее полной мере. Однако, специалисты по ИТ и безопасности часто отмечают, что затраты на высокотехнологичные решения действительно оправдывают себя лишь отчасти, в то время как более простые и действительно эффективные методы защиты либо забываются, либо считаются "драконовскими" и не применяются "из этических соображений". Далее разбирается ряд наиболее часто вспоминаемых в этой связи простейших подходов к информационной безопасности, чтобы понять, что из этого действительно достойно применения, а что - не более, чем легенда.

Физическое блокирование USB-устройств

USB-устройства являются самым неоднозначным достижением современных технологий с точки зрения безопасности. С одной стороны - быстрый и простой протокол обмена данных, относительно низкая стоимость устройства и отсутствие специфических требований к системно-программной части. С другой - отсутствие встроенных возможностей избирательного контроля устройств и избирательного контроля точек входа в АРМе. Таким образом, USB-устройство может нести в себе сразу целый комплекс угроз для организации, таких как:

• быть источником вредоносного и шпионского ПО;
• быть утерянным, будучи носителем защищаемой информации ограниченного доступа;
• быть утерянным, будучи единственным носителем защищаемой информации;
• использоваться в качестве носителя при совершении инсайдерских хищений (быть элементом скрытых информационных потоков);
• и т. д.

Вполне закономерно, что проанализировав такое количество угроз, идущих от данного типа устройств, специалисты пришли к выводу, что безопаснее и удобнее будет отключить USB-шину в ПЭВМ, заблокировав таким образом взаимодействие с USB. Многие сотрудники СБ в организациях считают этот способ до сих самым эффективным для обеспечения безопасности, и применяют его, несмотря на воинствующие крики ИТ-специалистов и функциональных сотрудников. Однако, стоит ли это делать? Проанализируем ряд факторов.

• многие внешние устройства используют USB-интерфейс для подключения к ПЭВМ. Без многих подобных устройств работы с ПЭВМ становится затруднительной (USB-мышь, клавиатуры, веб-камера, микрофон и т. д.). Устройств, использующих "старые" интерфейсы (COM, PS/2, LPT), практически не осталось, или найти их сложнее, чем остальные;
• многие средства защиты используют USB-носители в качестве элементов. USB-ключи для криптосредств, USB-токены - все это не совсем обычные USB-устройства, которые нельзя использовать для скрытого хищения данных или заражения ПЭВМ вредоносной программой, однако, если заблокировать USB, то их применение будет невозможно, так как возможностей фильтровать USB-устройства или избирательно блокировать USB-порты ПЭВМ в широком доступе либо не существует, либо их реализация не оправдана с точки зрения эффективности;
• на ПЭВМ многих типов просто физически не осталось других интерфейсов для взаимодействия с "внешним миром". Если заблокировать USB, единственным каналом остается ЛВС. Ее, конечно, контролировать проще, однако, это серьезный удар по производительности функциональных сотрудников.

Таким образом, полное физическое блокирование USB-устройств дает проблем гораздо больше, чем выгод от повышения уровня безопасности. Иными словами, затраты (в данном случае - в виде снижения результативности и эффективности деятельности функциональных сотрудников) на систему защиты не соответствуют перекрываемому ущербу.

В результате, данный метод является едва ли не самым проблемным и неэффективным для защиты от угроз. Его стоит применять только в исключительных случаях, в качестве "финального мазка" для создания системы защиты с полным перекрытием (пример есть далее по тексту). А в подавляющем большинстве случаев, применение этого метода неоправданно. В отдельных случаях целесообразнее рассмотреть различные методы защиты USB-устройств, рассматриваемые в решениях, например, тут.

Исключение рисков через физическое сегментирование информационной системы

Под таким подозрительно сложным для "простейшего" метода названием скрывается группа мероприятий по разделению сетей организации и физическому "отрезанию" сегментов от источников угроз. Например, выделение отдельного ПЭВМ (или сети ПЭВМ) , имеющего подключение к Интернету без взаимодействия с остальными ПЭВМ (специализированные ПЭВМ для доступа к информации в Интернете, например, справочные и т. п.), или выделение отдельной сети разработчиков, работающих с информацией особого уровня доступа, без взаимодействия с остальной сетью организации.

Физическое сегментирование сети организации - не самый популярный метод. Эта непопулярность обусловлена в первую очередь тем, что гораздо более простым методом является объединение всех ПЭВМ организации в единую ЛВС с дальнейшим развертыванием сетевой инфраструктуры (например, рабочей группы или централизованного домена) и реализации защитных мероприятий по разграничению доступа и сегментированию логическими и программными средствами. Плюс, как правило, исторически ЛВС организации расширяется итеративным методом, поэтому раннее проектирование не срабатывает в большинстве случаев, а заниматься перекоммутацией в дальнейшем никому не хочется.

Между тем, заняться бы стоило. Практика показывает, что логические средства, несмотря на сертификаты ФСТЭК, гарантии разработчика и прочие плюсы, могут давать промашку, а также могут быть просто выключены пользователем или сброшены системой в результате ошибки. Ясно, что все эти события будут в дальнейшем обнаружены в качестве инцидентов, и, при должной скорости реакции группы CERT, будут разрешены без ущерба, однако, иногда лучше перестраховаться. К примеру, отключение производственной ЛВС от Интернета и выделение одного-двух ПЭВМ в качестве "справочных" для доступа в глобальную сеть может быть вполне оправдано. В действительности, редким функциональным специалистам требуется доступ в Интернет непосредственно с рабочего места, как правило, им необходимо получить какую-то справочную информацию. А выделение отдельной ЛВС для сотрудников, взаимодействующих с информацией особого уровня доступа, и физическое отделение ее от остальной ЛВС организации может быть оправдано в первую очередь с точки зрения защиты от инсайдерских утечек. Как правило, в таких ситуациях следуют аргументы, мол, все можно запомнить и "унести в голове", однако, согласитесь, что сложно "унести в голове" распиновку микроконтроллера или производственную схему.

Фактически, у данного подхода есть только два явных недостатка:

• его категорически нельзя применять к ПЭВМ, которым необходимо иметь доступ в отделяемые сети в режиме реального времени. Например, заставить программиста, работающего с секретной информацией, время от времени бегать к "справочному" компьютеру, чтобы залезть в Гугл, можно без потерь производительности, а вот заставить то же самое делать банковского кредитного специалиста или менеджера турфирмы получится вряд ли;
• он не перекрывает ряд угроз и требует применения дополнительных методов. Например, никто не мешает сотруднику, работающему на ПЭВМ, находящемся в физически изолированной ЛВС без доступа в Интернет, скопировать свою работу на флешку и унести ее на ПЭВМ с доступом в Интернет. В таком случае для полного перекрытия следует применять этот метод в совокупности с предыдущим. Организация, конечно, будет иметь некоторые проблемы из числа тех, что обозначены в факторах, препятствующих отключению USB, но, согласитесь, что найти PS/2-мыши и другие не-USB-внешние устройства на некоторые ПЭВМ, работающие с информацией особого уровня доступа, проще, чем на все ПЭВМ в организации.

Из всех рассматриваемых в настоящей статье методов, данный метод является наиболее действенным и рекомендуется к применению.

Использование собственных подсистем ИБ системного и прикладного ПО, применяемых в защищаемых информационных системах

В 2009 году автору довелось побывать в рамках конференции по ИБ на пленарном заседании, посвященном самому животрепещущему вопросу ИБ последних лет - защите персональных данных. Незаметно, словно зима в декабре, к операторам персональных данных подкрался срок (тогда - первый) начала проверок соответствия ИСПДн требованиям, и те всполошились, увидев, что им предстоит проделать не только серьезную аналитическую и архитектурную работу, но и вложить немало средств в применение систем защиты информации. Тогда представители регуляторов, присутствующие на заседании, предложили минимизировать затраты путем реализации некоторых требований через использование встроенных подсистем ИБ различного ПО, которое уже используется в рассматриваемых ИСПДн. Речь, конечно, шла об операционных системах семейства Windows и сопутствующих продуктах корпорации Microsoft, которые так кстати на тот момент прошли сертификацию на соответствие требованиям по НСД и НДВ в ФСБ и ФСТЭК и оказались пригодны к использованию в ИСПДн.

Собственно, с тех пор прошло три года. За это время Microsoft даже выложил на своем сайте целое руководство, в котором красочно описал, как собственными силами можно покрыть большую часть требований к подсистемам управления доступом, регистрации и учета, а также обеспечения целостности в ИСПДн вплоть до класса К1. Фактически, ничего сверхъестественного в данных требованиях действительно нет, большинство многопользовательских систем реализуют их с избытком. На самом деле, применение средств защиты, реализованных через штатные функции операционных систем, серверов приложений и иных системных и прикладных программных средств, действительно возможно и может существенно упростить развертывание защиты, соответствующей требованиям (например, требованиям к АС, изложенным в соответствующем руководящем документе Гостехкомиссии/ФСТЭК). Но существует одно НО.

Сертификация. Под сертификацией понимается процесс подтверждения оценки соответствия объекта требованиям, предъявляемым к нему. Сертификация является процессом, инициируемым производителем объекта, выполняемым соответствующим органом по сертификации и периодически подтверждаемым. Так вот. Закрытие требований безопасности штатными средствами возможно только в случае, если применяются сертифицированные версии ОС, серверов и т. д. Самостоятельно Microsoft в России сертификацию не осуществляет, за него это делали некоторые распространители. И только системы, приобретенные у этих распространителей (которых можно пересчитать по пальцам) являются сертифицированными и годными к применению в качестве СЗИ. Поскольку на сертифицированную версию той же ОС Windows было потрачено больше средств, чем на обычную (распространитель сдал репрезентативную выборку из партии на анализ в испытательную лабораторию и оплатил услуги по сертификации), то и стоят они дороже. Вероятность, что те ОС, которые используются в данный момент в защищаемой информационной системе, пусть даже они являются лицензионными и купленными у официального распространителя, будут сертифицированными очень мала. С любителями СПО вообще все грустно. Коробочные версии систем на базе Linux, сертифицированные ФСТЭК, также существуют, однако их применение полностью нейтрализует все "плюсы", которые есть этих операционных системах, такие как открытость кода, возможность изменений и бесплатность.
Поэтому данный подход может быть применен только в случае проектирования новой информационной системы и наличия правильного поставщика программных средств. В иных случаях действует один из законов ИБ, согласно которому иногда правильнее будет добавить к неэффективному СЗИ еще одно, наложенное, вместо того, чтобы удалять его и заменять на аналогичное, эффективное.

Вывод

Стоит отметить, что несмотря на общее впечатления, все вышеописанные методы могут применяться, с учетом всех приведенных в данной статье недостатков, проблем и рисков.

В целом даже рекомендуемые к применению методы следует применять по итогам адекватного и аргументированного анализа, в совокупности с другими, имеющимися средствами защиты. Применение данных, "простейших" методов призвано не полностью заменить собой специализированные СЗИ и подходы к защите, а упростить их применение, снизить затраты на их использование и сделать деятельность более безопасной без потери эффективности.

Антивирусные войны

Не так давно здесь была опубликована агрегированная статистика рынка антивирусных средств в России. Согласно этой статистике, в последние два года два производителя - ESET и "Лаборатория Касперского" - вышли на наиболее высокий уровень продаж, обеспечив себя фактически самые высокие доли рынка, остальные производители сильно сдали позиции.
Справедливость данной статистики, конечно, вызывает ряд вопросов. Прежде всего, графики всегда выглядят красиво и эффектно, пока не прочитаешь их заголовки. А заголовок следующий: "Изменения доле ключевых игроков на антивирусном рынке России в 2005-2011 годах". То есть перед нами статистика продаж. И, если продажи специализированных средств защиты информации, таких как СЗИ от НСД, есть объективный показатель выбора специалистов (закупки СЗИ, все-таки, время от времени контролируются уполномоченными сотрудниками подразделений безопасности), то продажи такого массового средства, как антивирус - это показатель работы маркетологов.
Антивирусные системы сами по себе - предмет споров среди специалистов. Настойчивые "легенды" о бесполезности таких средств против 0day-вирусов и нетипичных атак заставляют специалистов отказываться от них, заменяя их функционал межсетевыми экранами и системами обнаружения вторжений. При этом, если применение антивирусных средств в организациях, как правило, является результатом комплексной политики, то домашние пользователи, составляющие от 40% рынка, выбирают по совершенно иным принципам, далеко не самым объективным и адекватным.
Поэтому воспринимать данную статистику стоит исключительно в контексте работы маркетологов и PR-специалистов.

"Пода-а-а-айте жалобную книгу" или еще раз о требованиях к ИСПДн

В очередной раз столкнувшись с фактическими требованиями законодательства по защите ИСПДн, автор не смог сдержаться и провел небольшой экспресс-анализ, чтобы продемонстрировать несоответствие желаемого и действительного в современной науке защиты информации на уровне оценки соответствия в России. Иными словами, есть возможность еще раз взглянуть на источники разночтений и заблуждений в таком благодатном в современной России деле, как защита персональных данных.

Немного истории новейшего времени

Речь сегодня пойдет о методах и способах обеспечения безопасности персональных данных при их обработке в ИСПДн. Слово "требования" старательно избегается, и вот почему. Как известно, изначально нормативная база по защите персональных данных состояла из следующих документов:

• Собственно, сам закон "О персональных данных";
• Положение о защите персональных данных в ИСПДн;
• "Приказ трех", он же порядок классификации ИСПДн (где вводятся знаменитые и до конца не понятые до сих пор понятия "типовой" и "специальной" ИСПДн);
• Знаменитое "четырехкнижье", которое являлось документом с грифом "ДСП", и выдавалось только лицензиатам ФСТЭК для организации работ по обеспечению информационной безопасности.

Стоит отметить специфический характер данных документов. Если первые три прошли утверждение в МинЮсте и формально были приняты в качестве легитимных документов, имеющих юридическую силу в правовом поле (например, при рассмотрении дел в суде), то "четырехкнижье" такое утверждение не прошли. Особо въедливые специалисты поспешили окрестить эти документы "необязательными и вообще незаконными", хотя сомнений в добровольно-принудительном характере "рекомендаций" регуляторов вопросов ни у кого не возникало. Впоследствии "четырехкнижье" было частично отменено, остались только Базовая модель угроз и Методика определения актуальных угроз, с которых был снят гриф "ДСП", а вместо Рекомендаций было введено знаменитое "Положение о методах и способах защиты...", известное в среде специалистов как Приказ №58. Стоит заметить, что данный документ был зарегистрирован в МинЮсте, что отмело в дальнейшем все вопросы к его правоприменимости. Данный документ включил в себя большую часть положений предыдущих документов ФСТЭК и ФСБ по защите ПДн, поэтому формально ничего нового не произошло. На самом же деле произошло следующее.
Изначально ИСПДн целиком и полностью позиционировалась как АС. Классификация ИСПДн и классификация АС, границы которой совпадают с границами ИСПДн, - два самостоятельных (хоть и взаимосвязанных) мероприятия, а требования по защите к ИСПДн совпадают с требования к АС. Требования к АС, если кто забыл, находятся в руководящем документе ГТК "Автоматизированные системы. Защита от НСД. Классификация АС и требования по защите информации". Требования по защите информации к АС являются именно требованиями, то есть обязательны для выполнения в защищаемых АС и оцениваются при аттестации. Тут кроется еще одна "красивая легенда" защиты персональны данных - аттестация. Аттестации ИСПДн в природе никогда не существовало, а существовал и существует аттестация АС. Для ИСПДн классов К1 и К2 аттестация АС была обязательной. Требования, опять же, определялись актом классификации АС, тогда как классификация ИСПДн была призвана не столько определить требования по защите (вернее, не только это), сколько определить характеристики ИСПДн через понятные интуитивно категории, позволяющие явно указать, кому, когда и сколько чего грозит, в случае нарушений и реализации рисков.
С введением приказа №58 стало очевидно, что защита ИСПДн пошла своим, если можно так сказать, уникальным путем развития. Фактически, состоялся переход от системы оценки соответствия (как это называлось на западе - комплаенса) к системе защиты с полным перекрытием, то есть защиты была не в соответствии каким-то ранее установленным характеристикам (впрочем, весьма правдивым в большинстве случаев), а в соответствии с требованиями ситуации (фактически, ранний риск-менеджмент). Требования к АС по прежнему составляют основу для защиты ИСПДн соответствующего класса. Однако, следуя формулировки нового нормативного документа, он предоставляет не обязательный к реализации набором требований к ИСПДн различных классов, а комплекс мер, судя по всему, достаточных для защиты этих ИСПДн. В документе нет ни слова об обязательности этих комплексов, а само понятие "требования" тщательно вычищено из него и заменено на политкорректное "методы и способы защиты..", предполагая, что этим можно воспользоваться, а вот нужно ли - решать вроде как вам.
Со своей точки зрения автор хочет напомнить, что данная формулировка создает обманчивую иллюзию возможности трактовать этот документ как набор рекомендаций. При этом не стоит забывать, что обязательность рекомендаций высших регуляторов никогда не была под сомнением. Если даже Стандарт Банка России, являясь необязательным просто по факту своего происхождения (обязательность применения ГОСТов была отменена в 2004 году), является фактически обязательным для финансовых и кредитных организаций в зоне ответственности этого самого Банка, то что говорить о "рекомендация" регулятора, гораздо более властного, чем ЦБ РФ?

Проблемы и несоответствия

Следует отметить, что с вводом приказа №58 и применением его в качестве авторитетного источника фактических требований к ИСПДн различных классов, выявился ряд проблем, большинство из которых не решено до сих пор, или имеет исключительно локальное решение, основанное на опыте наиболее крупного интегратора или авторитетного регулятора. Далее приводятся некоторые наиболее явные несоответствия с практикой и "объективной реальностью".

1. "Отмена" аттестации
   Факт отмены был зафиксирован исключительно через отсутствие соответствующего требования в составе документа. Действительно, регуляторы и крупные интеграторы признают, что необходимость аттестации АС для ИСПДн больше не регламентируется. Однако, былинный документ ГТК "Специальные требования и рекомендации по технической защите конфиденциальной информации", известный больше как СТР-К, вполне явно говорит в статье 2.17, что "объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации...". Согласно Положению об аттестации, на основе которого до сих пор и осуществляется эта пресловутая оценка соответствия, под объектом информатизации в том числе понимается АС. Если сложить это с тем фактом, что СТР-К обязателен для применения в государственных учреждениях, становится понятно, почему подавляющее большинство государственных заказчиков считают аттестацию по прежнему обязательным "знаком соответствия" разрабатываемых систем. ФСТЭК с ними вполне соглашается.
2. Требования к антивирусной защите, системе обнаружения вторжений и анализу защищенности
   Данные системы защиты от НСД начисто отсутствуют в РД 1992 года, поэтому их использование - исключительная прерогатива ИСПДн. Большинством специалистов применение этих систем считается обязательным. Логика этого, впрочем, понятна. Необходимость развертывания этих систем, это как минимум - дополнительный "кусок хлеба". Однако, приказ №58 дает весьма расплывчатые объяснения по этому поводу.
   Применение антивирусной защиты регламентируется пунктом 2.3 приказа, гласящим, что "в информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена..., или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты". Хотя формулировка "используются" наводит на мысль, что это не совсем то же самое, что "необходимо использовать" или "требуется использование", с этой подсистемой вопросов возникает меньше всего.
   Применение системы обнаружения вторжений и систем анализа защищенности регламентируется пунктом 2.4 приказа, где сказано: "при взаимодействии информационных систем с информационно-телекоммуникационными сетями международного обмена...методами и способами защиты информации от несанкционированного доступа являются: ...-обнаружение вторжений в информационную систему... - анализа защищенности информационных систем...". В целом, претензии к формулировке в части обязательности те же, что и раньше, но появляется новая проблема - пункт 2.2. того же приказа гласит: "...методы и способы защиты информации от несанкционированного доступа...в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению". А в приложении расписаны требования к основным подсистемам ИБ для каждого класса в пунктах 2-4. Об этих системах - ни слова. Все становится более-менее ясно в пунктах 5 и 6, где упоминаются эти две системы. Однако, структура документа и непрозрачные формулировки опять не дают понять, к чему именно и насколько необходимо применять эти средства защиты.
3. Формулировка требований к ИСПДн в зависимости от класса и характеристик, заданных оператором (типовые и специальные ИСПДн)
   Вдаваться в воспоминания "трехголового" приказа нет смысла, стоит лишь отметить, что он сформулирован таким образом, что классы К1-К4 применяются ко всем ИСПДн, однако признаки классификации есть в явном виде только для типовых ИСПДн. Эту проблему до сих (то есть до ввода положения об уровнях защищенности, которое уничтожит старую систему классификации) пытаются решить технические специалисты. Большинство приняло позицию, что для специальных ИСПДн класс определяется на основе модели угроз в соответствии с вербальным описанием класса, данным в пункте 14 этого приказа (там  же, где употребляется противоречивая формулировка "По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов), тем более, что на основе этих классов определяются требования к защите. Согласно пункту 15 "приказа Трех", класс специальной ИСПДн определяется на основе актуальных угроз безопасности. То есть фактически, для типовой ИСПДн для классификации достаточно классификационных признаков, а для специальной необходим перечень актуальных угроз. Однако, некоторые специалисты, по мнению автора, путают причину и следствие.
   Данный пример автором был почерпнут при анализе околотехнической брошюры одного известного российского производителя средств защиты. В ней говорится, что для ИСПДн К1 и К2 применение АПМДЗ является обязательным на основе существования актуальной угрозы загрузки с внешнего носителя. Авторы брошюры, то есть производители АПМДЗ, рассматривают необходимость применения средства защиты для защиты от актуальной угрозы, что совершенно верно. Однако, они утверждают, что актуальность угрозы определяется классом ИСПДн. Так, например "в системах К1 все оцениваемые угрозы являются актуальными по причине высокого уровня показателя опасности...". Эта фраза справедлива отчасти, однако, согласно документации, определить, является ли система К1 или нет, возможно только после определения актуальных угроз. А значит, могут быть угроз, неактуальные даже с учетом класса системы К1.
   Следует отметить, что угроза загрузки с внешнего носителя (приведенная в документе "Базовая модель угроз..." для ИСПДн практически каждого из возможных типов) будет актуальна в большинстве случаев, это объективный факт. На основе результата анализа угроз будет принято вполне закономерное решение нейтрализовать эту угрозу применением АПМДЗ, о чем и говорят авторы брошюры. Однако, нейтрализация актуальных угроз, согласно действующим нормативным документам, применяется настолько гибко только в отношении специальных ИСПДн, где определяющим является модель угроз, а не требования к классу из приказа №58. Если рассматриваемая ИСПДн - типовая, то применяются "методы и способы", описанные в приказе №58, а там про те же АПМДЗ - ни слова.

Вывод

На самом деле, стоит сказать, что подходы к защите ИСПДн разных типов, классов и характеристик определяются на сегодняшний момент скорее практикой, чем нормативными документами. Однако, такое состояние нормативных документов дает слишком большую свободу для толкований, которая недопустима в условиях текущего законодательства и осознанности гражданами (субъектами ПДн) и организациями (операторами ПДн) важности этого процесса.

Смещение приоритетов защиты информации. Часть 1. Теоретическая

В рамках данной серии статей автор хотел бы обсудить некоторые современные тенденции отечественной науки информационной безопасности, а также вопросы, возникающие на современном этапе развития информационных систем.

Целевые свойства безопасности информации

Согласно классической концепции обеспечения безопасности информации, информация имеет три свойства, которые определяются в качестве целевых. Это всем известные конфиденциальность, целостность и доступность.
________

Конфиденциальность, конфиденциальность информации, конфиденциальность ресурсов, конфиденциальность ресурсов АС – состояние информации (ресурсов, ресурсов АС), при котором доступ к ней (к ним) осуществляют только объекты, имеющие на это право [Р.50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»].

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и защите информации»]

Целостность, целостность информации, целостность ресурсов, целостность ресурсов АС – состояние информации (ресурсов, ресурсов АС), при котором ее (их) изменение осуществляется только преднамеренно субъектами, имеющими на него право [Р.50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»].

Целостность – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения) [РД ГТК РФ «Защита от несанкционированного доступа к информации. Термины и определения»].

Доступность, доступность информации, доступность ресурсов, доступность ресурсов АС – состояние информации (ресурсов, ресурсов АС), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно [Р.50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»].
________

В мировоззрении подавляющего большинства обывателей, а также достаточно большого числа ИТ-специалистов, защита информации прочно ассоциируется с обеспечением ее конфиденциальности. Причину данного явления понять несложно. Исторически, основной задачей того, что мы сейчас называем защитой информационных технологий (как совокупности методов и средств обработки информации в любом доступном виде) являлось не построение каких-либо систем высокой надежности и не подтверждение личности автора и неизменности информационного сообщения, а «строго хранить государственную и военную тайны». Собственно, с годами существенных изменений в этом направлении не произошло. Федеральная служба безопасности РФ, считающаяся отчего-то основным органом, регулирующим информационную безопасность в России, являясь правопреемницей Комитета госбезопасности, занимается исключительно аспектом обеспечения конфиденциальности информации в информационных системах (ИС) посредством ее шифрования (криптографического преобразования, строго говоря, но в данном контексте это одно и то же).

Такая ситуация привела к тому, что даже от специалиста в области высоких технологий, в ответ на вопрос «Как защитить, скажем, базу данных», можно услышать бодрое и безапелляционное: «Шифровать!». Такое восприятие частично как формируется, так и формирует подход заказчиков к разработке «защищенных» систем, где основным средство защиты является внедрение функций шифрования всего и вся. Что в свою очередь ведет не только к повышению затрат на саму защиту, но и, - что гораздо опаснее, - к формированию ложного чувства защищенности, выражаясь техническим языком, неосознанному принятию недопустимых рисков.

Следует отметить, что правильным ответом на вопрос, поставленный выше («Как защитить базу данных») является встречный вопрос: «От чего?». Так начинается реально продуктивный диалог, итогом которого будет как минимум осознание необходимых мер и средств защиты информации от всего комплекса угроз, способных нарушить ее основные свойства.

Развитие обеспечения безопасности информации на рубеже ХХ-ХХI веков

Вопросы технической защиты информации в России и в мире развивались не то, чтобы совсем самостоятельно, но практически не связано друг с другом. Долгое время мировой уровень информатизации существенно превышал аналогичный «показатель» по нашей стране, в результате, после падения «железного занавеса» и осознания необходимости развития информационной отрасли, была проделана колоссальная работа по стандартизации, плоды которой используются до сих пор. Следует отметить, что данный факт нельзя назвать целиком положительным, так как руководящие документы Гостехкомиссии (ныне – Федеральной службы технического и экспортного контроля) и государственные стандарты (ставшие необязательными), разработанные в начале 90-х годов, не учитывают массу решений, разработок, подходов и других достижений последнего времени, вследствие чего их применение носит скорее формальных характер, и зачастую затрудняет деятельность, чем способствует ее безопасности. В качестве примера можно рассмотреть знаменитое «Положение об аттестации объекта информатизации», которое необходимо применять в качестве руководящего документа при подтверждении соответствия информационных и автоматизированных систем.

Также в эти годы активно проводилась работа по локализации международных стандартов (ISO\IEC) в области защиты информации. К сожалению, необязательность применения ГОСТ в России, а также фактические несоответствия практик управления информационными технологиями в России и в мире привели к тому, что многие из этих локализованных стандартов присутствуют исключительно для объема и используются только в качестве источников определений, впрочем, как правило, противоречивых.

Переломным моментов в развитии защиты информации в России можно считать 2006 год, разработку Федерального закона № 152-ФЗ «О персональных данных». Законы в России и раньше служили источником некоторых норм в области деятельности по защите информации (например, законы «О связи», «О техническом регулировании», «Об информации, информационных технологиях и защите информации»), которые, в отличие от стандартов и международных подходов, были обязательными для исполнения. Однако, закон «О персональных данных» стал первым законом, который был, во-первых, полностью посвящен вопросам защиты информации, во-вторых, был обязателен для исполнения практически всеми структурами в стране (в отличие от законов «О государственной тайне», «О коммерческой тайне» и некоторых отраслевых законах, обязательных для исполнения только госструктурами или представителями отраслей).

Рассуждения о законе «О персональных данных» - предмет отдельной статьи, да и не одной. Автор не претендует на уникальность своего мнения на счет данного закона, считавшегося резонансным, и причинившего и продолжающего причинять массу «неудобств» многим юридическим лицам по всей стране. Стоит только отметить, что в ходе трехлетнего фактического опыта (с момента первой попытки ввести проверки на соответствие закону в конце 2009 года) применения данного закона, у ИТ-специалистов и специалистов в области безопасности накопился обширный перечень «проблем» и «несоответствий» положений данного закона с практикой, логикой и здравым смыслом. Несколько таких несоответствий также можно рассматривать в качестве предпосылок (или наоборот, признаков, сигналов) смещения приоритетов и направления развития науки информационной безопасности, поэтому будут описаны в данной статье ниже.

Приоритетным направлением современной информатизации можно считать автоматизацию технологических процессов, т.е. фактически введение элементов информационных технологий в процессы, выполняемые людьми или контролируемые людьми (производство, добыча полезных ископаемых и т. д.). Это можно считать очередным витком индустриализации, по сути – первым значимым изменением с момента отмены (или правильнее сказать – минимизации) ручного труда на производстве. Если в первом случае непосредственный труд производства перекладывался с людей на машины, управляемые людьми (станки, заводские роботы и т. д.), то в текущий момент происходит процесс перекладывания определенных элементов контроля и управления на автоматизированные системы, в том числе, в части принятия решений. Это не значит, что человек полностью исключается из технологического процесса, это значит, что он переходит на более высокий уровень управления, что требует существенного повышения квалификации. Функции, выполняемые ИС по отношению к основной деятельности, то есть производственному процессу, представляют собой информационную услугу, по сути представляемую ИТ-подразделением функциональному подразделению. И если говорить о целевых свойствах информации, то в данном вопросе определяющее значение имеют уже не столько конфиденциальность, сколько целостность и доступность.

В нашей стране данный подход рассматривается уже в контексте международных практик управления информационными технологиями и контроля (прим. – здесь следует учитывать, что слово «control» в английском языке имеет значение управления и наблюдения, в то время как его смысл в русском языке более узкий). Управленческие технологии в области ИТ, пришедшие в Россию, не поддаются счету, в их числе популярные нынче риск-менеджмент и управление лицензиями (активами). И, по аналогии с мировыми тенденциями развития, определяющими в данной деятельности становятся целевые свойства целостности информации (служебных данных, обрабатываемых в ИС), а также доступность информации (которая является ключевым свойством для ИС, предоставляющих информационные услуги).

Анализ причин смещения приоритетных целевых свойств безопасности информации

Автором был проанализирован переход в мировой, а затем и в российской информационно-технологической (ИТ) практике от приоритетного обеспечения конфиденциальности к обеспечению других свойств информации, прежде всего, целостность и доступности информационных ресурсов АС. Выявленные причины приведены ниже и пронумерованы от 1 до 4.

1.       Ценность свойств информации рассматривается, прежде всего, в контексте системы ценностей ее владельца. Конфиденциальность, целостность и доступность информации «сама по себе» не имеет значения. Владелец воспринимает ценность данных свойств, пропуская их через призму своего собственного, «естественного» риск-менеджмента, который зависит от целей обработки информации. Исторически, главной «опасностью» обработки информации был тот факт, что она может стать доступной лицам, которым она не предназначена. Со временем, при наличии факторов, описанных ниже, «опасность» изменилась – изменился и приоритет.

2.       Информация «сама себе» также не имеет ценности. Она имеет ценность в контексте ее использования. Если изначально в мире и, особенно в России, информация использовалась в интересах госструктур, то на сегодняшний момент информация является одним из ключевых активов бизнеса. В свою очередь, приоритет использования информационных активов бизнесов состоит в том, чтобы сделать информацию максимально доступной и правдоподобной.

3.       Концепция разграничения доступа в ИС, пришедшая из систем типа UNIX, до сих пор предполагает наличие пользователей привилегированного уровня, права которых урезать либо невозможно, либо технически сложно и неоправданно. В результате, информация так или иначе может быть похищена через пользователей системы различного уровня. Истинная задача создания закрытых систем, обрабатывающих информацию ограниченного доступа, в том, чтобы сделать хищение информации невыгодным, в том числе с правовой точки зрения. Если пользователей, которые реально могут похитить и разгласить большой объем критически важных данных, немного, то расследование и наказание не заставит себя ждать. Таким образом, разглашение информации – ситуация технически более реализуемая, а потому – не такая уж и непредвиденная. А вот уничтожение или искажение может иметь более критические последствия.

4.       Фактически на сегодняшний момент защита от разглашения и утечки информации реализуется через работу с персоналом, то есть через устранение человеческого фактора. В то время как защита от уничтожения и искажения информации, а также от нарушения доступа к информации – задача по большей части исключительно техническая и решается в более крупных масштабах.

Выводы

В результате анализа можно сделать вывод, что смещение приоритетов является закономерным следствием перехода информации их разряда секрета и тайны в разряд важного производственного актива. При этом нельзя сказать, что обеспечение конфиденциальности утратило свою значимость. Скорее обеспечение других свойств безопасности информации приобрело дополнительную ценность и осуществляется в большей степени в рамках управленческих технологий. В следующей части статьи будет рассмотрено, как эти изменения отражены в основных концептуальных документах в области ИТ-управления, таких как CObIT, ITIL, PMBoK и т. д.