Смещение приоритетов защиты информации. Часть 1. Теоретическая

В рамках данной серии статей автор хотел бы обсудить некоторые современные тенденции отечественной науки информационной безопасности, а также вопросы, возникающие на современном этапе развития информационных систем.

Целевые свойства безопасности информации

Согласно классической концепции обеспечения безопасности информации, информация имеет три свойства, которые определяются в качестве целевых. Это всем известные конфиденциальность, целостность и доступность.
________

Конфиденциальность, конфиденциальность информации, конфиденциальность ресурсов, конфиденциальность ресурсов АС – состояние информации (ресурсов, ресурсов АС), при котором доступ к ней (к ним) осуществляют только объекты, имеющие на это право [Р.50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»].

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и защите информации»]

Целостность, целостность информации, целостность ресурсов, целостность ресурсов АС – состояние информации (ресурсов, ресурсов АС), при котором ее (их) изменение осуществляется только преднамеренно субъектами, имеющими на него право [Р.50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»].

Целостность – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения) [РД ГТК РФ «Защита от несанкционированного доступа к информации. Термины и определения»].

Доступность, доступность информации, доступность ресурсов, доступность ресурсов АС – состояние информации (ресурсов, ресурсов АС), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно [Р.50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»].
________

В мировоззрении подавляющего большинства обывателей, а также достаточно большого числа ИТ-специалистов, защита информации прочно ассоциируется с обеспечением ее конфиденциальности. Причину данного явления понять несложно. Исторически, основной задачей того, что мы сейчас называем защитой информационных технологий (как совокупности методов и средств обработки информации в любом доступном виде) являлось не построение каких-либо систем высокой надежности и не подтверждение личности автора и неизменности информационного сообщения, а «строго хранить государственную и военную тайны». Собственно, с годами существенных изменений в этом направлении не произошло. Федеральная служба безопасности РФ, считающаяся отчего-то основным органом, регулирующим информационную безопасность в России, являясь правопреемницей Комитета госбезопасности, занимается исключительно аспектом обеспечения конфиденциальности информации в информационных системах (ИС) посредством ее шифрования (криптографического преобразования, строго говоря, но в данном контексте это одно и то же).

Такая ситуация привела к тому, что даже от специалиста в области высоких технологий, в ответ на вопрос «Как защитить, скажем, базу данных», можно услышать бодрое и безапелляционное: «Шифровать!». Такое восприятие частично как формируется, так и формирует подход заказчиков к разработке «защищенных» систем, где основным средство защиты является внедрение функций шифрования всего и вся. Что в свою очередь ведет не только к повышению затрат на саму защиту, но и, - что гораздо опаснее, - к формированию ложного чувства защищенности, выражаясь техническим языком, неосознанному принятию недопустимых рисков.

Следует отметить, что правильным ответом на вопрос, поставленный выше («Как защитить базу данных») является встречный вопрос: «От чего?». Так начинается реально продуктивный диалог, итогом которого будет как минимум осознание необходимых мер и средств защиты информации от всего комплекса угроз, способных нарушить ее основные свойства.

Развитие обеспечения безопасности информации на рубеже ХХ-ХХI веков

Вопросы технической защиты информации в России и в мире развивались не то, чтобы совсем самостоятельно, но практически не связано друг с другом. Долгое время мировой уровень информатизации существенно превышал аналогичный «показатель» по нашей стране, в результате, после падения «железного занавеса» и осознания необходимости развития информационной отрасли, была проделана колоссальная работа по стандартизации, плоды которой используются до сих пор. Следует отметить, что данный факт нельзя назвать целиком положительным, так как руководящие документы Гостехкомиссии (ныне – Федеральной службы технического и экспортного контроля) и государственные стандарты (ставшие необязательными), разработанные в начале 90-х годов, не учитывают массу решений, разработок, подходов и других достижений последнего времени, вследствие чего их применение носит скорее формальных характер, и зачастую затрудняет деятельность, чем способствует ее безопасности. В качестве примера можно рассмотреть знаменитое «Положение об аттестации объекта информатизации», которое необходимо применять в качестве руководящего документа при подтверждении соответствия информационных и автоматизированных систем.

Также в эти годы активно проводилась работа по локализации международных стандартов (ISO\IEC) в области защиты информации. К сожалению, необязательность применения ГОСТ в России, а также фактические несоответствия практик управления информационными технологиями в России и в мире привели к тому, что многие из этих локализованных стандартов присутствуют исключительно для объема и используются только в качестве источников определений, впрочем, как правило, противоречивых.

Переломным моментов в развитии защиты информации в России можно считать 2006 год, разработку Федерального закона № 152-ФЗ «О персональных данных». Законы в России и раньше служили источником некоторых норм в области деятельности по защите информации (например, законы «О связи», «О техническом регулировании», «Об информации, информационных технологиях и защите информации»), которые, в отличие от стандартов и международных подходов, были обязательными для исполнения. Однако, закон «О персональных данных» стал первым законом, который был, во-первых, полностью посвящен вопросам защиты информации, во-вторых, был обязателен для исполнения практически всеми структурами в стране (в отличие от законов «О государственной тайне», «О коммерческой тайне» и некоторых отраслевых законах, обязательных для исполнения только госструктурами или представителями отраслей).

Рассуждения о законе «О персональных данных» - предмет отдельной статьи, да и не одной. Автор не претендует на уникальность своего мнения на счет данного закона, считавшегося резонансным, и причинившего и продолжающего причинять массу «неудобств» многим юридическим лицам по всей стране. Стоит только отметить, что в ходе трехлетнего фактического опыта (с момента первой попытки ввести проверки на соответствие закону в конце 2009 года) применения данного закона, у ИТ-специалистов и специалистов в области безопасности накопился обширный перечень «проблем» и «несоответствий» положений данного закона с практикой, логикой и здравым смыслом. Несколько таких несоответствий также можно рассматривать в качестве предпосылок (или наоборот, признаков, сигналов) смещения приоритетов и направления развития науки информационной безопасности, поэтому будут описаны в данной статье ниже.

Приоритетным направлением современной информатизации можно считать автоматизацию технологических процессов, т.е. фактически введение элементов информационных технологий в процессы, выполняемые людьми или контролируемые людьми (производство, добыча полезных ископаемых и т. д.). Это можно считать очередным витком индустриализации, по сути – первым значимым изменением с момента отмены (или правильнее сказать – минимизации) ручного труда на производстве. Если в первом случае непосредственный труд производства перекладывался с людей на машины, управляемые людьми (станки, заводские роботы и т. д.), то в текущий момент происходит процесс перекладывания определенных элементов контроля и управления на автоматизированные системы, в том числе, в части принятия решений. Это не значит, что человек полностью исключается из технологического процесса, это значит, что он переходит на более высокий уровень управления, что требует существенного повышения квалификации. Функции, выполняемые ИС по отношению к основной деятельности, то есть производственному процессу, представляют собой информационную услугу, по сути представляемую ИТ-подразделением функциональному подразделению. И если говорить о целевых свойствах информации, то в данном вопросе определяющее значение имеют уже не столько конфиденциальность, сколько целостность и доступность.

В нашей стране данный подход рассматривается уже в контексте международных практик управления информационными технологиями и контроля (прим. – здесь следует учитывать, что слово «control» в английском языке имеет значение управления и наблюдения, в то время как его смысл в русском языке более узкий). Управленческие технологии в области ИТ, пришедшие в Россию, не поддаются счету, в их числе популярные нынче риск-менеджмент и управление лицензиями (активами). И, по аналогии с мировыми тенденциями развития, определяющими в данной деятельности становятся целевые свойства целостности информации (служебных данных, обрабатываемых в ИС), а также доступность информации (которая является ключевым свойством для ИС, предоставляющих информационные услуги).

Анализ причин смещения приоритетных целевых свойств безопасности информации

Автором был проанализирован переход в мировой, а затем и в российской информационно-технологической (ИТ) практике от приоритетного обеспечения конфиденциальности к обеспечению других свойств информации, прежде всего, целостность и доступности информационных ресурсов АС. Выявленные причины приведены ниже и пронумерованы от 1 до 4.

1.       Ценность свойств информации рассматривается, прежде всего, в контексте системы ценностей ее владельца. Конфиденциальность, целостность и доступность информации «сама по себе» не имеет значения. Владелец воспринимает ценность данных свойств, пропуская их через призму своего собственного, «естественного» риск-менеджмента, который зависит от целей обработки информации. Исторически, главной «опасностью» обработки информации был тот факт, что она может стать доступной лицам, которым она не предназначена. Со временем, при наличии факторов, описанных ниже, «опасность» изменилась – изменился и приоритет.

2.       Информация «сама себе» также не имеет ценности. Она имеет ценность в контексте ее использования. Если изначально в мире и, особенно в России, информация использовалась в интересах госструктур, то на сегодняшний момент информация является одним из ключевых активов бизнеса. В свою очередь, приоритет использования информационных активов бизнесов состоит в том, чтобы сделать информацию максимально доступной и правдоподобной.

3.       Концепция разграничения доступа в ИС, пришедшая из систем типа UNIX, до сих пор предполагает наличие пользователей привилегированного уровня, права которых урезать либо невозможно, либо технически сложно и неоправданно. В результате, информация так или иначе может быть похищена через пользователей системы различного уровня. Истинная задача создания закрытых систем, обрабатывающих информацию ограниченного доступа, в том, чтобы сделать хищение информации невыгодным, в том числе с правовой точки зрения. Если пользователей, которые реально могут похитить и разгласить большой объем критически важных данных, немного, то расследование и наказание не заставит себя ждать. Таким образом, разглашение информации – ситуация технически более реализуемая, а потому – не такая уж и непредвиденная. А вот уничтожение или искажение может иметь более критические последствия.

4.       Фактически на сегодняшний момент защита от разглашения и утечки информации реализуется через работу с персоналом, то есть через устранение человеческого фактора. В то время как защита от уничтожения и искажения информации, а также от нарушения доступа к информации – задача по большей части исключительно техническая и решается в более крупных масштабах.

Выводы

В результате анализа можно сделать вывод, что смещение приоритетов является закономерным следствием перехода информации их разряда секрета и тайны в разряд важного производственного актива. При этом нельзя сказать, что обеспечение конфиденциальности утратило свою значимость. Скорее обеспечение других свойств безопасности информации приобрело дополнительную ценность и осуществляется в большей степени в рамках управленческих технологий. В следующей части статьи будет рассмотрено, как эти изменения отражены в основных концептуальных документах в области ИТ-управления, таких как CObIT, ITIL, PMBoK и т. д.