Правовые аспекты системы безопасности

Именно страховая компания, которая покроет риски финансового института, вкладчиков и разработчика информационной системы может стать гарантом информационной безопасности.

Интерес к страхованию усиливается и высокой степенью возникновения пожаров, аварий, нарастанием криминогенной обстановки. Государственная либо коммерческая организация, обеспечивая безопасность информации, в том числе страхованием информационных рисков, привлекает этим клиентов, повышает надежность информационных систем и получает дополнительную прибыль.

В условиях рыночных отношений особенно актуальной становится проблема обязательной и добровольной формы страхования. К приоритетным относятся те объекты (обязательное страхование), гибель которых задевает не только интересы страхователей, но и всего общества.

При обязательном страховании почти на одну треть снижаются размеры страховых выплат в связи со сплошным охватом объектов страхования.

Указом Президента от 6 апреля 1994 г. "Об основных направлениях государственной политики в сфере обязательного страхования" установлено, что при разработке проектов законов РФ по данным вопросам обязательного страхования должно обеспечиваться первоочередное правовое урегулирование видов, непосредственно направленных на защиту прав и свобод человека и гражданина, гарантированных Конституцией РФ.

Одной из форм возмещения ущерба является страховая защита в виде обязательного страхования информационных рисков.

Обязательное страхование становится необходимым тогда, когда наносимый страховыми случаями ущерб задевает интересы не только страхователя, но и государства, всего общества.

При этом и страховщики и страхователи обязаны в силу закона участвовать в проведении соответствующих видов страхования.

Понимая, что интересы граждан только тогда надежно защищены, когда существует механизм возмещения информационных рисков, связанных с информационной безопасностью, можно создать специализированную страховую компанию по страхованию информационных рисков.

К информационным рискам относятся риски, связанные с потерей или искажением информации в компьютерах, сетях и системах в результате:

– отказов, сбоев технических и программных средств;

– внедрения "вирусов";

– неумышленных действий обслуживающего персонала;

– несанкционированных действий;

– утечки информации за счет побочных электромагнитных излучений и наводок.

Субъектами страхования (страхователями) могут выступать Сбербанк России и его филиалы, коммерческие банки, акционерные общества, ассоциации, корпорации, государственные организации, учреждения и пользователи (информационных систем, информационных ресурсов, систем автоматизации банковской деятельности, автоматизации офисов, систем и сетей автоматизации повседневной деятельности, систем обработки документооборота, программных и технических средств вычислительной техники).

Объем страхового поля определяется количеством средств вычислительной техники и программного обеспечения, имеющихся у пользователей. В настоящее время объем страхового поля по компьютерам составляет $3.6 млрд. Учитывая, что стоимость программного обеспечения составляет ориентировочно 50 % и не все компьютеры объединены в сети, объем страхового поля следует увеличить на $1.8 млрд. Общий объем страхового поля составляет $5.4 млрд.

При охвате 5 % страхового поля страховая сумма составит $270 млн. При среднем тарифе 2 % страховой взнос равен $5.4 млн.

Через систему страхования перераспределяется только до 2,8 % валового продукта Российской Федерации, что почти в 4 раза меньше уровня индустриально развитых стран Западной Европы, США и Японии.

Учитывая, что информационные системы охватывают всю территорию России, имеется возможность к неуклонному расширению сферы деятельности, к постоянному увеличению числа страхователей, к расширению территории деятельности, к открытию и функционированию филиалов страховой компании на местах.

Это дает предпосылки для эффективного проведения страховых операций и создания необходимых резервов для осуществления выплат по страховым случаям, а также получения прибыли.

Вывод: в настоящих условиях хаотичного рынка средств защиты информации целесообразно придерживаться следующих правил:

1. Прежде чем заключать деловые контакты о разработке или покупке средств защиты у сторонних организаций необходимо выяснить: имеет ли данная организация лицензию на выполнение работ по защите информации, какой вид деятельности разрешен, и соответствует ли он данной работе, не просрочена ли лицензия.

2. При наличии правильно оформленной лицензии необходимо проанализировать сертификат на средство защиты, определить, кем он выдан, когда и какие проводились испытания средства защиты информации, при каких условиях данное средство защиты будет нормально функционировать.

Выполнение указанных правил позволит избежать возможных неприятностей по обеспечению информационной безопасности и правильно использовать средство защиты.

Лекция 3. Требования руководящих документов по обеспечению информационной безопасности И НСД

Учебные вопросы:

1. Критерии безопасности компьютерных систем министерства обороны США («Оранжевая книга»).

2. Европейские критерии по обеспечению ИБ.

Вопрос 1. Критерии безопасности компьютерных систем министерства обороны США («Оранжевая книга»)

«Критерии безопасности компьютерных систем» («Trusted Computer System Evaluation Criteria») [1], получившие неформальное название «Оранжевая книга», были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии анализа политики безопасности, реализуемой в компьютерных системах военного назначения.

В данном документе были впервые нормативно определены такие понятия, как «политика безопасности», ТСВ и т. д. Согласно «Оранжевой книге, безопасная компьютерная система – это система, поддерживающая управление доступом к обрабатываемой в ней информации такое, что только соответствующим образом уполномоченные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.

Требования и критерии «Оранжевой книги»

В «Оранжевой книге» предложены три категории требований безопасности – политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних – на качество самих средств защиты (рисунок 1). Рассмотрим эти требования подробнее.

Рисунок 1. Критерии безопасности

Политика безопасности

Требование I. Политика безопасности

Система должна поддерживать точно определенную политику безопасности. Возможность осуществления субъектами доступа к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где необходимо, должна использоваться политика нормативного управления доступом, позволяющая эффективно реализовать разграничение доступа к категорированной информации (информации, отмеченной грифом секретности, типа «секретно». «совершенно секретно» и т. д.).

Требование 2. Метки

С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секретности) объекта и/или режимы доступа к этому объекту.

Аудит

Требование 3. Идентификация и аутентификация

Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.

Требование 4. Регистрация и учет

Для определения степени ответственности пользователей за действия а системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событии и выделять из него только те события, которые оказывают влияние на безопасность для сокращения объема протокола и повышения эффективности его анализа. Протокол событии должен быть надежно защищен от несанкционированного доступа, модификации или уничтожения.

Корректность

Требование 5. Контроль корректности функционирования средств защиты

Средства защиты должны содержать независимые аппетитные и/или программные компоненты, обеспечивающие работоспособность функций защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находится под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Требование 6. Непрерывность защиты

Все средства защиты (в т. ч. и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одним из ключевых аспектов формального доказательства безопасности системы.