Безопасность электронного управления 1. Вступление Правительство придерживается принципа внедрения своих программ и предоставления услуг таким образом, чтобы они соответствовали потребностям граждан и предприятий, которым служит это правительство. Для того, чтобы повысить спрос на услуги электронного управления, жизненно важным является обеспечение доверия и уверенности этих групп. Безопасность является требованием, без которого любая организация почти стопроцентно понесет утраты. Безопасность – это существенный элемент в определении, внедрении и обеспечении функционирования услуг электронного управления. Она позволяет осуществлять управленческие процессы эффективно и оперативно.1 2. Что такое безопасность? Безопасность характеризируется как сохранение конфиденциальности и целостности, а также как беспрерывность наличия информации и информационных систем. • Конфиденциальность. Обеспечивает доступность информации только для лиц, уполномоченных на ее использование; например, такая информация, как корпоративные финансовые отчеты, личная информация, информация об имуществе в бизнесе, и любая другая информация, которая должна сохраняться для частного использования организации или некоторых ее работников. • Целостность. Охраняет точность и полноту информации и методов обработки, например, информация о переписи населения, экономические показатели или системы финансовых операций. Важно сохранять абсолютную точность и современность таких данных. • Наличие. Предоставляет возможность доступа авторизированным пользователям к информации и связанным активам при необходимости, например, системы, являющиеся важными для безопасности, жизненно важной поддержки и предвидения ураганов. Очень важно иметь постоянно в наличии информацию и ресурсы организации. Безопасность может включать предоставление услуг, дополняющих те, что относятся к одной из трех вышеописанных базовых категорий. К таким услугам относятся: 1. Аутентификация. Включает в себя идентификацию одного лица, которая 1 ‘Безопасность, правила и рекомендации относительно структуры стратегии электронного управления’, составлено Отделом электронного представительства Объединенного Королевства, ‘BS 7799’, создан Британским Институтом Стандартов, и ‘Введение в технологию открытого ключа и Федеральную инфраструктуру PKI (SP 800-32)’ составлен Национальным Институтом Стандартов и Технологий США, используются в качестве основной ссылки для этого занятия. Безопасность электронного управления предоставляет доказательство другому лицу того, что это лицо является тем, кем оно себя заявило; а также идентификация происхождения, которая предоставляет какому-либо лицу доказательство того, что происхождение полученных данных совпадает с заявленным их происхождением. 2. Контроль доступа. Обеспечивает защиту от несанкционированного использования ресурсов. Такой элемент защиты можно применять к разным типам доступа к широкому спектру ресурсов, например: использование коммуникационного ресурса, считывание, записывание или удаление информационного ресурса, а также оформление ресурса обработки. 3. Невозможность отказа от авторства. Защищает от случаев отрицания отправителем (или получателем) данных того, что эти данные (или подтверждение приема) были отправлены. Существует два типа услуг по обеспечению невозможности отказа от авторства. Первый тип являет собой невозможность отказа от авторства подтверждения происхождения информации, при котором получатель данных имеет подтверждение происхождения данных. Второй тип – это отказ от авторства подтверждения доставки информации, при котором отправитель получает подтверждение доставки данных. Он защищает от попытки получателя неправомерно отрицать факт получения им отправленных данных. 3. Активы электронного управления и их потенциальные угрозы Правительство использует ту же общественную сетевую инфраструктуру, что и другие в обществе, для обеспечения своих программ и предоставления услуг. В частности, Интернет является главным средством для общества в получении доступа к правительству и его услугам. С увеличивающимся числом пользователей, разбросанных по большой территории и с постоянным ростом правительственной сети, становится все более важным рассмотреть принятие мер по защите систем электронного управления. Перед тем, как организовывать все защитные меры по предотвращению опасности, необходимо совершить анализ рисков. Такой анализ предоставляет карту движения в направлении безопасности правительственной сетевой инфраструктуры. Он играет значимую роль в обнаружении активов, требующих защиты, потенциальных источников угроз и вероятных методов атаки. Активы услуг, основанных на электронном управлении, и которым нужна защита, включают в себя • Личные данные, связанные с клиентом каких либо услуг в рамках электронного управления, которые нужно защитить от утери, вреда или несанкционированного раскрытия в соответствии с законодательством о защите данных и конфиденциальности частной информации. Все клиенты несут ответственность за должную защиту их личных данных, когда таковы находятся в их личном распоряжении. • Базу корпоративной информации правительства в целом и организаций, предлагающих услуги электронного управления, которую нужно защитить от утери, несанкционированного раскрытия или добавления ошибочного содержимого. • Наличие и целостность предлагаемых услуг. Электронное Управление – Что нужно знать лидеру в сфере управления Страница 2 из 9 Безопасность электронного управления • Мандат аутентификации, который несанкционированного использования. • Предметы, представляющие денежную или другую ценность, которые нужно защитить от подделок. нужно защитить от подделок или Системы электронного управления стоят перед лицом многих угроз, как внутри, так и снаружи организации. С увеличением зависимости от информации угрозы становятся все более обширными, более амбициозными и чрезвычайно утонченными. Системы и услуги электронного управления нуждаются в защите от электронных атак, случайного повреждения, а также природных катаклизмов. Все эти угрозы могут прямо и косвенно использовать технические черты и характеристики систем информационной технологии и других систем, поддерживающих услуги в рамках электронного управления. Диаграмма, поданная ниже, (Рисунок 1.1) представляет классификацию рисков систем электронного управления. Рисунок 1.1 Риски, угрожающие безопасности электронного управления Риски, угрожающие безопасности Человеческие Ошибки Природные системы бедствия Потоп, пожар, Злонамеренные Незлонамеренные Ошибки землетрясение, программного/ ураган технического обеспечения Вне организации, напр. крекеры или хакеры Внутри организации, напр. рассерженные работники Несведущие работники Электронное Управление – Что нужно знать лидеру в сфере управления Страница 3 из 9 Безопасность электронного управления Для того чтобы совершить атаку на конкретную систему, злонамеренный нарушитель нуждается в методе, инструменте или приеме, использовав который, он может эксплуатировать разные открытые места системы. Приемы, обычно используемые нарушителями, включают в себя • Хакинг. Охватывает попытки неавторизированного доступа к системам ИТ, как изнутри компании, так и извне. Его методы включают в себя злоупотребление слабыми сторонами конфигурации или внедрения, несанкционированное использование мандата доступа и внутренние нарушение операционных процедур. • Программное обеспечение для атак (Malware). Сюда входят вирусы, черви, и Трояны. Сложность и разрушительный потенциал программ для атак является значительным. Большинство таких программ сейчас передаются в качестве приложений к электронной почте, но риск от неконтролируемого использования запоминающих устройств или доступ к активному контенту через браузер также не должны игнорироваться. • Атака, приводящая к отказу услуги. Она разработана для приведения системы во временное нерабочее состояние путем перезагрузки точек внешнего доступа к системе очень большим количеством запросов услуг. Другие методы атаки могут включать лица внутри компании, которые имеют возможность обойти разработанные установки безопасности для защиты от внешних атак; возможно создать или заполучить посредством подделки мандат доступа и таким образом совершить несанкционированный доступ к услугам электронного управления; а также несанкционированный контроль легитимного мандата доступа или другой информации или оборудования, полученных с помощью кражи, и которые потом можно предоставить для получения несанкционированного доступа к услугам электронного управления. Электронное управление должно также быть защищено от случайного повреждения. Такие случаи сложно предсказать, что делает точную оценку влияния таких угроз просто невозможной. Например, несведущие клиенты или другие пользователи могут неумышленно навредить процессу предоставления услуг электронного управления. Операторы и администраторы систем электронного управления также могут в связи с недостаточностью компетенции или неадекватными навыками причинить вред активам, которые они обслуживают, или прервать их доступность к использованию. 4. Задачи контроля по безопасности Для того, чтобы противостоять угрозам и защитить активы в их собственной среде, нужно применить специфические требования к контролю по безопасности в соответствии с индивидуальными потребностями каждой компании. Задачи контроля по безопасности должны быть на высоком уровне и нацелены на минимизацию отягощении процесса внедрения электронного управления. Также, возможно, понадобится принять во внимание следующие задачи при установлении системы противодействий в электронном управлении: • Поддержание безопасности доступа третьих лиц для защиты безопасности средств обработки информации организации и информационных активов, к которым открыт доступ третьих лиц. Таким образом, производится защита процесса внедрения услуг электронного управления и связанных с ним активов от внешних атак и вмешательств. Электронное Управление – Что нужно знать лидеру в сфере управления Страница 4 из 9 Безопасность электронного управления 5. • Управления пользователями для предотвращения несанкционированного доступа к информационным системам с целью обеспечения доступности услуг электронного управления только для авторизированных лиц и систем. • Применение криптографического контроля для защиты конфиденциальности, аутентичности или целостности информации. Таким образом, личная и другая информация, предоставленная в рамках услуг, не будет раскрыта или сделана доступной кроме как для авторизированных лиц и при надобности ее получения; появляется возможность простого отслеживания транзакций до их первоисточника; информация, полученная от или переданная с помощью услуги, не будет изменена или разрушена каким-либо другим образом. • Организация управления устойчивостью работы для противодействия вмешательствам в рабочий процесс и для защиты критически важных рабочих процессов от действия серьезных сбоев или поломок. Нужно также обеспечить устойчивый доступ к активам данных электронного управления при необходимости. • Пересмотр стратегии безопасности и процедур для обеспечения технического соответствия систем правилам и стандартам безопасности организации. Итак, услуги электронного управления, должны включать в себя точный учет важных операций. Обеспечение компьютерной безопасности Согласно Национальной Стратегии Безопасности Киберпространства (Соединенные Штаты Америки 2), «киберпространство состоит из сотен и тысяч связанных между собой компьютеров, серверов, маршрутизаторов, переключателей, и волоконно-оптических кабелей», которые дают возможность работать самым важным национальным инфраструктурам, а также глобальной общности. Таким образом, нормальное функционирование киберпространства является существенным для экономики и национальной безопасности страны и всеобщим интересом Земли. В Соединенных Штатах Америки, например, было определено восемь главных инфраструктурных секторов: банковское дело и финансы, страхование, химическая индустрия, нефте- и газовая промышленность, электрическая отрасль, правоохранительные органы, высшее образование, транспортный сектор (железная дорога), информационная технология и телекоммуникации, а также водоснабжение. В общем смысле, с национальной точки зрения, главным интересом является угроза системе безопасности относительно организованной компьютерной атаки, способной причинить подрывающее мощность вмешательство в важную инфраструктуру, экономику или национальную безопасность. С позиций правительства, главным вопросом является безопасность его инфраструктуры электронного управления, и тех информационных активов, которые есть необходимыми для поддержки его главных миссий и услуг. Для обеспечения компьютерной безопасности, а также своей собственной национальной безопасности, каждое правительство должно разработать стратегию национальной безопасности, излагающей основоположные стратегии и базовую структуру принципов и определяющей роли каждого правительственного агентства. 2 www.whitehouse.gov/pcipb/ Электронное Управление – Что нужно знать лидеру в сфере управления Страница 5 из 9 Безопасность электронного управления 5.1 Сформулированная стратегия В общем смысле, задачи такого курса деятельности и подчиненных стратегий следующие: • Предотвращение компьютерных атак против важных инфраструктур нации. • Уменьшение уязвимости к атакам на национальном уровне. • Минимизация вреда и периода восстановления после совершенных компьютерных атак. Мерами предотвращения с целью обеспечения компьютерной безопасности являются следующие шаги: • Формулировка стратегий для обеспечения безопасности киберпространства путем предоставления направлений действий и руководства, которые формируют организационную структуру системы безопасности и определяют приоритеты безопасности киберпространства. • Учреждение ответственного агентства в центральном правительстве и уточнение ролей каждого правительственного агентства. • Определение шагов по улучшению среды безопасности киберпространства. • Помощь агентствам в борьбе с компьютерными атаками, включая координирование по отчетам о компьютерных атаках и при установлении системы сигнализации, связанной с соответствующими правительственными органами. Национальная Стратегия Безопасности Киберпространства Соединенных Штатов Америки выводит пять национальных приоритетов. 1. Система реагирования в рамках киберпространства. 2. Программа обеспечения безопасности киберпространства и уменьшения уязвимости. 3. Программа умножения знаний и обучения в сфере киберпространства. 4. Защита правительственного киберпространства. 5. Национальная безопасность и международное обеспечения безопасности киберпространства. сотрудничество в рамках Первый приоритет фокусируется на улучшении ответных действий правительства на инциденты киберпространства и снижение потенциального вреда от таких инцидентов. Второй, третий, и четвертый приоритеты нацелены на снижение угроз и уязвимости перед компьютерными атаками. Пятый приоритет поставлен предотвращать компьютерные атаки, способные влиять на активы государственной безопасности, а также улучшить международное управление и реакцию на такие атаки. Электронное Управление – Что нужно знать лидеру в сфере управления Страница 6 из 9 Безопасность электронного управления 5.2 Ответственный орган Необходимо создание центрального ответственного органа правительства и связанной системы управления и координации безопасности. Орган должен иметь четкие полномочия, обязанности и функции. Набор работников включает в себя назначение на должность главного управляющего по информации этого органа, менеджеров по безопасности и системных администраторов для его штаб-квартиры и подразделений. Также нужно создать контактную систему с разными уровнями контактной информации между ответственным правительственным органом и другими агентствами правительства. В Соединенных Штатах Америки, например, Отдел Внутренней Безопасности (DHS) новое ведомство высшего уровня, созданное после 11 сентября 2001 года, является центральным органом по обеспечению компьютерной безопасности. Он объединяет двадцать-два федеральных органа и исполняет важные обязанности относительно безопасности киберпространства, которые включают: • Разработку всестороннего национального плана обеспечения безопасности ключевых ресурсов и важной инфраструктуры Соединенных Штатов Америки. • Осуществление антикризисного управления в качестве реакции на атаки на критически важные информационные системы. • Обеспечение технической поддержки частного сектора и других правительственных органов относительно планов восстановления в чрезвычайных ситуациях при сбоях важных информационных систем. • Координация наряду с другими агентствами федерального правительства с целью предоставления специфической предупреждающей информации и советов относительно должных превентивных мер и контрдействий организациям уровня штата, местного уровня, и неправительственным организациям, включая частный сектор, научные сферы, и общественный сектор. • Проведение и финансирование исследований и разработок совместно с другими агентствами для формирования нового научного понимания и технологий в поддержку внутренней безопасности. В соответствии со своими обязанностями, DHS работает также как передовой агент диалога федерального уровня с уровнем штата, местным уровнем, и неправительственным организациям, включая частный сектор, научные сферы, и общественный сектор. 5.3 Система отчетности Система отчетности нужна для обмена информацией относительно уровня готовности к чрезвычайным ситуациям. Она должна детализировать процессы, которые агентства должны поддерживать для улучшения координации и взаимодействия с релевантным центральным правительственным органом. Отдельные агентства должны иметь возможность повышать уровень безопасности не только для них самих, но и также для других агентств правительства. Следовательно, когда агентство сталкивается с инцидентами в сфере безопасности, оно должно реагировать таким образом, чтобы не только защитить свои собственные активы информации, но и проинформировать об опасности и помочь другим агентства под угрозой влияния атаки. Электронное Управление – Что нужно знать лидеру в сфере управления Страница 7 из 9 Безопасность электронного управления Следующие пункты, возможно, понадобятся для создания эффективной системы отчетности и предупреждений. • Формулировка четко определенной процедуры отчета. В случае наступления инцидентов в сфере безопасности, созданных извне, о них нужно немедленно проинформировать ответственный центральный правительственный орган для удостоверения того, что более эффективная информация относительно компьютерных атак будет передана всем правительственным агентствам. В этом отношении, нужно определить список типов информации, которую нужно распространить между агентствами и ответственным центральным правительственным органом, а также условия, при которых необходимо осуществить передачу информации. • Способность обеспечения передачи сигналов тревоги и предупреждения со стороны ответственного центрального правительственного органа через контактную систему и получения их соответствующим служащим каждого агентства, чтобы таким образом можно было активизировать принятие предупреждающих мер своевременно и эффективно. • Способность вызнать при необходимости тот факт, что сообщения со стороны ответственного центрального правительственного органа были получены вместе с возможностью объяснения корректировочных действий, совершенных отдельными агентствами. 5.4 Сигнальная система В Соединенных штатах Америки, Национальная Компьютерная Сигнальная Система (www.us-cert.gov) была внедрена Отделом DHS с целью предоставления консультаций и решений, а также предупреждений относительно компьютерных угроз и уязвимых сфер. На данный момент, она содержит четыре категории сигналов тревоги. • Технические компьютерные сигналы тревоги, предоставляющие своевременную информацию о текущих проблемах безопасности, уязвимых сферах и действиях. • Компьютерные сигналы тревоги, предоставляющие основные положения относительно шагов и действий, какие могут предпринять нетехнические домашние и корпоративные пользователи для защиты себя от атак. • Бюллетени компьютерной безопасности, предоставляющие раз в две недели отчеты о проблемах безопасности и новых слабых зонах. Они также предоставляют информацию об исправлениях, обходных маневрах и других действиях для помощи в уменьшении риска. • Подсказки компьютерной безопасности, которые описывают и предлагают консультации относительно общих проблем безопасности для нетехнических пользователей компьютеров. Команда по обеспечению готовности к чрезвычайным ситуациям в компьютерной сфере, подчиняемая DHS, несет ответственность за защиту национальной инфраструктуры Интернет путем координации оборонных действий против и в ответ на компьютерные атаки. Электронное Управление – Что нужно знать лидеру в сфере управления Страница 8 из 9 Безопасность электронного управления Несомненно, обеспечение компьютерной безопасности является сложной стратегической задачей для любого правительства и требует скоординированных и сосредоточенных усилий со стороны правительства на всех уровнях, частного сектора, и общественности. Таким образом, все заинтересованные стороны должны внести свой вклад в обеспечение безопасности киберпространства. Но поощрение процесса создания и участия в сотрудничестве общественного и частного секторов, которое способствует формированию осведомленности, подготовке персонала, стимуляции рыночных сил, улучшению технологии, идентификации и исправлению слабых сторон, обмену информацией и планированию операций по восстановлению – все это является в первую очередь заботой правительства. Электронное Управление – Что нужно знать лидеру в сфере управления Страница 9 из 9