О стандартизации в области информационной безопасности Доклад на V Международной конференции «Право и Интернет» М.В. Левашов, Мобильные ТелеСистемы 1. Об истории «технического регулирования» информационной безопасности. В начале июля текущего года вступил в силу Федеральный закон «О техническом регулировании»1, которому суждено стать важнейшей вехой в области стандартизации процедур защиты информационных технологий и информации в различных сферах деятельности. Исторически вопросами информационной безопасности (далее ИБ) отечественные корпоративные структуры начали серьезно интересоваться в середине 90-х годов, когда стало понятно, что без систематического внимания к этим проблемам невозможно дальнейшее развитие и укрепление корпоративных цифровых технологий, включая использование ресурсов сети Интернет. Такое понимание и, соответственно, внимание возникло в сфере частного бизнеса прежде всего в крупных финансовых структурах, в корпорациях нефтегазового комплекса, среди компаний, обеспечивающих системы связи и телекоммуникаций. К этому времени на ряде крупных предприятий (включая аудиторские и консалтинговые фирмы) появляются специалисты и подразделения, занимающиеся вопросами ИБ. Постепенно увеличивается глубина рассматриваемых проблем, начинают разрабатываться отечественные требования ИБ, а также применяться международные стандарты безопасности информационных технологий. Одними из первых отраслевых стандартов в области защиты информации появились стандарты газовой промышленности России: ОСТ 51-06-98. Информационные технологии. Защита информации. Алгоритм кодирования данных; ОСТ 51-07-98. Информационные технологии. Защита информации. Процедура цифровой аутентификации; ОСТ 51-08-98. Информационные технологии. Защита информации. Протокол формирования общего конфиденциального ключа; ОСТ 51-09-98. Информационные технологии. Защита информации. Хеширование. Вопросами создания корпоративных стандартов в области ИБ начали также активно заниматься и финансовые структуры. В частности, в настоящее время под эгидой Банка России ведется разработка банковского стандарта ИБ. Аналогичными вопросами занимаются также некоммерческие организации: Общественный комитет содействия внедрению стандартов ИБ банков2, а также Некоммерческое партнерство «Стандарты электронного обмена информацией»3. В последнее время тематикой разработки корпоративных стандартов ИБ заинтересовались крупные операторы фиксированной и мобильной связи. С начала 90-х годов начала развиваться отечественная нормативная база ИБ. Были приняты ряд важнейших нормативных актов (прежде всего, федеральные законы (далее ФЗ) «Об информации, информатизации и защите информации» и «Об электронной цифровой подписи»). Гостехкомиссия разработала значительное количество «Руководящих документов», регламентирующих вопросы организации и защиты информационных технологий, используемых в государственных структурах. ФАПСИ издало ряд нормативных документов для государственных и коммерческих предприятий, регулирующих вопросы криптографической защиты информации. Кроме того, были приняты ГОСТы на основные 1 Федеральный закон от 27.12.2002 № 184-ФЗ. См., напр.: Левашов М.В. Безопасность банковских и информационных технологий в расчетной (платежной) системе банка //Расчеты и операционная работа в банке, 2003, № 5. 3 http://www.stp.ru/ 2 1 элементы криптографической защиты (шифрование, хеширование, электронную цифровую подпись). В этот же период в разных странах начали появляться национальные стандарты безопасности информационных технологий. Некоторые из этих стандартов затем с помощью ISO перешли в разряд международных4. 2. О современной трактовке информационной безопасности. Безопасность это - состояние1, при котором отсутствует недопустимый риск5, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений. Информационную безопасность можно трактовать как отсутствие недопустимого риска, связанного с причинением прямого или косвенного имущественного (финансового) ущерба предприятию (физическому лицу), который вызван нарушением конфиденциальности, целостности и доступности информации. Состояние ИБ становится в настоящее время одним из рейтинговых показателей надежности и устойчивости предприятия. ИБ предполагает проведение ряда организационных (административных), технических, юридических, учебноконсультационных мероприятий, а также мероприятий социальной инженерии, направленных на предупреждение, обнаружение, отражение, ликвидацию всевозможных видов угроз функционированию информационной инфраструктуры предприятия, минимизацию или поддержание на фиксированном низком уровне рисков, а также минимизацию возможного ущерба, возникшего при реализации этих угроз. Особенностью обеспечения ИБ предприятия является участие в этой деятельности практически всех его сотрудников. Требования ИБ должны охватывать и реализовываться всеми должностными группами, начиная со вспомогательных служб (автохозяйство, блоки питания, хозяйственные блоки (уборка, ремонт) и др.), и заканчивая администраторами операционных (включая сетевые) и прикладных автоматизированных информационных систем, систем связи и телекоммуникаций. Все работники предприятия, так или иначе связанные с категорированной (см. п. 3.2) информацией, обязаны выполнять требования по ее защите. Как уже указывалось выше, этот тезис относится не только к сотрудникам, владеющим или имеющим права доступа к категорированной информации. Он весьма актуален и для работников, которые могут, исходя из своих должностных обязанностей, преодолевать лишь отдельные рубежи защиты (проходить внутрь помещений с ограниченным доступом, иметь доступ в компьютерную сеть без доступа к прикладному программному обеспечению, базам данных и др.). Защите должна подвергаться категорированная информация, носителями которой являются сами сотрудники, листы бумаги, магнитные, магнитооптические и другие устройства хранения информации, и которая передается (либо происходит ее утечка) по электромагнитным, акустическим и другим техническим каналам. Защите должны подвергаться также и те процедуры (порядки взаимодействия, регламенты и др.), с помощью которых категорированная информация создается, хранится, обрабатывается и передается. 3. Основные концептуальные вопросы стандартов ИБ. 3.1.Объекты и субъекты информационной безопасности (информация, информационные технологии, персонал, потенциальные нарушители и злоумышленники). ISO/IEC 15408, ISO/IEC 17799, ISO/IEC 13335, CobiT, а также ряд других международных документов, стандартизирующих (или представляющих наилучшие практики) область информационных технологий. 4 5 риск - вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда (см. сноску 1). 2 3.2.Категории информации, формируемые по принципу «от чего защищать» (разглашение, изменение, утрата (блокирование)). 3.3.Угрозы информационной безопасности. Под угрозой информационной безопасности понимается наличие потенциальной возможности использования категорированной информации или воздействия на категорированную информацию, ведущие к прямому или опосредованному ущербу6 для предприятия. Применимость угроз информационной безопасности к конкретной категорированной информации определяется моделями потенциального нарушителя7 и злоумышленника8. 3.4. Полнота (достаточность) защиты информации определяется, исходя из большого количества факторов, носящих как объективный, так и субъективный характер. Среди объективных факторов находятся, например: - строгие математические доказательства неких постулатов, характеризующих уровень защиты информации (сложность криптографических методов защиты, оценка радиуса охраняемого периметра в зависимости от степени затухания сигнала побочного излучения в технических каналах и т.д.), сделанные в рамках соответствующих моделей; - степень близости указанных выше моделей к реальным процессам; - степень реализации международных стандартов безопасности информационных технологий9; - степень реализации требований нормативных документов РФ (включая национальные стандарты), относящихся к ИБ; - степень реализации Руководящих документов Гостехкомиссии и требований ФАПСИ; - наличие на предприятии и состав нормативной базы по рассматриваемой тематике; - наличие документов, подтверждающих проведение внутреннего (внешнего) аудита вопросов ИБ; - наличие материалов, содержащих выводы проверок выполнения пользователями информационных ресурсов предприятия требований нормативных документов по вопросам защиты информации; - результаты мониторинга безопасности используемых на предприятии информационных систем; - наличие у фирм-производителей используемых на предприятии средств защиты информации государственных лицензий на данный вид деятельности; - наличие у используемых на предприятии средств защиты информации государственных сертификатов; - наличие соответствующим образом оформленных договоров между предприятием и внешними организациями об обмене информацией в электронном виде, предусматривающих достаточную степень защиты информации и возможность успешного для предприятия решения возможных спорных ситуаций в судебных органах; - наличие в договорах между предприятием и поставщиками информационных систем пунктов, связанных с информационной безопасностью. Субъективные факторы: - экспертная оценка, сделанная как внутренними, так и сторонними экспертами; - тестирование, проводящееся с учетом субъективного мнения опрашиваемых сотрудников предприятия; - степень информированности сотрудников предприятия о вопросах информационной безопасности. Финансовый ущерб, ущерб для имиджа и др. Работника предприятия (например, легального пользователя информационной системы). 8 Не работника предприятия. 9 ФЗ «О техническом регулировании» предусматривает приоритет международных стандартов перед национальными стандартами. 6 7 3 Достаточность защиты информации может также определяться путем построения и расчета специальных моделей. Например, путем доказательства следующего постулата: защита информации является достаточной, если дальнейшее увеличение расходов на нее не увеличивает разницу между возможным потенциальным предотвращенным ущербом и произведенными расходами на обеспечение ИБ. Основная сложность использования подобного подхода заключена в расчете потенциального предотвращенного ущерба. 4. Проблемы стандартизации ИБ. 4.1. Юридические проблемы связаны со следующими факторами. Во-первых, это – недостаточно развитая законодательная база. Ряд важных для рассматриваемого вопроса законопроектов находятся где-то в недрах законодательных органов РФ. Это, например, проекты ФЗ, связанные с электронным документом, с коммерческой тайной и др. Во-вторых, это – противоречивые, недостаточно проработанные и грамотные относящиеся к ИБ ФЗ как с точки зрения сути вопросов, так и с точки зрения соответствия известной мировой практике. Здесь, прежде всего, имеется в виду ФЗ «Об электронной цифровой подписи». В-третьих, это – не устоявшиеся и юридически слабо проработанные терминологические вопросы, которые оказывают существенное влияние на правоприменительную практику. В качестве примеров можно привести проблемы соотношения терминов шифровальные методы (техника), криптографические методы и методы кодирования; электронная цифровая подпись и цифровая аутентификация и т.д. Проблемы появляются в связи с тем, что некоторые нормативные акты РФ относятся к одним из этих терминов, но не относятся к другим, которые, по сути, обозначают одни и те же процедуры. В-четвертых, это – очень малый объем правоприменительной (судебной) практики по какимлибо спорным вопросам, относящимся к ИБ. 4.2. Технические проблемы охватывают значительное многообразие вопросов. Во-первых, существующие международные стандарты безопасности информационных технологий в большей (ISO 15408) или меньшей (ISO 17799) степени ориентированы на некие оболочки, наполнить конкретным содержанием которые должны специалисты, работающие в конкретных условиях конкретных предприятий и отраслей. Практическим же работникам хотелось бы иметь уже готовые правила, методы и способы решения задачи обеспечения ИБ. Ведь даже крупные предприятия не всегда в состоянии обеспечить своими силами и средствами задачу выработки корпоративного стандарта ИБ, а что уж говорить о средних и небольших организациях? Во-вторых, задачи обеспечения ИБ столь многообразны, что относятся к различным направлениям деятельности и наукам. Это – математика, автоматизированные системы и компьютерные технологии, юриспруденция и социальная инженерия, вопросы взаимодействия сложных систем и др. Поэтому бытующее в умах многих технических специалистов мнение о том, что для обеспечения ИБ достаточно защитить локальную компьютерную сеть предприятия от внешних сетей, например, путем использования известных стандартных методов подключения к внешним сетям и настроек межсетевых экранов, не совсем верно. Несомненно, что этот вопрос является очень важным. Однако, кроме него, существует еще много технических (не говоря о других) вопросов, которым, как правило, уделяется существенно меньшее внимание. При этом практика показывает, что нарушения ИБ происходят чаще всего именно на стыке различных наук. Третья проблема проистекает из огромного многообразия информационных технологий, которые получили распространение в мире при построении автоматизированных систем, и которые при этом продолжают быстро меняться и совершенствоваться. Получается, на первый взгляд, неразрешимая дилемма. С одной стороны очень сложно (да и практически невозможно) стандартизировать все эти технологии, с другой – невозможно, да и не нужно ограничиваться рамками каких-либо фиксированных технологий. 4 4.3. Вопросы социальной инженерии. Требования ИБ затрагивают интересы (проходят через) практически всех работников предприятия. Ситуация осложнена тем, что, наряду со своими основными обязанностями, эти работники должны выполнять, зачастую, непонятные и, поэтому, часто, отторгаемые функции и процедуры, связанные с выполнением требований ИБ. 4.4. Вопросы сохранения коммерческой тайны. Здесь основная проблема заключается в том, что при описании потенциальных угроз и методов противодействия им необходимо учитывать имеющийся практический опыт в отрасли (на предприятии). Однако этот опыт, как правило, является особо охраняемой конфиденциальной информацией. В связи с этим существует мнение о том, что стандарты ИБ вообще не нужны, а каждое предприятие должно самостоятельно с сохранением особой конфиденциальности проводить соответствующие работы. 5. Практические вопросы стандартизации ИБ. На последней конференции «Информационная безопасность корпорации: практический подход», организованной издательством "Открытые системы" и исследовательской компанией IDC и прошедшей в апреле 2003г. в Москве были обозначены следующие вопросы: • нормативно-правовое и методическое обеспечение ИБ; • лицензирование и сертификация в области ИБ; • методология оценки возможных угроз; • создание комплексной системы безопасности информации; • аудит, консалтинг и аутсорсинг в области защиты информации; • экономический аспект проблем безопасности; • персонал и безопасность; формирование корпоративной культуры безопасности. В этом перечне в том или ином виде присутствуют почти все интересующие нас вопросы. Однако при практическом решении на конкретном предприятии указанных выше задач стандартизации ИБ их «цена» в значительной степени не равнозначна. Наиболее сложными вопросами являются вопросы методологии исследования конкретных типов угроз, присущих конкретному предприятию, а также оценки связанных с этими угрозами рисков. Здесь специалист по ИБ должен весьма полно и досконально знать все используемые информационные и бизнес-технологии, а также историю информационных и связанных с ними финансовых «провалах», которые происходили на аналогичных предприятиях. По сути дела, исследователь должен уподобиться либо нарушителю7, либо (и) злоумышленнику8. Другими словами, если, например, речь идет о банковской сфере деятельности, то исследователь должен знать реализованные на практике случаи «воровства» денег из банков с использованием высоких технологий. Вторая группа сложных вопросов связана с упорядочиванием деятельности различного уровня администраторов информационных систем, а также «продвинутых» пользователей, которые имеют (могут получить) широкие административные права. Это - проблема обеспечения контроля за действиями администраторов, а также регламентация их деятельности. Вторая проблема – ограничение возможностей нерегламентированного использования информационной системы «продвинутыми» пользователями. Третья группа сложных вопросов сосредоточена в теме «Персонал и безопасность. Формирование корпоративной культуры безопасности». Это - проблема руководства предприятия, проблема различного уровня администраторов информационных систем и, наконец, проблема рядовых пользователей. В процессе обсуждения на различных уровнях перспектив создания некоторых корпоративных стандартов ИБ были выработаны следующие основные требования к будущим стандартам: 5 1) простота и понятность; 2) непротиворечивость терминов и определений; 3) открытость (под открытостью понимается как возможность развития данного стандарта, так и возможность последующей разработки и интеграции в стандарт документов более низкого уровня — уточняющих, дополняющих и детализирующих положения базового стандарта); 4) стандарт должен быть, по возможности, прямого действия (т.е. не должен требовать для своего применения дополнительных нормативных или распорядительных документов). Требования стандарта должны быть изложены в виде наилучших практик и опыта решения проблем безопасности; 5) стандарт должен быть разработан с учетом стандартов и технических отчетов ISO/IEC 15408, ISO/IEC 17799, ISO/IEC 13335, CobiT и ряда других международных документов, стандартизирующих (или представляющих наилучшие практики) область ИБ; 6) стандарт должен содержать механизмы его актуализации. 6