Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обеспечение безопасности информации: задачи и решения

Обеспечение безопасности информации: задачи и решения

В рубрику "Тема номера" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Обеспечение безопасности информации: задачи и решения

А. А. КОНОНОВ, старший научный сотрудник ИСА РАН, кандидат технических наук А. К. Поликарпов, аспирант ИСА РАН
А. А. Кононов, старший научный сотрудник ИСА РАН, кандидат технических наук
А. К. Поликарпов, аспирант ИСА РАН

Задачи обеспечения доверия и гарантий безопасности

Что значит гарантированная безопасность? Это состояние безопасности, за которое кто-то готов поручиться, в том числе и деньгами, которые придется отдать, если это состояние будет нарушено и потребуется компенсация нанесенного ущерба. Для обеспечения гарантированной безопасности информации в автоматизированных компьютерных системах должны решаться задачи, представленные в виде схемы на рисунке.

Рисунок. Задачи обеспечения гарантированной безопасности информации в автоматизированных информационных системахВ настоящее время при реализации проектов создания автоматизированных информационных систем (АИС) в основном решаются задачи обеспечения достоверности данных, защиты информации и безопасности создаваемых систем. Но кто может поручиться, что это делается достаточно хорошо, кто может выступить гарантом безопасности принятых и реализованных решений? На этот вопрос не составило бы труда ответить, если бы при этом решались задачи обеспечения доверия и гарантий безопасности информации в создаваемых компьютерных системах. Система обеспечения доверия к безопасности информации должна: 1) определять критерии для оценки безопасности существующих и создаваемых систем; 2) собирать доказательства соответствия создаваемых систем этим критериям; 3) формулировать обоснованные предложения по совершенствованию существующих методов и систем обеспечения защищенности, безопасности и достоверности информации в тех случаях, когда они не удовлетворяют имеющимся критериям. Система обеспечения доверия должна быть тесно связана с системой обеспечения гарантий. Последняя должна обеспечивать наличие источников и ресурсов компенсации потерь и затрат на восстановление безопасного состояния систем в случае нарушения их безопасности. В результате гарантии безопасности должны следовать не только из ответственности пользователей и собственников АИС и их финансовых возможностей, но и из обязаделять критерии для оценки безопасности существующих и создаваемых систем; 2) собирать доказательства соответствия создаваемых систем этим критериям; 3) формулировать обоснованные предложения по совершенствованию существующих методов и систем обеспечения защищенности, безопасности и достоверности информации в тех случаях, когда они не удовлетворяют имеющимся критериям. Система обеспечения доверия должна быть тесно связана с системой обеспечения гарантий. Последняя должна обеспечивать наличие источников и ресурсов компенсации потерь и затрат на восстановление безопасного состояния систем в случае нарушения их безопасности. В результате гарантии безопасности должны следовать не только из ответственности пользователей и собственников АИС и их финансовых возможностей, но и из обязательств разработчиков, поставщиков услуг и страховых фирм, готовых страховать имеющиеся риски. Преимущество использования такой схемы состоит не столько в экономии средств пользователей АИС, сколько в создании системы большей ответственности и обеспечении большей безопасности при создании и эксплуатации АИС.

Неразвитость инфраструктуры обеспечения доверия

Другая проблема заключается в том, что на сегодняшний день инфраструктура обеспечения доверия и гарантий безопасности крайне не развита. Какие основания для обеспечения доверия существуют в настоящее время? Исполнение требований Гостехкомиссии РФ и ФСБ РФ и получение об этом сертификационных, лицензионных и атсвидетельств. Но требования Гостехкомис-сии и ФСБ охватывают далеко не все проблемы обеспечения информационной безопасности (ИБ).

Мировой опыт говорит о необходимости создания фирм, предоставляющих услуги аудита по всему перечню проблем обеспечения ИБ. Именно заключения аудиторских фирм, как правило, используются страховыми фирмами для определения условий страхования информационных и компьютерных рисков (киберрисков).

Система мониторинга и контроля

Для крупных государственных и коммерческих организаций еще одним способом приобретения доверия может стать система мониторинга и контроля над состоянием безопасности информационно-коммуникационной инфраструктуры (кибер-безопасности). Ее данные могли бы стать основой для принятия решений по условиям страхования рисков.

Институтом системного анализа Российской академии наук (ИСА РАН) разработаны системы автоматизации управления кибербезо-пасностью "АванГард" и "РискМенеджер", которые способны обеспечить приобретение доверия к системам информационной безопасности органов государственной власти и коммерческих организаций национального и транснационального масштаба.

Необходимость доверия к кибербезопасности

Развитие инфраструктуры и систем приобретения доверия к обеспечению информационной безопасности, несомненно, будет способствовать становлению и развитию систем обеспечения гарантий кибербезопасности. В свою очередь, развитие системы страхования киберрисков должно стать мощным механизмом обеспечения надежности систем получения доверия, поскольку страховщики всегда предпочтут верить только тем источникам, которые не допускают никаких подтасовок и неточностей в своих оценках имеющегося уровня безопасности.

Для стабильного развития инфраструктур и систем приобретения доверия и обеспечения гарантий безопасности в стране необходимо, чтобы все проекты информатизации, осуществляемые за счет государственных инвестиций, обязательно предусматривали обеспечение доверия к кибербезопасности и получение гарантий безопасности создаваемых информационно-коммуникационных систем.

Список литературы

  1. Кононов А.А., Бурдин О.А. Пример автоматизации аудита и управления информационной безопасностью компании // Петренко С.А., Петренко А.А. Аудит безопасности Intranet. — М, ДМК Пресс, 2002. — С. 286-332.
  2. Бурдин О.А., Кононов А.А. Комплексная экспертная система управления информационной безопасностью "АванГард" // Информационное общество, № 3, 2002. — С. 38-44.
  3. Черешкин Д.С., Кононов А.А. Концепция создания национальной инфраструктуры защиты информации // Научно-техническая информация, № 8, Сер. 1, 2003. — С. 9-12.
  4. Смолян Г.Л., Кононов А.А. Проблемы обеспечения гарантий безопасности информационного общества // Научно-техническая информация, № 8, Сер. 1, 2003. — С. 13-18.
  5. Кононов А.А. Принципиальные задачи управления безопасностью национальной информационно-телекоммуникационной инфраструктуры // Научно-техническая информация, № 8, Сер. 1, 2003. — С. 19-22.
  6. Бурдин О.А., Кононов А.А., Поликарпов А.К. Аксиоматика управления рисками и безопасностью автоматизированных информационных систем // Научно- техническая информация, № 8, Сер. 1, 2003. — С. 23-26.
  7. Кононов А.А., Поликарпов А.К. Автоматизация построения профилей защиты с использованием комплексной экспертной системы "АванГард" // Научно-техническая информация, № 8, Сер. 1, 2003. — С. 27-32.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2005

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"