От защиты информации к управлению рисками

Принятие закона «О техническом регулировании» (он вступил в силу нынешним летом) и так называемых «Общих критериев» (серия стандартов ГОСТ ИСО/МЭК 15408) меняет парадигму информационной безопасности. Если до недавнего времени под информационной безопасностью в основном понималась защита государственных и других секретов от разглашения, то с внедрением ИТ акцент сместился в сторону предот?вращения катастроф и аварий, вызванных как самопроизвольными, так и спровоцированными сбоями в информационных системах. Теперь уже говорят не о защите данных, а о защите человека от нарушения работы информационных систем.

Впервые слово «риск» применительно к информационной безопасности появилось в «Общих критериях», а более поздний закон «О техническом регулировании» уже базируется на основе управления рисками для их минимизации. В законе содержится три основных требования: защита жизни и имущества граждан и государства, экологическая безопасность, предотвращение обмана. Их нарушение может быть связано в том числе и с системами автоматического управления. Однако кроме классической триады свойств информационной безопасности — целостности, доступности и конфиденциальности данных — приходится обеспечивать также функциональную безопасность, которая характеризует безаварийную работу системы при отсутствии внешних деструктивных воздействий на информацию. К сожалению, сейчас с внедрением новых технологий снизилась даже функциональная безопасность потенциально вредных для здоровья людей объектов или систем.

Реализации новой парадигмы информационной безопасности будут способствовать подготовке Госстандартом РФ пакета из 38 стандартов, затрагивающих те или иные аспекты информационных систем. Они разрабатываются в соответствии с комплексной государственной программой по информационной безопасности, которая принята на период с 2003-го по 2010 годы. Планируется согласовать эти стандарты между собой и с международными документами, предусмотреть источники финансирования для их соблюдения. Первыми будут приниматься регламенты «Общих критериев» для таких компонентов, как операционные системы, межсетевые экраны и базы данных.

Примером попытки решить проблему информационной безопасности является программа «Электронная Москва», в рамках которой создана городская система информационной безопасности. Она нацелена на защиту населения, предприятий и органов власти от информационных угроз, а также на сохранение целостности, конфиденциальности и доступности информации о деятельности государственных органов. Для этого в программе предусмотрено четыре мероприятия: разработка нормативно-правовой базы для информационной безопасности, внедрение московского удостоверяющего центра, создание системы мониторинга государственных информационных ресурсов и построение резервного центра для надежного хранения информации государственных органов. Уже объявлено четыре конкурса для их реализации. И хотя пока разработчики придерживаются старых стандартов, но должны быть готовы к быстрому переходу на новые требования, после того как они будут приняты на уровне законов.


Техническое регулирование и безопасность

Законодательство РФ о техническом регулировании состоит из Закона, принимаемых в соответствии с ним федеральных законов и иных нормативных актов. Федеральные органы исполнительной власти вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, установленных для оборонной продукции, работ или услуг, а также если сведения о таковых составляют государственную тайну. Порядок разработки, принятия и применения документов о стандартизации в отношении упомянутых выше продукции, работах или услугах устанавливается Правительством РФ. Таким образом, деятельность в области информационной безопасности по-прежнему будет регулироваться Гостехкомиссией, наследниками ФАПСИ и иными органами, уполномоченными правительством... Разработка технических регламентов для этой важнейшей области ИТ Законом не предусмотрена.

Технические регламенты могут разрабатываться на основе международных или национальных стандартов и приниматься в целях защиты жизни или здоровья граждан, имущества физических или юридических лиц, государственного или муниципального имущества, охраны окружающей среды, жизни или здоровья животных и растений, а также предупреждения действий, вводящих в заблуждение приобретателей...

Информационная безопасность Законом не выделена. Следовательно, требования к ИТ должны предъявляться в технических регламентах только как к источникам перечисленных в Законе рисков. Скажем, соответствующие элементы ИТ могут рассматриваться в виде продукции, представляющей для потребителя электрическую опасность. В то же время информационная безопасность, надежность, качество, эффективность, совместимость, взаимозаменяемость и иные важнейшие свойства ИТ не подлежат регламентированию.

— Из статьи Андрея Баутова
«Техническое регулирование и современность», «Директор информационной службы», № 4, 2003.