Александр Кришталюк - Правовые аспекты системы безопасности

При этом и страховщики и страхователи обязаны в силу закона участвовать в проведении соответствующих видов страхования.

Понимая, что интересы граждан только тогда надежно защищены, когда существует механизм возмещения информационных рисков, связанных с информационной безопасностью, можно создать специализированную страховую компанию по страхованию информационных рисков.

К информационным рискам относятся риски, связанные с потерей или искажением информации в компьютерах, сетях и системах в результате:

– отказов, сбоев технических и программных средств;

– внедрения "вирусов";

– неумышленных действий обслуживающего персонала;

– несанкционированных действий;

– утечки информации за счет побочных электромагнитных излучений и наводок.

Субъектами страхования (страхователями) могут выступать Сбербанк России и его филиалы, коммерческие банки, акционерные общества, ассоциации, корпорации, государственные организации, учреждения и пользователи (информационных систем, информационных ресурсов, систем автоматизации банковской деятельности, автоматизации офисов, систем и сетей автоматизации повседневной деятельности, систем обработки документооборота, программных и технических средств вычислительной техники).

Объем страхового поля определяется количеством средств вычислительной техники и программного обеспечения, имеющихся у пользователей. В настоящее время объем страхового поля по компьютерам составляет $3.6 млрд. Учитывая, что стоимость программного обеспечения составляет ориентировочно 50 % и не все компьютеры объединены в сети, объем страхового поля следует увеличить на $1.8 млрд. Общий объем страхового поля составляет $5.4 млрд.

При охвате 5 % страхового поля страховая сумма составит $270 млн. При среднем тарифе 2 % страховой взнос равен $5.4 млн.

Через систему страхования перераспределяется только до 2,8 % валового продукта Российской Федерации, что почти в 4 раза меньше уровня индустриально развитых стран Западной Европы, США и Японии.

Учитывая, что информационные системы охватывают всю территорию России, имеется возможность к неуклонному расширению сферы деятельности, к постоянному увеличению числа страхователей, к расширению территории деятельности, к открытию и функционированию филиалов страховой компании на местах.

Это дает предпосылки для эффективного проведения страховых операций и создания необходимых резервов для осуществления выплат по страховым случаям, а также получения прибыли.

Вывод: в настоящих условиях хаотичного рынка средств защиты информации целесообразно придерживаться следующих правил:

1. Прежде чем заключать деловые контакты о разработке или покупке средств защиты у сторонних организаций необходимо выяснить: имеет ли данная организация лицензию на выполнение работ по защите информации, какой вид деятельности разрешен, и соответствует ли он данной работе, не просрочена ли лицензия.

2. При наличии правильно оформленной лицензии необходимо проанализировать сертификат на средство защиты, определить, кем он выдан, когда и какие проводились испытания средства защиты информации, при каких условиях данное средство защиты будет нормально функционировать.

Выполнение указанных правил позволит избежать возможных неприятностей по обеспечению информационной безопасности и правильно использовать средство защиты.

Учебные вопросы:

1. Критерии безопасности компьютерных систем министерства обороны США («Оранжевая книга»).

2. Европейские критерии по обеспечению ИБ.

«Критерии безопасности компьютерных систем» («Trusted Computer System Evaluation Criteria») [1], получившие неформальное название «Оранжевая книга», были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии анализа политики безопасности, реализуемой в компьютерных системах военного назначения.

В данном документе были впервые нормативно определены такие понятия, как «политика безопасности», ТСВ и т. д. Согласно «Оранжевой книге, безопасная компьютерная система – это система, поддерживающая управление доступом к обрабатываемой в ней информации такое, что только соответствующим образом уполномоченные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.

Требования и критерии «Оранжевой книги»

В «Оранжевой книге» предложены три категории требований безопасности – политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних – на качество самих средств защиты (рисунок 1). Рассмотрим эти требования подробнее.

Рисунок 1. Критерии безопасности

Система должна поддерживать точно определенную политику безопасности. Возможность осуществления субъектами доступа к объектам должна определяться на основании их идентификации и набора правил управления доступом. Там, где необходимо, должна использоваться политика нормативного управления доступом, позволяющая эффективно реализовать разграничение доступа к категорированной информации (информации, отмеченной грифом секретности, типа «секретно». «совершенно секретно» и т. д.).

С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности (гриф секретности) объекта и/или режимы доступа к этому объекту.

Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения и должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.