Оценочный подход

На практике часто применяется подход к оценке эффективно­сти КСЗИ, связанный с проверкой соответствия системы зашиты тем или иным требованиям. Такой подход можно условно назвать \ оценочным. Требования могут быть установлены государством или иным собственником информационных ресурсов.

К сожалению, в настоящее время в РФ не существует единых требований по защите конфиденциальной информации. Требова­ния, изложенные в разных нормативных правовых актах, отно­сятся лишь к какой-то части этой информации и зачастую проти­воречат друг другу. Можно выделить две группы требований по характеру их детализации: общие и специальные. К общим отне­сем требования, изложенные в Федеральных законах «О персо­нальных данных», «О коммерческой тайне», «О банках и банков­ской деятельности» и др. К специальным отнесем требования по криптографической защите информации; технической защите информации от утечки по каналам ПЭМИН; технической зашите речевой информации; зашите информации от НСД в АС.

Рассмотрим вначале общие требования, предъявляемые к от­дельным видам конфиденциальной информации.

Согласно ФЗ «О персональных данных» [47] операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев обезличивания персональных данных и об­щедоступных персональных данных.

Оператор при обработке персональных данных обязан прини­мать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Правительство Российской Федерации устанавливает требова­ния к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и требования к материальным носителям биометрических персональ­ных данных и технологиям хранения таких данных вне информа­ционных систем персональных данных.

Контроль и надзор за выполнением требований осуществля­ются федеральным органом исполнительной власти, уполномо­ченным в области обеспечения безопасности, и федеральным ор­ганом исполнительной власти, уполномоченным в области про­тиводействия техническим разведкам и технической зашиты ин­формации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Использование и хранение биометрических персональных дан­ных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях инфор­мации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или слу­чайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Согласно ФЗ «О коммерческой тайне» [46] правообладатель имеет право установить режим коммерческой тайны, который включает:

• определение перечня информации, составляющей коммер­ческую тайну;

• ограничение доступа к информации, составляющей коммер­ческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

• учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

• регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

• нанесение на материальные носители (документы), содержа­щие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц — полное наименование и место нахожде­ния, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предприни­мателем, и место жительства).

Согласно ФЗ «О банках и банковской деятельности» за разгла­шение банковской тайны Банк России (организация, осуществ­ляющая функции по обязательному страхованию вкладов), кре­дитные, аудиторские и иные организации, уполномоченный орган, осуществляющий меры по противодействию легализации (отмы­ванию) доходов, полученных преступным путем, а также их дол­жностные лица и работники несут ответственность, включая воз­мещение нанесенного ущерба, в порядке, установленном феде­ральным законом.

Организация, осуществляющая функции по обязательному стра­хованию вкладов, не вправе раскрывать третьим лицам информа­цию, полученную в соответствии с федеральным законом о стра­ховании вкладов физических лиц в банках Российской Федера­ции.

Специальные требования по криптографической защите ин­формации устанавливаются уполномоченным органом»В соответ­ствии с Указом Президента РФ «Вопросы Федеральной службы безопасности Российской Федерации», таким органом в настоя­щее время является_ФСБ РФ. Основополагающим документом, в котором изложены требования по криптографической защите информации, является «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005)».

Требования по технической защите информации от утечки по каналам ПЭМИН и технической защите речевой информации задаются в СТР-К и закрытых документах.

Требования по защите информации от НСД в АС могут зада­ваться перечнем механизмов защиты информации, которые необ­ходимо иметь в АС, чтобы она соответствовала определенному классу защиты. Используя такие документы, можно оценить эф­фективность КСЗИ. В этом случае критерием эффективности КСЗИ является полнота выполнения всех требований.

Несомненным достоинством таких классификаторов (стандар­тов) является простота использования. Основным недостатком официального подхода к определению эффективности систем за­щиты является то, что эффективность конкретного механизма за­щиты не определяется, а констатируется лишь факт его наличия I или отсутствия. Этот недостаток в какой-то мере компенсируется i заданием в некоторых документах достаточно подробных требо­ваний к указанным механизмам защиты.

(В Российской Федерации в настоящее время имеются две не­зависимые системы задания требований и оценки соответствия информационных технологий требованиям безопасности инфор­мации. Наиболее распространена оценка соответствия АС требо­ваниям Руководящего документа РД АС, СВТ — требованиям РД СВТ, межсетевых экранов — требованиям РД МСЭ, которые можно скачать с сайта ФСТЭК России www.fstec.ru. Кроме того, в рамках этого подхода для некоторых классов программного обеспечения устанавливается необходимость соответствия уровням контроля, задаваемым в РД НДВ, который также можно скачать с указанно­го сайта. Так как мы предполагаем, что при создании КСЗИ ис­пользуются готовые программные средства, требования данного документа в книге не рассматриваются.

Вторая система задания требований безопасности информации и оценки соответствия им основана на ГОСТ 15408 — 2002 и доку­ментах ФСТЭК, выпущенных в его развитие. Как правило, все эти документы «новой» нормативной базы являются аутентичны­ми переводами зарубежных документов, отчасти уже устаревших.