На практике часто применяется подход к оценке эффективности КСЗИ, связанный с проверкой соответствия системы зашиты тем или иным требованиям. Такой подход можно условно назвать \ оценочным. Требования могут быть установлены государством или иным собственником информационных ресурсов.
К сожалению, в настоящее время в РФ не существует единых требований по защите конфиденциальной информации. Требования, изложенные в разных нормативных правовых актах, относятся лишь к какой-то части этой информации и зачастую противоречат друг другу. Можно выделить две группы требований по характеру их детализации: общие и специальные. К общим отнесем требования, изложенные в Федеральных законах «О персональных данных», «О коммерческой тайне», «О банках и банковской деятельности» и др. К специальным отнесем требования по криптографической защите информации; технической защите информации от утечки по каналам ПЭМИН; технической зашите речевой информации; зашите информации от НСД в АС.
|
|
Рассмотрим вначале общие требования, предъявляемые к отдельным видам конфиденциальной информации.
Согласно ФЗ «О персональных данных» [47] операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев обезличивания персональных данных и общедоступных персональных данных.
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
Контроль и надзор за выполнением требований осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической зашиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
|
|
Согласно ФЗ «О коммерческой тайне» [46] правообладатель имеет право установить режим коммерческой тайны, который включает:
• определение перечня информации, составляющей коммерческую тайну;
• ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
• учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
• регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
• нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
Согласно ФЗ «О банках и банковской деятельности» за разглашение банковской тайны Банк России (организация, осуществляющая функции по обязательному страхованию вкладов), кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, а также их должностные лица и работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.
Организация, осуществляющая функции по обязательному страхованию вкладов, не вправе раскрывать третьим лицам информацию, полученную в соответствии с федеральным законом о страховании вкладов физических лиц в банках Российской Федерации.
Специальные требования по криптографической защите информации устанавливаются уполномоченным органом»В соответствии с Указом Президента РФ «Вопросы Федеральной службы безопасности Российской Федерации», таким органом в настоящее время является_ФСБ РФ. Основополагающим документом, в котором изложены требования по криптографической защите информации, является «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005)».
Требования по технической защите информации от утечки по каналам ПЭМИН и технической защите речевой информации задаются в СТР-К и закрытых документах.
Требования по защите информации от НСД в АС могут задаваться перечнем механизмов защиты информации, которые необходимо иметь в АС, чтобы она соответствовала определенному классу защиты. Используя такие документы, можно оценить эффективность КСЗИ. В этом случае критерием эффективности КСЗИ является полнота выполнения всех требований.
Несомненным достоинством таких классификаторов (стандартов) является простота использования. Основным недостатком официального подхода к определению эффективности систем защиты является то, что эффективность конкретного механизма защиты не определяется, а констатируется лишь факт его наличия I или отсутствия. Этот недостаток в какой-то мере компенсируется i заданием в некоторых документах достаточно подробных требований к указанным механизмам защиты.
|
|
(В Российской Федерации в настоящее время имеются две независимые системы задания требований и оценки соответствия информационных технологий требованиям безопасности информации. Наиболее распространена оценка соответствия АС требованиям Руководящего документа РД АС, СВТ — требованиям РД СВТ, межсетевых экранов — требованиям РД МСЭ, которые можно скачать с сайта ФСТЭК России www.fstec.ru. Кроме того, в рамках этого подхода для некоторых классов программного обеспечения устанавливается необходимость соответствия уровням контроля, задаваемым в РД НДВ, который также можно скачать с указанного сайта. Так как мы предполагаем, что при создании КСЗИ используются готовые программные средства, требования данного документа в книге не рассматриваются.
Вторая система задания требований безопасности информации и оценки соответствия им основана на ГОСТ 15408 — 2002 и документах ФСТЭК, выпущенных в его развитие. Как правило, все эти документы «новой» нормативной базы являются аутентичными переводами зарубежных документов, отчасти уже устаревших.