Проблемы  защиты  информации  в  Великобритании  В.  мае  1992 г.
Торгово-промышленный департамент (ТПД) Великобритании опубликовал
документ    "Требования   пользователей   к   стандартам   защиты
информации"  (User  rеquirеmепt  fоr  IТ  Sесuritу  Stаndаrds). В
документе  были  изложены  результаты  исследований,  проведенных
Британским  институтом стандартов и организацией DISС совместно с
компанией  Sеmа Grоup в области информационной безопасности (ИБ).
Основная  рекомендация  исследователей  сводилась к необходимости
принятия  единого  стандарта  по ИБ, который должен быть дополнен
сертификацией  мер  безопасности,  предпринимаемых в организациях
пользователей.  Отмечается,  что  уже  на  этом  этапе разработки
нормативных  материалов  был  определен  ряд  норм  в области ИБ,
однако ни одна из них не была утверждена. Неформальное обсуждение
проблемы  разработчиками  стандартов  и рядом крупных организаций
пользователей  выявило  широкую  поддержку  усилиям  по  созданию
подобного  свода  норм  со стороны деловых структур. Все это дало
возможность   ТПД   создать   рабочую  группу,  в  которую  вошли
представители  восьми фирм: ВОС Grоuр, Вritish Теlесоmmuniсаtios,
Маrks  and  Sреnсеr,  Мidland  Ваnk, Nаtiоnwide Вuilding Society,
Shеll   Intеrnаtionаl,  Shell  UК,  Unilеvеr  плюс  представитель
организации  DISС и Британского института стандартов. Результатом
работы   этой   группы  стали  "Нормы  управления  информационной
безопасностью"  (Тhе  Соdе  оf  Рrасtiсе fоr infоrmаtiоn Sесuritу
Маnаgеmеnt),  которые  вошли  в  свет  в  сентябре  1993 г. Нормы
предназначаются для использования руководством компаний и лицами,
ответственными  за внедрение и состояние ИБ на фирме. По сути они
являются  сводом  хорошо зарекомендовавших себя практических мер,
применяемых  ведущими  фирмами.  Публикация  норм  преследует две
цели:  -дать  фирмам  единую  основу  для разработки, внедрения и
оценки  эффективности мероприятий, проводимых руководством службы
безопасности;    -обеспечить    доверительность   отношений   при
проведении операций между отдельными фирмами. Предполагается, что
безопасность позволяет сохранить непрерывность производственных и
управленческих процессов и сократить потенциальные потери за счет
предотвращения  инцидентов  или  (где  предотвратить их оказалось
невозможным)  за  счет  минимизации нанесенного ими ущерба. Тремя
основными  принципами  ИБ считаются: - конфиденциальность: защита
важной    информации   от   несанкционированного   раскрытия;   -
сохранность  (целостность): обеспечение точности и полноты данных
и  программного обеспечения; - доступность: информация и основные
виды  услуг  при  возникновении  в  них необходимости должны быть
всегда  доступны  пользователю.  Информационные технологии (ИТ) и
поддерживающие  их  системы  -  это  важнейшие ценности для любой
отрасли  бизнеса.  Конфиденциальность,  сохранность и доступность
данных  в них могут играть решающую роль в создании и поддержании
привлекательного  имиджа  фирмы  или  организации.  По мере роста
фирмы  усиливается ее эависимость от систем и качества услуг, что
повышает  уязвимость по отношению к угрозам безопасности. К таким
угрозам    сегодня    можно    отнести    шпионаж,   компьютерное
мошенничество,  даже  элементарное хулиганство. Причем непрерывно
появляются  все  новые  и  новые  уязвимые  места.  Рост размеров
отдельных  сетей,  объединение  сетей  между  собой создают новые
возможности  для  несанкционированного  проникновения  в  них,  а
расширение   систем  распределенных  вычислений  сокращает  сферу
централизованного  контроля  использования  средств ИТ. По мнению
разработчиков  Норм,  они рассчитаны прежде всего на применение в
малых и средних фирмах, которые до сих пор не ставили перед собой
проблему  ИБ. Таким фирмам предлагается внедрить у себя меры, уже
доказавшие  свою  эффективность в других местах. Разработкой Норм
занимались   представители   деловых   структур  из  финансового,
производственного  и  торгового  бизнеса,  что  позволило собрать
воедино  различные  меры  по  ИБ  и  отобрвть  среди них наиболее
эффективные.  Нормы базируются на десяти категориях: - распорядок
обеспечения безопасности; - организация обеспечения безопасности;
-  выявление  и  контроль  использования ценностей; - обеспечение
безопасности   персонала;  -  обеспечение  физической  и  внешней
безопасности;  -  обеспечение  контроля  доступа  к  системам;  -
развитие и обслуживание систем; - планирование и гибкое поведение
в  условиях возникновения непредвиденных обстоятельств в бизнесе.
Слагаемыми  ИБ  стали десять ключевых положений. Они пригодны для
любой  организации,  однако оказываются наиболее зффективными при
внедрении  в малых фирмах: - наличие документа, регламентирутщего
порядок   обеспечения  ИБ;  -  распределение  ответственности  эа
безопасность;  -  обучение  ИБ;  - информирование об инцидентах в
области  ИБ;  -  защита  от  компьютерных вирусов, - планирование
непрерывности   производственного   процесса;   -   контроль   за
копированием документов; - зашита официальных документов фирмы; -
соблюдение законодательства в области защиты данных; - соблюдение
распорядка  обеспечения  ИБ.  Любой  организации,  приступающей к
внедрению  у  себя мер по ИБ, рекомендуется начинать с реализации
этих   положений.   Проведенное   в  Великобритании  обследование
внглийских  фирм,  результаты  которого  были опубликованы спустя
месяц   после   публикации   Норм,   показало,   что  руководство
большинства   фирм   не  рассматривало  проблему  ИБ  в  качестве
достаточно  серьезной. Руководство двух из каждых трех опрошенных
компаний отметило, что деятельность этих фирм целиком зависела от
ИТ.   Однако   лишь  в  каждой  пятой  организации  был  проведен
тщательный  анализ  рисков и только в каждой десятой существовала
уверенность в том, что они полностью застрахованы от потерь из-за
недостатков  в  системе  ИБ. По мнению экспертов, одной иэ причин
этого  является  неразвитость  системы  страхования в области ИБ.
Считается,  что  ситуация  изменится  с принятием Норм в качестве
государственного    стандартв    Великобритании.   Три   четверти
опрошенных  считают,  что  зависимость  их  фирм  от  систем ИТ в
перспективе  будет только возрастать, а масштабы сетей и доступ к
данным будут расширяться. Все это затруднит контроль безопасности
систем,  тем  более,  что  лишь четверть опрошенных полагают, что
интенсификация     использования    ИТ    будет    сопровождаться
совершенствованием  безопасности  систем.  Однако  более тревожит
другой  результат:  только  в  каждой  компании  Совет директоров
считает   проблему   ИБ   достаточно  актуальной.  Только  в  40%
опрошенных  фирм  вопрос ИБ более-менее систематически обсуждмтся
нв  уровне  Советов  директоров.  Результаты  опроса подчеркивают
важность  внедрения  Норм  в  практику работы фирм и организаций.
Полагают,  то их принятие позволит значительно изменить отношение
к  проблеме  защиты данных. Более-менее четкую оценку последствий
нарушений  системы  обеспечения  ИБ дают результаты исследований,
проводимых   Национальным  центром  информационных  технологий  в
Манчестере.  Целями исследования, проведенного в 1991 г., были: -
установка  уровня недобросовестного использования ЭВМ в экономике
Великобритании;  - изучение потерь: бизнеса из-за нарушений ИБ; -
выявление  основных  причин  инцидентов;  -  установка  раскрытых
инцидентов  и  предпринятых  мер; - выявление наиболее актуальных
рисков   и   угроз;  -  наличие  планов  и  процедур  обеспечения
безопасности  данных.  Среди ответивших 950 организаций 59% имели
годовой  оборот  более  50 млн. ф. ст., 5% -до 1 млн. ф. ст.; 41%
опрошенных фирм имели численность персонала более 1 тыс. человек.
Примерно  41% ответивших в период 1987-1991 гг. имели те или иные
проблемы  с  физической  или логической безопасностью. Обычно это
были  неполадки  технических средств, хищения технических средств
или   последствия   стихийных   бедствий.   Проблемы   физической
безопасности  возникали по причине отказов оборудования и средств
электропитания,   хотя  в  43%  случаев  можно  было  говорить  о
преднамеренном   выводе  из  строя  оборудования;  42%  неполадок
логического характера были связаны со злым умыслом, среди них 22%
-  со  стороны  персонала  фирм. Большинство неполадок этого рода
было   результатом   ошибок   пользователей.   Крупную   проблему
представляло  использование  непроверенного, пораженного вирусами
или  содержащего  ошибки  программного  обеспечения. Как правило,
респонденты  были  не  в  состоянии  дать  количественную  оценку
ущерба,  нанесенного  тем  или  иным  нарушением  ИБ.  По  мнению
специалистов, это ярко свидетельствует о непонимании бизнесменами
реальной  цены  недостаточной безопасности. Даже если инцидент не
оказал    значительного   прямого   отрицательного   влияния   на
производственную  деятельность,  сопутствующий  ущерб  может быть
весьма  серьезным.  По  данным обследования, самый незначительный
инцидент  в области физической безопасности обходился в среднем в
2 тыс. ф. ст. Что касается прямого ущерба там, где его можно было
оценить,  то  наиболее серьезными оказались пожары (средний ушерб
составил  2,7  млн.  ф. ст., максимальный 8 млн. ф. ст.). Средний
ущерб   от  наводнения  -  53  тыс.  ф.  ст.,  вследствие  отказа
технических  средств  -  12  тыс.  ф.  ст.  В  области логической
безопасиости  наибольшие  потери  дают  действия хэкеров (средний
ущерб - 23 тыс. ф. ст., максимальный - 50 тыс. ф. ст.). Потери от
использования  искаженного  программного  обеспечения составили в
среднем 12 тыс. ф. ст., а от ввода искаженных данных мошенниками,
например  счетов  на  оплату, 14 тыс. ф. ст. Следует подчеркнуть,
что  доля  среди  ответивших  тех,  кто  смог  оценить  ущерб  от
инцидентов,  оказалась  сравнительно  небольшой,  что значительно
затруднило получение достаточно надежной оценки суммарного ущерба
по  промышленности  и  торговле.  Весьма  оптимистическая  оценка
показывает,  что ежегодные прямые потери от инцидентов, связанных
с  физической  безопасностью,  могут достигать 580 млн. ф. ст., с
логической  -  530  млн.  ф.  ст. Долгосрочный ущерб, связанный с
потерей  передовых позиций на рынке в той или иной сфере бизнеса,
может  быть еще более серьезным. Среди наиболее важных источников
проблем  на  первом  месте (46%) оказался персональный компьютер,
причем  прежде  всего используемый в финансовых структурах. Самой
серьезной  опасностью  был  назван несанкционированный доступ, за
которым  следовали  пожар  и  преднамеренное нарушение нормальной
работы  систем.  Несанкционированный доступ был наиболее актуален
для  крупных организаций, вероятно, из-за более широких масштабов
использования  вычислительных  систем.  Знание угроз безопасности
наполовину   решает  задачу  предотвращения  инцидентов.  Поэтому
первостепенное  значение  имеет  систематически проводимая оценка
риска.  Тем  не менее, как показало обследование, 67% организаций
анализа  риска  не проводили. Интересно, что относительно большое
число  фирм  располагали  в  том  или ином виде планом действий в
чрезвычайной   обстановке.   Это   указывает  на  то,  что  фирмы
занимаются   планированием   защиты   своих   ценностей,   однако
отсутствие   анализа   рисков   указывает   на  то,  что  они  не
представляют  себе  те  направления,  где  требуется максимальная
защита.  В  отчете  по  проведенному  обследованию  приведен  ряд
конкретных   инцидентов.   В   одном   из   них   отказ   системы
кондиционирования    воздуха    привел    к   выходу   из   строя
мини-компьютера,  повлекшего  ущерб  в  70  тыс.  ф. ст. Основные
затраты  на возмещение ущерба пришлись на восстановление данных и
программного обеспечения. Интересно, что фирма располагала планом
действий  в  условиях чрезвычайной ситуации, однако случившееся в
нем  предусмотрено  не  было. В другом случае пожар и последующее
заливание  его  водой  пожарными  в  одной из финансовых компаний
полностью  вывели  из  строя  ее  информационные  системы. Прямые
потери составили 8 млн. ф. ст., долгосрочные - в три раза больше.
Однако  в  этом  случае  план действий оказался весьма полезным и
компания  смогла  через  неделю  вернуться к нормальной работе. В
третьем случае в планах мероприятий по безопасности фирмы не учли
возможности   хищения  мини-ЭВМ.  Следствием  такой  кражи  стало
значительное   ужесточение  контроля  доступа  в  машинные  залы.
Приведенные  примеры показывают, что последствия инцидентов могут
быть  быстро  ликвидированы при тщательном анализе и планировании
безопасности.  В  связи  с  этим  важнейшее  значение приобретает
информация  об  уровне  инцидентов в различных отраслях экономики
страны.  Наличие  распорядка  обеспечения  безопасности  и планов
действий   в   чрезвычайной   ситуации   указывает   на  то,  что
пользователи  осознают  угрозу, под которой находятся их системы.
Им,  однако,  неизвестна  вероятность  возникновения той или иной
ситуации.  Новые  Нормы  являются  попыткой заполнить брешь между
осознанием проблем безопасности и мерами по борьбе с инцидентами.
Экземпляр   Норм   Соdе  оf  Рrасtiсе  fоr  Infоrmаtiоn  Sесuritу
Маnаgеrеs  можно  заказать по адресу: ВSI Рabliсаtiоns - Сustоmеr
Sеviсеs,  Linfоrd  Wооd,  Мiltоn  Кеуnеs  МК  14 6LЕ. Теl: (0908)
221166.   Доклад   организации   МОRI   "Маnаgеmеnt   Соntrоl  оf
Iпfоrmаtiоn" можно заказать по адресу: IСL Sесurе Sуstеm, Еskdale
Road,  Winnersh,  Wоkingham Вuсkinghаmмshirе. Теl: (0734) 693131.
Обзор   организации  NСС  "Survеу  оf  Sесuritу  Вrеасhеs"  можно
заказать   по   адресу:   NСС  Соnsultаnсу  Grоuр,  Охfоrd  Rоаd,
Маnсhеstег М1 7ЕD Теl: (061) 2886333. Firе Рrеvеntiоn.- 1994 .- N
269 (Мау) .- Р. 28-30.
 

Оставит комментарий