В. Андрианов - Обеспечение информационной безопасности бизнеса

Если рассматривать чисто российские документы, то такие стандарты носят, как правило, форму требований технического характера преимущественно к компонентам технологической среды или справочного назначения, например ГОСТ Р 51275 («Факторы, воздействующие на информацию. Общие положения»). В редких случаях российские национальные стандарты являются основанием для соответствующих систем сертификации, такие как стандарты на алгоритмы криптографических преобразований (ГОСТ Р 34.10, ГОСТ Р 34.11, ГОСТ 28147).

Если термин «защита информации» («техническая защита информации») исторически используется в РФ и нормативно закреплен руководящими документами от 1992 г. Гостехкомиссии при Президенте РФ (Федеральная служба по техническому и экспортному контролю), то термин «информационная безопасность» (information security) чаще ассоциируется с положениями зарубежных (гармонизированных в РФ) стандартов. В то же время методологически все эти понятия имеют в основе одну и ту же модель, оформившуюся в середине 1980-х гг. («оранжевая» книга США, аналогичные документы Германии, Великобритании и других стран) и получившую различное развитие на уровне отдельных стран и международном уровне.

Практически до 1990-х гг. устоявшегося однозначного понятийного аппарата для предметной области безопасности в сфере информатики (информации) не существовало. На практике использовали различные термины и их определения, зачастую относящиеся к одному и тому же объекту. В зарубежных документах (стандартах и руководствах) широко использовали такие понятия, как data protection, data safety, data security, information security, IT security и др. В России тех времен все это воспроизводилось полностью и дополнялось национальным колоритом.

Разнообразие подходов и определений в пределах одной и той же области не в последнюю очередь послужило причиной учреждения в рамках международных организаций соответствующих специализированных профессиональных структур, целью деятельности которых являлась выработка единых, согласованных позиций и подходов в сфере безопасности применительно к информатике и информационным технологиям. Например, в 1989 г. в рамках совместного ИСО и МЭК технического комитета 1 (СТК 1) «Информационные технологии» был образован профильный орган (подкомитет) № 27 «Методы и средства обеспечения безопасности». Первоочередной задачей данного подкомитета являлась выработка основополагающих международных стандартов и руководств по базовым технологиям обеспечения безопасности при применении электронных информационных технологий. До этого стандарты, относящиеся к вопросам безопасности, издавались по мере необходимости самыми различными органами (подкомитетами ИСО), например, в рамках стандартизации протоколов и технологий взаимодействия открытых систем, служб и стандартов телекоммуникаций (МККТТ, позже — МСЭ-Т), стандартов Интернет и т. п. Применительно к 27-му подкомитету СТК 1 ИСО/МЭК абсолютно логично началом работ послужили вопросы стандартизации использования криптографических алгоритмов (конек спецов по безопасности информации предшествующих десятилетий) и выработки решений по противодействию внешним и внутренним злоумышленникам (обнаружение вторжений, основные угрозы, уязвимости и контрмеры, методы менеджмента безопасности информационных технологий и т. п.).

Позже (в 1993 г.) в рамках работ 27-го подкомитета СТК 1 ИСО/МЭК было открыто новое направление, преследующее целью формирование основы глобальному рынку средств безопасности ИТ, в связи с чем была образована соответствующая рабочая группа в структуре подкомитета.

В основу глобального рынка средств безопасности ИТ планировалось заложить подход, нашедший отражение в системе документов, известных как «Общие критерии» (Common criteria). Эта спецификация формально спонсируемая сообществом стран — издательским советом спонсоров технологии, а по сути профильными государственными организациями США. В рамках ИСО данная методология была оформлена серией стандартов, первыми из которых были:

— ИСО/МЭК 15408 «Критерии оценки безопасности информационных технологий» (в трех частях, свыше 600 страниц спецификаций и требований);

— ИСО/МЭК 18045 «Методология оценки безопасности информационных технологий» (почти 300 страниц требований к действиям оценщика — испытательной лаборатории).

Состояние дел на момент издания первой редакции ИСО/МЭК 15408 в 1999 г. и этапы формирования данного документа иллюстрирует рис. 1.

Указанные работы сопровождались выработкой платформы международного признания результатов оценки соответствия и сертификации, поддерживаемые соответствующими межправительственными соглашениями. Инициаторами анонсировались удовлетворяющие различным отраслям решения, что, однако, не всегда подтверждалось практикой.

Например, банковское сообщество в начале 2000-х гг. инициировало проект по выработке рекомендаций банковскому сообществу относительно порядка возможного использования подхода «Общих критериев» в своей деятельности. Данные работы стартовали под индексом ISO TR 24590 «Banking-protection profiles for the financial industry» («Банковские профили защиты для финансовой отрасли»), но были прекращены на стадии работ в рамках комитета по причине отсутствия перспектив практической целесообразности. «Виной» тому (хотя этот термин не совсем уместен) была невозможность сохранения действия сертификатов по безопасности при реконфигурации сертифицированных изделий ИТ при их использовании в среде организации за пределами той конфигурации, что использовалась при сертификационных испытаниях. Потеря действия сертификата приводила к утрате гарантий органа сертификации (реальных гарантий, поддержанных финансовыми обязательствами), что сводило на нет все преимущества такой сертификации.

Одновременно с этим в России в начале 2000-х гг. параллельно и где-то согласованно, но в различных целях, велись работы по анализу и оценке возможности практического использования подхода «Общих критериев» в рамках развития национальной системы сертификации средств защиты информации и совершенствования систем безопасности в организациях отраслевой принадлежности. Результат был диаметрально противоположным.

По линии развития национальной системы сертификации по требованиям защиты информации подход «Общих критериев» был взят на вооружения (но без присоединения к международному соглашению о признании сертификатов), что виделось как значимый положительный шаг развития существовавших норм и критериев сертификации по требованиям защиты информации.

В части же совершенствования систем безопасности в организациях отраслевой принадлежности (организации банковской системы Российской Федерации) вердикт был аналогичен тому, что был вынесен в рамках международных дискуссий.