Использование эффективных информационных технологий обеспечивает огромные преимущества в процессе передачи, хранения и обработки потоков информации.
Такое положение, связанное с освоением современных информационных технологий, потенциально создает предпосылки для возникновения риска утраты важной государственной информации за счет ошибок, возникающих в технических и программных средствах вычислительной техники, ошибок и неквалифицированных действий обслуживающего персонала, несанкционированного действия третьих лиц, других причин. Имеются случаи воздействия "электронного пиратства" на сферу кредитно-финансовых банковских компьютерных систем.
С ростом и интеграцией компьютерных сетей (масштаба фирмы, банка, предприятия, города, региона), с появлением распределенных кредитно-финансовых сетей электронного межбанковского клиринга, программ типа «Клиент-Банк» и других прикладных коммуникационных систем возможные потери могут возрастать.
Статистика показывает, что среди информационных преступлений 30 % составляют раскрытие пароля, 22 % – несанкционированный доступ, 44 % – программные закладки, включая «вирусы», и 2 % – воздействие извне системы. Утечка только 20 % информации ведет к разорению 65 % фирм и компаний.
По некоторым оценкам, в прошлом году российская компьютерная индустрия потеряла из-за пиратства 75 млн. дол.
Поэтому информационная безопасность компьютерных систем и коммуникаций приобретает особую роль и становится одним из важнейших аспектов деятельности государственных и коммерческих организаций.
Информационная безопасность может быть достигнута в результате использования организационных мер защиты, а также программно-аппаратных комплексов защиты каналов связи, компьютерных систем и данных.
Однако информационную систему нужно не только эффективно защитить, но и убедить в надежности ее пользователей. Очевидно, и опыт это доказывает, достигнуть 100 % безопасности информации практически невозможно. Если система незащищена, риск потери информации составляет 50–60 %. Введение парольной защиты, разграничения доступа, криптографии снижает риск до 30 %, использование технических средств защиты от несанкционированных действий – 10 %. Снижение риска до 1 % (умышленные действия обслуживающего персонала) достигается полной изоляцией информационной системы или компьютера.
Следовательно, имеется реальная возможность наступления непредвиденного события (страхового случая), влекущего за собой потерю работоспособности сложных электронных систем, утрату конфиденциальной информации и потерю дохода.
Исходя из вышеизложенного и предположив, что наступление риска потери информации носит случайный характер, не зависящий от воли владельца информации, закономерно усиливается интерес к страхованию собственников и пользователей информационных систем, информационных ресурсов, технических и программных средств вычислительной техники.
Становление и постепенное расширение рыночных отношений коренным образом меняет место и роль страхования в защите экономических и информационных интересов предприятий и предпринимателей, объективно привязывают предпринимателей к страхованию.
Плата за страхование – страховые взносы есть плата за риск, плата за спокойствие в хозяйственной жизни.
Именно страховая компания, которая покроет риски финансового института, вкладчиков и разработчика информационной системы может стать гарантом информационной безопасности.
Интерес к страхованию усиливается и высокой степенью возникновения пожаров, аварий, нарастанием криминогенной обстановки. Государственная либо коммерческая организация, обеспечивая безопасность информации, в том числе страхованием информационных рисков, привлекает этим клиентов, повышает надежность информационных систем и получает дополнительную прибыль.
В условиях рыночных отношений особенно актуальной становится проблема обязательной и добровольной формы страхования. К приоритетным относятся те объекты (обязательное страхование), гибель которых задевает не только интересы страхователей, но и всего общества.
При обязательном страховании почти на одну треть снижаются размеры страховых выплат в связи со сплошным охватом объектов страхования.
Указом Президента от 6 апреля 1994 г. "Об основных направлениях государственной политики в сфере обязательного страхования" установлено, что при разработке проектов законов РФ по данным вопросам обязательного страхования должно обеспечиваться первоочередное правовое урегулирование видов, непосредственно направленных на защиту прав и свобод человека и гражданина, гарантированных Конституцией РФ.
Одной из форм возмещения ущерба является страховая защита в виде обязательного страхования информационных рисков.
Обязательное страхование становится необходимым тогда, когда наносимый страховыми случаями ущерб задевает интересы не только страхователя, но и государства, всего общества.
При этом и страховщики и страхователи обязаны в силу закона участвовать в проведении соответствующих видов страхования.
Понимая, что интересы граждан только тогда надежно защищены, когда существует механизм возмещения информационных рисков, связанных с информационной безопасностью, можно создать специализированную страховую компанию по страхованию информационных рисков.
К информационным рискам относятся риски, связанные с потерей или искажением информации в компьютерах, сетях и системах в результате:
– отказов, сбоев технических и программных средств;
– внедрения "вирусов";
– неумышленных действий обслуживающего персонала;
– несанкционированных действий;
– утечки информации за счет побочных электромагнитных излучений и наводок.
Субъектами страхования (страхователями) могут выступать Сбербанк России и его филиалы, коммерческие банки, акционерные общества, ассоциации, корпорации, государственные организации, учреждения и пользователи (информационных систем, информационных ресурсов, систем автоматизации банковской деятельности, автоматизации офисов, систем и сетей автоматизации повседневной деятельности, систем обработки документооборота, программных и технических средств вычислительной техники).
Объем страхового поля определяется количеством средств вычислительной техники и программного обеспечения, имеющихся у пользователей. В настоящее время объем страхового поля по компьютерам составляет $3.6 млрд. Учитывая, что стоимость программного обеспечения составляет ориентировочно 50 % и не все компьютеры объединены в сети, объем страхового поля следует увеличить на $1.8 млрд. Общий объем страхового поля составляет $5.4 млрд.
При охвате 5 % страхового поля страховая сумма составит $270 млн. При среднем тарифе 2 % страховой взнос равен $5.4 млн.
Через систему страхования перераспределяется только до 2,8 % валового продукта Российской Федерации, что почти в 4 раза меньше уровня индустриально развитых стран Западной Европы, США и Японии.
Учитывая, что информационные системы охватывают всю территорию России, имеется возможность к неуклонному расширению сферы деятельности, к постоянному увеличению числа страхователей, к расширению территории деятельности, к открытию и функционированию филиалов страховой компании на местах.
Это дает предпосылки для эффективного проведения страховых операций и создания необходимых резервов для осуществления выплат по страховым случаям, а также получения прибыли.
Вывод: в настоящих условиях хаотичного рынка средств защиты информации целесообразно придерживаться следующих правил:
1. Прежде чем заключать деловые контакты о разработке или покупке средств защиты у сторонних организаций необходимо выяснить: имеет ли данная организация лицензию на выполнение работ по защите информации, какой вид деятельности разрешен, и соответствует ли он данной работе, не просрочена ли лицензия.
2. При наличии правильно оформленной лицензии необходимо проанализировать сертификат на средство защиты, определить, кем он выдан, когда и какие проводились испытания средства защиты информации, при каких условиях данное средство защиты будет нормально функционировать.
Выполнение указанных правил позволит избежать возможных неприятностей по обеспечению информационной безопасности и правильно использовать средство защиты.
Лекция 3. Требования руководящих документов по обеспечению информационной безопасности И НСД
Учебные вопросы:
1. Критерии безопасности компьютерных систем министерства обороны США («Оранжевая книга»).
2. Европейские критерии по обеспечению ИБ.
Вопрос 1. Критерии безопасности компьютерных систем министерства обороны США («Оранжевая книга»)
«Критерии безопасности компьютерных систем» («Trusted Computer System Evaluation Criteria») [1], получившие неформальное название «Оранжевая книга», были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии анализа политики безопасности, реализуемой в компьютерных системах военного назначения.