CC BY
44информатика, вычислительная техника и управление
УДК 004.732.056
критическая оценка роли зарубежных стандартов информационной безопасности
Г.Е. Шепитько
Аннотация. В статье приведены примеры использования методов и средств информационной войны для изменения терминологии в информационной безопасности. Показано, как вместо решения специалистами насущных проблем информационной безопасности навязываются частные задачи организации защиты информации менеджерами.
ключевые слова: информационная война, зарубежные стандарты, сертификация, менеджмент риска, возможность, вероятность, технический перевод,управление.
Abstract. There are examples of the use of methods and means of information war to change the terminology in information security. It is shown as professionals instead of solving the pressing problems of information security imposed on the private purposes of the organization of information security managers.
Keywords: information war, foreign standards, certification, management of the risk, likelihood , probability, technical translation, management.
Лидерство в сфере передовых разработок позволяет Соединенным Штатам Америки устанавливать стандарты в области систем связи и обработки данных и таким образом формировать зависимость иностранных государств от американских программных и аппаратных средств. Тем самым подавляются стимулы к организации другими государствами аналогичных конкурентоспособных разработок. Поэтому попытки США превратить свои национальные стандарты защиты информации в международные вызывают неоднозначную реакцию со стороны представителей других государств. По мнению европейских специалистов, это создает американским фирмам - производителям средств защиты информации благоприятные условия для захвата европейского рынка, потенциально расширяет возможности контроля за защищаемой информацией и дает преимущества американским разведывательным службам [1, с. 80].
Существуют определенные трудности в части технического перевода стандартов. Поэтому на рассмотрение Комиссии европейских сообществ представлена программа по преодолению языковых различий в единых информационных системах [1, с. 81]. Задача качественного перевода зарубежных стандартов является также актуальной для России, т.к. переводчики в недостаточной степени разбираются в тематике исходных текстов [2, с. 3].
Целью работы является критический анализ содержания некоторых зарубежных стандартов в области информационной безопасности и качества их переводов в России.
Частным примером является правоприменительная практика внедрения российского варианта американского стандарта «Общие критерии» в виде ГОСТа Р ИСО/МЭК 15408 - 2002 г. Это критерии оценки информационных технологий, а не требования к защищенности и, тем более, не требования к средствам защиты. Здесь начинаются вопросы. Первый - высокая внутренняя неточность и противоречивость критериев, полное отсутствие пороговых значений параметров. Второй - это обоснованность применения критериев к тем или иным объектам информатизации. Третий - достаточен ли уровень защиты, установленный на объекте информатизации? На эти вопросы нельзя ответить на основе «Общих критериев». «Общие критерии» должны дополнять, а не заменять выработанную на сегодняшний момент нормативную отечественную правовую базу. Иначе - опять снижение уровня защищенности наших систем до западного уровня [3, с. 5]. Отечественная нормативная база должна быть нацелена на обеспечение не фрагментарной, а комплексной замкнутой защиты разнообразных объектов информатизации [4, с. 264].
Как следствие, зарубежные стандарты и документы на их основе не дают ответов на ряд ключевых вопросов. 1. Как создать информационную систему, чтобы она была безопасной на требуемом измеримом, объективно проверяемом уровне? 2. Как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося внешнего окружения и структуры самой системы? 3. Каков реальный уровень безопасности и насколько эффективна система защиты информации? [5, с. 161].
В последние годы на волне увлечения менеджментом появилось множество новых стандартов. Но ISO 27001 - не технический, а прежде всего организационный стандарт, также как и стандарты: ISO 9001, ISO 14001, OHSAS 18001. Основные задачи в создании систем менеджмента
информационной безопасности являются в определении: области применения системы, политики информационной безопасности, оценки рисков. Это прежде всего организационные задачи. Считается, что самым опасным является персонал как источник самой крупной потенциальной угрозы, из-за не компетентных или злонамеренных действий или бездействий сотрудников. И основные средства управления в этом - правовые и организационные действия. Поэтому менеджмент информационной безопасности выражается через формулирование и использование политики информационной безопасности, стандартов, процедур и рекомендаций, которые применяются повсеместно в организации всеми лицами, связанными с ней. Стандарт ISO/IEC 27001 не предоставляет какой-либо конкретной методологии по менеджменту риска информационной безопасности. Этот стандарт предназначен для определения в организации только подхода к менеджменту рисков [10, с. 4].
Создан миф о существовании сертификации по ISO 27000 или по ISO 27k. На самом деле, требования к сертифицируемой системе менеджмента информационной безопасностью (далее - СМИБ), содержатся в одном-единственном документе - ISO/IEC 27001:2005. Таким образом, существует сертификация СМИБ на соответствие требованиям ISO/IEC 27001:2005, но никак не требованиям (собственно которые и не определены) всей серии стандартов ISO 27000. Но благодаря рекламе предприятия добровольно отдают деньги за проведение подобной «сертификации».
Решение задачи оценки рисков информационной безопасности также приносит доход благодаря следующим манипуляциям.
Менеджмент риска (risk management) - скоординированная деятельность по руководству и управлению организацией в отношении риска. Математический риск можно определить через произведение вероятности угрозы и размера возможного ущерба. Но в терминологии менеджмента риска английский термин «likelihood» - «возможность» используется в отношении возможности того, что может произойти. Английский термин «likelihood» не имеет прямого эквивалента в некоторых языках, вместо него часто используют термин «probability» - вероятность. Однако в английском языке термин «probability» обычно интерпретируют в узком смысле, как математический термин. Следовательно, в терминологии менеджмента риска термин «likelihood» используют с тем намерением, что он должен иметь ту же самую широкую интерпретацию, которую термин «probability» имеет во многих языках, кроме английского языка. Тем самым производится замена классического определения
объективной вероятности [7, с. 82] с использованием статистики инцидентов на субъективную вероятность, определяемую экспертным путем или на базе социологических опросов. Далее предлагается качественная оценка величины возможных последствий (например, низкий, средний и высокий) и субъективной вероятности возникновения этих последствий с итоговой систематической ошибкой оценки риска на порядок [6, с. 99], аргументируя преимущество качественной оценки простотой ее понимания всем соответствующим персоналом. При необходимости повышения точности оценки рисков остается привлечение стороннего платного консультанта, который возьмет на себя аналитическую часть работы.
В заключение рассмотрим странности технического перевода стандартов на примере термина «управление».
Управление - совокупность воздействий субъекта управления на объект управления. Объектом управления могут быть организации, люди, процессы, техника. Обычно полагают, что процесс управления состоит из функций планирования, организации, мотивации и контроля. Эти четыре первичных функции управления объединены связующими процессами коммуникации и принятия решения.
Менеджмент(отангл.management - управление,организация) - это прежде всего управление людьми, персоналом. Человек - самый сложный, самый неуправляемый, самый непредсказуемый элемент во всей социоэкономической системе [6, с. 92].
Поэтому слово management относится в первую очередь к административному управлению персоналом, руководству. Управление государством в английском языке характеризуется термином «government». Руководящие указания по управлению - management guidelines, управление разными техническими средствами звучит как «control», «steering», «driving», «piloting» [9, с. 22].
Комплексная система безопасности включает техническую, экономическую и организационную структуру и предназначена для защиты от комплекса внутренних и внешних угроз техногенного, природного и антропогенного характера. Менеджмент безопасности охватывает в основном организационную структуру и внутренние угрозы антропогенного характера.
Поэтому управление и менеджмент далеко не одно и то же. Управление охватывает больше объектов управления, чем менеджмент.
В отечественной литературе рассматривается процесс обеспечения информационной безопасности (ОИБ) - это процесс поддержания со-
стояния защищенности активов организации. В отраслевых стандартах и рекомендациях банковской системы РФ в области информационной безопасности вместо термина «управление» используется понятие ОИБ, в грамотных переводах стандартов ISO/IEC 27000, ISO/IEC 27001, ISO/ IEC 27002, ISO/IEC 27004, ISO/IEC 27005, ISO 27799 сохраняется оригинальный термин менеджмент, но не управление.
Тем не менее в названиях ряда учебных пособий [9] и сайтов [10] появились такие термины, как: управление информационной безопасностью, управление рисками информационной безопасности, управление инцидентами информационной безопасности путем подмены ими понятия менеджмент.
В области пожарной безопасности для краткости встречается запись «Управление ЧС» вместо «Управление силами и средствами в условиях чрезвычайной ситуации в регионе». Это вызывает возмущение редакторов научных изданий: «Принципиально неверными являются записи об управлении безопасностью, эффективностью, надежностью и другими качественными или количественными характеристиками, поскольку управлять (изменять состояние) можно только материальными субстанциями - объектами управления (техникой, процессами, учреждениями), а изменения характеристик - это цели управления. В сфере безопасности управляют не безопасностью, а системами безопасности с целью обеспечения заданной степени той или иной безопасности (пожарной, радиационной, комплексной, физической)» [8, с. 3].
Таким образом, внешнее информационное воздействие на уровне зарубежных стандартов путем внедрения терминов management и likelihood может ограничить исследование полного перечня объектов и методов защиты, нивелировать тем самым реализацию комплексного подхода к созданию систем информационной безопасности. Внутреннее информационное воздействие осуществляется некомпетентными техническими переводчиками и авторами популярных изданий путем внедрения термина управление для подмены объектов управления. Тем самым затеняется ведущая роль специалистов по информационной безопасности путем преувеличения значимости работы менеджеров.
Полученные результаты могут быть использованы для иллюстрации студентам методов и средств ведения информационной войны с лозунгом best practik в области информационной безопасности. Будущее принадлежит математическим моделям комплексной безопасности, адекватность которых должна быть проверена экспериментальными данными.
ЛИТЕРАТУРА
1. Аверченков В.И. Системы защиты информации в ведущих зарубежных странах. Учебное пособие. - Брянск, 2007.
2. Грабовский В.Н. Блеск и нищета технического перевода в России. [Электронный ресурс]. URL: http://www.langinfo.ru/stati-dlja-perevod-chika/blesk-i-nischeta-tehnicheskogo-perevoda-.html
3. Шепитько Г.Е. Теория информационной безопасности и методология защиты информации. Учебно-методическое пособие. - М., 2012.
4. Мельников В.В. Защита информации в компьютерных системах. - М., 1997.
5. Шепитько Г.Е Обеспечение безопасности расчетов в системах электронной коммерции. Учебное пособие. - М., 2012.
6. Шепитько Г.Е. Основы информационной безопасности. Учебное пособие. - М., 2014.
7. Шепитько Г.Е. Вероятность как частота // Малая российская энциклопедия прогностики / Под ред. ак. РАО И.В. Бестужева-Лада. - М., 2007.
8. Блудчий Н.П., Буцынская Т.А. О технологиях публикации докладов на конференциях по проблемам безопасности. [Электронный ресурс]. URL: http://www.agps-2006.narod.ru/konf/2012/sb-2012/sec-1-12/38-01-12.pdf
9. Курило А.П., Милославская Н.Г., Сенаторов М.Ю. и др. Основы управления информационной безопасностью. Учебное пособие. - М., 2012.
10. Сайт IS027000.ru Искусство управления информационной безопасностью от 21.02.2015. [Электронный ресурс]. URL: http://www. iso27000.ru/standarty/iso-27000-mezhdunarodnye-standarty-upravleniya-informacionnoi-bezopasnostyu-1/iso-27000-mezhdunarodnye-standarty-upravleniya-informacionnoi-bezopasnostyu.
Г.Е. Шепитько,
д-р техн. наук, профессор кафедры защиты информации, Московский финансово-юридический университет МФЮА E-mail: ge2004@yandex.ru
