CC BY
204
Цирлов
Валентин
Леонидович
кандидат технических наук, доцент
Правовые вопросы безопасности киберпространства в системе отечественных нормативных документов
Аннотация: Работа посвящена нормативно-правовым аспектам безопасности киберпространства. Дан обзор нового международного стандарта ISO/IEC 27032. Подробно рассмотрены руководящие принципы и механизмы безопасности киберпространства. Проведен анализ возможности использование стандарта в индустрии информационной безопасности.
Ключевые слова: безопасность, киберпространство, руководящие принципы, стандарты, нормативный документ
Международный стандарт ISO/IEC 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности» (ISO/IEC 27032 Information technology. Security techniques. Guidelines for cybersecurity) был разработан подкомитетом SC 27 «Информационные методы обеспечения безопасности» технического комитета ISO/ TC «Информационные технологии» почти два года назад, однако на сегодняшний день он практически не известен отечественным специалистам [1]. В то же время, с учетом того факта, что разрабатываемая сейчас «Концепция стратегии кибербезопасности Российской Федерации» [2] вызывает широкую общественную дискуссию, имеет смысл рассмотреть вопрос о целесообразности использования данного стандарта в отечественной практике.
Под киберпространством (cyberspace) в стандарте понимается комплексная среда, возникающая в результате взаимодействия людей, программного обеспечения и удаленных сервисов с использованием информационных и телекоммуникационных технологий. Принципиально важным при этом является вопрос взаимодействия между различными организациями, обеспечивающими существование киберпространства как единого целого: по мнению разработчиков стандарта, тот факт, что каждая из организаций решает вопросы обеспечения информационной безопасности самостоятельно, создает предпосылки для реализации принципиально новых угроз информационной безопасности. Именно обеспечение конфиденциальности, целостности и доступности информации в киберпространстве с учетом угроз такого рода и понимается под кибербезопасностью. Нетрудно заметить, что данное в стандарте определение кибербезопас-ности весьма отличается от применяемых в области международных правовых отношений [3-11].
Таким образом, кибербезопасность (cybersecurity) реализуется на стыке следующих трех компонентов системы обеспечения информационной безопасности (рис. 1):
> безопасность приложений;
> сетевая безопасность;
> безопасность сети Интернет.
Рис. 1
информации, а также взаимодействия множества провайдеров и потребителей в киберпро-странстве. С точки зрения информационного взаимодействия в стандарте выделяются два типа участников: организации, предоставляющие информацию (IPO - Information Providing Organisation), и организации, получающие информацию (IRO - Information Receiving Organisation). Структурная схема подходов, предлагаемых для обеспечения безопасного взаимодействия, приведена на рис. 3.
Рис. 2
Провайдеры могут предоставлять доступ как к среде информационного взаимодействия, так и к тем или иным сервисам. В качестве потребителей могут выступать физические лица и организации.
По сути, в содержательной части стандарт представляет собой набор рекомендаций для провайдеров и потребителей по обеспечению кибербезопасности. Если для физических лиц рекомендации сводятся в основном к выполнению рекомендаций провайдеров, то провайдеры должны реализовывать полноценную систему управления информационной безопасности в соответствии с требованиями стандарта ¡БО/ШС 27001 [12]. Подчеркивается важность анализа рисков и управления рисками согласно ¡БО/ШС 27005 [13].
Механизмы безопасности, предлагаемые для киберпространства, представлены в Таблице 1.
Наибольший интерес представляет раздел стандарта, посвященный рекомендациям по организации совместного использования
Так, например, в качестве требований по организации бизнес-процессов предлагаются классификация и категорирование информации, подписание соглашений о неразглашении, использование стандартов и организация эффективного планирования деятельности, связанной с совместным использованием информации. В качестве основных технических механизмов предлагаются стандартизация форматов данных, визуализация данных, использование криптографических механизмов и защищенных систем информационного обмена, подчеркивается необходимость тестирования технических средств. Общий порядок организации защищенного информационного взаимодействия предлагается строить в рамках схемы, приведенной на рис. 4.
Заключение
Нетрудно видеть, что стандарт во многом является интерпретацией традиционных подходов к построению систем управления информационной безопасности с акцентом на организацию защищенного информационного взаимодействия. При этом рекомендации по организации такого взаимодействия носят достаточно несистемный характер, что, на наш взгляд, и является основной причиной малой распростра-
Таблица 1
Категории Механизмы безопасности
Безопасность приложений Информирование потребителей о реализуемых провайдером подходах к обеспечению безопасности
Защита сессий веб-приложений
Контроль корректности вводимых данных
Безопасность скриптов (прежде всего, в целях защиты от CSS-атак)
Аудит кода и независимое тестирование приложений
Подтверждение подлинности провайдера для потребителей
Защита серверов Корректное конфигурирование серверов
Реализация системы управления конфигурацией
Реализация механизмов мониторинга и аудита
Защита от вредоносного программного обеспечения
Регулярное сканирование и анализ защищенности сетевых сервисов
Защита конечных пользователей Корректное конфигурирование и обеспечение защиты операционных систем
Корректное конфигурирование и обеспечение защиты прикладного программного обеспечения
Защита от вредоносного программного обеспечения
Защита от фишинга
Использование стандартных механизмов безопасности веб-браузеров
Использование персональных межсетевых экранов и систем обнаружения вторжений
Использование автоматических обновлений программного обеспечения
Защита от атак, связанных с использованием методов социальной инженерии Разработка и внедрение политик безопасности
Категорирование и классификация информации
Обучение и повышение осведомленности пользователей
Тестирование сотрудников
Использование технических механизмов, в первую очередь идентификации и аутентификации
Рис. 4
ненности данного стандарта в индустрии инфор- 4. мационной безопасности [14].
Безусловно, отдельные положения стандарта вполне могут быть использованы при разработке «Концепции стратегии кибербезо-пасности Российской Федерации» и последую- 5. щих нормативных и методических документов, однако принятие аутентичного перевода ISO/ IEC 27032 в качестве стандарта ГОСТ Р, на наш взгляд, вряд ли целесообразно.
6.
Литература
1. Марков А. С., Цирлов В. Л. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. № 1(2). С. 28-35. 7.
2. Гаттаров Р. У. Концепция стратегии кибер-безопасности // Вопросы кибербезопасно-сти. 2014. № 1(2). С. 2-4.
3. Безкоровайный М. М., Татузов А. Л. Кибер- 8. безопасность - подходы к определению понятия // Вопросы кибербезопасности. 2014.
№ 1 (2). С. 22-27.
Бородакий Ю. В., Добродеев А. Ю., Бутусов И. В. Кибербезопасность как основной фактор национальной и международной безопасности XXI века (Часть 1) // Вопросы кибербезопасности. 2013. № 1 (1). С. 2-9. Бородакий Ю. В., Добродеев А. Ю., Бутусов И. В. Кибербезопасность как основной фактор национальной и международной безопасности XXI века (Часть 2) // Вопросы кибербезопасности. 2014. № 1 (2). С. 5-12. Гольчевский Ю. В., Некрасов А. Н. К вопросу о кибербезопасности интернет-пользователей // Известия Тульского государственного университета. Технические науки. 2013. № 3. С. 235-261.
Ефремова М. А. Уголовно-правовое обеспечение кибербезопасности: некоторые проблемы и пути их решения // Информационное право. 2013. № 5. С. 10-13. Зубарев И. В., Жидков И. В., Кадушкин И. В. Кибербезопасность автоматизированных систем управления военного назначения // Вопросы кибербезопасности. 2013. № 1 (1). С. 10-16.
9. Капто А. С. Кибервойна: генезис и доктри-нальные очертания // Вестник Российской академии наук. 2013. Т. 83. № 7. С. 616.
10. Карцхия А. А. Кибербезопасность и интеллектуальная собственность (Часть 1) // Вопросы кибербезопасности. 2014. № 1 (2). С. 61-66.
11. Макаренко С. И., Чукляев И. И. Терминологический базис в области информационного противоборства // Вопросы кибербезопас-ности. 2014. № 1 (2). С. 13-21.
12. Шахалов И. Ю., Дорофеев А. В. Основы управления информационной безопасно-
стью современной организации // Правовая информатика. 2013. № 3. С. 4-14.
13. Марков А. С., Цирлов В. Л. Управление рисками - нормативный вакуум информационной безопасности // Открытые системы. СУБД. 2007. № 8. С. 63-67.
14. Матвеев В. А., Цирлов В. Л. Состояние и перспективы развития индустрии информационной безопасности Российской Федерации в 2014 г. // Вопросы кибербезопасности. 2013. № 1 (1). С. 61-64.
