Особенности российского рынка
Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно решались только в сфере охраны государственной тайны. Аналогичные, но имеющие собственную специфику задачи коммерческого сектора экономики долгое время не находили соответствующих решений. Данный факт до сих пор существенно замедляет появление и развитие безопасных ИТ-средств на отечественном рынке, который интегрируется с мировой системой. Тем более что у защиты информации в коммерческой автоматизированной системе есть свои особенности, которые просто необходимо учитывать, ведь они оказывают серьезное влияние на технологию информационной безопасности. Перечислим основные из них : Приоритет экономических факторов. Для коммерческой автоматизированной системы очень важно снизить либо исключить финансовые потери и обеспечить получение прибыли владельцем и пользователями данного инструментария в условиях реальных рисков. Важным условием при этом, в частности, является минимизация типично банковских рисков (например, потерь за счет ошибочных направлений платежей, фальсификации платежных документов и т.п.); Открытость проектирования, предусматривающая создание подсистемы защиты информации из средств, широко доступных на рынке и работающих в открытых системах; Юридическая значимость коммерческой информации, которую можно определить как свойство безопасной информации, позволяющее обеспечить юридическую силу электронным документам или информационным процессам в соответствии с правовым режимом информационных ресурсов, установленным законодательством Российской Федерации. Это условие в последнее время приобретает все большую значимость в нашей стране наряду с созданием нормативно-правовой базы безопасности ИТ (особенно при взаимодействии автоматизированных систем разных юридических лиц).
Очевидно, что создание безопасных ИТ, обрабатывающих конфиденциальную информацию, не содержащую государственной тайны, исключительно важно для экономико-финансовой жизни современной России. Применение в России гармонизированного стандарта ISO 15408 ("Common Criteria"), отражающего новейшие мировые достижения оценки информационной безопасности, позволит:
- приобщить российские ИТ к современным международным требованиям по информационной безопасности, что упростит, например, применение зарубежной продукции и экспорт собственной; - облегчить разработку соответствующих российских специализированных нормативно-методических материалов для испытаний, оценки (контроля) и сертификации средств и систем безопасных банковских и - других ИТ; - создать основу для качественной и количественной оценки информационных рисков, необходимую при страховании автоматизированных систем; - снизить общие расходы на поддержание режима информационной безопасности в банках и корпорациях за - счет типизации и унификации методов, мер и средств защиты информации.
Государственные стандарты
Среди различных стандартов по безопасности информационных технологий, существующих в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи открытых систем (Таблица 1, строки 1-3). К ним можно добавить нормативные документы по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем (cм. Таблицу 1, строки 4-8). Последняя группа документов, также как и многие ранее созданные зарубежные стандарты, ориентирована преимущественно на защиту государственной тайны.
Задание 2.