Что значит гарантированная безопасность? Это состояние безопасности, за которое кто-то готов поручиться, в том числе и деньгами, которые придется отдать, если это состояние будет нарушено и потребуется компенсация нанесенного ущерба. Для обеспечения гарантированной безопасности информации в автоматизированных компьютерных системах должны решаться задачи, представленные в виде схемы на рис. 1.
Рис.1. Задачи обеспечения гарантированной безопасности информации в автоматизированных информационных системах.
Система обеспечения доверия к безопасности информации должна обеспечивать:
1. выработку критериев для оценки безопасности существующих и создаваемых систем;
2. наличие доказательств о соответствии создаваемых систем этим критериям;
3. выработку предложений по совершенствованию существующих методов и систем обеспечения достоверности и безопасности информации в тех случаях, когда они не удовлетворяют имеющимся критериям. Система обеспечения доверия должна быть тесно связана с системой обеспечения гарантий.
Система обеспечения гарантий должна обеспечивать наличие ресурсов и их источников для решения проблем, компенсации потерь и затрат на восстановление безопасного состояния систем в случае событий рисков нарушения их безопасности. В результате гарантии безопасности должны следовать не только из ответственности пользователей и собственников АИС и их финансовых возможностей, но и из обязательств разработчиков, поставщиков услуг и страховых фирм, готовых страховать имеющиеся риски. И важность осуществления такой схемы состоит не столько в экономии средств пользователей АИС, сколько в создании системы большей ответственности и обеспечения большей безопасности при создании и эксплуатации АИС.
Другой вопрос состоит в том, что на сегодняшний день инфраструктура обеспечения доверия и гарантий безопасности крайне неразвита. Какие основания для получения доверия существуют в настоящее время? Это исполнение требований Гостехкомиссии и ФСБ, и получение об этом сертификационных, лицензионных и аттестационных свидетельств. Но требования Гостехкомиссии и ФСБ покрывают далеко не все проблемы обеспечения информационной безопасности (ИБ). Мировой опыт говорит о необходимости создания фирм, предоставляющих услуги аудита по всему перечню проблем обеспечения ИБ. Именно заключения аудиторских фирм, как правило, используются страховыми фирмами для определения условий страхования информационных и компьютерных рисков (киберрисков).
Для крупных государственных и коммерческих организаций еще одним способом получения доверия может стать система мониторинга и контроля за состоянием безопасности информационно-коммуникационной инфраструктуры (кибербезопасности). Ее данные могли бы стать основой для принятия решений по условиям страхования рисков. Институтом системного анализа Российской академии наук разработана комплексная экспертная система управления кибербезопасностью «РискМенеджер», которая способна обеспечить решение задач получения доверия к системам информационной безопасности органов государственной власти и коммерческих организаций национального и транснационального масштаба.
Развитие инфраструктуры и систем получения доверия к обеспечению информационной безопасности, несомненно, будет способствовать становлению и развитию систем обеспечения гарантий кибербезопасности. В свою очередь, развитие системы страхования киберрисков должно стать мощным механизмом обеспечения надежности систем получения доверия, поскольку страховщики всегда предпочтут верить только тем источникам, которые не допускают никаких подтасовок и неточностей в своих оценках имеющегося уровня безопасности.
Для того, чтобы стимулировать развитие инфраструктур и систем получения доверия и гарантий безопасности в стране, необходимо, чтобы все проекты информатизации, осуществляемые за счет государственных инвестиций, обязательно предусматривали обеспечение доверия к кибербезопасности и гарантий безопасности создаваемых информационно-коммуникационных систем.
© Информационное общество, 2005, вып. 2, сс. 47-48.