С учётом типа используемой информации, объема внешних инфокоммуникационных связей и степени регулирования можно выделить три основных типа инфокоммуникационных систем, в разной степени подверженных негативному влиянию вредоносных программ и спама: государственные, системы коммерческих и некоммерческих организаций, индивидуальные.
1.1. Государственные инфокоммуникационные системы
Деятельность государственных организаций оказывает влияние на все общество, и объективно они являются более открытыми, чем коммерческие. В рамках государственных программ, таких, например, как «Электронная Россия», предполагается реализация электронного взаимодействия граждан с государственными структурами. Это делает инфокоммуникации государственных органов особенно уязвимыми для вредоносных программ.
Поражение государственных инфокоммуникационных систем вредоносными программами может затронуть интересы всей страны.
Спам также способен нанести государству ощутимый ущерб, так как он приводит к непроизводительным расходам на оплату трафика и времени подключения к Интернету, а также к потерям рабочего времени государственных служащих.
Другой важный аспект связан с тем, что в органах государственной власти отсутствуют дублирующие структуры. У потребителя нет возможности выбрать другую организацию в случае, если информационная система нужной ему государственной организации перегружена спамом или выйдет из строя в результате воздействия вредоносных программ.
Объективно государство обладает большими возможностями регулирования своей работы. Это создает хорошие предпосылки для проведения административно-технических мероприятий, обеспечивающих защиту государственных инфокоммуникационных систем. В то же время многие государственные организации не обладают необходимыми ресурсами защиты. В таких организациях на рабочих местах и в серверных комплексах используются программные продукты, не обладающие устойчивостью к воздействию вирусных атак. Средства защиты от спама также редко используются государственными организациями.
С учетом важности и масштабности государственных инфокоммуникационных систем задача обеспечения их информационной безопасности имеет особое значение.
1.2. Инфокоммуникационные системы коммерческих и некоммерческих организаций
Информация, хранящаяся в инфокоммуникационных системах коммерческих и некоммерческих организаций, имеет ценность только для данных организаций, их партнеров и клиентов. Поэтому масштабы ущерба от ее потери или искажения будут в целом меньше возможного ущерба от потери или искажения информации государственных организаций.
Тем не менее, по масштабам возможного ущерба, связанного с воздействием вредоносных программ и спама, крупные коммерческие и некоммерческие организации могут сравниваться с государственными структурами. Как правило, организации разрабатывают и реализуют собственные политики информационной безопасности.
1.3. Персональные инфокоммуникационные системы
Защита персональных инфокоммуникационных систем (например, компьютеров) от вредоносных программ и спама является прерогативой владельцев этих систем. Ущерб от повреждения информации, хранящейся в персональной системе, как правило, относительно невелик и затрагивает только владельца этой системы. Для персональных информационных систем характерна закрытость и слабая регулируемость.
Сотрудники государственных или негосударственных организаций, решающие служебные вопросы дома на персональной системе, могут неумышленно сделать свою систему стартовой для реализации атак на служебную инфокоммуникационную систему, либо способствовать утечке служебной информации, либо непреднамеренно принести на рабочее место вредоносную программу с домашнего компьютера. При этом возможно массовое распространение вредоносных программ и возникновение вирусных эпидемий.
Глава 2. Задачи защиты от вредоносных программ и спама
Для эффективного противодействия распространению вредоносных программ и спама необходимо принятие комплексных мер на различных уровнях. Решение данной задачи невозможно без участия всех заинтересованных сторон. В процесс решения поставленной задачи необходимо вовлечь:
· разработчиков программного и аппаратного обеспечения;
· системных интеграторов;
· операторов связи;
· исполнительные и законодательные органы государственной власти.
Следует учитывать тот факт, что никакие меры не смогут гарантировать достижения полной защиты. Речь может идти только о минимизации рисков, а не о полном их исключении.
2.1. Совершенствование нормативной базы
Одним из направлений совершенствования нормативной базы применительно к вредоносным программам и спаму является надлежащее обеспечение построения системы информационной безопасности при использовании сертифицированных и лицензионных технических средств с последующей аттестацией системы.
Несмотря на значительное количество действующих нормативных актов в области защиты информации, существует разрыв между реальным уровнем информационных и коммуникационных технологий и нормативным обеспечением, регулирующим их проектирование, внедрение и эксплуатацию. Необходимо, в частности, выпустить документ по терминам и определениям в области вредоносных программ и спама, исключающий неоднозначное толкование соответствующих понятий. Представляется целесообразным проработать вопрос о нормативном закреплении ответственности государственных служащих и работников негосударственных организаций за соблюдение политики безопасности в организациях (в частности, за действия, способные привести к распространению вирусов или снижению устойчивости инфокоммуникационной системы к атакам).
В нормативно-техническом плане необходима разработка набора профилей защиты от вредоносных программ, в соответствии со стандартом ГОСТ/ИСО МЭК 15408.
В настоящее время нет необходимости в принятии отдельного законодательного акта, предметом регулирования в котором был бы спам; пока было бы достаточным внесение изменений и дополнений в действующие федеральные законы и нормативно-правовые акты иного уровня.
Федеральный закон «О рекламе» необходимо дополнить статьёй о распространении рекламы с использованием электронных средств (включая компьютерные сети и средства связи), установив, что к такому распространению применяется общий режим регулирования рекламной деятельности с особенностями, вытекающими из специфики используемых технических средств.
Кодекс об административных правонарушениях необходимо дополнить статьёй об административной ответственности за распространение незапрошенных электронных и почтовых сообщений рекламного и иного характера.
Федеральный закон «О почтовой связи» необходимо дополнить положением о порядке доставки почтовой корреспонденции в почтовые ящики, абоненты которых явно выразили нежелание получать сообщения рекламного характера. Речь идет не о том, чтобы запретить вообще получать письма и газеты, а том, чтобы, во-первых, все почтовые сообщения проходили бы через почтовые отделения (т.е. были бы запечатаны и с наклеенными знаками почтовой оплаты), и, во-вторых, сообщения, отмеченные как «рекламные», не доставлялись бы в почтовые ящики с наклейками типа «рекламу не опускать!».
2.2. Разработка Политики Безопасности
Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на обеспечение информационной безопасности. Политика безопасности определяет стратегию организации в области информационной безопасности, а также ту меру внимания и количество ресурсов, которые руководство организации считает целесообразным выделить как критичную.
Политика безопасности должна включать в себя комплексные решения, охватывающие все аспекты использования инфокоммуникационных систем. В документ, характеризующий политику безопасности организации, представляется целесообразным включать следующие разделы:
· вводный, определяющий роль и место обеспечения информационной безопасности в инфокоммуникационной системе;
· организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области обеспечения информационной безопасности;
· классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
· штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организацию обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
· раздел, освещающий вопросы физической защиты оборудования инфокоммуникаций;
· управляющий раздел, описывающий подход к управлению техническими средствами;
· раздел, описывающий правила разграничения доступа к информационным ресурсам;
· раздел, характеризующий порядок разработки и сопровождения автоматизированных информационных систем;
· раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
· юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству и внутренней нормативно-распорядительной документации.
Созданная однажды политика безопасности не должна рассматриваться как догма. Ее необходимо постоянно пересматривать и корректировать по мере развития инфокоммуникационных технологий, а также по мере появления новых угроз.