Стандарти інформаційної безпеки. Політика безпеки
Головна задача стандартів інформаційної безпеки - узгодженість позицій та запитів виробників, споживачів і аналітиків класифікаторів продуктів інформаційних технологій. Кожна з категорій фахівців оцінює стандарти та вимоги і критерії, які в них існують, за своїми особистими параметрами. Для споживачів найбільшу роль грає простота критеріїв та однозначність параметрів вибору захищеної системи, а для найбільш кваліфікованої частини споживачів - гнучкість вимог та можливість їх застосування до специфічних ІТ- продуктів та середовища експлуатації. Виробники потребують від стандартів максимальної конкретності та спільних вимог і критеріїв з сучасними архітектурами ВР та з розповсюдженими ОС.
Експерти по кваліфікації мріють про стандарти, які детально регламентують процедуру кваліфікаційного аналізу, та про чіткі, прості, однозначні і легкі критерії які споживаються. Очевидно, що подібний ідеал є недосяжним, і реальність його потребує від кожної сторони визначених компромісів. Через це не будемо проводити суб'єктивний аналіз стандартів з точки зору кожного з тих що беруть участь в створенні захищених систем, а спробуємо ввести загальні для всіх “об'єктивні” критерії зіставлення.
У якості загальних показників, стандарти які характеризують інформаційну безпеку і мають значення для трьох груп, можливо назвати універсальність, гнучкість, гарантованість, реалізація та актуальність.
Універсальність стандарту визначається множиною типів ВР та областей їх споживання, до котрих може бути коректно застосовані його положення. Це дуже важлива характеристика стандарту, так як інформаційні технології переживають період бурхливого розвитку, архітектура комп'ютерних систем постійно удосконалюється, а сфера їх споживання постійно розширюється. Стандарти інформаційної безпеки у свому розвитку не провині залишатися від інформаційних технологій, що тільки може бути забезпечено гнучкістю вимог і критеріїв які пропонуються.
Під гнучкістю стандарту визначається можливість та зручність його застосування до постійно розвитку інформаційних технологій, а також час, на протязі якого він зберігає свою актуальність. Гнучкість може бути досягнута виключно через фундаментальність вимог та критеріїв і їх інваріантність по відношенню до механізму реалізації та технологіям створення ІТ- продуктів. Однак очевидно, що надмірна абстрактність вимог і відірваність їх від практики знижує їх реалізацію.
Гарантованість визначає міцність передбачених стандартом методів та засобів затвердження надійності підсумків кваліфікаційного аналізу. Спочатку цьому питанню не приділялося багато уваги, але аналіз опиту споживання перших стандартів інформаційної безпеки показав, що для досягнення передбачених цілей аналітики - класифікатори повинні мати можливість обгрунтувати свої висновки, а розробники потребують механізмів, з допомогою котрих вони могли би підтвердити коректність своїх домагань і представити споживачам визначені гарантії.
Реалізація - це можливість адекватної реалізації вимог і критеріїв стандарту на практиці, з урахуванням витрат на цей процес. Реалізація дуже пов’язана з універсальністю та гнучкістю, але відображає чисто практичні та технологічні аспекти реалізації положень стандарту.
Актуальність відображає відповідальність вимогам та критеріям стандарту множені загроз безпеки які постійно розвиваються та найновішим методам та засобам, які використовуються злочинцями. Ця характеристика, поряд з універсальністю, є одною з найбільш важливих, так як здібність протистояти загрозам та прогнозувати їх розвиток фактично визначає придатність стандарту і є вирішальним чинником при визначені його придатності.
Політика інформаційної безпеки — набір вимог, правил, обмежень, рекомендацій, які регламентують порядок інформаційної діяльності в організації і спрямовані на досягнення і підтримку стану інформаційної безпеки організації.
Головною причиною запровадження політики безпеки зазвичай є вимога наявності такого документа від регулятора — організації, що визначає правила роботи підприємств даної галузі. У цьому випадку відсутність політики може спричинити репресивні дії щодо підприємства або навіть повне припинення його діяльності.Крім того, певні вимоги (рекомендації) пред'являють галузеві або загальні, місцеві чи міжнародні стандарти. Зазвичай це виражається у вигляді зауважень зовнішніх аудиторів, які проводять перевірки діяльності підприємства. Відсутність політики викликає негативну оцінку, яка в свою чергу впливає на публічні показники підприємства — позиції в рейтингу, рівень надійності і т.д.