К счастью, почти ничего разрабатывать не надо: стандарт, позволяющий дать количественную оценку информационной безопасности, уже имеется. Речь идет о международном стандарте ISO 17799. Этот документ был принят международным институтом стандартов в конце 2002 года на основе ранее разработанного Великобританией стандарта BS7799. И хотя он пока не является общепринятым документом в нашей стране, этот стандарт не противоречит руководящим документам Гостехкомиссии и приказам ФАПСИ.
Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы. Этот процесс настолько формализован, что существует (и продается в нашей стране) программное обеспечение, позволяющее самостоятельно выполнить оценку безопасности своей компании. Это программное обеспечение представляет собой, по существу, вопросник. Сгенерированный программой отчет высылается в адрес фирмы, имеющей полномочия на проведение сертификации на соответствие этому стандарту, и та присылает вам соответствующий знак и процент соответствия стандарту, как показано на рисунке. Этот знак компания может разместить на своем корпоративном сайте. Трудно сказать, насколько эта процедура актуальна для российских фирм, но сам подход любопытен.
В заключении, необходимо особо подчеркнуть, что необходим постоянный и эффективный контроль над реализацией политики безопасности, потому, что все технические ухищрения в области обеспечения безопасности могут оказаться бесполезными без организации должного контроля.
Администратор безопасности – полномочный представитель (лицо или группа лиц), ответственный за обеспечение безопасности в автоматизированных системах и сетях.
Административная ответственность – вид юридической ответственности за проступки и правонарушения, не являющиеся уголовно наказуемыми.
Административное право (АП) – отрасль права, регулирующая общественные отношения в сфере государственного управления. Нормы АП определяют порядок организации и деятельности управленческого аппарата, права и обязанности должностных лиц и граждан. Юридическими источниками АП являются конституция, а также содержащие административно-правовые нормы законы, указы, положения, уставы, постановления, распоряжения, приказы и инструкции различных органов управления.
Адресование документа – разрешение на доступ к конкретному документу в виде резолюции на самом документе или специальном клапане, с указанием конкретных лиц, которым дается разрешение на ознакомление (исполнение) документа.
Анализ риска – процесс определения угроз безопасности системы и отдельным ее компонентам, определения их характеристик и потенциального ущерба, а также разработка мер защиты.
Аппаратные средства защиты – механические, электромеханические, электронные, оптические, лазерные, радио-, радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для защиты информации от НСД, копирования, кражи или модификации.
Аутентификация информации – установление подлинности информации исключительно на основе внутренней.
«Враждебное поглощение» – это получение контроля над финансово-хозяйственной деятельностью или активами компании-цели в условиях сопротивления со стороны руководства или ключевых участников компании-цели.
Государственное право – отрасль права, представляющая собой совокупность юридических норм, закрепляющих общественное и государственное устройство, систему, принципы организации и деятельности государственных органов, основные права и обязанности граждан.
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.
Гриф конфиденциальности – специальная отметка на носителе информации либо в сопроводительных документах на него, свидетельствующая о том, что носитель содержит конфиденциальную информацию.
Гриф секретности – реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставленные на самом носителе и/или в сопроводительной документации на него. Установлено три степени секретности сведений, составляющих гостайну, и соответствующие грифы секретности: «особой важности», «совершенно секретно» и «секретно».
Доступ к конфиденциальной информации – санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную или коммерческую тайну.
Закрытые данные – данные, доступные ограниченному кругу пользователей. Как правило, ограничение доступа осуществляется системой разграничения с помощью определенных правил (паролей).
Идентификация – отождествление предметов или лиц по их характеристикам, или по документам, или путем опознавания по приметам и определение полномочий, связанных с доступом к конфиденциальной информации.
Информационная безопасность – это состояние защищенности информационных ресурсов и потоков информации компании.
Информация секретная – информация, содержащая в соответствии с Законом РФ «О государственных секретах» сведения, составляющие государственную тайну.
Коммерческая тайна – не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение или утечка которых может нанести ущерб его интересам. Не могут составлять коммерческую тайну учредительные документы и устав; документы, дающие право заниматься предпринимательской деятельностью; сведения по установленным формам отчетности о финансово-хозяйственной деятельности; документы о платежеспособности; сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных мест; документы об уплате налогов и обязательных платежей; сведения о загрязнении окружающей среды; сведения об участии должностных лиц предприятий в кооперативах, малых предприятиях, товариществах и т. д.
Компьютерный шпионаж – подключение к компьютерам (или их прослушивание) без согласия владельцев с целью съема или повреждения содержащихся в них секретных данных.
Контрразведка – деятельность специальных органов государства (компании) в целях борьбы против разведок других государств (компаний).
