Организационное обеспечение информационной безопасности на государственном уровне: практика США

Общая политика США в сфере информационной безопасности

В силу того, что США обладают значительным финансовым, технологическим, научно-техническим и военным потенциалом, а также уделяют большое значение усилению национальной безопасности, защите гражданских прав и интересов бизнеса, опыт этой страны в сфере управления информационной безопасностью является наиболее важным для изучения. Значимость управления информационной безопасностью в США на государственном уровне определяется также тем, что в этой стране сконцентрированы крупнейшие финансовые компании, исследовательские учреждения и корпорации, существенно влияющие на развитие технологий, финансовую стабильность и экономическое развитие всего мирового сообщества.

Одним из ключевых направлений развития информационной безопасности, так же как и во многих других странах, является обеспечение национальной (государственной) безопасности и, в частности, безопасности информационных систем т.н. "силовых" ведомств: вооруженных сил, внешней разведки и др. Начиная примерно с 1992 года основные усилия по организации мероприятий в сфере информационной безопасности предпринимались Министерством обороны США в рамках концепции "Информационного противоборства", ориентированной на решение задач борьбы с системами управления вооруженными силами противника на различных уровнях и обеспечение безопасности и эффективности собственных информационных систем армии США. Дальнейшее развитие эта концепция получила в 1996 году в виде нового полевого устава армии США "Информационные операции".

В целом же началом современной целенаправленной систематической организационной деятельности в сфере информационной безопасности на национальном уровне можно считать издание директивы администрации Президента Билла Клинтона Presidential Decision Directive 63 (PDD 63) "Защита критически важной инфраструктуры" от 22 мая 1998 года. На этом документе базируется подписанный Биллом Клинтоном в начале 2000 года "Общенациональный план защиты информационных систем", который определяет основные направления деятельности государства и всего общества в сфере обеспечения информационной безопасности.

Также в феврале 2003 года администрацией президента Джорджа Буша-младшего была опубликована "Национальная стратегия достижения безопасности в киберпространстве" ("National Strategy to Secure Cyberspace"), описывающая пять приоритетов в деятельности США по обеспечению информационной безопасности и основные задачи в рамках этих приоритетов на среднесрочную и долгосрочную перспективу [51].

Фактически данные документы могут считаться официальной общенациональной политикой США в сфере информационной безопасности, на основе которой строится вся система деятельности государственной власти в этой области и структура государственных органов, обеспечивающих информационную безопасность в стране.

В соответствии со стратегией информационной безопасности основными государственными приоритетами в этой области являются [51]:

1. становление и развитие национальной системы реагирования на происшествия в сфере информационной безопасности;
2. реализация комплексной системы мер по уменьшению угроз информационной безопасности;
3. обеспечение подготовки специалистов в сфере компьютерной безопасности и обеспечение ответственного отношения всего населения страны к вопросам защиты информации;
4. обеспечение защиты информационных систем, имеющих отношение к государственным органам;
5. развитие различных форм кооперации (в том числе и международной) в сфере обеспечения информационной безопасности.

Приоритет 1. Развитие системы реагирования на происшествия в сфере информационной безопасности предполагает, что быстрое обнаружение атак и своевременный обмен информацией о них во многих случаях могут значительно снизить ущерб. Для обеспечения безопасности Стратегия предполагает реализацию следующих основных мероприятий:

• разработку архитектуры взаимодействия как правительственных, так и неправительственных структур, которая обеспечила бы реагирование на инциденты;
• обеспечение как тактического, так и стратегического анализа атак на информационные ресурсы, а также оценки их уязвимости;
• поощрение распространения частными компаниями имеющейся у них информации об общем состоянии дел в сфере информационной безопасности;
• расширение работы "Информационной сети для предупреждений об угрозах критической инфраструктуре" (CWIN) для поддержки роли Министерства национальной безопасности в разрешении кризисов и некоторых других.

Приоритет 2. Реализация программы устранения угроз для информационной безопасности и уязвимостей в информационных системах предполагает, что наличие уязвимостей в различных информационных системах само по себе в определенной мере обуславливает возможность атак на них и, соответственно, является источником опасностей для элементов критически важной инфраструктуры страны. Таким образом, устранение уязвимостей является одним из наиболее важных направлений работы по обеспечению информационной безопасности. Для обеспечения безопасности Стратегия предполагает реализацию следующих основных мероприятий:

• расширение возможностей проведения расследований компьютерных преступлений для последующего предотвращения возможных атак;
• создание общенационального механизма для оценки уязвимостей с целью обеспечения более полного понимания негативных последствий от реализации угроз и использования уязвимостей;
• повышение безопасности сети Интернет путем совершенствования используемых протоколов и механизмов маршрутизации и некоторых других.

Приоритет 3. Развитие ответственного отношения к вопросам информационной безопасности и подготовка кадров в этой сфере предполагает, что источником многих уязвимостей является недостаточно ответственное отношение некоторых пользователей, системных администраторов и разработчиков информационных систем к вопросам защиты информации, их недостаточная осведомленность и информированность в этой сфере. Для обеспечения безопасности Стратегия предполагает реализацию следующих четырех основных мероприятий:

• продвижение многосторонней общенациональной программы по информированию и развитию ответственного отношения граждан страны к обеспечению безопасности тех информационных систем, к которым они имеют какой-либо доступ;
• поощрение создания программ подготовки специалистов, которые обеспечили бы удовлетворение потребности в персонале;
• повышение эффективности существующих программ подготовки специалистов в сфере информационной безопасности;
• поддержание усилий частных компаний по созданию, распространению и обеспечению всеобщего признания сертификационных программ в сфере информационной безопасности.

Приоритет 4. Охрана государственных информационных ресурсов. Для решения задач в этой сфере Стратегия предполагает реализацию следующих основных мероприятий:

• обеспечение непрерывного оценивания угроз для государственных информационных систем и существующих в них (системах) уязвимостей;
• обеспечение безопасности локальных правительственных беспроводных сетей;
• обеспечение безопасности при передаче процессов на аутсорсинг и проведении закупок для правительственных нужд и некоторых других.

Приоритет 5. Развитие кооперации между различными ведомствами и компаниями, а также международной кооперации в сфере обеспечения информационной безопасности обусловлено тем, что практически все информационные системы (и в стране, и в мире) являются взаимосвязанными и требуют глобального системного подхода к вопросам защиты информации. Для решения задач в этой сфере Стратегия предполагает реализацию следующих основных мероприятий:

• усиление контрразведывательной деятельности в сферах, имеющих отношение к информационным системам и технологиям;
• поощрение создания национальных и международных сетей наблюдения и предупреждения ("watch-and-warning networks"), обеспечивающих выявление и предупреждение атак на информационные ресурсы;
• поощрение присоединения других стран к Конвенции Совета Европы по киберпреступлениям или совершенствования национальных законодательств и некоторых других.