"Финансовая газета. Региональный выпуск", 2007, N 42

ОХРАНА ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ ПРЕДПРИЯТИЯ:

ПОЛИТИКА БЕЗОПАСНОСТИ

(Окончание. Начало см. "Финансовая газета. Региональный выпуск", 2007, N 41)

Для неформальных политик безопасности широко распространено описание правил доступа субъектов к объектам в виде таблиц, наглядно представляющих правила. Преимуществом такого способа представления политики является то, что она гораздо легче для понимания пользователей, чем формальное описание, так как для ее понимания не требуется специальных математических знаний. Это снижает вероятность атак на вычислительную систему по причине ее некорректной эксплуатации вследствие непонимания принципов разработки системы. Основной недостаток неформального описания политики безопасности состоит в том, что при такой форме представления правил доступа гораздо легче допустить логические ошибки при проектировании системы и ее эксплуатации, приводящие к нарушению безопасности. Особенно это справедливо для политик безопасности нетривиальных систем, подобных многопользовательским операционным системам.

Преимуществами формального описания являются отсутствие противоречий в политике безопасности и возможность теоретического доказательства безопасности системы при соблюдении всех условий. Требование формального описания ПИБ характерно для систем, область применения которых критична. Можно отметить тот факт, что для защищенных вычислительных систем высокой степени надежности необходимы формальное представление и формальный анализ системы. Многие стандарты для систем самых высоких уровней безопасности требуют применения формальных методов доказательства безопасного состояния системы при различных операциях внутри нее.

В основе формального описания политики безопасности должны лежать спецификации авторизации, определяющие правила доступа субъектов к объектам. Для изучения способа управления доступом создается его описание - формальная модель. Она должна отражать состояние всей системы, ее переходы из одного состояния в другое, а также учитывать, какие состояние и переходы можно считать безопасными в смысле данного управления <1>.

     
   ————————————————————————————————
   

<1> Гайкович В., Першин А. Безопасность электронных банковских систем. - М., 1993. - 370 с.

Построенная система защиты адекватна политике безопасности, если она надежно реализует задаваемые этой политикой правила. Только корректная реализация системы защиты вычислительной сети компании на основе ПИБ, разработанных специалистами, может обеспечить надлежащий уровень охраны объектов ИС.

Такое решение проблемы охраны объектов ИС и проблемы построения системы защиты позволяет привлечь в теорию защиты точные математические методы, т.е. доказать, что данная система в заданных условиях поддерживает политику безопасности. В этом заключается суть доказательного подхода к защите информации, позволяющего говорить о "гарантированно защищенной системе" <2>. Смысл "гарантированной защиты" состоит в том, что при соблюдении исходных условий заведомо выполняются все ПИБ.

     
   ————————————————————————————————
   

<2> Пашков Ю.Д., Мусакин Е.Ю. Доказательный подход к построению защищенных автоматизированных систем // Проблемы информационной безопасности, 1999. - N 2. - С. 5 - 17. Защита бизнес-процессов и объектов ИС Компьютеры и иные инструменты обработки информации являются средством для обработки объектов ИС компании, представленной в виде электронных документов, информационные носители предназначены для хранения этой собственности, а вычислительные сети - для свободного перемещения информации и ее участия во всех бизнес-процессах. Средства обеспечения бизнес-процессов - аппаратное и программное обеспечение, которые в обязательном порядке должны быть охвачены политикой безопасности. Политика информационной безопасности должна обеспечивать защиту выполнения задач компании, т.е. защиту бизнес-процессов, в том числе неавтоматизированных. ПИБ должны содержать описание того, что необходимо защищать, а также какие ограничения накладываются на управление (доступ и использование информационных ресурсов). Политика безопасности способствует налаживанию четкой работы и взаимодействию между подразделениями. Если пытаться внедрять правила, которые не написаны четко, необходимо быть готовым к судебным разбирательствам. Персонал компании не является ее врагом, поэтому политика безопасности не должна нарушать какие-либо его права. Источники данных и условия получения информации для обработки При использовании данных третьей стороны, которые могут быть конфиденциальными или запатентованными, следует также применять меры защиты. Большинство источников информации связаны с соглашениями о совместном использовании объектов ИС, которые входят в условия приобретения или получения данных. При описании информационной базы компании в инвентаризационных документах должны быть учтены внешние службы и прочие источники информации. В инвентаризационных документах необходимо определить, кто работает с данными и на каких условиях собираются и, возможно, распространяются эти данные. Любая информация, предоставленная источником вне компании, считается данными от внешних источников. При поступлении внешних данных они сопровождаются соглашениями об авторских правах и конфиденциальности, в которых указывается, как использовать эту информацию. Важно предусмотреть механизмы для соблюдения соглашений независимо от того, являются ли эти данные обычной информацией или обновленной версией программного продукта. ПИБ должны включать аспекты управления данными, поступающими от внешних источников, согласно которым приобретаются и используются эти данные. Сложным является вопрос, связанный со сбором информации из общедоступных источников, которая при работе объединяется с другой информацией. Для сотрудников не составляет труда скопировать и вставить информацию с web-узлов и других источников во внутреннюю документацию, однако служащие должны сопровождать эту информацию соответствующей атрибутикой, особенно если эта информация цитируется дословно. В бизнесе часто встречается ситуация, когда информация, которой располагает компания, используется и другими компаниями. Независимо от того, делается ли это на основе соглашения о партнерстве или какого-то иного вида деловых отношений, необходимо обеспечить механизмы защиты рассредоточенных данных или технологий, которые передаются в качестве ИС. В разрабатываемые ПИБ могут быть включены следующие пункты, касающиеся защиты рассредоточенной ИС: правила заключения соглашений о конфиденциальности; требования, касающиеся использования ИС; правила передачи информации третьей стороне; организация защиты открытой информации; правила использования информации компании в некоммерческих целях. Для разработки ПИБ нужно проследить, каким образом соблюдаются уже существующие соглашения. В качестве выполнения этапа инвентаризации объектов ИС юристы, работающие в комиссии, должны собрать все соглашения, замечания и обсудить их на рабочих совещаниях. Пользуясь такой информацией, можно разработать правила защиты передаваемой информации и технологий компании в виде руководства пользователя. Обычно трудно разработать подобное руководство из-за необходимости предварительно классифицировать информацию. Одним из широко распространенных методов является использование защитных меток. Несмотря на то что использование защитных меток несовместимо со всеми операционными системами, базами данных и прикладным программным обеспечением, разработчики ПИБ должны определить, каким образом маркировать данные согласно их уровням защиты. Когда речь идет о соблюдении правил секретности, необходимо установить, что не только компания должна обеспечивать соблюдение конфиденциальности информации, касающейся сотрудников или клиентов, но и сами сотрудники должны соблюдать права ее конфиденциальности. Правилами должно быть установлено, что все, что касается конфиденциальности, права собственности и другой подобной информации, не может быть доступным без предварительного согласия. Особое внимание следует обратить на защиту конфиденциальной информации, которой компания обменивается со своими партнерами и клиентами, а также на обеспечение безопасности электронных сделок. Создается впечатление, что многие российские компании уделяют недостаточно внимания вопросу о достаточности информационной безопасности третьих сторон. Активный обмен информацией с деловыми партнерами через компьютерные системы - это серьезный риск, поэтому все участники информационного обмена должны соблюдать определенные стандарты безопасности. Подобные требования выдвигаются и к третьим сторонам, например Интернет-провайдерам и т.д. Необходимо проводить анализ уровня системы защиты конкурентов. Этот вопрос особо актуален для компаний, занимающихся электронной торговлей или работающих со строго конфиденциальной информацией. Лицензирование программного обеспечения Важно соблюдать правила лицензирования коммерческого ПО. Компании, как правило, не владеют правом собственности на программный продукт или данные. Лицензии разрешают использование ПО определенными ограничениями. К каждому программному продукту прилагаются сопроводительная документация и письменное лицензионное соглашение, в котором оговариваются правила и условия его использования (количество пользователей, географические и временные ограничения, количество допустимых резервных копий продукта и т.п.). Нарушение любого пункта лицензионного соглашения, будь то превышение численности пользователей программного продукта или превышение регламентированных сроков использования, означает его незаконную эксплуатацию. ПИБ предусматривают периодический просмотр лицензионных соглашений, нормативов на приобретение прав собственности, подтверждений лицензий на ПО, а также протоколов регистрации продукции, поступивших от производителей. Кроме того, должны быть разработаны правила, определяющие права копирования, а также установлен строгий контроль за этими ресурсами и отчетность за их использование и хранение. Объекты интеллектуальной собственности и политика безопасности Каждая компания независимо от ее функций имеет объекты ИС, которые необходимо охранять. Для большинства профессионалов информационной безопасности разработка правил защиты объектов ИС представляет собой одну из самых сложных задач. На предварительных стадиях создания ПИБ следует рассмотреть следующие вопросы, касающиеся защиты ИС: кто владеет правами на объекты ИС. Получение патента (подача заявления), авторских прав и др. должно быть регламентировано правилами независимо от того, какое отношение они имеют к информационной безопасности, корпоративному руководству или управлению персоналом; что представляют собой права на программы и документацию. Сотрудники могут иметь доступ к технической документации, в которой описываются современные бизнес-технологии или планы модернизации, а правила должны содержать предупреждение о том, чтобы эта документация не подлежала выносу за пределы предприятия, а содержащаяся в ней информация - обсуждению с посторонними лицами. Правилами также можно определить права доступа к документам или процессам; необходимо ли присвоить авторство всем источникам информации. С помощью обыкновенного web-браузера можно получать информацию путем копирования. Копирование чужих документов и включение их в свои документы без ссылки на авторов является плагиатом. Конечно, можно использовать отдельные цитаты из чужих документов, но все-таки лучше и их сопровождать ссылками на подлинного автора; присвоение авторских прав на объекты ИС. Если работа защищена патентом, авторскими правами или условиями неразглашения, она должна сопровождаться соответствующей информацией. В некоторых компаниях считают достаточным, если все напечатанные материалы содержат на каждой странице слова "Собственность компании" (копирайт компании). В этих вопросах могут помочь юристы, специализирующиеся на законах об ИС. Работая с ИС, независимо от того, является ли она собственной разработкой компании или приобретена, необходимо четко знать свои права на эту собственность, подтвержденные договором. Например, многие лицензии позволяют пользователю создавать одну копию в целях резервирования, но не позволяют использовать несколько копий одновременно. Что касается печатных работ, то часто делают ограниченное количество копий для персонального пользования. Стратегия реагирования на инциденты Реагирование на инциденты необходимо, когда обнаружен несанкционированный доступ в сеть или возникла проблема в операционной системе или ПО, которым пользуется компания. Правило, по которому компания должна докладывать обо всех случаях криминальной деятельности, может не отвечать ее интересам, тем более если преступление совершено собственными сотрудниками. Имидж часто дороже причиненного ущерба, который можно списать на убытки. Однако, если начнутся разбирательства, сокрытые факты могут обернуться еще большими затратами. Правила политики безопасности должны устанавливать порядок, о чем следует сообщать в комитеты реагирования на инциденты и/или в правоохранительные органы, а о чем нет. Данные правила должны обсуждаться на высшем уровне исполнительного руководства, которое несет ответственность за принятые решения. В них должно быть определено контактное лицо, отвечающее за сбор всех сообщений. Необходимо также разработать меры реагирования на них независимо от того, кто их присылает. Естественно, контактное лицо должно решать, имеет ли сообщение об инциденте отношение к компании. Он должен быть наделен полномочиями на выполнение всех необходимых действий для решения любой проблемы, возникающей на основе этих сообщений. Существуют многочисленные списки рассылки о всевозможных происшествиях и нарушениях информационной безопасности. В этих сообщениях описываются уязвимые места в защите, которые могут создать проблемы с безопасностью систем и сетей. Некоторые из них представляют интерес для всех, в то время как другие касаются только пользователей продукции конкретного производителя. Обнаружив вторжение в информационную сеть, вместо того чтобы забросить эту информацию, необходимо передать ее в комитет быстрого реагирования на подобные инциденты. Многие пользователи Всемирной сети понимают важность информирования об инцидентах, поэтому они начинают сообщать о проблемах, которые обнаруживают. Можно отправлять такую информацию более чем 30 различным организациям, которые занимаются реагированием на инциденты. Наиболее известный центр реагирования на инциденты компьютерной безопасности - это координационный центр CERT, центр которого также работает и в России при РосНИИРОС. Заключение Цель данной статьи стояла в том, чтобы еще раз подчеркнуть недооцениваемую важность соблюдений норм и правил в области охраны прав на объекты ИС. Подобные правила признаны во всем мировом сообществе и их соблюдение в России непременно приведет к прогрессивному развитию нашей экономики и успешному вступлению в ВТО. А.Теренин К. т. н., руководитель группы тестирования ПО GE Money Bank Подписано в печать 17.10.2007 ————