НЕДОСТАТКИ СУЩЕСТВУЮЩИХ СТАНДАРТОВ И РЕКОМЕНДАЦИЙ. Стандарты и рекомендации образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности. В то же время этот базис ориентирован, в первую очередь, на производителей и оценщиков систем и в гораздо меньшей степени - на потребителей. Стандарты и рекомендации статичны, причем статичны, по крайней мере, в двух аспектах.
Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Информационную безопасность нельзя купить, ее приходится каждодневно поддерживать, взаимодействуя при этом не только и не столько с компьютерами, сколько с людьми. Иными словами, стандарты и рекомендации не дают ответов на два главных и весьма актуальных с практической точки зрения вопроса - как приобретать и комплектовать информационную систему масштаба предприятия, чтобы ее можно было сделать безопасной - как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося окружения и структуры самой системы Как уже отмечалось, стандарты и рекомендации несут на себе родимые пятна разработавших их ведомств.
На первом месте в Оранжевой книге документе, освещающем проблемы информационной безопасности в США и аналогичных Руководящих документах Гостехкомиссии при Президенте РФ стоит обеспечение конфиденциальности.
Это, конечно, важно, но для большинства гражданских организаций целостность и доступность - вещи не менее важные. Не случайно в приведенном определении информационной безопасности конфиденциальность поставлена на третье место. Таким образом, стандарты и рекомендации являются лишь отправной точкой на длинном и сложном пути защиты информационных систем организаций. С практической точки зрения интерес представляют по возможности простые рекомендации, следование которым дает пусть не оптимальное, но достаточно хорошее решение задачи обеспечения информационной безопасности.
Прежде чем перейти к изложению подобных рекомендаций, полезно сделать еще одно замечание общего характера. Несмотря на отмеченные недостатки, у Оранжевой книги есть огромный идейный потенциал, который пока во многом остается невостребованным. Прежде всего, это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы - от выработки спецификаций до фазы эксплуатации.
При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях. В то же время, ее наличие на этапе выполнения позволило бы по-новому поставить и решить многие проблемы информационной безопасности. Например, знание того, к каким объектам или их классам может осуществлять доступ программа, существенно затруднило бы создание троянских коней и распространение вирусов.
К сожалению, пока для принятия решения о допустимости того или иного действия используется скудная и, в основном, косвенная информация - как правило, идентификатор пароль владельца процесса не имеющая отношения к характеру действия.