Вопросы обеспечения доверия и качества оценок информационной безопасности 2017

Подробности

Родительская категория: Блог Юрия

Создано 15.05.2017 22:15

Просмотров: 1954

В окружающем нас мире все большее место занимают ИТ. Каждый из нас вынужден принимать решение использовать ли и насколько использовать их в своей деятельности. И этот выбор основывается на нашем доверии к конкретным ИТ или услугам предоставляемым с их помощью. Следует особо подчеркнуть, что это доверие должно быть не религиозным, а осознанным, т.е. основанным на знаниях и надежных свидетельствах, качественных оценках.

Вместе с тем, быстрые темпы обновления знаний и, соответственно, изменений технологий и средств информатизации вместе с непрерывно усиливающейся зависимостью бизнеса, обороноспособности, общественной жизни и т.д. от информационных технологий, объективно не позволяют своевременно получить такие свидетельства, которые позволяли бы сформировать осознанный приемлемый уровень доверия.

Современная воспитательно-образовательная парадигма (деградация классического образования) не оставляет надежды на улучшение ситуации в части обретения субъектами информационных отношений знания необходимого для осознанного принятия решения.

С учетом сказанного становится очевидной необходимость выработки новых подходов к обеспечению (в первую очередь кадрового) информационной безопасности.

Эти новые подходы необходимо сформулировать в расчете на предотвращение (недопущение, упреждение) событий безопасности. Это по нашему мнению возможно путем:

1) воспитания культуры информационной безопасности в максимально широкой общественной среде, причем начинать это воспитание следует с момента когда ребенок получает доступ к современному средству коммуникации;

2) создания профессиональных институтов (центров, ассоциаций) высочайшей квалификации, способных выполнять роль ведущих (локомотивов) в решении не только текущих или уже известных проблем информационной безопасности, но и (а может быть и в большей степени) будущих.

Культура информационной безопасности формируется на базе достаточной совокупности согласованных правовых норм, знания и исполнения их субъектами информационных отношений. Там же где регулирование посредством правовых норм неуместно должны быть и работать этические нормы.

Важнейшим из упомянутых институтов является институт оценки, поскольку даже использование своих средств защиты требует оценки их возможностей, а большинство государств никогда не сможет обеспечивать свою безопасность и безопасность своих граждан в информационной сфере с помощью только собственных доверенных средств информатизации и защиты информации. Поэтому проблемы оценки будут только обостряться и дополнительную остроту им будет придавать «капитализация» (от слова – капитализм) всех сфер нашей жизни. И здесь вновь важнейшим элементом выступает доверие. Стороны информационных отношений должны доверять оценкам друг друга, а это невозможно без согласованной политики в области оценки соответствия, обеспечивающих правовых норм, и единообразного технического регулирования (включая требования, критерии и методики), наличия взаимно признаваемых компетенций в данной области деятельности и, наконец, взаимной прозрачности механизмов и процедур оценивания.

Взаимное признание компетенций экспертов-оценщиков требует согласования деятельности в таких областях как правовое регулирование, образовательная деятельность, сертификация (проверка и подтверждение квалификации) экспертов-оценщиков, аккредитация организаций и др.

В качестве первых шагов для решения обозначенных проблем, по нашему мнению, необходимы:

¾  гармонизация законодательства (по меньшей мере, государств ЕАЭС)  в области информационных технологий в целом (на основе, например, модельного законодательства);

¾  активизация деятельности в ISO в части издания стандартов ISOна русском языке;

¾  перевод и ввод в действие международных стандартов по информационной безопасности и оценке соответствия как межгосударственных, обеспечение их доступности по примеру http://protect.gost.ru (в рамках, например, Межгосударственного Совета по стандартизации, метрологии и сертификации);

¾  гармонизация процедур оценки в области информационных технологий на межгосударственном уровне и создание (например, в рамках ЕАЭС) открытой, прозрачной системы оценки соответствия;

¾  создание электронного общедоступного русскоязычного глоссария (в перспективе информационно-поискового тезауруса), который позволит всем создавать более качественные документы: НПА, ТНПА, техническую, программную, эксплуатационную документацию и т.п.

¾  объединение усилий по исследованию проблем обеспечения безопасности информационных технологий и поиску путей их решения.