Стандарт информационной безопасности избирательной кампании: базовые характеристики

Размещено на http://www.allbest.ru/

Стандарт информационной безопасности избирательной кампании: базовые характеристики

С развитием информационных технологий и усилением их значения в повседневной жизни все острей встает вопрос обеспечения безопасности в информационной сфере. С одной стороны, автоматизация и информационная глобализация открывают перед человеком огромные возможности, с другой - чем больше мы полагаемся на информационные технологии, тем больше риски, которым мы подвергается в случае возникновения непредвиденных ситуаций. Минимизация данных рисков - одно из актуальных направлений исследований в современной науке. Однако информационная безопасность (далее - ИБ) представляет собой комплексное явление, не ограничивающееся лишь сферой компьютерных технологий, а включающее и защиту от несанкционированного доступа, и обеспечение физической безопасности информации и/или ее носителей и т.д. Существует ряд моделей ИБ, направленных на актуализацию всех ее компонентов в рамках разработки единой системы ИБ, направленной на устранение потенциальных и реальных угроз [1]. На основе таких моделей и практического опыта создаются специальные шаблоны - стандарты ИБ.

Первые попытки обобщения существующего опыта обеспечения ИБ с целью создания единого руководства по созданию эффективных систем ИБ предпринимаются в 90-х гг. ХХ в. в Великобритании. В 1993 г. Министерство торговли опубликовало пособие о практических аспектах обеспечения ИБ в коммерческих организациях. Доработанная версия этого пособия в 1995 г. стала британским стандартом BS 7799, который лег в основу международного стандарта ISO 17799 [2]. На сегодняшний день этот стандарт представляет собой один из наиболее актуальных и широко используемых комплексов мер, направленных на защиту информации (во многом благодаря постоянному обновлению). Кроме этого международного стандарта, существует ряд национальных стандартов: немецкий BSI, серия американских стандартов NIST-800, отечественные ГОСТы и т.д. Главная цель данных стандартов - описание доступных шаблонных мер обеспечения ИБ в организациях, а также совокупности мероприятий, проведение которых позволит обеспечить конфиденциальность, целостность, доступность информации.

Несмотря на определенные различия между упомянутыми стандартами (например, с точки зрения структуры, подхода к описанию предлагаемой системы и проч.), основанные на них системы ИБ строятся по схожей модели. В качестве примера можно обратиться к модели Symantec Lifecycle Security (рисунок). Она включает в себя несколько этапов:

· анализ рисков;

· разработку стратегического плана ИБ;

· поиск и внедрение конкретных решений ИБ;

· обучение персонала;

· мониторинг работы системы;

· разработку мер реагирования в случае инцидентов ИБ и восстановление информации [2].

Модель Symantec Lifecycle Security

Положительной чертой всех национальных и международных стандартов является их ориентированность в первую очередь на максимально широкое применение. Но могут ли универсальные стандарты ИБ (например, ISO 17799), а также такие модели, как Symantec, использоваться в рамках избирательной кампании? На наш взгляд, безусловно, могут, однако существует ряд фундаментальных особенностей, отличающих избирательную кампанию и избирательный штаб как объект ИБ от коммерческой фирмы. Игнорирование данных особенностей приведет к тому, что построенная по стандартам система ИБ окажется малоэффективной, громоздкой и необоснованно дорогой.

В случае с избирательной кампанией можно отметить в некоторой степени парадоксальную ситуацию: с одной стороны, информация играет ключевую роль в избирательной кампании - именно с помощью информации кандидаты стремятся повлиять на электоральные предпочтения населения. Значительную ценность представляет информация о результатах предыдущих выборов, сводные паспорта округов, сведения о потенциальных конкурентах и их консультантах. Если в разгар борьбы за голоса электората в руки соперников попадут стратегия или план-проект кампании, это может стать катастрофой и вся кампания окажется под угрозой срыва. Так, Ю.Щербатых отмечает важность поиска каналов информации из штабов главных конкурентов, иными словами, изъянов в их системе ИБ [3]. Кроме того, оценивая зрелость с точки зрения ИБ избирательных штабов по моделям Gartner Group и Carnegie Mellon University, можно поставить их лишь на самый нижний, нулевой уровень (уровень анархии). Расшифровывается этот уровень в классификации следующим образом: «необходимость обеспечения ИБ кампании в должной мере не осознана, и формально такая задача не ставится; выделенной службы информационной безопасности нет; служба автоматизации использует традиционные механизмы и средства защиты информации», «сотрудники сами определяют, что хорошо, а что плохо; затраты и качество не прогнозируются; отсутствуют формализованные планы» [2].

Усугубляется ситуация еще и тем, что в вариантах структуры избирательных штабов, предлагаемых теоретиками и практиками, не предусмотрена должность специалиста по ИБ. Как правило, предлагаемые варианты включают такой элемент, как служба безопасности, однако ее функциональные обязанности ограничиваются обеспечением физической безопасности кандидата и - в лучшем случае - организацией пропускного режима в избирательном штабе и контролем над кадровой политикой [3-5], чего для эффективно действующей системы ИБ очевидно недостаточно.

На наш взгляд, такое состояние дел в сфере обеспечения ИБ избирательных кампаний объясняется, прежде всего, особенностями их проведения:

· В отличие от коммерческой организации избирательный штаб функционирует лишь на период проведения кампании, а его целью не является получение прибыли, что во многом обесценивает вложения в создание надежной системы ИБ.

· Один и тот же кандидат, одна и та же партия каждую новую кампанию набирает в штаб значительное количество нового персонала, поэтому вложения в его усиленную ИБ-подготовку неоправданны.

· Как правило, делая выбор между затратами на обеспечение ИБ и собственно расходами на PR, рекламу и т.д. в рамках кампании, выбирают второе.

· Бюджеты на избирательные кампании ограничены и могут изменяться в большую или меньшую сторону под действием внешних факторов, что затрудняет прогнозирование доходов и расходов по всем статьям. Также необходимо учитывать разницу в бюджетах и структуре избирательных штабов разных кандидатов на выборах разного уровня.

· Весьма сложно оценить стоимость критичной для избирательной кампании информации в денежном эквиваленте (как правило, best practice с точки зрения расходов на ИБ - 10-20% стоимости защищаемой информации [2]).

· Система ИБ избирательной кампании не ограничивается лишь ИБ штаба - необходимо обеспечивать и «внешнюю» ИБ (например, безопасность каналов информации, защиту от информационных войн), ситуацию, которую практически невозможно спрогнозировать заранее.

Тем не менее, несмотря на фундаментальные отличия ИБ избирательной кампании от систем ИБ коммерческих организаций, универсальные стандарты ИБ все же представляют собой хорошее подспорье для начальников штабов. На наш взгляд, весьма перспективной является разработка специального стандарта ИБ избирательной кампании. Его использование, с одной стороны, позволило бы минимизировать риски, связанные со спецификой деятельности избирательного штаба, с другой - существенно сэкономило бы время на разработку системы ИБ, которая является важным условием проведения успешной кампании.

Такой стандарт, на наш взгляд, должен отвечать следующим требованиям:

1. Обеспечивать достаточный уровень безопасности внутренней информации избирательного штаба. Данное требование подразумевает борьбу с потенциальной утечкой внутренней информации через недобросовестных сотрудников, посторонних посетителей штаба, а также через несанкционированный доступ к компьютерам, подключенным к информационно-коммуникационным сетям. С точки зрения безопасности информации на материальных носителях достаточно эффективным средством, например, является организация пропускного режима и сигнализации, а также запрет на вынос из штаба любой документации как «на бумаге», так и на съемных носителях. Для обеспечения безопасности электронной информации должен использоваться полный комплекс соответствующих мер: установка сетевых экранов, antispyware, ограничение доступа к критичной информации внутри локальной сети штаба и т.д.

2. Включать информацию о наиболее распространенных ошибках, приводящих к нарушению ИБ, для ознакомления с ней сотрудников штаба (так называемые «DOs & DON'Ts»). «Человеческий фактор» становится причиной большого числа инцидентов в системе ИБ. В современной истории нередки случаи, когда доступ к критичной информации происходил случайно, по ошибке или по недосмотру сотрудников. Так, в январе 2014 г. в Удмуртии на свалке было обнаружено огромное количество заявлений «Сбербанка России» с копиями документов и личными данными людей, обратившихся в банк для оформления платежных карт, а также ответы на запросы правоохранительных органов о состоянии счетов клиентов и содержимом их сейфовых ячеек [6]. В банке этот случай объяснили ошибкой аутсорсинговой компании. Тем не менее, данный пример хорошо демонстрирует, что даже финансовые институты, традиционно обращающие огромное внимание на вопросы безопасности, не застрахованы от происшествий, вызванных ошибками людей. Если предыдущее требование было направлено на борьбу со злоумышленниками, то целью данного является страхование от ошибок, которые допускаются людьми неумышленно и которые можно предупредить.

3. Содержать меры, обеспечивающие конфиденциальность информации, исходящей к внешним агентам в течение всего процесса ее транспортировки и нахождения вне системы внутренней безопасности штаба. Критичная информация неизбежно покидает пределы системы внутренней безопасности штаба, поскольку штаб не обладает всеми необходимыми ресурсами для проведения кампании. Например, печать листовок заказывают в типографии, монтаж агитационного видеоролика - в рекламном агентстве, сайт кандидата - в IT-фирме. Как правило, информацией о том, что система ИБ подрядчиков находится на достаточном уровне, штаб не располагает, поэтому необходимо предусмотреть потенциальные риски и меры их минимизации в рамках собственной системы ИБ.

4. Минимизировать расходы ресурсов на поддержание ИБ на достаточном уровне. Основной целью избирательной кампании, как правило, является победа в выборах, но не создание идеально функционирующего штаба или идеальной системы ИБ. В конечном счете результат кампании зависит от голосования избирателей, поэтому представляется целесообразным потратить максимально возможную часть бюджета именно на работу с ними, а не на решение организационных и иных вопросов, среди которых и организация системы ИБ.

5. Содержать примерный план действий для сотрудников штаба на случай возникновения внештатной ситуации, в т.ч. и вызванной утечкой информации. Составление подобных планов является общепринятой практикой во многих сферах деятельности. Например, в системе национальной безопасности США определено 5 уровней готовности вооруженных сил (DEFCON 1-5), каждый из которых включает описание ситуации и соответствующий порядок работы различных структур системы безопасности. Существуют и весьма необычные инструкции: так, после аварии на японской атомной электростанции «Фукусима-1» Центр контроля и профилактики заболеваний США опубликовал план действий на случай «зомби-апокалипсиса», который, как уточнили в Министерстве здравоохранения, является универсальным и может быть использован и в случае природной катастрофы или пандемии [7]. Таким образом, обратившись к достаточно популярной в современной масс-культуре теме зомби, Центру удалось донести до большого числа люди сведения, которые в дальнейшем могут спасти им жизнь. В случае с избирательной кампанией подобные планы позволят адекватно отреагировать на инциденты даже в условиях дефицита времени, что особенно важно на ее завершающих этапах.

6. Описывать существующие способы нарушения целостности системы ИБ, а также меры по противодействию попыткам таких нарушений. Поскольку избирательные кампании проводятся на разных уровнях (на федеральном, региональном или муниципальном) и отличаются по количеству используемых ресурсов, уровню технической обеспеченности и подготовки сотрудников штабов, стандарт ИБ должен содержать перечень потенциальных угроз и мер по их минимизации, с тем чтобы руководство кампании в каждом конкретном случае могло оценить вероятность возникновения тех или иных угроз, целесообразность использования ограниченных рамками бюджета средств на борьбу с ними, а также выбрать те меры, которые в их случае позволят создать максимально эффективную систему ИБ.

7. Четко закрепить ответственность за те или иные участки системы ИБ за сотрудниками штаба. Необходимо, чтобы сотрудники осознавали возможные опасности, а также ответственность за те элементы системы ИБ, за которые они отвечают. Это позволит не только актуализировать вопросы ИБ в их сознании, но и быстро определить ответственного при возникновении внештатной ситуации (например, утечки информации) и принять меры для недопущения ее повторения.

8. Быть максимально простым и понятным для сотрудников штаба (т.е. быть на языке, понятном непрофессионалу).

9. Не бюрократизировать деятельность избирательного штаба чрезмерной документацией и излишними процедурами. Работа штаба зачастую проходит в режиме дефицита времени и может требовать быстрого принятия креативных, неординарных решений. Представляется нецелесообразным включать в стандарт ИБ такие меры, которые сковывают избирательный штаб и вследствие требований системы ИБ не позволяют быстро реагировать в ситуации цейтнота.

10. Учитывать внешние угрозы ИБ избирательной кампании. В стандарте должны содержаться обобщенные рекомендации по деятельности штаба в условиях информационных войн, возможно - примерный перечень контактов в медиасреде, необходимых для успешного противостояния информационным атакам или обеспечения безопасности каналов передачи информации электорату.

Данный список не является исчерпывающим: ввиду специфичности объекта ИБ все характеристики такого стандарта могут быть определены лишь при его создании. На наш взгляд, его существование могло бы не только обеспечить значительную экономию ресурсов (времени и денег) для команд кандидатов, но и поспособствовать большей честности выборов. Вместе с тем, необходимо помнить, что ни одна система ИБ не гарантирует стопроцентной безопасности, потому что постоянно появляются новые угрозы, новые средства и методы обхода существующих мер безопасности.

Библиографический список

информационный безопасность избирательный кампания

1. Балацкий, А.М. Моделирование информационной безопасности в контексте национальной безопасности / А.М. Балацкий // Развитие политических институтов и процессов: зарубежный и отечественный опыт : материалы IV Всероссийской науч.-практич. конф. / [отв. ред. И.А. Ветренко]. - Омск : Изд-во Ом. гос. ун-та, 2013. - 309 с.

2. Петренко, С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. - М. : Компания АйТи ; ДМК Пресс, 2004. - 384 с. : ил. - (Информационные технологии для инженеров).

3. Щербатых, Ю.В. Психология выборов / Ю.В. Щербатых - М. : Эксмо, 2007. - 400 с. : ил.

4. Малкин, Е. Политические технологии / Е. Малкин, Е. Сучков. - М. : Русская панорама, 2006. - 680 с. (Серия «Профессионалы: просто о сложном»).

5. Янбухтин, Э.Х. Единая Россия. Технологии успешной избирательной кампании / Эльдар Халимович Янбухтин. - М. : Вершина, 2008. - 144 с.

6. Документы с персональными данными клиентов Сбербанка оказались на свалке / РИА «СуперОмск», 15 янв. 2014 г. [Электронный ресурс]. - Режим доступа: http://superomsk.ru/news/4064, свободный.

7. Министерство здравоохранения США опубликовало инструкцию на случай зомби-апокалипсиса / Полит.ру, 19 мая 2011 г. [Электронный ресурс]. - Режим доступа: http://polit.ru/news/2011/05/19/zombie/, свободный.

Размещено на Allbest.ru