Пересмотр политики информационной безопасности США.
National Defence.- 1994 .- December.- P. 24, 25.
Пересмотр политики информационной безопасности США
Комитет по политике информационной безопасности США (Security Policy Board), возглавляемый заместителем министра обороны и директором Центрального разведывательного управления (ЦРУ), занимается подготовкой законодательных и административных рекомендаций по управлению процедурами обращения с секретной Документацией и повышению надежности и эффективности систем безопасности. В состав Комитета входят заместители министров или равные им по рангу представители объединенных штабов вооруженных сил, Национального совета безопасности, Госдепартамента, министерств энергетики, юстиции и торговли.
Рекомендации Комитета распространяются на системы безопасности военного, разведывательного, промышленного и коммерческого назначения, в той или иной мере влияющие на национальную безопасность США.
Президент Клинтон в своем директивном указании поставил перед Комитетом задачу «обеспечить безопасность национальных информационных технологий путем создания упрощенных, унифицированных и экономически эффективных систем безопасности. Комитет должен найти разумный компромисс между необходимостью упрощения прохождения информационных потоков и защиты конфиденциальности информации».
Военные действия в зоне Персидского залива показали, что некоторая информация имела такую высокую категорию секретности, что она оказывалась недоступной для тех, кому была крайне необходима. Большинство действующих систем безопасности морально устарело. Они ориентированы на защиту от угроз, которых в действительности не может быть (например, обнаружение русского агента, перелезающего через ограждение охраняемого объекта средь белого дня). Однако эти же системы игнорируют возможность выноса штатным сотрудником в портфеле секретных документов для последующей передачи их потенциальным противникам США.
В коммерческом секторе и в промышленности тратятся большие средства на дублирование, в котором нет необходимости.
Среди других недостатков отмечались отсутствие эффективных методов оценки угроз, мер обеспечения информацией об угрозах тех, кому она необходима; отставание в разработке эффективных мер противодействия угрозам безопасности.
В годы «холодной войны» вопросы информационной безопасности рассматривались правительством эпизодически. В результате такого фрагментарного подхода возник ряд проблем.
В связи с намечающимися изменениями в политике информационной безопасности ожидается, что базовая оборонная промышленность получит от этого большие выгоды. Вместе с тем промышленность сталкивается со сложными и зачастую противоречивыми требованиями МО, разведывательных органов и других правительственных агентств. Требования к промышленности в отношении средств и систем безопасности часто превышают требования, предъявляемые правительством к защите информации. Проводится слишком много проверок и приемок одного и того же технического средства различными правительственными органами безопасности с применением разных стандартов. Например, от разрабатывающих фирм требуется отчетность о каждом секретном документе, относящемся к разработке. На это расходуется много времени и денег. Необходимо, чтобы был единый орган, проводящий все проверки, инспекции и приемки и руководствующийся едиными стандартами,
Ожидается, что Комитет по политике информационной безопасности обратит особое внимание на предотвращение злонамеренных действий персонала информационно-вычислительных систем и систем безопасности, особенно сотрудников, уже получивших допуск к секретной информации. По имеющимся данным большинство преступлений, угрожающих национальной безопасности США, совершается за последние десятилетия именно такими лицами. Это особенно наглядно показало дело А. Эймса, детали которого вошли в той или иной форме в рекомендации Комитета.
Основным направлением решения этой задачи должно быть изучение финансового положения лиц, имеющих доступ к секретной информации, особенно тех, кто занимает ответственные должности. Строгое разграничение информации по категориям секретности и совершенствование систем безопасности компьютеров должны способствовать выявлению сотрудников, пытающихся собирать информацию, которую они не должны знать по своему служебному положению. Должны также учитываться заграничные командировки сотрудников и браки с лицами, имеющими гражданство других государств.
Работа по кадровой безопасности должна быть централизована и автоматизирована. Объединенная служба расследований (Joint Investigative Service) могла бы быть идеальным органом для изучения прошлого сотрудников военных и разведывательных органов, а также периодического пополнения и обновления их личных дел. Должна быть принята программа помощи сотрудникам в трудных ситуациях и решении их проблем, так как опыт показывает, что многие американцы становятся шпионами, пытаясь таким путем выйти из затруднительного положения.
Важное значение для повышения кадровой безопасности и изучения персонала с допуском к секретной информации имеет практика оформления соответствующего допуска. Она должна быть основана на общих стандартах, что позволило бы упростить взаимодействие различных ведомств в этой области. Должны быть приняты утвержденные правительством четкие и простые процедуры вместо сложных и зачастую противоречивых процедур, затрудняющих выполнение задач. В настоящее время правительственные ведомства и промышленные организации используют 45 различных форм, которые должны быть заполнены при оформлении допуска к секретной информации. Все эти формы, по существу, требуют ответов на одни и те же вопросы. Проверка допусков должна осуществляться по центральному каналу. Жетоны для доступа также должны быть стандартизованы. Только два этих мероприятия могут существенно сократить потери времени и средств при проверке сотрудниками службы безопасности допусков посетителей из других организаций.
Для упрощения структур систем безопасности должна быть разработана методика оценки затрат на применение мер и средств безопасности. В настоящее время никто не может сказать, сколько денег тратится на безопасность, поэтому трудно управлять тем, что нельзя измерить.
Проблема безопасности информационных и вычислительных систем приобретает все более важное значение. Наибольшим угрозам подвержены компьютеры и сети связи, и обеспечение их защиты останется важной задачей и в начале следующего тысячелетия. По мнению представителя Комитета по политике информационной безопасности, национальные информационные ресурсы США никогда не были более доступными in более уязвимыми, чем в настоящее время. Уязвима не только правительственная информация, но также информация, технологии и интеллектуальная собственность, находящиеся в распоряжении различных компаний, организаций и частных лиц. Хотя взаимосвязь различных отраслей и организаций необходима для экономического прогресса, это повышает уязвимость информационных систем. Действующие в настоящее время процедуры безопасности, предназначенные для защиты изолированных вычислительных систем прошлых лет, оказываются неэффективными применительно к современным и будущим системам.
Для преодоления этого разрыва потребуются тщательная оценка угроз, взвешенная стратегия инвестиций, участие высококвалифицированных специалистов по безопасности и достаточное финансирование исследований и разработок, направленных на поиск эффективных и экономических решений, обеспечивающих защиту секретных и несекретных информационных систем. Хотя непосредственные военные угрозы для США снизились, следует учитывать, что мир полон других угроз, так как США являются важным объектом для разведок многих стран. В этих странах много лиц, желающих получить доступ к секретам США. Их интересы не ограничиваются политической и военной информацией. Они проявляют все возрастающий интерес к экономической, научно-технической и коммерческой информации. Поэтому необходимо усилить защиту такой информации и решить эту задачу с применением новейших совершенных методов и технических средств с наименьшими финансовыми затратами.