Неофіційний переклад
Рекомендації
Ради Організації економічного співробітництва та розвитку
від 27 липня 2002 року
“Директиви з проблем безпеки інформаційних систем і мереж: формування культури забезпечення безпеки”
Рада Організації економічного співробітництва та розвитку,
беручи до уваги Конвенцію про створення Організації економічного співробітництва та розвитку (далі – ОЕСР) від 14 грудня 1960 р. і, зокрема, статей 1 b), 1 c) і 5 b) вказаного документа,
беручи до уваги Рекомендації Ради, що регламентують забезпечення недоторканності приватного життя та захисту транскордонних потоків персональних даних від 23 вересня 1980 р.,
беручи до уваги Декларацію про транскордонні потоки даних, прийняту урядами держав-членів ОЕСР від 11 квітня 1985 р.,
беручи до уваги Рекомендації Ради, що регламентують політику в сфері криптографії від 27 березня 1997 р.,
беручи до уваги Декларацію про аутентифікацію у сфері електронній комерції, прийняту на рівні міністрів держав-членів ОЕСР 7 – 9 грудня 1998 р.,
визнаючи, що інформаційні системи і мережі використовуються урядами, комерційними підприємствами, іншими організаціями і приватними користувачами у все більш широких масштабах і що важливість та значимість цих систем і мереж постійно зростає,
визнаючи, що постійно зростаюча значимість і роль інформаційних систем і мереж, а також зростаюча залежність від них у справі забезпечення стабільного і ефективного функціонування національної економіки різних держав і міжнародної торгівлі, а також в соціальному, культурному та політичному житті потребують особливих заходів по захисту таких систем і мереж і по закріпленню довіри до них,
визнаючи, що впровадження інформаційних систем і мереж та їх розповсюдження по всьому світу пов’язані з появою нових і зростаючих факторів ризику,
визнаючи, що існує загроза безпеці даних і інформації, що зберігається в системах і мережах, або даним і інформації, що передаються про них, яка зумовлена можливістю різного роду несанкціонованого доступу, використання, неправомірного присвоєння, зміни, пересилки шкідливих програм, відмови в обслуговуванні або знищення вищезгаданих даних і інформації, і що необхідні належні міри захисту,
визнаючи, що існує необхідність підвищення обізнаності про фактори ризику для інформаційних систем і мереж та існуючу політику, практику, засоби і процедури, що спрямовані на протидію факторам ризику, а також на необхідність стимулювання належної поведінки як найважливіший крок, що спрямований на формування культури забезпечення безпеки,
визнаючи, що існує загальна зацікавленість в забезпеченні безпеки інформаційних систем і мереж шляхом формування культури забезпечення безпеки, причому ця зацікавленість сприяє координації дій і співробітництву в міжнародних масштабах для того, щоб успішно вирішувати проблеми, що виникають у зв’язку зі збитком, який може бути завданий економіці різних держав, міжнародній торгівлі і участі громадян у соціальному, культурному та політичному житті через збої в системі безпеки,
визнаючи, що “Директиви з проблеми безпеки інформаційних систем і мереж: формування культури забезпечення безпеки”, які приведені у Додатку до цих Рекомендацій, підлягають виконанню на добровільних засадах та не зачіпають суверенних прав держав,
визнаючи, що ці Рекомендації не є основою для припущень про вищевказане так, як для забезпечення безпеки існує одне конкретне рішення, і про те, яка саме політика, практика, засоби і процедури придатні для будь-якої конкретної ситуації; навпаки, в цих рекомендаціях викладена сукупність принципів, що покликані сприяти формуванню більш чіткому представленню про те, як сторони-учасники можуть винести для себе вигоду від розвитку і удосконалення культури безпеки та зробити свій внесок в її розвиток і вдосконалення,
р е к о м е н д у є державам-членам ОЕСР для застосування документ, що називається “Директиви з проблем безпеки інформаційних систем і мереж: формування культури забезпечення безпеки”, шляхом:
заохочення розвитку культури забезпечення безпеки у відповідності до положень Директив,
проведення консультацій та координації дій держав-членів ОЕСР та здійснення співпраці на національному та міжнародному рівні з метою реалізації положень Директив,
прийняття державами-членами ОЕСР нових положень та внесення змін до чинної політики, практики, заходів і процедур в сфері безпеки з тим, щоб врахувати положення Директив в державному та приватному секторах, в тому числі, серед урядів, комерційних підприємств, інших організацій і приватних користувачів для того, щоб сприяти формуванню і закріпленню культури забезпечення безпеки і підтримати всі зацікавлені сторони і їх намагання проявляти відповідальне відношення до даної проблеми та прийняття необхідних заходів для реалізації вказаних у Директивах положень,
надання державами-членами ОЕСР Директив у розпорядження держав, що не є членами ОЕСР,
перегляду Директив кожні п’ять років для того, щоб сприяти розвитку міжнародного співробітництва з питань, що стосуються безпеки інформаційних систем та мереж.
Ці Рекомендації прийняті на заміну Рекомендацій Ради з проблеми безпеки інформаційних систем від 26 листопада 1992 р.
Додаток
Директиви з проблем безпеки інформаційних систем і мереж: формування культури забезпечення безпеки
Передмова
За період, що минув з 1992 р., коли ОЕСР вперше представила “Директиви з проблеми безпеки інформаційних систем”, у сфері застосування інформаційних систем та мереж, так само як і інформаційних технологій в цілому, відбулися корінні зміни. Ці зміни, що тривають і до цього дня, принесли суттєву вигоду, однак при цьому вони вимагали і набагато більш серйозної уваги до сфери безпеки з боку урядів, комерційних підприємств, інших організацій та приватних користувачів, які розробляють інформаційні системи і мережі, володіють ними, надають їх у користування, керують ними, обслуговують або використовують їх (“сторони-учасники”).
На зміну досить скромним за можливостями автономним системам, що працювали, як правило, в ізольованих мережах, прийшли значно більш високопродуктивні персональні комп'ютери, розробки на стику різних наукових напрямів, повсюдне розповсюдження отримав Інтернет. Сьогодні сторони-учасники стають все в більшій мірі пов’язаними один з одним, причому ці зв’язки перетинають кордони держав. Крім того, Інтернет забезпечує функціонування таких важливих компонентів інфраструктури, як енергетика, транспорт і фінансовий сектор, та значно суттєвою мірою визначає те, яким чином компанії ведуть свій бізнес, як уряди і органи державного управління надають послуги громадянам та підприємствам і як громадяни спілкуються між собою та обмінюються інформацією один з одним. Характер і тип технологій, що утворюють інформаційну інфраструктуру та інфраструктуру зв’язку, також істотно змінилися. Кількість та різноманіття пристроїв для доступу до цих видів інфраструктури зросли в багато раз, і тепер до їх складу входять фіксовані, бездротові та мобільні пристрої, причому постійно збільшується відсоток пристроїв, доступ через які здійснюється у безперервному режимі через постійно працюючі канали зв’язку. Як наслідок усього цього, значно зросли різноманітність, обсяг і ступінь секретності інформації, що надсилається.
Як наслідок, збільшення числа зв’язків та обсягів обміну даними між інформаційними системами та мережами, даним системам та мережам зараз загрожують зростаюча кількість і більш широке різноманіття загроз і факторів ризику. У зв’язку з цим, у сфері забезпечення безпеки виникають нові проблеми. З цих причин дані Директиви поширюються на всі сторони-учасники інформаційного суспільства і дають підстави вважати, що існує необхідність розширення обізнаності про існування проблем у сфері забезпечення безпеки та досягнення кращого розуміння суті цих проблем, а також необхідність формування так званої “культури забезпечення безпеки”.
Стаття 1. Формування культури забезпечення безпеки
Ці Директиви покликані допомогти впоратися з проблемами, що виникають в мінливій сфері безпеки, шляхом заохочення формування культури забезпечення безпеки. Іншими словами, акцент робиться на необхідність забезпечення безпеки при розробці інформаційних систем і мереж та прийняття нової моделі мислення і поведінки при використанні інформаційних систем та мереж і при взаємодії з ними. Прийняття цих Директив знаменує собою принципову зміну в самому ставленні до забезпечення захищеної структури і безпечної експлуатації мереж і систем у порівнянні з тим, що було раніше (в минулому, дуже в багатьох випадках проблеми безпеки намагалися вирішувати “заднім числом”, тобто тоді, коли було вже надто пізно). Сторони-учасники все більшою мірою залежать від інформаційних систем, мереж та пов'язаних з ними послуг, і всі ці системи, мережі й послуги повинні стати більш надійними і захищеними. Безпека може бути надійно забезпечена тільки при прийнятті такого підходу, при якому в належній мірі враховуються інтереси всіх сторін-учасників і основні властивості систем, мереж та пов’язаних з ними послуг.
Діяльність кожної сторони-учасника має важливе значення для забезпечення безпеки. Сторони-учасники у відповідності зі своїми ролями та функціями повинні бути проінформовані про відповідні ризики у сфері безпеки і превентивні заходи, вони повинні брати на себе відповідальність і вживати заходів, спрямованих на підвищення безпеки інформаційних систем та мереж.
Для того щоб стимулювати формування і вдосконалення культури забезпечення безпеки, будуть потрібні як керівництво, так і широка участь зацікавлених сторін, і це має призвести до підвищення пріоритетності питань планування та керівництва забезпеченням безпеки, а також до усвідомлення всіма сторонами-учасниками необхідності забезпечення безпеки. Проблемами забезпечення безпеки повинні займатися на всіх рівнях державного управління та комерційних підприємств, так само як і всі сторони-учасники. Справжні Директиви утворюють основу, на якій має будуватися робота по формуванню культури забезпечення безпеки в суспільстві.
Це дозволить сторонам-учасникам враховувати фактор безпеки при проектуванні та експлуатації всіх інформаційних систем та мереж. У Директивах пропонується, щоб усі сторони-учасники сформували у себе і розвивали культуру забезпечення безпеки як спосіб мислення, оцінки та прийняття заходів, що стосуються функціонування інформаційних систем та мереж.
Стаття 2. Цілі та завдання
Метою і завданням цих Директив є:
а) сприяти вдосконаленню у всіх сторін-учасників культури забезпечення безпеки як засобу захисту інформаційних систем і мереж;
б) підвищити обізнаність про фактори ризику для інформаційних систем та мереж, про існуючу політику, практику, заходи та процедури, спрямовані на захист від цих ризиків, і про необхідність прийняття та реалізація даної політики, практики, заходів і процедур;
в) заохочувати формування у всіх сторін-учасників більшої довіри до інформаційних систем та мереж і до того способу, яким вони надаються в користування і використовуються;
г) створити спільну концептуальну основу, яка допоможе сторонам-учасникам зрозуміти суть проблем у сфері безпеки і поставитися з увагою до етичних цінностей при розробці та реалізації логічно послідовної політики, практики, заходів і процедур забезпечення безпеки інформаційних систем і мереж;
д) сприяти співпраці та обміну інформацією, наскільки це буде доречним, між усіма сторонами-учасниками при виробленні та реалізації політики, практики, заходів і процедур у галузі безпеки;
е) сприяти тому, щоб всі сторони-учасники, залучені в розробку і реалізацію стандартів і норм, визнавали важливість завдання забезпечення безпеки.
Стаття 3. Основні принципи
Наступні дев’ять принципів є взаємодоповнюючими, і їх слід розглядати як єдине ціле. Вони відносяться до сторін-учасників на всіх рівнях, включаючи політичний і оперативний. Згідно з цими Директивами обов’язки сторін-учасників будуть залежати від виконуваних ними функцій та ролей. Всі сторони-учасники тільки виграють від покращення рівня своєї поінформованості, їм піде на користь прищеплення відповідних навичок, спільне використання інформації і навчання, а це дозволить їм глибше зрозуміти суть проблем безпеки й удосконалювати практичні дії в цій сфері. Заходи і зусилля по підвищенню безпеки інформаційних систем та мереж не повинні суперечити цінностям демократичного суспільства і, зокрема, необхідності існування вільних і відкритих інформаційних потоків і такому основоположному тезису, як необхідність забезпечення недоторканності приватного життя.
1) Поінформованість
Сторони-учасники повинні усвідомлювати необхідність забезпечення безпеки інформаційних систем та мереж і розуміти, що вони можуть зробити для підвищення безпеки.
Поінформованість про фактори ризику та існуючі заходи безпеки можна розглядати як перший “рубіж оборони” при забезпеченні безпеки інформаційних систем та мереж. На інформаційні системи і мережі можуть впливати як внутрішні, так і зовнішні ризики. Сторони-учасники повинні віддавати собі звіт в тому, що збої в системі безпеки можуть призвести до заподіяння істотної шкоди системам та мережам, які знаходяться під їх контролем. Вони також повинні бути інформовані про можливий збиток, який може бути завданий іншим внаслідок взаємного підключення та взаємної залежності між системами та мережами. Сторони-учасники повинні знати конфігурацію своєї системи, і в їх розпорядженні має бути інформація про існуючі оновлення до неї, про місце системи в мережах, про належні прийоми роботи, які вони можуть впровадити для підвищення безпеки, а також про потреби та потреби інших сторін-учасників.
2) Відповідальність
За безпеку інформаційних систем та мереж відповідають всі сторони-учасники.
Взаємозалежні локальні та глобальні інформаційні системи і мережі відіграють важливу роль у забезпеченні нормальної роботи сторони-учасника, і ці сторони повинні усвідомлювати свою відповідальність за забезпечення безпеки цих інформаційних систем та мереж. Вони повинні відповідати за свої дії відповідно до виконуваних ними функцій і ролей. Сторони-учасники повинні регулярно аналізувати свою власну політику, практику, заходи та процедури, і оцінювати, наскільки вони відповідають ситуації, що склалася. Ті, хто розробляє, проектує і постачає продукти та послуги, повинні в процесі своєї роботи приділяти увагу питанням забезпечення безпеки систем і мереж та своєчасно розсилати відповідну інформацію, включаючи оновлення, з тим, щоб читачі могли краще зрозуміти функціональні можливості продуктів і послуг, що відносяться до забезпечення безпеки, і свої обов’язки щодо забезпечення безпеки.
3) Вжиття заходів у відповідь
Сторони-учасники повинні, у співробітництві з іншими, робити своєчасні дії для запобігання, виявлення та реагування на інциденти, пов’язані з порушеннями безпеки.
Усвідомлюючи взаємозв’язок і взаємозалежність інформаційних систем і мереж та потенційну можливість того, що цим системам, в принципі, можуть бути протягом короткого часу завдані масштабні ушкодження, сторони-учасники повинні своєчасно, виявляючи готовність до співпраці один з одним, реагувати на інциденти, пов’язані з порушеннями безпеки. Вони повинні ділитися один з одним – залежно від конкретної ситуації – відомостями про погрози та вразливі місця, а також реалізовувати процедури, що передбачають швидке і дієве налагодження співробітництва для запобігання та виявлення інцидентів, пов’язаних з порушенням безпеки, і реагування на них. У тих випадках, коли це буде допустимим, можуть передбачатися транскордонне спільне використання інформації та міжнародне співробітництво.
4) Етика
Сторони-учасники повинні враховувати законні інтереси інших осіб і організацій.
Враховуючи широке поширення інформаційних систем та мереж в суспільстві, сторони-учасники повинні усвідомити, що їх дія або бездіяльність може завдати шкоди іншим особам і організаціям. Тому вкрай важлива етична поведінка, і сторони-учасники повинні докласти зусиль для розробки та впровадження найбільш оптимальних методів роботи та стимулювання такої поведінки, при якій усвідомлюється необхідність забезпечення безпеки і повазі до законних інтересів інших.
5) Демократія
Забезпечення безпеки інформаційних систем та мереж не повинно вступати в протиріччя з основними цінностями демократичного суспільства.
Безпека повинна реалізовуватися таким чином, щоб це поєднувалося з цінностями, визнаними в демократичному суспільстві, такими, зокрема, як свобода обміну думками та ідеями, вільний обмін інформацією, конфіденційність інформації та зв’язку, належний захист особистої інформації, інформаційна відкритість та прозорість.
6) Оцінка ризиків
Сторони-учасники повинні проводити оцінку ризиків.
У ході оцінки ризиків виявляються загрози та вразливі місця, причому така оцінка повинна бути достатньою мірою всеосяжною, щоб врахувати найважливіші внутрішні та зовнішні фактори, до числа яких відносяться технологічні, фізичні і людські фактори, політика і послуги третіх сторін, що впливають на забезпечення безпеки. Оцінка ризиків дозволить визначити прийнятний рівень ризику і допомогти у виборі належних засобів і методів управління в ситуації, коли існує ризик завдання збитку інформаційним системам та мережам, при цьому повинні братися до уваги характер і важливість інформації, що захищається. З огляду на зростаючий взаємозв’язок і взаємозалежність між інформаційними системами, оцінка ризиків повинна включати в себе аналіз потенційного збитку, що може виходити від інших осіб і організацій або може бути завданий їм.
7) Розробка та реалізація систем і мереж з урахуванням необхідності забезпечення безпеки
Сторони-учасники повинні розглядати безпеку як один з найбільш важливих елементів інформаційних систем та мереж.
Для забезпечення оптимального рівня безпеки необхідна належна розробка, реалізація та координування систем, мереж і політики. Головним, але не єдиним напрямом цієї діяльності є розробка та впровадження належних заходів безпеки і рішень, покликаних усунути або обмежити потенційний збиток, обумовлений існуванням виявлених загроз і вразливих місць. Для цього потрібні заходи безпеки і рішення як технічного, так і нетехнічного характеру, і вони повинні відповідати цінності інформації, що зберігається в системах та мережах відповідної організації. Забезпечення безпеки повинно бути основоположною властивістю всіх продуктів, послуг, систем і мереж, так само як і невід’ємною складовою частиною проектів і архітектури систем. Для кінцевих користувачів проектування і реалізація з урахуванням фактору безпеки значною мірою зводиться до вибору і конфігурації продуктів і послуг для своєї системи.
8) Керівництво забезпеченням безпеки
Сторони-учасники повинні прийняти комплексний підхід до керівництва забезпеченням безпеки.
Керівництво забезпеченням безпеки повинно ґрунтуватися на оцінці ризиків. Воно має бути динамічним, таким, що охоплює всі рівні діяльності сторін-учасників і всі аспекти їхньої роботи. Воно має включати в себе завчасне реагування на загрози, що з’являються, і має передбачати вжиття заходів, спрямованих на запобігання та виявлення інцидентів та реагування на них, заходів з відновлення систем після збоїв, безперервне технічне обслуговування, аналіз і аудит. Політика, практика, заходи і процедури в галузі забезпечення безпеки інформаційних систем та мереж повинні бути скоординованими та інтегрованими для того, щоб утворювати логічно послідовну систему забезпечення безпеки. Вимоги до керівництва забезпеченням безпеки залежать від рівня участі, ролі та функцій сторін-учасників, існуючого ризику та вимог до системи.
9) Повторна оцінка
Сторони-учасники повинні аналізувати і проводити повторну оцінку безпеки інформаційних систем і мереж, а також вносити відповідні зміни в політику, практику, заходи і процедури в сфері безпеки.
Постійно виявляються нові, постійно-змінні загрожуючи фактори і вразливі місця. Сторони-учасники повинні безперервно аналізувати, повторно оцінювати і вносити зміни в усі елементи комплексу заходів по забезпеченню безпеки, для того щоб протидіяти цим можливим факторам ризику.
_____________________________________________________
Переклад з англ. – Віри Брижко.
Режим доступу: //www.oecd.org/dataoecd/16/22/155 82260.pdf
