|
|
№ 3 май-июнь 2006 г.
Тема номера: МЕТРИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
|
КАК ИЗМЕРИТЬ ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ ОРГАНИЗАЦИИ? ОБЪЕКТИВНО О СУБЪЕКТИВНОМ
С. Л. Зефиров, к.т.н., заместитель научного директора,
В. Б. Голованов, заместитель научного директора НПФ «Кристалл», г. Пенза |
|
|
Объективная сущность информационной безопасности
В своей деятельности любая организация рано или поздно сталкивается с проблемами, которые связаны с ее информационной сферой, информационными активами организации. При этом степень проблемы, как правило, напрямую зависит от того, насколько руководство организации осознает и занимается проблемами, относящимися к защищенности ее информационной сферы. Осознание же необходимости уделять внимание и затрачивать ресурсы организации на определение потребностей и решение задач обеспечения ее информационной безопасности тесно связано с тем, насколько «видима» и «осязаема» данная область.
В отличие от основной деятельности организации, направленной на производство продукции или оказание услуг потребителям, различные категории вспомогательных видов деятельности воспринимаются в подавляющем большинстве случаев ровно насколько, настолько они способствуют достижению целей организации. Деятельность по обеспечению информационной безопасности относится именно к этой категории), если только она не является одной из целей функционирования организации.
Как правило, «видимость» и «осязаемость» информационной безопасности в отсутствие некоторых специализированных мер приходят вместе с инцидентами в информационной сфере организации (инцидентами информационной безопасности), имеющими видимое влияние на основную или же управленческую деятельность последней. До тех пор пока инцидент не произошел, считается, что все нормально и нет необходимости затрачивать время и ресурсы на некую вспомогательную деятельность, результаты которой явно не ощутимы в повседневной жизни. И только в условиях активизации угроз, последствия которых могут быть в отдельных случаях катастрофическими для бизнеса организации, необходимость такой работы становится очевидной.
Указанное сыграло не последнюю роль в том, что до последнего времени, по некоторым оценкам, до 80 % российских банков не имели в своем штате выделенных служб информационной безопасности, а те, что имели, как правило, «настраивали» их деятельность под итоги расследования уже произошедших в банках инцидентов.
Все вышеотмеченное, безусловно, не является «открытием», а лишь иллюстрирует субъективную сущность определения и понимания понятия «информационная безопасность», которое, например, в национальном масштабе определяется в Доктрине информационной безопасности Российской Федерации от 09.09.2000 как «состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства».
Что такое «состояние защищенности» и как его измерить?
Какие бы подходы ни использовались для измерения и улучшения степени информационной защищенности в организации, оценка их объективности, по-видимому, является принципиальным фактором, способствующим рассмотрению степени их эффективности и основы для внесения необходимых усовершенствований в области информационной безопасности организации.
Однако в деле измерения уровня обеспечения информационной безопасности в настоящее время существуют определенные фундаментальные проблемы, которые можно проиллюстрировать следующим образом. С одной стороны, возможной соответствующей мерой уровня обеспечения информационной безопасности могло бы быть число успешных атак или же количество фиксируемых инцидентов. Например, в стандарте COBIT международной ассоциации ISACA для одного из 34-х процессов информационных технологий – процесса DS5 «Обеспечение безопасности систем» одним из ключевых показателей достижения цели данного процесса определено «отсутствие инцидентов, вызывающих всеобщее замешательство». Однако в действительности атаки – особенно те виды серьезных атак, относительно которых эффективность защиты является критичной – могут быть относительно редки, а отсутствие инцидентов, вызывающих всеобщее замешательство, может оказаться всего лишь следствием неактивности источников угроз на определенном временном интервале. Поэтому отсутствие успешных атак не может быть показателем эффективной безопасности.
Кроме того, нападающие часто принимают меры, чтобы избежать обнаружения и в итоге уйти от ответственности, так что отсутствие обнаруженных атак может служить мерой скорее плохой, чем хорошей безопасности.
Другим мифом хорошего подхода к измерению уровня обеспечения информационной безопасности является использование тестирования специальными командами корпоративных систем на проникновение. Подобный тест даже включен в один из классов требований оценки доверия в безопасности международного стандарта ISO/IEC 15408 «Information technology – Security techniques – Evaluation criteria for IT security». Однако результатом такого тестирования может быть ложная уверенность в защищенности, так как по статистике многие из успешных атак являются новыми, и бессмысленно надеяться на то, что при тестировании на проникновение это будет каким-либо образом рассмотрено и реализовано.
Указанные фундаментальные проблемы могут быть учтены через рассмотрение возможных мер, направленных на формирование субъективных основ уверенности в безопасности, которые, например, станут ориентироваться на соответствие технологии, политики и деятельности в области обеспечения информационной безопасности определенным принятым ориентирам: стандартам и/или лучшим практикам.
В итоге, хотим мы того или нет, мы вынуждены затронуть определенные психологические категории социума, так как относительно социума и его потребностей «выстраиваются» все системы безопасности, и информационная безопасность не является исключением.
Субъективная сущность ощущения защищенности
Безопасность и информационная безопасность как ее часть, определяемые через «...состояние защищенности...», неявно адресуют нас к категориям психологии, и в частности уверенности в безопасности или доверия к ней. В этой связи необходима интерпретация субъективного (ощущений) в объективное – в деятельности (процессы), обеспечивающие уверенность (опять же субъективная сущность). При этом уверенность основывается на знаниях того, что известные нам опасности не имеют на нас каналов влияния или же они минимизированы (предприняли защиту), и мы знаем способности этой защиты, или же ничтожна вероятность возможных опасностей. Относительно же неизвестных опасностей мы имеем систему, которая способна их прогнозировать или же выявлять их и адекватно под них подстраиваться.
Здесь следует различать уверенность (доверие) правильности и уверенность (доверие) эффективности.
Доверие правильности относится к оцениванию некоторого объекта доверия, чтобы проверить правильность реализации требований. Примером является оценка соответствия системы менеджмента информационной безопасности организации требованиям международного стандарта ISO/IEC IS 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements» или же иного стандарта, например стандарта СТО БР ИББС–1.0–2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения») для российских банков.
Доверие эффективности относится к возможностям функций (процессов) безопасности объекта доверия, например, на уровне организации, противостояния воспринимаемым или идентифицированным угрозам безопасности, включая адаптацию к изменениям как внутри, так и вне организации.
Отмеченные вопросы рассматриваются в одном из первых международных документов, посвященных субъективным категориям «уверенность» и «доверие» для области ИТ-безопасности – ISO/IEC TR 15443-1:2005 «Information technology – Security techniques – A framework for IT security assurance. Part 1: Overview and framework», разработкой которого более 3-х лет занимался 27 подкомитет первого объединенного комитета ИСО и МЭК. В нем в частности отмечается:
«Если функциональность безопасности объекта доверия обращается с потенциальными угрозами, но функциональность не была проанализирована, чтобы установить ее правильную конструкцию и реализацию, нельзя быть уверенным в том, что объект доверия будет противостоять атаке. В данном примере видно, что доверие эффективности было установлено, а доверие правильности – нет из-за отсутствия проверенной функциональности безопасности. Аналогичным образом, если анализ счел конструкцию и реализацию функциональности безопасности объекта доверия правильными, однако конструкция не содержит соответствующей функциональности, чтобы обращаться с вероятными угрозами, нельзя быть уверенным в том, что объект доверия будет противостоять атаке этих угроз. В данном примере видно, что хотя доверие правильности присутствует, отсутствует доверие эффективности из-за осуществления неэффективной функциональности безопасности против вероятных угроз. Для достижения всестороннего доверия объект доверия должен оцениваться, чтобы гарантировать правильную конструкцию, осуществление и работу (элемент правильности), и объект доверия должен обеспечивать соответствующую функциональность безопасности, чтобы противостоять идентифицированным угрозам (элемент эффективности)».
Из всего отмеченного на практике следует, что целесообразна комбинация определенных мер доверия к безопасности, где есть место и мерам оценки правильности (оценки соответствия требованиям), и мерам оценки эффективности (результативности и зрелости, например, для измерения степени возможности процессов к самосовершенствованию и развитию).
Далее рассмотрим два примера организации и использования мер обеспечения уверенности в безопасности на основе требований стандарта Банка России СТО БР ИББС–1.0–2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», положения которого касаются как необходимости оценки правильности – оценки соответствия (аудита) системы обеспечения информационной безопасности организации, так и оценки эффективности – зрелости процессов менеджмента информационной безопасности организаций.
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|