|
|
Обзор подготовлен
Аудит информационной безопасности в последние годы приобретает концептуальное значение для бизнеса, представители которого начинали обращать пристальное внимание на то, чтобы информационные системы соответствовали требованиям регуляторов. Россия вступила на это поле сравнительно недавно, и именно последние годы стали периодом всплеска активности в этой области.
По данным опроса мировых компаний по вопросам безопасности ИТ-систем, проведенного экспертами VanDyke Software, выяснилось, что за 2009-2010 год все компании регистрировали хотя бы одно несанкционированное проникновение к данным, хранящимся на пользовательских машинах в офисной сети или серверах. Если обратиться к цифрам отчета по аудиту ИБ, то в крупных компаниях, имеющих в штате 1-5 тыс. человек, успешность несанкционированного доступа к информации достигло 59% (в 2009 году – 57%), а очень крупных (больше 5 тыс. человек) – 67% (в 2009 году – 41%).
Причинами возникших проблемы являлись и хакеры, и сетевые атаки (по 14%), и отсутствие, либо недостаточная проработанность политик безопасности (12%), и мобильные сотрудники (10%) и многие другие. Приблизительно половина респондентов указала, что в их организации есть формальная процедура проверки защиты с участием внешней организации, которая осуществляется не реже одного раза в год (в 2009 году таких было лишь 35%). Однако у более 54% опрошенных проведенные аудиты помогли обнаружить "существенные проблемы информационной безопасности".
Важность аудита ИБ для бизнеса начали понимать и в России. Отмечается, что на рынке преобладают внедрения решений, отвечающих требованиям нормативной базы, а также важнейших российских и международных стандартов в сфере ИБ. По данным Leta IT-company, в настоящее время в России действует целый ряд нормативных документов, предписывающих создание на предприятии особых "зон ИБ" и определяющих наборы требований к ним - закон №152-ФЗ "О персональных данных", банковский стандарт СТО БР ИББС, стандарт в сфере платежных карт PCI DSS, а также стандарты, регламентирующие построение СУИБ и систем обеспечения непрерывности бизнес-процессов (ISO 27001 и ISO25999 соответственно). Выполнение каждого норматива требует от организации значительных усилий и серьезных изменений в ведении бизнеса, причем важнейшей частью этой работы является системный контроль соответствия каждого из элементов ИТ- и ИБ-инфраструктуры заявленным критериям при условии, что вышеперечисленные наборы требований к "зонам ИБ" существенно различаются между собой.
Российские ИТ- и ИБ-специалисты длительное время относились к риск-менеджменту и оценке рисков в защите информации в компаниях достаточно сдержанно. Проблема состояла в том, что технические специалисты из ИТ-отделов или департаментов безопасности разговаривали с бизнесом на разных языках. Слабой была и проработка таких процедур, если они осуществлялись консалтинговыми компаниями, которые смешивали разные понятия - аудит, оценку рисков, оценку уязвимости, тесты на проникновение (которые проводились в соответствие с существующими стандартами по безопасности SO 27001, PCI DSS, СТО БР ИББС, ISO 13335, NIST SP 800-30 и т.д.), не придерживаясь при этом сколько-нибудь выверенной методологии.
Если рассматривать термины более конкретно, то оценка уязвимости (Vulnerability Assessment) и тест на проникновение (Penetration Test) относятся к проверкам, направленным на определение состояния системы ИБ с технической точки зрения, а оценка рисков имеет явно выраженную бизнес-направленность и проводится с целью определения необходимых мер защиты, исходя из тех рисков, которым подвергаются наиболее ценные активы компании (поэтому она и определяет, почему нужно купить определенное средство защиты и установить его в данной ИС). При этом сама оценка рисков ИБ вызывает ряд трудностей, связанных с тем, что специалисту нужно оценить бизнес-последствия при реализации угроз информационным активам, создать список актуальных угроз и установить вероятность их реализации. Определить стоимость той или иной информации достаточно сложно, особенно если этим занимается только сам специалист по безопасности. Решением данной проблемы может стать созданная экспертная комиссия, состоящая из представителей бизнес-подразделений, использующих защищаемые информационные активы. В ее задачи будет входить определение системы критериев и оценка последствий для бизнеса при реализации тех или иных угроз, то есть, определение в денежном измерении масштаба последствий от реализации угроз в отношении защищаемых активов.
Пример определения критериев и оценки последствий угроз ИБ
Уровень последствий для бизнеса | Критерии | ||
Финансовые последствия | Клиентская база | Здоровье и жизнь | |
Критические потери | более 10 млн рублей | Более 50% | Смерть или нанесение серьезного вреда здоровью (инвалидность) одного или более лиц. |
Существенные потери | от 1 до 10 млн рублей | 15% - 50% | Нанесение вреда здоровью одного или более лиц. |
Средние потери | от 100 тыс. до 10 млн рублей | до 15% | Мелкие (легкоустраняемые) последствия для здоровья одного или более лиц. |
Незначительные потери | до 100 тыс. рублей | до 5% | - |
Источник: Leta IT-company, 2010
Тем не менее, сами по себе денежные средства могут и не играть роль универсального критерия – их реально заменить другими подходящими понятиями в зависимости от профиля бизнеса.
Количество и многообразие угроз для ИТ-активов компании создает сложности для их обобщения и рассмотрения в ходе проведения аудита. Некоторые ИТ-специалисты могут упрощать решение этой задачи при помощи составления типовых списков угроз, что далеко не всегда отражает реальное положение дел – например, на каждом этапе существования информация в компании может подвергаться тем или иным угрозам, что требует более тщательного подхода к анализу их значения для бизнеса и выявлению специфичных для конкретного предприятия ИБ-проблем.
Пример обобщенной модели возможных угроз
Источник | Вектор угрозы | Мотив (только для антропогенных источников) | Нарушаемое свойство информационного актива | Описание возможных угроз |
Сотрудник (Инсайдер) | Логический доступ к информации | Непредна-меренные действия | Конфиденциальность | Непреднамеренная передача конфиденциальной информации третьим лицам Непреднамеренное размещение информации конфиденциального характера на публичных ресурсах |
Стороннее лицо | Физический доступ к серверному оборудова-нию и носителям | Преднамеренные действия преступного характера | Доступность | Кража носителей информации и компьютеров из зоны хранения внешним злоумышленником Вандализм со стороны группы внешних злоумышленников. |
Внешние обслуживающие коммуникации | Электрическое питание | - | Доступность | Отключение основного электропитания систем, выполняющих обработку защищаемой информации Резкие колебания в сети электропитания, приводящие к выходу из строя аппаратуры |
Вредоносный код | Заражение рабочих станций и серверов | - | Доступность | Заражение и как следствие сбой в работе рабочих станций и серверов, используемых сотрудниками для обработки защищаемой информации |
Источник: Leta IT-company, 2010
Если оценка текущих угроз ИБ сталкивается с проблемой классификации, то использование оценки вероятности реализации угроз является еще более сложной в процедуре аудита. Так, нет никаких качественных инструментов для проверки наступления того или иного события, связанного, например, с компрометацией информации – взломы информационных систем происходят постоянно, но не вписываются в прогнозные схемы. Для этого чаще всего применяют некоторые теоретические модели.
В период постепенного восстановления после кризиса на отечественном рынке средств защиты информации возник интерес к ИБ-решениям, которые глубоко интегрированы в бизнес-процессы предприятия и затрагивают практически все элементы его ИС. Тем не менее, для таких продуктов требуется соответствующий менеджмент на качественно новом уровне. Он решается с помощью систем управления ИБ (СУИБ), которые строятся в соответствии со стандартом ISO 27001:2005. В 2009 году такие системы ставили из расчета необходимости обеспечения управляемости ИБ и получения сертификата соответствия требованиям, при этом чаще такие продукты внедряли не в комплексе, а в виде отдельных частей (системы управления рисками, системы управления инцидентами, системы повышения осведомленности, управления эффективностью внедренных решений по ИБ). Стимулом к развитию сегмента СУИБ в 2009 – первой половине 2010 года стал не только вышеприведенный международный стандарт, но и закон 152-ФЗ о защите персональных данных.
В Leta-IT company отмечают, что сегодня большинство компаний поддерживают внедрение решений для менеджмента ИБ снизу вверх – сформировав базу из процессов обеспечения ИБ (управления активами, управления уязвимостями, изменениями, инцидентами), а только после этого выстроив эти процессы в вертикальное решение для полноценного анализа (в свою очередь, внедрение решений по анализу рисков без создания процессов признается бесперспективным и малоэффективным).
На развитие аудита ИБ влияет и появление программно-технических решений, которые могли бы автоматизировать процессы управления защитой и интегрировать существующие в ИТ-инфраструктуре компании средства ИБ. Они доступны в линейках крупных игроков. Есть определенное влияние и со стороны интеграции таких систем на базе распространенных моделей и стандартов, например, ISO / IEC 27003:2010 "Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности". Аналитики ждут роста спроса на подобные инструменты по итогам 2010 года.
Михаил Демидов