Оценка системы защиты информации в ИС
Адекватность мер защиты обычно оценивается методами анализа рисков, описанными в стандартах серии ISO 13335. Этот подход справедливо критикуется – ведь оценка рисков так или иначе базируется на субъективном мнении эксперта. Тем не менее, сопоставление субъективной оценки потенциальной угрозой с объективным расчетом затрат на внедрение механизма защиты – основной метод оценки адекватности применяемых мер.
Проще всего оценивать адекватность мер защиты для систем, непосредственно связанных с основными бизнес-функциями компании. Чаще всего оценка рисков во многом основывается на субъективном мнении эксперта, и три группы экспертов могут дать три сильно отличающихся результата.
Сложнее всего оценивается достаточность мер защиты, и тут используется комбинация из нескольких методов. Стандарты в области управления информационной безопасности, такие как ISO 27001, IT Baseline Protection Manual, Global Technology Auditing Guide или ISM3 содержат довольно подробные каталоги механизмов безопасности, реализация которых обеспечивает достаточную защиту информационных ресурсов большинства компаний. Однако нет никакой гарантии, что именно ваша компания относится к этому большинству.
Попыткой унифицировать подходы к оценке достаточности механизмов защиты стал принятый в 2001 году и постоянно развивающийся стандарт ISO 15408. Методика, предложенная в стандарте, предполагает, что для заданных владельцем целей можно подобрать набор требований безопасности так, что их реализация в ИС приведет к достижению поставленных целей. Практика показала, что разработать с помощью этой методики систему требований для сколь-нибудь сложной ИС невозможно: формализованный в соответствии со стандартом документ становится совершенно нечитаемым. Сейчас стандарт используется только для сертификации программных продуктов.
Еще один подход – расчет метрик, когда отдельные аспекты безопасности ИС можно охарактеризовать одним или несколькими численными показателями. К примеру, качество антиспамовых фильтров характеризуется количеством пропущенного спама и количеством ошибочно отфильтрованных полезных сообщений, а эффективность его применения – средним количеством спама, получаемого одним пользователем при условии, что количество ошибочно отфильтрованных сообщений близко к нулю. Для многих процессов с помощью подобных показателей можно удобно, наглядно, а главное – однозначно оценивать достаточность применяемых механизмов защиты. К примеру, последовательный рост количества выявляемых в сети вирусов свидетельствует о недостаточности применяемых в ней мер антивирусной защиты.
И, наконец, последний из методов – тестирование на проникновение. Если предыдущие методы позволяют оценить достаточность механизмов защиты теоретически, то тестирование на проникновение предполагает практическое выявление – и демонстрацию – методов реализации атаки, с которыми не удается справиться применяемыми на момент оценки мерами защиты. Тестирование на проникновение может включать в себя как автоматизированное сканирование, так и практическую реализацию атак, в том числе – с помощью таких плохо поддающихся оценке методов, как социальная инженерия.
Завершая этот очень краткий обзор методов оценки эффективности защиты, необходимо отметить: относительно объективных результатов можно добиться только при совместной работе владельцев информационных ресурсов компании, специалистов компании и привлекаемых экспертов. Эксперты располагают наработанными методиками и опытом проведения подобных оценок, специалисты компании – точными сведениями о специфике защищаемых информационных ресурсов, но основной отправной точкой для оценки являются интересы владельца ресурса и те цели, которые он преследует, выстраивая защиту.