На фоне проблем, касающихся защищённости российских информационных систем, публично озвученных в последнее время, несколько на втором плане остаётся вопрос качества оценки защищённости этих систем, а ведь от этого зависит многое, в том числе и реальный общий уровень защищённости, и тот набивший оскомину вопрос с утечками больших объёмов персональных данных, и многое другое.
Интуитивно сообщество специалистов по информационной безопасности чувствует, что те контроли защищённости, которые последовательно исторически возникали и широко применяются (аттестация, проверка, аудит, оценка соответствия), по-прежнему не дают ясного ответа на простой вопрос: а защищена ли система от актуальных и современных атак? Или, говоря более современным языком, неизвестно, какова величина остаточных рисков информационной безопасности системы? Да ещё и практика последних нескольких лет подбрасывает статистику результативных атак на российские информационные системы. Причём больше инцидентов возникает в организациях, напрямую не относящихся к оборонному комплексу или КИИ.
ДЕВЯТЬ ВИДОВ ПРОВЕРОК
Интуитивно сообщество реагирует на эти вызовы традиционным запретительным способом, хорошо известным на Руси: увеличивает число разнообразных проверок, усиливает отчётность и повышает штрафы за очередные утечки данных, которые уже и так давно украли, потому что эти меры нужно было вводить лет 7 назад. А сейчас нужно думать о том, как защитить граждан от использования против них украденных данных, ибо огромные штрафы не дадут желаемого результата, но могут быть применены избирательно, хотя я рад был бы ошибиться.
А проверок мы насчитываем уже девять видов, и все они, похоже, нужны, но их девять — и каждая со своими затратами, отвлечением персонала от реальной работы, толстыми отчётами (средний «вес» отчёта по аудиту 500 листов) и с остаточной неопределённостью каждой проверки, ибо оценки интегральной защищённости объекта после этих проверок как не было, так и нет.
Да и доверять этим результатам, очевидно, нужно с осторожностью. Не зря Банк России говорит о «необходимости создания дополнительных правовых механизмов повышения качества оценки соответствия защиты информации в организациях кредитно-финансовой сферы и формировании требований к обеспечению достоверности результатов внешнего аудита» [1]. Фактически речь идёт о дефиците доверия к результатам оценки. Действительно, а можно ли верить результатам проверки, работа по которой выиграна кем-то в конкурсе на электронных торгах по цене 90 тысяч рублей при стартовой цене 2 миллиона? Ведь это не экономия, а профанация, оплатить работу специалиста этими средствами невозможно, потому что практически всё уходит на приобретение бумаги для отчёта и чернил.
А ЧТО ТАКОЕ ДОВЕРИЕ?
А что такое доверие? Мы широко пользуемся этим понятием в обиходе, оно попало в терминологию по информационной безопасности, например, широко используются понятия «доверенная среда», «доверенные АПК», «уровни доверия» и т. д. И базируется оно на уверенности в том, что объект, с которым мы работаем, «опираемся» на него, является надёжным, не подведёт, отвечает нашим ожиданиям, ему можно доверять, в него можно верить.
Но в сфере информационной безопасности полагаться на веру невозможно. Необходимы объективные подтверждения, основания для уверенности, поэтому доверие в этой сфере опирается на надёжную и объективную информацию о том, что объект, на который мы «опираемся», защищён.
Таким образом, применительно к проблематике информационной безопасности, доверие — это основание для уверенности в том, что конкретная реализация системы защиты адекватно удовлетворяет четырём свойствам безопасности (целостность, доступность, конфиденциальность и ответственность) [2]. Причём выражение «адекватно удовлетворяет» однозначно указывает на связь понятия «доверие» с идеологией риск-менеджмента, о чём прямо сказал Б. Шнайер: «Безопасность — это управление рисками, а процессы безопасности — это способ уменьшения рисков» [3].
Результаты, обеспечивающие получение реальной информации о защищённости систем и существенно влияющие на повышение уровня доверия, могут быть получены только в результате квалифицированной проверки, проведённой оценщиком, который, в свою очередь, должен сам пользоваться достаточным доверием, а его квалификация и надёжность могут быть оценены, проверены и подтверждены. Это отдельная крайне важная задача.
ЧТО ОБЕСПЕЧИТ ДОВЕРИЕ?
Что может обеспечить доверие:
Задача эта не новая и не является исключительной для сферы ИБ, она давно исследована и проработана в рамках аналогичных исследований по повышению доверия к результатам финансового аудита и сформулирована в виде набора инструментов, приведённого в международных стандартах ИСО/МЭК 17021-1:2015, ГОСТ Р ИСО/МЭК 27006-2020, ГОСТ Р ИСО/МЭК 17021-1- 2017.
Но в нашем случае всё несколько сложнее.
Очевидны два аспекта:
ТРИ УРОВНЯ
Что касается первой задачи, доверие к деятельности по обеспечению защищённости ИС обеспечивается на трёх уровнях (этапах):
Подготовительном (разработка методического аппарата и инструментария, используемого для оценки).
Понятно, что оцениваться должны важнейшие показатели, характеризующие защищённость системы или влияющие на неё.
На этом уровне необходимо добиться точности используемой методики оценки и правильно выбрать критерии оценки защищённости.
Тут нужно понять, что имеется в виду, когда мы говорим об оценке защищённости. В настоящее время одновременно присутствуют следующие идеологические концепции:
По каждому направлению существует своя методологическая база, стандарты, требования и т. д. Всё это находится в различной стадии проработки и готовности. Например, в кредитно-финансовой сфере цель практически достигнута, и сейчас идёт совершенствование методического аппарата в направлении уточнения отдельных требований по защите и снижения трудоёмкости работ. Да и показывает себя система под кибератаками достаточно неплохо.
Сейчас становится понятно, что на стабильность уровня защищённости оказывают сильное влияние процессы менеджмента, а значит, нужно оценивать их уровень зрелости. Однако общей ясности нет.
Следует, однако, отметить, что есть ещё один не до конца прояснённый вопрос.
Совершенно непонятно, какова вероятность успешной атаки на информационную систему при установленном нормативном коэффициенте соответствия, характеризующем объём выполнения требований по защите. В документах Банка России, который продвинулся в этом вопросе существенно дальше других регуляторов, такой коэффициент установлен как 0,92 от общего объёма требований. А какова вероятность успешной атаки на защищаемый ресурс в этом случае? А какова будет эта вероятность при выполнении 100 % требований по подходу ФСТЭК? И какая нас устроит: 10-1 или 10-5? Вопрос не исследован, ответа не существует. Но очевидно, этот параметр следует оценивать за достаточно большой период времени, 3–5 лет, и что вероятность успешной атаки будет разной для разных видов атак и зависит от частоты атак, их длительности и сложности. Можно предположить, что для атак типа DDoSоно должно находиться в пределах 10-5, а для АРТ-атак — в пределах 10-2. Именно такая информация гораздо понятнее владельцу системы, чем нынешние абстрактные показатели.
Этап собственно оценки. Точность и достоверность результатов оценки определяются:
В целом в силу ряда причин субъективного характера на этом этапе результаты оценки в наибольшей степени подвержены искажению.
На этапе эксплуатации, в ходе практической деятельности по обеспечению информационной безопасности ИБ в организации, реальный уровень защищённости определяется прежде всего степенью зрелости процессов менеджмента информационной безопасности или модели возможностей процессов (в терминологии стандарта COBIT 5).
А степень зрелости процессов менеджмента прежде всего определяет:
Деградация зрелости процессов неминуемо приводит к снижению защищённости системы, как правило, это происходит незаметно и ненаблюдаемо (латентно) для руководства организации. Таким образом, формально и официально мы опираемся на результаты оценки, а реально уровень защиты может быть другой, гораздо ниже, чем мы думаем.
Итак, некачественная деятельность оценщиков и деградация процессов менеджмента и есть основные факторы увеличения как риска утраты доверия к их деятельности, так и риска снижения защищённости информационных систем. К фактору, затрудняющему процесс оценки, следует отнести отсутствие механизма приведения результатов различных видов проверок к интегральному показателю защищённости.
Что касается вопроса интерпретации результатов разных видов оценок в понятную и удобную форму, позволяющую делать адекватные выводы и принимать адекватные решения, то речь идёт прежде всего об интеграции результатов проверок в рамках упомянутых идеологических концепций в общую систему оценки защищённости. При этом, похоже, в неё нужно включать ещё и оценку зрелости процессов менеджмента как основного фактора, влияющего на сохранение измеренного уровня защищённости в течение длительных сроков эксплуатации системы.
НЕГАТИВНЫЕ ФАКТОРЫ ВЛИЯНИЯ
Как повысить доверие к деятельности оценщика?
Это системная задача. И чем точнее и раньше будут идентифицированы негативные факторы влияния, тем лучше.
Попробуем их обозначить.
Это и есть перечень вопросов, которые необходимо разрабатывать с целью повышения доверия к деятельности в области аудита, оценки соответствия и консалтинга в сфере информационной безопасности.
[1] Банк России. Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2023−2025 годов. Москва, 2023.
[2] NISTIR 7298.
[3] Секреты и ложь. Безопасность данных в цифровом мире / Б. Шнайер. — СПб.: Питер, 2003. — 368 с.: ил. — (Серия «Классика computer science»).
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных