А защищена ли ИС? К вопросу о доверии и оценке защищённости информационных систем

BIS Journal №1(52)2024

13 февраля, 2024

А защищена ли ИС? К вопросу о доверии и оценке защищённости информационных систем

На фоне проблем, касающихся защищённости российских информационных систем, публично озвученных в последнее время, несколько на втором плане остаётся вопрос качества оценки защищённости этих систем, а ведь от этого зависит многое, в том числе и реальный общий уровень защищённости, и тот набивший оскомину вопрос с утечками больших объёмов персональных данных, и многое другое. 

Интуитивно сообщество специалистов по информационной безопасности чувствует, что те контроли защищённости, которые последовательно исторически возникали и широко применяются (аттестация, проверка, аудит, оценка соответствия), по-прежнему не дают ясного ответа на простой вопрос: а защищена ли система от актуальных и современных атак? Или, говоря более современным языком, неизвестно, какова величина остаточных рисков информационной безопасности системы? Да ещё и практика последних нескольких лет подбрасывает статистику результативных атак на российские информационные системы. Причём больше инцидентов возникает в организациях, напрямую не относящихся к оборонному комплексу или КИИ. 

 

ДЕВЯТЬ ВИДОВ ПРОВЕРОК

Интуитивно сообщество реагирует на эти вызовы традиционным запретительным способом, хорошо известным на Руси: увеличивает число разнообразных проверок, усиливает отчётность и повышает штрафы за очередные утечки данных, которые уже и так давно украли, потому что эти меры нужно было вводить лет 7 назад. А сейчас нужно думать о том, как защитить граждан от использования против них украденных данных, ибо огромные штрафы не дадут желаемого результата, но могут быть применены избирательно, хотя я рад был бы ошибиться. 

А проверок мы насчитываем уже девять видов, и все они, похоже, нужны, но их девять — и каждая со своими затратами, отвлечением персонала от реальной работы, толстыми отчётами (средний «вес» отчёта по аудиту 500 листов) и с остаточной неопределённостью каждой проверки, ибо оценки интегральной защищённости объекта после этих проверок как не было, так и нет. 

Да и доверять этим результатам, очевидно, нужно с осторожностью. Не зря Банк России говорит о «необходимости создания дополнительных правовых механизмов повышения качества оценки соответствия защиты информации в организациях кредитно-финансовой сферы и формировании требований к обеспечению достоверности результатов внешнего аудита» [1]. Фактически речь идёт о дефиците доверия к результатам оценки. Действительно, а можно ли верить результатам проверки, работа по которой выиграна кем-то в конкурсе на электронных торгах по цене 90 тысяч рублей при стартовой цене 2 миллиона? Ведь это не экономия, а профанация, оплатить работу специалиста этими средствами невозможно, потому что практически всё уходит на приобретение бумаги для отчёта и чернил. 

 

А ЧТО ТАКОЕ ДОВЕРИЕ?

А что такое доверие? Мы широко пользуемся этим понятием в обиходе, оно попало в терминологию по информационной безопасности, например, широко используются понятия «доверенная среда», «доверенные АПК», «уровни доверия» и т. д. И базируется оно на уверенности в том, что объект, с которым мы работаем, «опираемся» на него, является надёжным, не подведёт, отвечает нашим ожиданиям, ему можно доверять, в него можно верить. 

Но в сфере информационной безопасности полагаться на веру невозможно. Необходимы объективные подтверждения, основания для уверенности, поэтому доверие в этой сфере опирается на надёжную и объективную информацию о том, что объект, на который мы «опираемся», защищён. 

Таким образом, применительно к проблематике информационной безопасности, доверие — это основание для уверенности в том, что конкретная реализация системы защиты адекватно удовлетворяет четырём свойствам безопасности (целостность, доступность, конфиденциальность и ответственность) [2]. Причём выражение «адекватно удовлетворяет» однозначно указывает на связь понятия «доверие» с идеологией риск-менеджмента, о чём прямо сказал Б. Шнайер: «Безопасность — это управление рисками, а процессы безопасности — это способ уменьшения рисков» [3].

Результаты, обеспечивающие получение реальной информации о защищённости систем и существенно влияющие на повышение уровня доверия, могут быть получены только в результате квалифицированной проверки, проведённой оценщиком, который, в свою очередь, должен сам пользоваться достаточным доверием, а его квалификация и надёжность могут быть оценены, проверены и подтверждены. Это отдельная крайне важная задача. 

 

ЧТО ОБЕСПЕЧИТ ДОВЕРИЕ?

Что может обеспечить доверие:

  • построение системы защиты на основе адекватной модели угроз и политики безопасности, включая решение организационно-технических проблем и получение уверенности в том, что система построена правильно; 
  • доверие к оценщику, который должен зарекомендовать себя как квалифицированный, опытный субъект, имеющий практику проведения соответствующих работ и не замеченный ни в демпинге, ни в подтасовке результатов работы, ни в антиконкурентной деятельности; 
  • грамотный методический подход к оценке защищённости, в том числе на основе риск-менеджмента и зрелости процессов менеджмента; 
  • увязывание результатов деятельности по обеспечению информационной безопасности с результатом работы организации в целом как показателя качества и снижения рисков бизнес-процессов. 

Задача эта не новая и не является исключительной для сферы ИБ, она давно исследована и проработана в рамках аналогичных исследований по повышению доверия к результатам финансового аудита и сформулирована в виде набора инструментов, приведённого в международных стандартах ИСО/МЭК 17021-1:2015, ГОСТ Р ИСО/МЭК 27006-2020, ГОСТ Р ИСО/МЭК 17021-1- 2017. 

Но в нашем случае всё несколько сложнее. 

Очевидны два аспекта:

  • необходимо обеспечить точность оценки, обеспечивающую доверие и, главное, адекватную реалиям жизни в условиях интенсивных кибератак; 
  • результаты разных видов оценок должны быть интерпретированы в понятную и удобную форму, позволяющую делать адекватные выводы и принимать адекватные решения. 

 

ТРИ УРОВНЯ

Что касается первой задачи, доверие к деятельности по обеспечению защищённости ИС обеспечивается на трёх уровнях (этапах):

 

Подготовительном (разработка методического аппарата и инструментария, используемого для оценки).

Понятно, что оцениваться должны важнейшие показатели, характеризующие защищённость системы или влияющие на неё.

На этом уровне необходимо добиться точности используемой методики оценки и правильно выбрать критерии оценки защищённости.

Тут нужно понять, что имеется в виду, когда мы говорим об оценке защищённости. В настоящее время одновременно присутствуют следующие идеологические концепции:

  • все требования по защите должны быть выполнены в полном объёме, только в этом случае система считается защищённой;
  • система считается защищённой, если она соответствует установленному протоколу соответствия, который характеризует достаточный уровень защищённости;
  • система способна отражать атаки на самые ценные для неё ресурсы, чтобы не возникали недопустимые для неё события. Атаки второстепенного уровня допустимы;
  • защищённость системы характеризуется отсутствием известных уязвимостей.

По каждому направлению существует своя методологическая база, стандарты, требования и т. д. Всё это находится в различной стадии проработки и готовности. Например, в кредитно-финансовой сфере цель практически достигнута, и сейчас идёт совершенствование методического аппарата в направлении уточнения отдельных требований по защите и снижения трудоёмкости работ. Да и показывает себя система под кибератаками достаточно неплохо. 

Сейчас становится понятно, что на стабильность уровня защищённости оказывают сильное влияние процессы менеджмента, а значит, нужно оценивать их уровень зрелости. Однако общей ясности нет.

Следует, однако, отметить, что есть ещё один не до конца прояснённый вопрос.

Совершенно непонятно, какова вероятность успешной атаки на информационную систему при установленном нормативном коэффициенте соответствия, характеризующем объём выполнения требований по защите. В документах Банка России, который продвинулся в этом вопросе существенно дальше других регуляторов, такой коэффициент установлен как 0,92 от общего объёма требований. А какова вероятность успешной атаки на защищаемый ресурс в этом случае? А какова будет эта вероятность при выполнении 100 % требований по подходу ФСТЭК? И какая нас устроит: 10-1 или 10-5? Вопрос не исследован, ответа не существует. Но очевидно, этот параметр следует оценивать за достаточно большой период времени, 3–5 лет, и что вероятность успешной атаки будет разной для разных видов атак и зависит от частоты атак, их длительности и сложности. Можно предположить, что для атак типа DDoSоно должно находиться в пределах 10-5, а для АРТ-атак — в пределах 10-2. Именно такая информация гораздо понятнее владельцу системы, чем нынешние абстрактные показатели. 

 

Этап собственно оценки. Точность и достоверность результатов оценки определяются:

  • качеством работы оценивающей команды, её способностью правильно сформулировать контекст оценки, умело применить методику оценки, точно и объективно оценить уровень защищённости проверяемой организации; 
  • квалификацией привлекаемых экспертов. К сожалению, до сих пор отсутствует понятие «аудитор информационной безопасности», в отличие от финансового аудита, где оно чётко определено федеральным законом. В целом в данном вопросе царит анархия и к проверкам привлекаются организации и люди, подчас не имеющие необходимых статуса, подготовки и квалификации. Достаточно посмотреть на наборы квалификационных требований к экспертам, предъявляемые на электронных торговых площадках. Через раз — наличие квалификационных сертификатов (CompTIA, PenTest+, CEH, CPT, CEPT, CMWAPT, CRTOP, LPT, GIAC, OSCP, GPEN и т. д.),которые в нынешней ситуации вообще невозможно получить гражданину России. Значит, люди, имеющие такие сертификаты, обладают заведомыми конкурентными преимуществами. Какая тут честная конкуренция, на которую направлены механизмы торгов и соответствующие законы? Но регуляторы и ФАС в эту сторону даже не смотрят. Отмечу, что есть много вопросов к демпингу в ходе торгов, а также   существенному влиянию на результат закупочных подразделений, приоритет которых — не качество работы, а экономия средств. 

В целом в силу ряда причин субъективного характера на этом этапе результаты оценки в наибольшей степени подвержены искажению.

 

На этапе эксплуатации, в ходе практической деятельности по обеспечению информационной безопасности ИБ в организации, реальный уровень защищённости определяется прежде всего степенью зрелости процессов менеджмента информационной безопасности или модели возможностей процессов (в терминологии стандарта COBIT 5). 

А степень зрелости процессов менеджмента прежде всего определяет:

  • полноту покрытия «поверхности» защищаемой информационной системы требованиями по безопасности и защитными мерами;
  • полноту и своевременность выполнения требований по безопасности и защитных мер самой организацией.
  • способность организации сохранять достигнутый уровень безопасности (поддерживать измеренный в ходе оценки уровень защищённости) и противостоять факторам, приводящим к деградации процессов менеджмента и как следствие — деградации уровня защищённости.

Деградация зрелости процессов неминуемо приводит к снижению защищённости системы, как правило, это происходит незаметно и ненаблюдаемо (латентно) для руководства организации. Таким образом, формально и официально мы опираемся на результаты оценки, а реально уровень защиты может быть другой, гораздо ниже, чем мы думаем. 

Итак, некачественная деятельность оценщиков и деградация процессов менеджмента и есть основные факторы увеличения как риска утраты доверия к их деятельности, так и риска снижения защищённости информационных систем. К фактору, затрудняющему процесс оценки, следует отнести отсутствие механизма приведения результатов различных видов проверок к интегральному показателю защищённости. 

Что касается вопроса интерпретации результатов разных видов оценок в понятную и удобную форму, позволяющую делать адекватные выводы и принимать адекватные решения, то речь идёт прежде всего об интеграции результатов проверок в рамках упомянутых идеологических концепций в общую систему оценки защищённости. При этом, похоже, в неё нужно включать ещё и оценку зрелости процессов менеджмента как основного фактора, влияющего на сохранение измеренного уровня защищённости в течение длительных сроков эксплуатации  системы. 

 

НЕГАТИВНЫЕ ФАКТОРЫ ВЛИЯНИЯ

Как повысить доверие к деятельности оценщика?

Это системная задача. И чем точнее и раньше будут идентифицированы негативные факторы влияния, тем лучше.

Попробуем их обозначить.

  1. Отсутствие методологии расчёта интегральных показателей оценки защищённости.
  2. Отсутствие понятия и статуса аудитора ИБ.
  3. Отсутствие системы контроля качества выполненных работ по оценке защищённости.
  4. Проблемы с подготовкой кадров, отсутствие системы профессиональной подготовки и квалификационных экзаменов для аудиторов (оценщиков, контролёров) ИБ.
  5. Отсутствие антидемпингового механизма и механизма, обеспечивающего развитие конкуренции и качества выполняемых работ.

Это и есть перечень вопросов, которые необходимо разрабатывать с целью повышения доверия к деятельности в области аудита, оценки соответствия и консалтинга в сфере информационной безопасности.

 

[1] Банк России. Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2023−2025 годов. Москва, 2023.

[2] NISTIR 7298.

[3] Секреты и ложь. Безопасность данных в цифровом мире / Б. Шнайер. — СПб.: Питер, 2003. — 368 с.: ил. — (Серия «Классика computer science»).

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

08.10.2024
Операторы связи начнут валидировать коммерческие спам-обзвоны
08.10.2024
YouTube не отдаёт свой контент потенциальным скрейперам
08.10.2024
ВТБ — о клиентском пути, «который изменит платёжный рынок страны»
08.10.2024
Консорциум исследователей ИИ расширяет состав участников
08.10.2024
Информационная безопасность в перспективе 5-7 лет: основные векторы развития (по Матвееву)
07.10.2024
«Восстановление займёт много времени». На ВГТРК кибернапали?
07.10.2024
О сертификации айтишников по версии АПКИТ
07.10.2024
МТС RED: Больше всего DDoS-атак досталось ИТ-сектору и транспорту
07.10.2024
Время уплаты налогов: как этим пользуются мошенники
07.10.2024
Беларусь оставила аналоговую подпись в соглашении о признании электронной

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных