Приоритеты защиты. Как их расставить

Приоритеты защиты. Как их расставить

Сущность понятия «безопасность» определяется как состояние безопасности, покоя, отсутствия тревог и невозможности реализации угроз, защищенности для ценности, ценного актива, субъекта.

Безопасность в то же время можно определить как специфическое состояние, особое свойство, близкое к категории качества [1], которое возникает у объекта защиты при реализации на нем особых защитных мер. Как показывает практика, это свойство латентно, постоянно стремится к исчезновению, незаметному «испарению».

С другой стороны, мы видим, что для поддержания безопасности необходимо постоянно прикладывать к активу довольно существенные усилия, тратить ресурсы и энергию, в результате чего возникает аналогия с понятием «энтропия», использованным К. Шеноном в теории информации, то есть с мерой неопределенности в системе. Чем выше энтропия (защищенность), тем меньше хаоса, но тем больше энергии нужно затратить на достижение этой цели.

Информационную безопасность принято оценивать либо по шкале меры близости к некоему императивно заданному уровню, состоянию (уровень защищенности, уровень зрелости, полный или выборочный набор требований по защите), либо прямым тестированием путем имитации атак или сканирования уязвимостей.

Сложность вопроса обусловлена тем, что для измерения уровня защищенности доступны только косвенные методы измерения и оценки. Естественно, при этом возникают вопросы достоверности и точности измерений, ошибок оценки защищенности. А в случае, если используется метод прямого тестирования, например тестирование уязвимостей или обновлений, по полученным результатам можно сделать вывод только об отсутствии или наличии уязвимостей в системе защиты, которые могут быть проэксплуатированы для реализации атаки. Но в целом по этим результатам в целом оценить уровень защищенности объекта защиты невозможно.

Таким образом, нужно определиться, что же нас интересует в итоге: защищенность ценных для нас активов [2] от угроз, оцененная через наличие слабостей в системе, или уровень защиты информации в ней.

Следует уточнить, что мы понимаем под словом информация. А что это такое? Это «иная, отличная от материи и энергии сущность» (Н. Винер), обладающая совершенно отличными, специфическими только для нее, свойствами и характеристиками. Важнейшим свойством информации, оказывающим существенное влияние на развитие проблематики защиты информации и в целом на всю сферу информационной безопасности, является ее абсолютная инвариантность к постулатам информационной безопасности, известным как CIA (доступность, целостность и конфиденциальность), которые, по сути, являются ограничительными мерами. А ведь именно эти постулаты положены в основу всех механизмов защиты информации.

Противоречие между невозможностью применить CIA к информации и необходимостью их использовать в свое время было разрешено достаточно просто: все требования по безопасности информации были применены не к информации как к объекту защиты, а к материальной среде, в которой хранятся, обрабатываются и передаются данные[3]. Таким образом, было принято первое допущение (1), которым было установлено тождество между защитой информации и защитой среды ее обработки    

Зи ≡ Зд   (1)

Где Зи — защищенность информации, а Зд — защищенность данных в среде обработки.

Это позволило распространить на информацию постулаты CIA и установить критерии достаточности мер ее защиты.

До середины 70-х годов прошлого века, когда программы (софт) были неотделимы от самого компьютера (хард), защищенность информации оценивалась исключительно радиотехническими методами, путем измерений радиоизлучений (так называемый ПЭМИН [4]) «харда». В качестве критерия защищенности рассматривалось хорошо известное в радиотехнике соотношение шум/сигнал на входе измерительного радиоприемника. Это устраивало всех. Измерял – и спокоен, все нормально. На этой парадигме в сфере защиты информации возникла целая индустрия. Были вложены огромные средства в создание измерительной базы, проведение соответствующих измерений и в итоге — создание защищенных компьютеров. 

Однако с развитием информационных технологий, отторжением «софта» от «харда», усложнением архитектур вычислительных систем, возникновением индустрии разработки ПО потребовалось усовершенствовать методику оценки защищенности информационных (автоматизированных информационных)систем, которые уже рассматривались как совокупность софта, харда, данных и пользователей, участвующих в работе системы и/или получающих от нее определенные сервисы и услуги. В середине 80-х годов прошлого века было принято второе допущение (2), при котором полагалось, что уровень защиты информации может быть оценен как результат выполнения набора специфических защитных мер, предъявленных к среде, в которой обрабатывается информация (данные).

Кзи = f (∑ мзи)   (2)

Где:

Кзи — коэффициент защищенности системы, данных, данных, информации,

Мзи — защитная мера.

Этот подход позволил ввести шкалу для измерения уровня защищенности информации (данных). Критерием защищенности при этом считалось либо полное выполнение всего набора защитных мер (бинарный подход), либо соответствие императивно установленной мере близости к идеальному состоянию защищенной системы.

Это оказалось удобным для сертификации продуктов информатизации по требованиям безопасности в рамках ISO/IEC 15408 Сommoncriteria.

Однако попытки применения этого стандарта для решения задачи обеспечения информационной безопасности систем и крупных информационных комплексов оказались неудачными. 

В эти же годы, когда компьютерная преступность еще не развилась и не проявилась во всей своей красе и рассматривалась в теоретическом ключе, были разработаны системы оценки защищенности. При этом в требованиях по безопасности содержался довольно большой объем формальных требований, как оказалось, слабо влияющих на реальную защищенность систем. 

В последнее время ситуация изменилась радикально и стало очевидным следующее.

Во-первых, выполнение на объекте защиты абсолютно всех требований по безопасности не позволяет достичь абсолютной защищенности и всегда существует определенная вероятность, риск «прокола» системы защиты и успешной атаки на данные или ПО, что мы и видим на практике:

• всегда или почти всегда может появиться новая, неизвестная атака, учесть которую было просто невозможно при проектировании системы защиты;
• вероятность срабатывания используемых защитных мер даже по известным атакам далеко не равна 100%, что существенно влияет на общую вероятность отражения атак системой защиты.

Во-вторых, ясно проявилось такое неприятное свойство информационной безопасности, как тенденция к «быстрому и незаметному испарению», резко повышающая вероятность успешной атаки на фоне формального соответствия требованиям по безопасности.

В-третьих, растущая сложность информационных систем увеличивает так называемую поверхность атаки, которая доступна злоумышленнику. За счет неэффективного менеджмента постоянно возникающих уязвимостей эта «поверхность» еще более расширяется, что повышает риск успешной атаки.

В-четвертых, остро стоит вопрос качественного управления системой обеспечения информационной безопасности. 

В-пятых, в проблематике защиты ясно обозначились две важные задачи, два этапа:

• защита периметра, имеющая целью отразить, не пропустить атаку внутрь системы;
• обеспечение безопасности внутренней структуры информационной системы, имеющее целью прежде всего предотвратить развитие атаки в случае ее проникновения вовнутрь защищаемой системы.

Сформулированные и нормативно закрепленные требования по защите существенно различаются по следующим критериям:

• эффективности;
• вероятности срабатывания;
• скорости ослабления (деградации);
• затратам на реализацию.

Исходя из этого одни требования необходимо обязательно выполнять и строго контролировать как можно чаще, а лучше непрерывно, а другие — можно проверять с гораздо меньшей частотой. Это напоминает известное правило Парето: первоочередные 20% действий позволяют достичь 80% результата. Такой подход может существенно упростить и сделать более прозрачными процедуры контроля.

В-шестых, стало ясно, что задачу обеспечения защиты какого-либо приоритета информационной безопасности необходимо ставить не «вообще», а только на определенном отрезке времени. Например, в части отражения атак на отказ в обслуживании задача для службы безопасности может быть сформулирована следующим образом: не допустить реализацию атак через фишинговые письма или отразить DDoS-атаки с определенной плотностью в течение ближайших нескольких, трех-пяти лет.

По истечении этого срока эти цели следует уточнять, но для этого, как правило, потребуется модификация системы защиты.

Наконец, киберпреступность не стоит на месте, а активно развивается и совершенствуется. В результате многолетнего, систематического и целенаправленного изучения информационной среды РФ «та сторона» постоянно приобретает новое, более детальное знание, намеченные к атаке системы детально и целенаправленно изучаются, улучшается планирование, растет число успешных атак. Очевиден тренд на индустриализацию, промышленную разработку хакерских инструментов, интеграцию усилий, увеличение скорости атак за счет внедрения искусственного интеллекта (ИИ). Обращает на себя динамика изменения и уточнения целей атак, а также оперативность внедрения в практику передовых наработок.

Все изложенное вновь ставит вопрос о переосмыслении методического подхода к задаче обеспечения безопасности и способам ее решения.

Очевидно, что на качество защиты самым существенным образом влияют:

• не только сам факт реализации требований по безопасности, но и в гораздо большей степени уровень зрелости процессов обеспечения безопасности объекта и управления ею, так как именно процессный подход позволит наиболее эффективно парировать деградацию защитных мер и поддерживать их на надлежащем уровне;
• оперативность, своевременность и качество принятия первоочередных мер, обеспечивающих прочность периметра и способность успешно отражать атаки, принятые во внимание при построении системы защиты, оперативность выявления и устранения «критических» уязвимостей системы защиты;
• наличие эффективного оперативного контроля и мониторинга работы основных защитных механизмов, обеспечивающих защиту внутренней структуры защищаемой информационной системы, а также выявления наличия в ней признаков атак;
• автоматизация управления работой системы обеспечения информационной безопасности и повышения, таким образом, скорости реакции системы защиты на атаку;
• существенное повышение требований к поставщикам услуг в части обеспечения информационной безопасности с целью разрушения каналов атаки «через поставщика».

Как следствие, оказалось необходимым повышать качество (уровень) защиты имеющихся объектов и рассматривать объекты и их подсистемы не выборочно, а в совокупности с поставщиками, подрядчиками и клиентами, как специфическую «экосистему информационной безопасности», имея в виду тот неоспоримый факт, что цепь всегда рвется в слабом звене.

И тут снова встают вопросы: как измерять качество защиты, как соотнести его с вероятностью отражения атак или, наоборот, вероятностью успешных атак? Достаточно ли измерять уровень соответствия требованиям или необходим иной, более точный подход? Как выстроить эффективную систему управления информационной безопасностью в современных условиях? Как организовать эффективный мониторинг информационной безопасности? Какие задачи управления безопасностью необходимо автоматизировать, чтобы эффективно управлять рисками информационной безопасности?

Выделим главное.

1. Информационная безопасность системы, то есть ее защищенность, устойчивость в условиях воздействия на нее компьютерных атак, обеспечивается качественной реализацией соответствующих (рекомендованных или предписанных) защитных мер, организационных мероприятий и контрольных мер.
2. Защитные меры, как уже было отмечено, имеют различную и не всегда стопроцентную эффективность. Но при этом напомним, что первоочередные 20% действий достигают 80% результата. В нашем случае к таким действиям относится довольно ограниченный набор мер защиты периметра и веб-сервисов. Выполнить эти требования просто, а результат будет весьма заметен. Однако и все остальные защитные меры тоже должны быть реализованы.
3. Организационные требования запускают процессы обеспечения безопасности.
4. Процессы обеспечивают устойчивость защитных мер и существенно снижают вероятность их незаметного «испарения».
5. Управление системой обеспечения безопасности должно существенно уменьшить скорость ее реакции на вторжения и инциденты и включать максимальную автоматизацию функций сбора информации, контроля работы подсистем, выявления признаков типовых атак и реакции на них.
6. Мониторинг основных защитных мер и состояния информационной инфраструктуры должен быть непрерывным.
7. Чем проще и яснее изложены требования по защите, тем выше результат.
8. Контроль должен включать:

• оценку соответствия требованиям по безопасности (в форме аудита);
• оценку уровня зрелости процессов обеспечения и управления безопасности (в форме проверок, самооценок с обязательной отчетностью);
• оперативный контроль первоочередных мер защиты, в первую очередь периметра;
• инструментальное тестирование, в первую очередь средств защиты периметра, включая электронную почту, и веб-сервисов, взаимодействующих с сетью Интернет, и в плановом порядке — внутренней структуры защищаемой информационной системы;
• обязательную отчетность.

Если обратиться к вопросу анализа рисков нарушения безопасности, следует отметить, что при таком подходе риски нарушения ИБ могут быть существенно снижены за счет организации эффективного управления и непрерывного контроля процессов. То есть будет осуществляться тот самый «менеджмент рисков».

Однако следует отметить, что на практике до уровня управления рисками дело пока не дошло.

ФСТЭК на протяжении нескольких лет в ходе проверок объектов критической информационной инфраструктуры (КИИ) фиксирует грубые примитивные нарушения требований защиты, например использование заводских настроек паролей, а число административных штрафов, вынесенных по результатам проверок в 2025 году, составило 1200 при 700 проверенных объектах. Лишь 36% всех проверенных организаций соответствуют минимальному уровню защищенности, установленному ФСТЭК. При этом минимальный уровень защищенности считается достигнутым, если выполнены всетребования ФСТЭК, изложенные в нормативных документах[5]. Очевидно, что, пока эта первая, достаточно простая, но исключительно важная задача не решена, о менеджменте рисков думать рано.  

Тем не менее с учетом последних изменений, происходящих в проблематике информационной безопасности, встраивается следующая схема управления безопасностью объекта и контроля.

1. Двухэтапная (1-й этап — защита периметра и веб-сервисов, взаимодействующих с сетью Интернет, 2-й этап — организация защиты внутренней структуры и управления ИБ) реализация требований нормативной базы по обеспечению информационной безопасности не только на объектах КИИ, но и на других, ценных для населения объектах, типа Владимирского хлебозавода, информационная система которого недавно подверглась разрушительной компьютерной атаке, что создало много реальных неудобств для населения крупного города и его окрестностей.
2. Контроль реализации требований по защите в виде аттестации или аудита ИБ.
3. Повтор аудита ИБ в виде оценки соответствия требованиям по информационной безопасности и оценки уровня зрелости процессов обеспечения безопасности каждые 3 года.
4. Оперативный контроль защищенности периметра, включая инструментальное тестирование каждые 6 месяцев, с одновременной оценкой уровня зрелости основных трех-четырех процессов управления и обеспечения информационной безопасности.
5. Централизованная обязательная отчетность перед госрегуляторами по результатам проверок.
6. Усиление административной и уголовной ответственности собственников (руководителей) организаций за непринятие мер защиты.

ЗАКЛЮЧЕНИЕ

Задача обеспечения информационной безопасности в нашей стране в современных условиях вышла на новый уровень, превратившись из формализованной системы требований, направленной на отражение «будущих» угроз, в задачу обеспечения устойчивости работы информационных систем в условиях информационного общества и наличия беспрецедентного и все возрастающего числа и сложности компьютерных атак на них. Будет ошибкой думать, что эта ситуация изменится в лучшую сторону.

И выход из этой ситуации только один:

• Постоянное улучшение защиты;
• Оптимизация наборов требований, что продемонстрировало ФСТЭК приказом № 117 и новыми методиками контроля защищенности;
• Повышение качества управления информационной безопасностью на объектах защиты.
• Существенное повышение ответственности топ-менеджмента за реализацию деятельности по обеспечению информационной безопасности.

[1] В основе деятельности по обеспечению безопасности лежат стандарты управления качеством ISO 9000 и 9001, созданные на базе цикла управления деятельностью Деминга — Шухарта (PDCA).

[2] Что-либо, что имеет ценность для организации. [ГОСТ Р ИСО/МЭК 27000-2012].

Примечание. Имеются различные типы активов:

• информация;
• обеспечение программное;
• активы материальные, например компьютер;
• услуги;
• люди и их квалификация, навыки и опыт;
• активы нематериальные, такие как репутация и имидж.

[3] Данные — поддающееся многократной интерпретации представление информации в формализованном виде, пригодном для передачи, связи или обработки (ISO/IEC 2382:2015).

[4] ПЭМИН — побочные электромагнитные излучения и наводки.

[5] Методический документ ФСТЭК от 11 ноября 2025 г. «Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», пункт 3.