Мудрый Экономист

Оценка защищенности информационных систем

"Финансовая газета", 2007, N 32

Проблема защищенности информационных систем (ИС) сегодня актуальна как для крупных международных корпораций, так и для отдельных пользователей. Если единичные пользователи домашних компьютеров теряют от недостаточной защиты своих электронных ресурсов в большинстве случаев относительно немного, то в масштабах крупных компаний убытки могут быть весьма значительными.

При построении всякой системы защиты независимо от масштаба организации всегда возникает вопрос: насколько защищена (или не защищена) система на текущий момент и насколько следует повысить уровень защиты, чтобы риск возникновения проблемы, связанной с информационной безопасностью, и затраты на ее устранение были в пределах допустимых значений. Кроме того, после проведения мероприятий по усилению защищенности ИС, как правило, необходимо представить отчет, в котором указано, насколько изменился уровень защиты всей системы. В связи с этим критерии оценки защищенности ИС волнуют очень многих.

Работы в области оценки систем информационной безопасности ведутся уже довольно давно. Первая попытка построить систему оценки защищенности ИС - это руководство Министерства обороны США, изданное в 1985 г. Официально оно называлось "Trusted Computer System Evaluation Criteria" (Критерии оценки доверенных компьютерных систем), однако более распространено неофициальное название - The Orange Book (Оранжевая книга). Как можно догадаться, неофициальное название это издание получило из-за оранжевого цвета своей обложки.

Позже, в 1990 г., на основе Оранжевой книги международная организация начала новую работу над критериями оценки защищенности ИС. Она известна как "Evaluation Criteria for IT Security" (Критерии оценки безопасности информационных технологий) и явилась результатом деятельности рабочей группы (JTC1/SC27/WG3) Международной организации по стандартизации (ISO).

Как и Оранжевая книга, Критерии оценки безопасности информационных технологий также не оказались последней редакцией в этом направлении и послужили лишь основой для новой работы, опять же международного уровня. Она называлась "Common Criteria for IT Security Evaluation" (Общие критерии оценки безопасности информационных технологий). В этой работе участвовали весьма известные организации из нескольких стран, такие, как Национальный институт стандартов и технологии США, Агентство национальной безопасности США, Учреждение безопасности коммуникаций Канады, Агентство информационной безопасности Германии и др.

В 1992 г. Гостехкомиссия России на основе опыта западных коллег разработала серию руководящих документов и ГОСТов по построению и оценке защищенности автоматизированных систем. В существующих документах имеются положения и руководства для каждого этапа жизненного цикла автоматизированных систем: разработка технического задания, эскизное и техническое проектирование, процесс разработки, сертификация и прием в эксплуатацию, сопровождение системы. В руководящих документах также представлена классификация систем по уровням защищенности. Для отнесения к определенному уровню защищенности система должна соответствовать серии требований. В стандартах все требования подразделяются на две части: функциональные и гарантийные. Первая часть (функциональные) используется при построении систем защиты, вторая (гарантийные) - для проверки на соответствие определенному уровню гарантий.

Во всех работах, начиная с Оранжевой книги, имеется классификация систем по уровню защищенности. При построении систем защиты всегда есть заказчик и исполнитель, поэтому цель заказчика - определить необходимый уровень защиты для своей системы, что является задачей, не уступающей по сложности задаче построения самой системы защиты. Правильно определить уровень защиты непросто, так как приходится выбирать между гибкостью (или удобством работы в системе) и уровнем защиты. Сейчас многие понимают, что безупречная система защиты (или максимально приближенная к ней) - это не совсем то, что нужно конечным потребителям, поскольку тотальное неудобство работы в такой системе лишает ее всех преимуществ. Конечно, для государственных учреждений, особенно работающих с документами различной степени секретности, требования должны быть одними из самых жестких, так как нарушение безопасности здесь считается критичным. Однако если говорить о коммерческих компаниях, они должны определить для себя "золотую середину" между гибкостью и защищенностью своей ИС.

К сожалению, в настоящее время существующие документы по оценке защищенности ИС являются довольно сложными не только для применения, но и для освоения администраторами, а ведь именно на администраторов часто возлагаются задачи построения системы защиты. В связи с этим сегодня чаще используются более простые эмпирические критерии оценки защищенности систем. Чтобы установить, насколько защищена система, необходимо:

определить "периметр" или "поверхность" соприкосновения ИС компании с потенциальными источниками угроз. Важно правильно определить периметр, включив в него не только те части, которые соприкасаются с внешним миром, но и не забыть про внутренние угрозы, исходящие от каждого пользователя (потенциального инсайдера или просто неосторожного пользователя);

для каждой точки периметра оценить риск нарушения системы безопасности. Такая оценка проводится путем экспертного анализа сложности преодоления системы безопасности в этой точке вместе с возможными последствиями (оценивается связь данной точки с остальными частями ИС). Риск можно представить в процентах;

далее вычислить среднее значение риска для всего периметра ИС. Защищенностью ИС можно считать величину, обратную среднему значению риска для ИС.

Естественно, данный подход является довольно обывательским, но может значительно сэкономить время. Впрочем, на практике администраторы зачастую еще больше упрощают себе задачу оценки защищенности ИС, понимая, что защищенность любой системы прямо пропорциональна ее масштабам: чем больше различных сервисов работает внутри большой ИС, тем больше в ней уязвимых мест. Поэтому они просто стараются минимизировать общее число служб и сервисов настолько, насколько это возможно. Такая стратегия вполне оправдана до тех пор, пока это не препятствует развитию бизнеса компании.

Рекомендовать конкретные решения по оценке защищенности ИС сложно - выбор метода зависит от специфики оцениваемой ИС. Существуют как сложные, ресурсоемкие методики, предоставляющие определенный уровень гарантий, так и простые, дешевые, однако не очень надежные. Как это часто бывает в области информационной безопасности, необходимо искать компромисс между надежностью и стоимостью решения, пытаясь найти достойное решение для конкретной компании.

В.Камлюк

Старший вирусный аналитик

"Лаборатории Касперского"