CC BY
682
УДК 004.056
Способы оценки информационной безопасности организации
Зефиров С.Л., Алексеев В.М.
Анализируются способы оценки информационной безопасности организации.
Ключевые слова: информационная безопасность, оценка.
Information security evaluation methods of an organization are analysed.
Key words: information security; evaluation.
Информационная сфера в настоящее время стала важнейшим фактором для деятельности и бизнеса государственных и негосударственных организаций. Увеличение ценности и значимости информационных активов, глубокое проникновение информационной сферы в деятельность и бизнес организаций приводит к возрастанию значения обеспечения информационной безопасности (ИБ) организаций.
Информационная сфера представляет собой совокупность информации, информационной инфраструктуры и субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации.
Проблема ИБ состоит в том, чтобы организация могла использовать информационную сферу на всех этапах своего жизненного цикла для достижения целей бизнеса в условиях существующих угроз. Для решения проблемы необходимо создать систему обеспечения ИБ (СОИБ) организации, обеспечивающую доступность, целостность и конфиденциальность активов информационной сферы. СОИБ представляет собой составную часть информационной сферы организации, предназначенную для обеспечения ИБ активов, включает защитные меры (ЗМ) и процессы управления ИБ.
С целью поддержки адекватности СОИБ и её совершенствования надо знать состояние защищённости активов в информационной сфере организации, для чего требуется проводить оценку ИБ. Оценка ИБ заключается в выработке оценочного суждения на основе измерения и оценивания элементов (факторов) объекта оценки, связанных с ИБ. Оценочное суждение в зависимости от цели и способа оценки может быть сформировано относительно полноты и правильности процессов обеспечения ИБ, адекватности используемых защитных мер или величины рисков ИБ.
Важнейшим назначением оценки ИБ является создание информационной потребности для совершенствования ИБ. При этом могут решаться и другие цели проведения оценки ИБ, например:
- определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;
- выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;
- определение зрелости различных процессов обеспечения ИБ.
Результаты оценки ИБ организации могут также использоваться для сравнения уровня ИБ организаций с одинаковым бизнесом (деятельностью) и сопоставимым масштабом.
В зависимости от способа формирования критерия для оценки ИБ можно разделить способы оценки ИБ организации [Ошибка! Закладка не определена.] на оценку по эталону, оценку на основе анализа и оценивания рисков ИБ и оценку по экономическим показателям.
Рассмотрим способы и возможности оценки ИБ по экономическим показателям и по эталону, оставив оценку на основе анализа и оценивания рисков ИБ для отдельного анализа.
Способ оценки ИБ на основе экономических показателей оперирует понятными для бизнеса аргументами о необходимости обеспечения и совершенствования ИБ, т.е. предоставляется обоснование стоимости системы обеспечения ИБ для организации. При проведении оценки в качестве критериев эффективности СОИБ используются, например [2], показатели ТСО (Total Cost Of Ownership - совокупная стоимость владения).
Под показателем TCO понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение СОИБ. Под прямыми затратами понимаются все материальные затраты, такие как покупка оборудования и программного обеспечения, трудозатраты соответствующих категорий сотрудников. Косвенными являются все затраты на обслуживание СОИБ, а также потери от произошедших инцидентов. Сбор и анализ статистики по структуре прямых и косвенных затрат проводится, как правило, в течение года. Полученные данные оцениваются по ряду критериев с показателями ТСО аналогичных организаций отрасли.
Оценка на основе показателя TCO позволяет оценить затраты на информационную безопасность и сравнить ИБ организации с типовым профилем защиты, а также управлять затратами для достижения требуемого уровня защищенности.
Основные этапы оценки эффективности СОИБ на основе модели TCO включают сбор данных о текущем уровне ТСО, анализ областей обеспечения ИБ, выбор сравнимой модели ТСО в качестве критерия оценки, сравнение показателей с критерием оценки, формирование оценки ИБ.
Однако этот способ оценки требует создания общей информационной базы данных об эффективности СОИБ организаций схожего бизнеса и постоянной поддержки базы данных в актуальном состоянии. Такое информационное взаимодействие организаций, как правило, не соответствует целям бизнеса. Поэтому оценка ИБ на основе показателя TCO практически не применяется.
Оценка ИБ по эталону в зависимости от установленных в эталоне требований может быть системно-ориентированной и процессно-
ориентированной. Системно-ориентированная оценка ИБ сводится к сравнению реализованных требований ИБ с помощью защитных мер, применяемых в организации для обеспечения ИБ, с эталонной моделью требований ИБ к областям обеспечения ИБ. Суть процессно-ориентированной оценки ИБ заключается в сравнении процессов управления (менеджмента) ИБ организации с эталонной моделью процессов управления ИБ.
Основные этапы оценки ИБ по эталону включают выбор эталона и формирование на его основе критериев оценки ИБ, сбор свидетельств (доказательств) оценки и измерение элементов (факторов) объекта оценки, связанных с ИБ, формирование оценки ИБ.
В качестве эталона может быть принята модель «нулевого риска», описывающая оцениваемый объект совокупностью эталонных требований по ИБ (системно-ориентированная оценка) или совокупностью эталонных процессов обеспечения ИБ (процессно-ориентированная оценка), в качестве которых используются:
- требования законодательства Российской Федерации в области ИБ;
- отраслевые требования по обеспечению ИБ;
- требования нормативных, методических и организационнораспорядительных документов по обеспечению ИБ;
- принятые в организации лучшие практики по обеспечению ИБ;
- требования национальных и международных стандартов в области ИБ.
Модель оценки ИБ основывается на совокупности показателей, которые
используются для сбора объективных данных для определения степени достижения атрибутов реализованных и используемых процессов управления ИБ (процессно-ориентированная оценка) или ЗМ (системно-ориентированная оценка) значений атрибутов эталонной модели процессов или требований к ЗМ. Атрибут представляет собой свойство или характеристику оцениваемого объекта, которые могут быть определены количественно или качественно ручными или автоматическими средствами. Для идентификации объектов измерения выделяются атрибуты процессов, процедур, защитных мер, которые могут предоставить данные, соответствующие целям оценки ИБ. Показатели позволяют оценить степень реализации процессов управления ИБ или ЗМ объекта оценки.
При системно-ориентированной оценке ИБ эталон должен содержать совокупность эталонных требований ИБ, сформированных для областей обеспечения ИБ: антивирусная защита, криптографическая защита, защита, связанная с персоналом, обеспечение ИБ при использовании ресурсов Интернет, обеспечение ИБ при управлении доступом и другие. Таким образом, эталон может быть представлен, как совокупность эталонных требований в областях обеспечения ИБ:
T3 = (ТДТ/,..., T3 ,...,Т/ >,
тэ = (t 3 t 3 t 3 t 3 >
Ji Vi\ 5 li2 V> 5
где T3 - совокупность эталонных требований в i - ой области обеспечения ИБ,
n - количество областей обеспечения ИБ,
ttj3 - эталонные требования ИБ в i - ой области обеспечения ИБ,
у - количество требований ИБ в i - ой области обеспечения ИБ.
В зависимости от целей оценки на основании эталона могут быть сформированы критерии оценки ИБ. В качестве критериев оценки должны быть приняты измеряемые элементы (факторы), характеризующие эталонные требования, т.е. атрибуты эталонных требований, и их значения. Поэтому для
каждого эталонного требования tx3 необходимо определить эталонный набор
атрибутов a
j.
, э , 1 2
t = < а 3 , а 3 ,.
ч 4 ty3 ’ ty3 ’
j к з \
а з ,...,а з ‘y ),
где к 3 - количество атрибутов, характеризующих эталонное требование
у
У
У
У
t
3
Эталонные значения атрибутов устанавливаются в зависимости от выбранной шкалы измерений и допустимого отклонения значений атрибутов от их максимальной величины.
С другой стороны, каждая область обеспечения ИБ информационной сферы организации описывается совокупностью реализованных с помощью применяемых защитных мер требований ИБ:
T = (Ті,Т2,..
T = <^ ti2 ,..
T Т )
., tij ,.. .ivг ) ,
где T - совокупность реализованных требований в i- ой области обеспечения ИБ,
ty - реализованные требования ИБ в i - ой области обеспечения ИБ. Реализованные в информационной сфере требования ИБ ty определяются
атрибутами at
. / 1 2 У к,.. \
ty = < ау , ау ,..., aty ,., aty iJ )
где kt - количество атрибутов, характеризующих требование tiy.
С целью описания соответствия реальных атрибутов
реализованное at 1 эталонным
Lij
атрибутам а 31 воспользуемся функцией соответствия p = p(T, T3),
tij
представляющей собой числовую функцию на множестве атрибутов. Каждый атрибут аhJ измеряется с помощью функции соответствия. Конкретный вид
функции зависит от метода измерения атрибута.
Для совокупности атрибутов, характеризующих реализованные требования tt, функция соответствия p = p(ty, ty3) показывает степень
достижения реальных атрибутов эталонных значений.
Тогда показатель реализации любого требования tiy определяется
значением функции соответствия:
W (ty) = p(tj, tj3)
Такие показатели являются исходными (частными) показателями. Значения этих показателей являются результатом непосредственного измерения атрибутов.
Для описания измеряемого атрибута могут использоваться анкеты или метрики.
Подготовка процесса измерения атрибутов с помощью анкет заключается в следующем:
1) на основании установленного эталона формируются вопросы анкеты;
2) определяются способы сбора свидетельств (доказательств) оценки, отражающих атрибуты, которые характеризуют реализованные требования ИБ;
3) определяется на основании модели оценки способ измерения атрибутов.
Подготовка процесса измерения атрибутов с помощью метрик заключается в следующем:
1) на основании установленного эталона формируется контекст оценки (источники свидетельств оценки и свидетельства оценки, роли и их функции при проведении измерения, условия реализации установленных требований);
2) определяется на основании модели оценки способ измерения атрибутов.
Дальнейшее формирование оценки соответствия для областей обеспечения ИБ проводится путём получения производных (групповых) показателей на основе используемой модели оценки ИБ. Здесь может использоваться усреднение или свёртка частных показателей, относящихся к одной области обеспечения ИБ, формирование оценки на основе модели предпочтений и другое.
Системно-ориентированная оценка ИБ прозрачна и понятна, предоставляет полную информацию для совершенствования защитных мер. Но это возможно при условии существования доверенного процесса измерения и оценивания. К проблемам системно-ориентированной оценки относятся её трудоёмкость и невозможность использования полученной информации для прогнозирования развития ИБ организации. Кроме того, системноориентированный подход даёт возможность получить в основном оценку соответствия ЗМ установленным требованиям, процессы управления не анализируются за исключением случаев, когда оценивается управление конкретными ЗМ.
Системно-ориентированный подход применяется при проведении оценки системы защиты, реализованной в соответствии с РД Гостехкомиссии (ФСТЭК) РФ.
При процессно-ориентированной оценке ИБ процесс измерения и оценивания осуществляется подобным, как при системно-ориентированной оценке, образом. Однако целью процессно-ориентированной оценки ИБ является определение степени соответствия реализованных в СОИБ процессов управления ИБ, таких как [3] создание документа, описывающего политику ИБ организации, распределение обязанностей по обеспечению ИБ, обучение вопросам ИБ, обработка инцидентов, связанных с ИБ, управление непрерывностью бизнеса и других.
Каждый процесс характеризуется назначением (вход), результатом (выход), управляющими воздействиями и ресурсами. Поэтому состояние любого процесса управления ИБ отображается совокупностью эталонных атрибутов мероприятий процесса YMэ, входных эталонных атрибутов УВХЭ,
эталонных атрибутов управления УУЭ, ресурсов Yp и выходных эталонных
атрибутов YBbIX3
Yэ = ( Y э Y э Y
1 \ 1М ? 1 ВХ г»1 У
Y э у э
і1Р IіВЫХ
э
>
Каждый вид атрибута описывается набором атрибутов, т.е., YM э = (уМ э >;
YBX = (yBXi > и т.д.
Для каждого атрибута процесса функция соответствия служит частным показателем функционирования:
WM = РІУмі , Умі ) ; Wbx = p(y вхі , Увхі ) ; Wy = РІУуі , Ууі ) ; Wp = РІУрі , Урі );
WBbX = р( у вьхі , Увьхі )
Для оценивания функционирования (правильности реализации) любого процесса управления ИБ используется групповой (векторный) показатель функционирования, объединяющий частные показатели разных видов:
W = W W WWW II
YV \\¥V M?¥V ВХ?¥ГУ?¥Г Р?¥Г ВЫХ\\
При формировании оценки соответствия процессов управления ИБ может использоваться усреднение или свёртка частных показателей, относящихся к одному процессу управления ИБ, формирование оценки на основе модели предпочтений и другое.
Процессно-ориентированная оценка ИБ прозрачна и понятна, предоставляет полную информацию для совершенствования процессов управления ИБ. Но это возможно при условии существования доверенного процесса измерения и оценивания. Важным достоинством процессноориентированной оценки ИБ является возможность использования полученной информации для прогнозирования развития ИБ организации. К проблеме процессно-ориентированной оценки относится её трудоёмкость и иногда излишняя детальность.
Процессно-ориентированная оценка ИБ в [3] рекомендуется, как основная для проверки системы управления ИБ. Однако при таком подходе не оценивается соответствие ЗМ установленным требованиям, т.к. правильно реализованная система управления ИБ должна поддерживать систему защиты (защитные меры) на уровне, необходимом для достижения целей ИБ организации. Но при недостаточном уровне реализации процессов управления ИБ существующие ЗМ могут не соответствовать ожидаемому уровню ИБ. Кроме того, владельцы активов, владельцы бизнеса часто заинтересованы в оценке СОИБ в целом.
Поэтому целесообразным является способ оценки ИБ, сочетающий системно-ориентированную оценку ИБ и процессно-ориентированную оценку ИБ. Такой комбинированный подход реализован и применяется [4] в системе оценки соответствия ИБ организаций банковской системы РФ. Применение системно-ориентированной и процессно-ориентированной оценки ИБ при условии существования доверенного процесса измерения и оценивания позволяет:
1) сформировать прозрачную и понятную оценку системы обеспечения ИБ организации в целом: оценку защитных мер и процессов управления ИБ;
2) сформировать прогноз развития ИБ организации на основании полученной оценки процессов управления ИБ.
Однако комбинированный подход при проведении оценки ИБ повышает трудоёмкость сбора свидетельств оценки ИБ и временные затраты.
Список использованных источников
1 Обеспечение информационной безопасности бизнеса/ В. В. Андрианов, С. Л. Зефиров, В. Б. Голованов, Н. А. Голдуев ; Под ред. А. П. Курило - М.: Издательство Альпина Паблишерз, 2011 - 373с.
2 Gartner. The Price of Information Security. Strategic Analysis Report.
3 ГОСТ Р ИСО/МЭК 27001:2005 Информационная технология -Методы и средства обеспечения безопасности - Системы менеджмента информационной безопасности - Требования.
4 СТО БР ИББС-1.2-2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010.
