Обобщение отдельных факторов риска приводит к необходимости формирования ясной системы взглядов и выявления способов обеспечения информационной безопасности.

Прорабатывая вопросы совершенствования системы информационной безопасности, многие отечественные и зарубежные специалисты приходят к выводу о том, что существуют более глубокие, чем думалось ранее, причинно-следственные связи такой, казалось бы, «частной» проблемы, как безопасность ИТ с общими целями и задачами, а главное, с результатами и эффективностью деятельности организации в целом. Также парадоксален на первый взгляд и вывод о колоссальном влиянии на уровень информационной безопасности позиции высшего менеджмента организации, взаимоотношений в коллективе, личного отношения каждого сотрудника к выполнению мер безопасности, сложившегося в коллективе психологического климата, правильного финансирования и т. д.

На наличие подобных связей прямо указывают результаты международного исследования, проведенного аудиторской компанией Ernst & Young в 2003 году. В этом отчете, в частности, говорится об аналогичных российским проблемах, возникающих у специалистов по информационной безопасности, когда высший менеджмент организации начинает предпринимать меры, направленные на уменьшение расходов организации, под которые попадает и система информационной безопасности.

В первую очередь из-за сокращения финансирования страдают такие важнейшие направления работ информационной безопасности, как обучение персонала, поддержка технологий и инфраструктуры. Кому из отечественных специалистов не знакомы подобные проблемы! Не есть ли это очередное проявление, увы, слишком распространенной в нашем обществе беды — принятия менеджером-дилетантом в данной сфере деятельности неправильных решений, которые строятся на нехитрых посылках.

  • Если система безопасности работает хорошо, то персонал безопасности не нужен.
  • Скрытая работа системы безопасности обычно не видна. При взгляде "сверху" на хорошо отлаженный механизм у дилетанта возникает искушение самостоятельно им управлять, ничего в нем реально не понимая.
  • Вмешательство в систему безопасности порой радикально меняет уровень рисков. Однако риск - категория вероятностная. Действительно, некоторое время ничего не происходит, но потом неминуемо наступает расплата. При этом за ошибки отвечают большие массы людей, доверившихся неквалифицированным руководителям. Примеров, к сожалению, наша действительность предлагает слишком много.

Ну а если вспомнить о возможных «скрытых» целях менеджмента, которые не соответствуют провозглашенным и носят зачастую криминальный оттенок, то становится понятно, что правильно организованная безопасность для них просто вредна, так как преследует прямо противоположную цель: добиться максимально возможной прозрачности в деятельности коллектива по выполнению официально сформулированных перед ним задач.

Итак, различные риски, возникающие в ходе деятельности организации, взаимосвязаны — в том числе и риски, касающиеся проблем безопасности и управленческого аппарата. Обобщение этих отдельных, самостоятельных факторов приводит к необходимости формирования ясной концептуальной исходной системы взглядов и выявления способов, обеспечивающих требуемый уровень информационной безопасности.

Конечно, для специалистов, работающих в области ИТ-безопасности, имеющих особое техническое образование (к тому же зачастую ангажированных спецификой задач ведомств, которые они представляют), это не просто. Попытки решить проблему ИТ-безопасности исключительно методами криптографии не приводят к должному результату, так же как и упорное желание решить технико-социально-психологическую проблему обеспечения информационной безопасности только техническими инструментами.

Парадигма безопасности опирается на следующие базовые понятия: «актив», «собственник», «злоумышленник», «угроза», «уязвимость», «риск», «политика безопасности», «управление безопасностью», «мониторинг».

Фундаментальным, как отмечается в ГОСТ ISO 15408 «Открытые критерии», является взаимное соотношение понятий «актив», «уязвимость», «угроза». Пересечение этих трех порождает понятие «риск». (Под «угрозой» следует понимать потенциальную возможность нанесения ущерба каким-либо заранее известным злоумышленнику способом. «Уязвимость» — это слабость в системе мер защиты, которую угроза может преодолеть. Под «риском» подразумевается сочетание вероятности нанесения ущерба путем преодоления системы защиты с использованием уязвимостей и тяжести этого ущерба.)

Минимизация рисков осуществляется с помощью разработки схемы поведения, так называемой «политики безопасности» и управления ею. Управление работами по реализации политики безопасности — это и есть управление рисками.

Существующие стандарты по-разному определяют понятие «актив». Согласно ГОСТ ISO 15408 «Открытые критерии», под активом понимается значимая для собственника информация, обрабатываемая в информационной системе. В соответствии с созданным в США и получившим в последнее время широкое распространение стандартом OCTAVE, в активы входят: информация; информационные системы; программное обеспечение; технические (аппаратные) средства; персонал. (Для банковской организации в это понятие следует дополнительно включить финансы.) Данная интерпретация понятия «актив» представляется наиболее предпочтительной.

В конечном итоге качество активов определяет эффективность выполнения организацией своей «миссии», то есть достижения ее главных целей и задач.

Как говорит известная пословица, дьявол прячется в мелочах. Применительно к нашему случаю более частные моменты определяют суть и современный вид проблемы информационной безопасности. И главное тут — оторванность, автономность предлагаемых общественности мер защиты, а значит и отсутствие каких-либо методик интегральной оценки уровня безопасности.

Вместе с тем в системе защиты выделяются следующие группы мер защиты, реализация которых позволяет решить эту проблему:

  • правовые, устанавливающие юридические нормы владения, управления и ответственности при обладании активами;
  • организационные, определяющие порядок работ по обеспечению безопасности всех субъектов;
  • административные, регламентирующие доступ субъектов к активам;
  • программные, реализующие в программной среде политику безопасности путем выполнения специальных настроек на оборудовании;
  • технические, реализующие политику безопасности техническими средствами.

При этом управление безопасностью предполагает согласованное решение задач собственно управления, финансирования, управления рисками, обучения и контроля знаний, а также аудита (мониторинга). Взаимодействие угроз, активов и системы защиты поясняет рисунок.

Совершенно очевидно, что ущерб (т. е. реализация уязвимости) может наступить только в том случае, если субъект угроз сможет реализовать имеющиеся в мерах защиты уязвимости.

Также ясно, что пренебрежение какой-либо группой мер защиты существенно повышает риски безопасности.

В заключение отметим, что все эти группы мер защиты должны быть применимы на каждом из семи известных уровней структурирования информационного комплекса организации, начиная с физической защиты зданий и оборудования и заканчивая бизнес-процессами организации.

Андрей Курило — зам. начальника Главного управления защиты данных Банка России, к. т. н.


ПАРАДИГМА — исходная концептуальная схема, модель постановки проблем и их решения, методов исследования, господствующих в течение определенного исторического периода в научном сообществе.

Советский энциклопедический словарь/Гл. ред. М. А. Прохоров. 3-е изд. М.: Сов. Энциклопедия, 1985. 1600 с.)


Постулаты парадигмы безопасности

Понятие парадигмы (при том, что оно практически не употреблялось в специальной терминологии) не является чем-то новым и необычным. Некая исходная концептуальная схема, то есть парадигма, в обязательном порядке лежала в основе тех воззрений, под влиянием которых была сформирована действующая в стране нормативная база по информационной безопасности. Она в свою очередь формирует модель злоумышленника и далее политику безопасности, отраженную в нормативных документах.

Предлагаемые постулаты, по мнению автора и его коллег, базируются на опыте реализации задач по созданию и обеспечению успешного функционирования конкретных систем информационной безопасности, на анализе трудностей, о которых сказано ранее, на устранении противоречий, имеющихся в действующем подходе к решению этой весьма сложной проблемы, а главное — в получении эффекта, заметного для организации и экономически ощутимого. Принятие их за основу, естественно, приведет к пересмотру существующей нормативной базы. С другой стороны, нам предоставляется прекрасная возможность учесть в этой нормативной базе все лучшие последние достижения, известные в мировой практике. Однако проблемы, связанные с разработкой таких документов, являются предметом отдельной статьи и вдумчивого, заинтересованного разговора.

Позволительно вывести несколько постулатов парадигмы безопасности.

1. B основе парадигмы безопасности лежит противоборство собственника и злоумышленника за контроль над активами. B случае если злоумышленник устанавливает контроль над активами, собственнику неминуемо наносится ущерб. Например, в банке, активы которого формируются за счет привлечения средств клиентов, ущерб наносится клиентам.

2. Главный источник угроз — собственный персонал (в технических терминах — авторизованный, то есть официально допущенный к активу; в нашем случае это пользователи, допущенные к работе с информацией и с информационными системами). Внешний злоумышленник (субъект несанкционированного доступа), вероятнее всего, имеет сообщника внутри организации.

Это не означает, что на борьбу с внешними угрозами, например с вирусными инфекциями, не следует обращать внимания. Имеется в виду другое: угрозы со стороны внешних злоумышленников в значительной степени характерны для более «низких», технических слоев деятельности организации, например эксплуатации аппаратных комплексов, сетевых и почтовых приложений, взаимодействия внутренних и внешних сетей, тогда как угрозы со стороны авторизованных пользователей наиболее характерны для уровня бизнес-процессов организации. Следовательно, ущерб от реализованных угроз, исходящих от внешних и внутренних субъектов угроз, несоизмерим. Вот яркий пример: несколько лет назад уважаемый, старинный британский банк оказался банкротом из-за неправильных действий всего одного клерка. Следует признать, что такие лавры хакерам могут только сниться.

3. Собственник никогда не знает наверняка о готовящемся нападении. Момент нападения для него всегда оказывается неожиданным.

4. Злоумышленник изучает объект нападения как теоретически (никак себя не обнаруживая), так и практически (путем исследования объекта и его системы безопасности). Таким образом он находит точки уязвимости в системе защиты и с учетом этих знаний отрабатывает наиболее эффективный алгоритм атаки. Чем сложнее объект нападения, тем тщательнее он должен быть изучен и тем больше следов своей активности оставит злоумышленник. Авторизованный пользователь маскирует активность под служебную деятельность, а субъект НСД просто оставляет следы своей деятельности.

5. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности.

6. Атаки злоумышленника, как правило, носят характер локальный и конкретный по месту, цели и времени. Также, как правило, локальны и конкретны угрозы природного характера, хотя по своей разрушительной силе они часто бывают исключительно сильны. Однако именно локальность катастроф такого типа дает возможность обеспечить высокую катастрофоустойчивость системы в целом, создавая и размещая резервные центры обработки данных (центры резервного копирования информации) на достаточном удалении друг от друга (тысячи километров). Одновременное поражение этих центров возможно только при катастрофе такой силы, что будет поставлено под вопрос само существование человеческой цивилизации. Но это уже другая тема.

7. Однако сложно и исключительно ресурсоемко (следовательно, затратно и малоэффективно) искать следы активности потенциального субъекта угроз везде и по факту корректировать работу собственной системы защиты. Поэтому главный инструмент собственника — прогноз, основанный на опыте. Лучше всего, когда используется собственный опыт.

Прогноз осуществляется путем составления модели угроз и модели субъекта угроз. В данном контексте специально использовано понятие «субъект угроз» вместо понятия «злоумышленник». По мнению автора, понятие «субъект угроз» включает в себя все возможные источники угроз, начиная от злонамеренной деятельности и заканчивая неграмотной эксплуатацией техники кондиционирования машинных залов.

Чем точнее сделан прогноз, тем ниже риски нарушения безопасности при минимальных материальных и ресурсных затратах.

8. Следует отдавать себе отчет, что ни один риск в принципе нельзя уменьшить до нуля. Всегда будет оставаться некий остаточный риск. Задача минимизации рисков заключается в правильном определении уровня остаточного риска и его учете в практической деятельности. Однако часто бывает так, что остаточный риск вдруг резко увеличивается до неприемлемого уровня и может нанести вполне реальный ущерб. Так происходит, например, когда появляется новый компьютерный вирус, незнакомый средствам антивирусной защиты. В этом случае должен существовать резервный план действий, позволяющий минимизировать ущерб, наносимый этим вирусом после его проникновения в систему.

9. Наиболее правильный и эффективный способ минимизировать риски безопасности — на основе правильно сделанного прогноза разработать политику безопасности, отвечающую интересам собственника, и в соответствии с ней построить систему безопасности. Такая система безопасности способна выдержать практически все известные атаки, актуальные для актива, который защищает собственник.

10. Однако далеко не каждый собственник располагает необходимым потенциалом и достаточным опытом для подготовки грамотного прогноза. Поэтому прогноз может составляться на корпоративной основе, централизованно, с учетом опыта ведущих специалистов по обеспечению безопасности в банковской сфере, а также с учетом международного опыта.

Также на корпоративной основе, централизованно могут разрабатываться и основные требования по безопасности, определяющие общий для всех субъектов банковской деятельности необходимый и достаточный уровень безопасности.

11. Политика безопасности должна разрабатываться конкретно для каждого собственника, c учетом его особенностей, масштаба организации, степени зрелости процессов управления безопасностью и информационными ресурсами.

12. Соблюдение мер безопасности в значительной степени является элементом корпоративной и личной этики, поэтому на общий уровень безопасности организации оказывает большое влияние личное «зрелое» отношение сотрудника к своим собственным обязанностям и к бизнесу организации, а также взаимоотношения сотрудников внутри коллектива и между коллективом и собственником. Всем этим необходимо управлять и проводить ясную кадровую политику.

13. Меры по реализации выбранной политики безопасности должны финансироваться в достаточном объеме.

14. Собственник может убедиться в том, что средства расходуются правильно, проведя аудит расходования средств.

15. Технические меры защиты в силу ряда причин имеют некоторую тенденцию к ослаблению, в результате чего общий уровень безопасности организации может со временем незаметно для ее руководителей существенно снизиться. Это неминуемо ведет к росту рисков безопасности, что допустить нельзя. Следовательно, необходимо проводить постоянный мониторинг системы безопасности и своевременно принимать меры по поддержанию эффективности системы на требуемом уровне (управлению рисками).

16. Мониторинг должен быть эффективным (то есть максимально ресурсоемким и информативным), а также адекватным объекту защиты.

17. Таким образом, стратегия обеспечения безопасности заключается в превентивном создании системы безопасности, построенной в соответствии с выбранной политикой безопасности и противостоящей любым угрозам, учтенным в политике безопасности.