Время от времени необходимо проводить комплексную проверку информационной системы, чтобы выявлять бреши и устранять их до того, как этим воспользуются злоумышленники либо сойдутся вместе неблагоприятные факторы...
По оценкам специалистов, только от 18 до 22% факторов, определяющих уровень безопасности информационной системы, сегодня контролируется нормативными документами. В числе таковых сертифицированный алгоритм, аттестованный объект и экспертиза технического решения. В оставшиеся 78-82% входят настройки операционной системы и самих систем безопасности, соблюдение правил эксплуатации, отказоустойчивость системы и пр. Но оценивал ли кто-то из специалистов, какова устойчивость алгоритма шифрования, применяемого в конкретной конфигурации информационной системы? Определена ли нормативными документами степень подготовки персонала этой системы? Скорее всего, нет.
Уровень безопасности следует оценивать динамически, отслеживая развитие ситуации во времени и обеспечивая интегральный контроль системы, не ограничиваясь мониторингом определенного набора параметров, поскольку соблюдение приемлемых показателей не может служить гарантией того, что безопасность системы поддерживается должным образом. Чтобы удостовериться в этом, желательно провести аудит. Когда целесообразно его осуществить?
Окна безопасности
Если по оси X обозначить время жизни системы, а по оси Y уровень безопасности, то можно получить некое «окно безопасности», в котором будут развиваться интересующие нас события (рис. 1). Всегда наличествует минимальное время жизни системы до начала эксплуатации, поэтому оно не будет равняться нулю. Уровень безопасности тоже никогда не является нулевым, ибо практически любая система обладает таковым хотя бы в минимальным объеме. Время существования системы ограничено пределом, за которым происходит либо смена технологий, либо научно-алгоритмичное открытие, позволяющее преодолеть барьеры защиты.
Рис.1. Окно безопасности |
Оценивая уровень безопасности системы, необходимо различать его практический и теоретический максимум. В первом случае речь идет о том уровне, которого можно достичь, во втором же о том, к которому нужно стремиться.
С течением времени уровень безопасности растет (рис. 2), так как в процессе эксплуатации системы выявляются и устраняются недостатки и уязвимости. Когда время жизни системы приближается к пределу, данный уровень достигает своего максимума, а затем резко снижается. На каком-то этапе реальный уровень безопасности оказывается в зоне воздействия названных выше 78% параметров, не контролируемых нормативными документами (например, снизилась реальная квалификация персонала, проведена замена техники и т. п.).
Рис.2. Реальный и мнимый уровень безопасности |
«Опыт показывает, что в большинстве компаний проводить аудит информационной безопасности чаще раза в год нецелесообразно. Его выполнение требует привлечения как финансовых, так и людских ресурсов. Думаю, один раз в два года — оптимальный срок для такого мероприятия, — считает президент ассоциации «РусКрипто» Алексей Волчков. — Правда, в условиях динамично развивающегося бизнеса может потребоваться и внеплановый аудит».
В компаниях с длительным жизненным циклом информационных систем (не один-два года, а десяток и более лет), как правило, к периодическим аудитам привыкают. Но иногда может потребоваться отдельная ревизия. Необходимость в неплановом аудите может появиться, если в какой-то области происходит технологический прорыв, например, руками хакеров создан новый хитрый «червь» или разработан эффективный метод взлома алгоритмов шифрования. Подобные ситуации становятся сигналом к тому, чтобы пересмотреть механизм защиты.
Еще один вариант развития событий — слияние или тесное стратегическое партнерство компаний. Когда в конце 90-х банк «СБС-Агро» планировал купить грузинский «Агробанк», потребовался аудит системы безопасности банка Грузии и той части подразделений «СБС-Агро», которые будут взаимодействовать с грузинским банком.
Рис.3. Результирующий уровень безопасности |
Впрочем, поводов для аудита бывает предостаточно, причем некоторые из них весьма курьезные. «Мы были свидетелями истории, когда телекоммуникационной компании понадобилось получить данные по локальной сети, которая располагалась в одном из филиалов, — вспоминает Волчков. — В итоге выяснилось, что план головного офиса совершенно не совпадал со схемой, полученной из филиала. Оказалось, что там сеть уже долгое время развивалась по своим правилам. Но самое удивительное, что и в других филиалах наблюдалась такая же картина. Все объяснилось ?просто?: филиалах за безопасность отвечали системные администраторы, которые выполняли работы по обеспечению информационной безопасности и отправляли ?наверх? рапорты о высочайшем уровне безопасности информационных систем. В таких обстоятельствах был необходим аудит, который дал бы центральному офису представление о том, что же на самом деле происходит в филиалах». Благодаря подобным аудитам кривая информационной безопасности становится оптимизированной, волнообразной (рис. 3). Соответственно, в жизненном цикле системы безопасности появляются три четко выраженные фазы: нормальный уровень безопасности со временем снижается, затем проводится аудит, далее происходит повышение уровня безопасности до нормального.
Финансы в «окне» безопасности
Практика показывает, что за два года уровень безопасности снижается на 10-30%. Можно предположить, что если снижение безопасности с оптимального уровня до нуля несет убыток в 100% (например, 1 млн. руб.), то уменьшение на 30% чревато убытком в 300 тыс. руб. Соответственно, возможные потери компании нужно оценивать исходя из того, что за пару лет произойдет снижение уровня безопасности всех доходных бизнес-процессов на 30%. «Эта теоретическая оценка оказывается верна в большинстве случаев», — утверждает Волчков.
Выходит, не проведенный вовремя аудит информационной безопасности может привести к определенным убыткам. Если эта сумма превышает предполагаемые расходы на аудит, то мы имеем убедительный довод в пользу проведения ревизии. Если же стоимость аудита слишком высока, то можно пойти на компромисс, например, проанализировать только те разделы, которые относятся к высокодоходным процессам.
Некоторые фирмы, специализирующиеся на аудите, стараются провести его таким образом, чтобы клиент был готов к внедрению решения, которое эти же аудиторы продвигают на рынке. «Стоимость проверки можно существенно снизить, если убедить аудиторов в том, что за нужным решением к ним и обратятся», — советует Волчков.
Как правило, взаимодействие с аудитором-поставщиком состоит из трех этапов или итераций. На первом этапе идет собственно работа аудитора и готовится отчет о том, что происходит на предприятии. Грамотный аудитор составит отчет так, что будет видно, где и какого рода уязвимости имеются в системе, к каким последствиям они могут привести и каковы возможные потери.
К сожалению, не всегда аудитор дает четкие и конкретные рекомендации, каким образом эти уязвимости устраняются, поэтому необходимо требовать от него, чтобы в отчете содержался раздел, который условно можно назвать техническим заданием на модернизацию системы информационной безопасности предприятия. Другими словами, отчет должен содержать внятные рекомендации, но не советы, что и где нужно покупать.
Следующий этап — составление подробного технического задания, с которым можно обратиться в любую компанию, занимающуюся информационной безопасностью. Если аудитом предприятия, затем разработкой проекта модернизации информационной системы и поставками техники и ПО занималась одна компания, то все три этапа будут логично связаны между собой, и разногласия на их стыках сведутся к минимуму.
Если же перед специалистом по информационной безопасности стоит задача решить реальную проблему в рамках предполагаемого бюджета, то придется идти по иному пути, для каждого из этапов выбирая в ходе тендера исполнителя, способного лучше других решить поставленные задачи. В этом случае у предприятия появляется широкий спектр возможностей для оптимизации расходов.
Предметы аудита
Прежде всего, предметом аудита являются алгоритмы. Соответствие алгоритмических решений требованиям стандарта шифрования ГОСТ 28147-89 еще недостаточное основание, чтобы не рассматривать их в качестве объекта ревизии.
Во-первых, этот ГОСТ разработан достаточно давно, поэтому необходимо убедиться в том, что заложенные в него возможности шифрования обеспечивают необходимый уровень защиты от действий злоумышленников, располагающих современными средствами и методами взлома алгоритмов шифрования.
Во-вторых, необходимо проверить все технические решения, реализующие алгоритмы, чтобы учесть некоторые реалии, в частности, особенности российских ГОСТов. «С одной компанией, поставляющей продукт для Internet-банкинга, в котором были реализованы шифровальные ГОСТы, возникла любопытная ситуация, — вспоминает Волчков. — Как обычно, в российских ГОСТах 23 из 25 параметров описаны, а два — нет. Они были отданы на откуп разработчикам, которые в силу своей компетенции использовали плохие параметры, что приводило к подделке цифровой подписи. Вместо случайного числа, которое необходимо для генерации цифровой подписи, в системе использовалась метка времени. Примерно представляя, когда документ был составлен, подделать цифровую подпись достаточно легко».
В-третьих, нельзя пренебрегать проверкой состояния технических средств защиты. «Был анекдотический случай с одним государственным сайтом, — рассказывает Волчков. — В одной из специализированных комнат стоял ?ящик?, красная аварийная лампочка которого была повернута к стене, поэтому никто не видел, в каком он находится состоянии. В результате весь трафик, который он должен защищать, просто проходил через него, а этот ?ящик? только воздух грел». Кроме того, на правильность эксплуатации может оказать влияние «самодеятельность» персонала: среди отечественных специалистов много таких, которые нет-нет, да и захотят поэкспериментировать с настройками системы.
В-четвертых, во многих компаниях за последние годы структура корпоративной сети кардинально изменилась: к ней подключены не три-пять филиалов, а десять, сеть устроена уже по-другому, в частности, предприятие использует не только свои каналы, но и арендованные. Тем не менее, специалисты компании нередко продолжают следовать старым рекомендациям по обеспечению информационной защиты. Стоит проверить, насколько соответствует имеющаяся модель защиты текущему состоянию дел и эволюции системы.
И последнее: необходимо в обязательном порядке проверять уровень подготовки персонала. «В распоряжении аудиторов есть различные тесты, которые позволяют выявить 70-80% ?не отрепетированных? заранее или неправильных действий персонала, - отмечает Волчков. - Остальные 20-30% - уже искусство аудитора».