Специалисты центра Center for Internet Security (CIS) заняты созданием стандартов, по которым компании смогут оценивать состояние дел в области информационной безопасности. Оценка будет зависеть, например, от количества систем, на которых установлены необходимые обновления программ, а также срока восстановления нормальной работы после происшествий, связанных с безопасностью.
Некоммерческая организация CIS специализируется на разработке средств тестирования реализации систем информационной безопасности. Директор CIS Берт Миуччо заявил, что новые стандарты оценки безопасности корпоративных компьютерных систем будут опубликованы к концу года.
«Различные системы оценок создавались сообществом специалистов по безопасности и раньше, — пояснил Миуччо. — Как правило, по форме это были списки вещей, подлежащих оценке с точки зрения безопасности. Среди них, например, технические параметры, процедуры и подготовка работников. Но что по-прежнему вызывает трудности, так это определение реальной отдачи от вложений в безопасность и оценка состояния дел с безопасностью на предприятии».
Стандарты безопасности, разрабатываемые в CIS, позволят дать на эти вопросы более однозначный ответ, считает Миуччо. Они основываются на восьми ключевых параметрах:
-
среднее время между инцидентами в области безопасности;
-
среднее время восстановления нормальной работы после инцидентов в области безопасности;
-
доля систем, сконфигурированных в соответствии с принятыми стандартами;
-
доля систем, на которых установлены обновления в соответствии с правилами;
-
доля систем с установленными антивирусными программами;
-
доля бизнес-приложений, по которым проведен анализ рисков;
-
доля бизнес-приложений, по которым проведен анализ уязвимостей или путей проникновения.
-
доля кода приложений, по которому перед производственным развертыванием проведен анализ безопасности, анализ модели угроз или обзор кода.
Некоторым организациям стандарты нужны для того, чтобы доказать и себе, и своим деловым партнерам, что в их деятельности действительно реализованы методы обеспечения безопасности.
Например, компания Pacific Gas & Electric применяет у себя так называемую «Модель зрелости функциональности средств обеспечения информационной безопасности» (Information Security Assurance Capability Maturity Model, IA-CMM). Она была разработана Агентством национальной безопасности США.
«IA-CMM предназначена для оценки эффективности организации в деле обеспечения безопасности клиентов, то есть всех, кто пользуется ее услугами», — пояснил менеджер по информационной безопасности PG&E Сет Бромбергер. Для оценки по IA-CMM приглашается уполномоченная сторонняя организация, которая проводит тщательное обследование того, как в организации документированы процедуры безопасности и как они выполняются.
Оценку безопасности в PG&E выполнила в конце 2007 года фирма Security Horizon. По пятибалльной шкале PG&E получила «тройку».
Хотя, на первый взгляд, оценка невысока, надо учесть, что, по словам Бромбергера, до сих пор только одной компании удалось набрать четыре балла. Это была компания International Network Services. Система оценок IA-CMM очень жесткая, и «тройка» означает, что процедуры документирования и исполнения политики безопасности в организации «четко определены». Бромбергер считает, что можно гордиться тем, что его компании вообще удалось пройти проверку по IA-CMM и достичь такой итоговой оценки.
«Это повышает доверие к заявлениям относительно наших программ безопасности, — полагает Бромбергер. — Особую важность это имеет при переговорах с федеральными ведомствами и муниципальными службами об обмене информацией по поводу безопасности. С практической точки зрения это инструмент, обеспечивающий руководству уверенность. Ведь мы производим электроэнергию и относимся к важнейшим элементам национальной инфраструктуры».
«В области безопасности очень мало четко определенных стандартов», — утверждает Бромбергер. Он знаком с разработками CIS в области тестирования безопасности программ, и для него они являются авторитетным источником. Бромбергер с удовольствием воспринял известие о предстоящей публикации стандартов по безопасности и добавил, что «без сомнения, рассмотрит возможность их применения в PG&E, если, конечно, разумно будет расширять нашу собственную программу тестирования безопасности».