МЕТОДИКА ОЦЕНКИ ЭФФЕКТИВНОСТИ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ СТАНДАРТА «КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ»

Вопросы, связанные с защитой информации, для многих организаций являются крайне сложными. Во многом, это связано с отсутствием неких готовых методов, способных решать задачу обеспечения информационной безопасности объекта с приемлемым уровнем адекватности. Задача осложняется наличием огромного числа факторов, влияющих на саму систему. Учесть все эти факторы, с их взаимосвязями, задача поистине трудная.

Для того чтобы приблизиться к решению подобной проблемы, необходимо использование системного подхода. «Системный подход ориентирован на раскрытие целостности объекта, на выявление многообразных связей и отношений, имеющих место как внутри исследуемого объекта, так и в его взаимоотношениях с внешней средой, и сведение их в единую теоретическую картину» [3, с. 15].

Существует большое многообразие различных стандартов в области информационной безопасности. Среди них, наибольший интерес для нас представляют стандарты, направленные на оценку системы защиты или на формулирование требований к ней. На фоне всех явно выделяется стандарт ISO/IEC 15408 «The Common Criteria for Information Technology Security Evaluation». «“Единые критерии” обладают практически совершенной гибкостью, так как позволяют потребителям выразить свои требования с помощью механизма Профилей защиты в форме, инвариантной к механизмам реализации» [1, с. 267].

Помимо прочего, данный стандарт содержит в себе большой набор функциональных требований, опираясь на которые можно с достаточной степенью детализации оценить эффективность защиты той или иной системы. «Функции обеспечения безопасности ИТ, которых выделено в стандарте 11 классов, представлены в виде четырёхуровневой иерархической структуры: класс – семейство – компонент – элемент» [3, с. 70].

В рамках данной статьи предлагается использование аналога данного стандарта в России – стандарт ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». «Основной целью руководящего документа является повышение доверия к безопасности продуктов и систем информационных технологий» [2, с. III].

Преимуществами данного стандарта в отличие от остальных являются его универсальность, гибкость и актуальность. «ОК предназначены для использования в качестве основы при оценке характеристик безопасности продуктов и систем информационных технологий (ИТ). Устанавливая общую базу критериев, ОК делают результаты оценки безопасности ИТ значимыми для более широкой аудитории» [2, с. 1]. При этом стандарт не предполагает избыточность предложенных критериев. Этот список может быть впоследствии расширен, и стандарт чётко описывает механизм добавления новых критериев в уже сложившийся список.

Но, несмотря на то, что данный стандарт предоставляет такую обширную базу требований и явно превосходит по многим параметрам своих предшественников, он является далеко не самым совершенным. Здесь образуются две проблемы применения данного стандарта на практике.

Во-первых, это сами критерии оценки. Они представляют собой шаблоны требований, не предоставляя при этом конкретных механизмов обеспечения защиты или списка действий при наступлении какого-либо события. Это существенно усложняет использование данного стандарта, так как он предлагает лишь макет, по которому следует производить оценку. Таким образом, оценщик вынужден произвести колоссальную предварительную работу по заполнению каждого критерия соответствующими данными. Поэтому с одной стороны, стандарт предлагает нам универсальные шаблонные требования, которые могут быть применены для практически любой системы. Но, с другой стороны, теряется практическая эффективность применения данного стандарта, так как приходится выполнять большой объём работы в подготовительной фазе, затрачивая при этом значительные ресурсы.

Во-вторых, данный стандарт содержит в себе не ранжированный по целям список требований. Все критерии в нём классифицированы по объекту воздействия, направлению защиты, на которое они ориентированы. Таким образом, в добавление к первому пункту, оценщик вынужден произвести, прежде всего, оценку самих критериев на актуальность и необходимость. Это также этап подготовительной фазы, не затрагивающий собственно сам процесс оценки системы. Этот процесс может оказаться ещё более трудоёмким, так как вынуждает среди взаимосвязанных между собой критериев, выделить те, согласно целям организации, которые являются необходимыми и достаточными.

В-третьих, стандарт может быть уже модернизирован с точки зрения состава критериев. В нём не указаны многие аспекты организационной защиты, связанные, прежде всего, с угрозой человеческого характера. Вопросы противодействия социальной инженерии и инсайдерским атакам совершенно не охвачены данным стандартом. Безусловно, подобные вопросы очень трудно формализовать, в какие бы то ни было требования. Но и отрицать, что во главе любой системы защиты стоит человек, тоже нельзя. И он является одной из главных, и зачастую недооценённых, угроз безопасности. В качестве примера формализации защиты от угроз такого плана могут использоваться системы биометрии, которые позволяют оценивать состояние и поведение сотрудника по его биологическим показателям. Таким образом, предвосхищая возможный ущерб от реализации подобной угрозы. Также можно затронуть вопросы обучения и квалификации сотрудников. Подобные аспекты должны в явном виде быть обозначены в рамках политики безопасности. Так как моральный облик сотрудника является тоже фактором риска.

В итоге, мы получили список задач, которые мы вынуждены выполнить ещё до проведения самой оценки. И это большой объём работ и большое количество затрачиваемых ресурсов. А что если мы хотим быстро оценить состояние нашей защиты, не затрачивая огромных ресурсов. При этом мы готовы мириться с определённой погрешностью в оценке. Ведь прежде чем запускать процесс модернизирования системы защиты информации, который включает в себя и комплексную, детальную оценку текущего состояния, хотелось бы получить общую картину состояния информационной безопасности на объекте, не вдаваясь в глубокие подробности. Это позволило бы предприятию скорректировать бюджет и временные издержки на дальнейшие, более скрупулёзные работы.

Для этого в рамках данной статьи предлагается на основе стандарта, разобранного выше, разработать модели защиты, опираясь на которые можно было бы произвести оценку системы. Подобные модели должны, в таком случае, содержать необходимый и достаточный набор критериев для оценки. Также каждая модель должна иметь некое описание, которое бы позволяло с достаточной точностью выбрать модель защиты, соответствующую целям предприятия. Для реализации данного метода, потребуется решение вышеизложенных проблем предложенного стандарта.

Первая проблема решается заполнением критериев оценки всеми возможными вариантами действий и функциями обработки. Здесь важно уточнить, что в процессе заполнения не указываются конкретные средства защиты, то есть, нет привязки к конкретным механизмам. Это даёт нам возможность применения данного метода к любой системе, в не зависимости от её технического оснащения. Опора делается лишь на функциональные возможности. На этом этапе заполнение критериев происходит отдельными функциями без их ранжирования.

Следующим этапом требуется решить вторую проблему, а именно ранжирование всех требований. Это достигается за счёт использования профилей защиты. Профиль защиты представляет собой отдельный блок функциональных требований, направленный на решение конкретной, узкоспециализированной задачи. Здесь в явном виде выделяются базовый профиль защиты и дополнительные профили защиты. Базовый профиль защиты содержит минимально необходимый набор требований, которым должна соответствовать любая, даже самая маленькая, система. Дополнительный же профиль может быть включён в оценку согласно желаниям и целям предприятия, которое требуется оценить. Также, возвращаясь к критериям, они могут иметь несколько способов обработки, в зависимости от требований и поставленных целей. Такие критерии разделяются по соответствующим профилям защиты, которые имеют одну направленность, но разную степень защиты. Таким образом, у нас может быть, к примеру, 3 профиля защиты одной направленности, каждый из которых отражает свою глубину оценки.

В принципе, уже на данный момент у нас есть вполне рабочая модель, где нам требуется определиться с целями и задачами, и подобрать соответствующие дополнительные профили защиты к автоматически выбранному базовому профилю защиты. Дальнейший этап совершенствования предложенного метода может включать компоновку таких профилей защиты в отдельные модели защиты. Такая совокупность профилей защиты, с описанием основных целей и задач, является уже конкретной моделью защиты с заданием по безопасности конкретного предприятия. Уже сформированные модели защиты позволяют низкобюджетным организациям производить комплексную оценку своей системы безопасности без лишних усилий, но, с учётом, безусловно, определённой погрешности. Если же организация имеет время и средства на более точную оценку, то можно воспользоваться сформированными профилями защиты, и скомпоновать модель защиты самому. Ну и самый долгий и трудоёмкий способ, это разбирать самостоятельно назначение каждого критерия, компоновать их и производить оценку.

Решение третьей проблемы представляется в формировании дополнительных профилей защиты, отвечающих за требуемые направления. К примеру, профиль защиты связанный с биометрией, системой видеонаблюдения, обучения пользователей и т.д.

Таким образом, используя данный метод, мы экономим значительное количество средств и усилий затрачиваемых на обработку функциональных требований. В итоге, мы получаем средство, являющееся по своей сути уже готовым решением. Оно является универсальным, так как нет никакой привязки к конкретным механизмам. Оно охватывает весь комплекс системы защиты информации. Также оно может поддерживать свою актуальность, при помощи добавления новых дополнительных профилей защиты, тем самым расширяя базу функциональных требований, и делая оценку ещё более точной и объективной.

Список литературы:

1. Аникин И.В. Теория информационной безопасности и методология защиты информации: Учебное пособие. Казань: Изд-во Казан. гос. техн. ун-та, 2008. – 280 с.
2. ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
3. Курило А.П. Основы управления информационной безопасностью. Учебное пособие для вузов. – 2-е изд., испр. – М.: Горячая Линия – Телеком, 2014. – 244 с.