Защита информационных активов - это устаревшее определение цели информационной безопасностиПитер Коффи
На следующий год после первой публикации подготовленной лабораторией eWeek Labs подборки статей “Пять шагов к безопасности предприятия" в ноябре 2001 г. последовала бурная реакция на нарушения правил ведения бухгалтерского учета, обнаруженные вслед за банкротством компании “Энрон" в декабре того же года.
В сентябре 2006 г., в пятую годовщину террористических атак, предпринятых 11 сентября, члены консультативного совета корпоративных партнеров еженедельника eWeek заявили нам, что влияние этих терактов гораздо более заметно в области физической безопасности, чем в информационной. По словам многих наших корпоративных партнеров, наиболее крупные изменения в области ИТ были вызваны у них последовавшим за скандалом с “Энроном" принятием законов с целью наведения порядка в этой сфере и ее всеобъемлющего регулирования, таких как закон Сарбейнса - Оксли и другие акты, касающиеся управления предприятиями, а также широким осознанием угроз, связанных с кражей конфиденциальных данных, и рисков, сопряженных с подменой идентификаторов.
Изменение климата
Примечательно, что закон штата Калифорния (США) о нарушении информационной безопасности (Security Breach Information Act, SB 1386) применяется к любой компании, имеющей хотя бы одного клиента из Калифорнии. Он предписывает оповещение о любой возможной утечке незашифрованной “персональной информации", которая определяется с восхитительной точностью как имя или первая буква имени человека и фамилия в сочетании с любыми из следующих данных: номером социального страхования, номером или идентификатором водительских прав, номером финансового счета совместно с соответствующим кодом безопасности либо паролем.
После вступления закона в силу в июле 2003 г. правительственные органы, финансовые институты, магазины розничной торговли, образовательные и другие организации были вынуждены пойти на дорого обходящиеся им, осложняющие работу публичные акты самоунижения.
Общим итогом принятия закона Сарбейнса - Оксли, SB 1386 и сходных законодательных актов в других штатах стало то, что теперь пренебрежение вопросами безопасности предприятий имеет четко обозначенную цену для их высших руководителей. Если информационная безопасность обеспечена плохо, им придется выплатить кучу денег за то, что они это допустили. Если эти руководители не расскажут чистосердечно, что и как они делают, это может закончиться штрафом или даже тюрьмой. В любом случае их фондовые опционы упадут в цене, поскольку за запятнанный облик фирмы рынок наказывает снижением стоимости ее акций.
Оценка инфраструктурного риска перестала быть непопулярным занятием. Теперь она рассматривается как существенная составляющая экспертизы, как одно из направлений деятельности работающего предприятия, которое стремится таковым оставаться и впредь. За последние пять лет заметно возросли выделяемые на эти цели ресурсы, изменилось в лучшую сторону отношение к выполняющим эту работу людям и увеличились ставки оплаты их труда.
Как легко допустить ошибку
Существует, однако, множество способов реализовать систему оценки и снижения риска так, что она не будет выполнять конечных задач.
До событий 11 сентября и скандала с “Энроном" в обеспечении информационной безопасности были заинтересованы главным образом сотрудники самих компаний - операторы, которым требовалось обеспечить работоспособность систем, и пользователи из числа сотрудников компаний, которым были необходимы доступ к приложениям и уверенность в качестве и защищенности данных. В нынешних условиях требуется уделять гораздо больше внимания проверяющим и заинтересованным лицам вне компаний. Такие изменения произошли довольно быстро даже по меркам такой бурно развивающейся отрасли, как ИТ. Профессионалы, зацикленные на технологии, по-прежнему мыслят в категориях защиты информационных активов и стремятся обеспечить работоспособность серверов и приложений. Они не готовы взглянуть на проблему через призму данных и бизнес-процессов. Между тем основные угрозы, существующие в современном мире, заставляют ответственных за обеспечение безопасности избирать именно это в качестве отправной точки при оценке ситуации.
Шаг первый:оценка ситуации
После 11сентября название Агентства национальной безопасности (АНБ) может упоминаться в разговорах на самые различные темы, не вызывая нервных шуток вроде “Агентство, которого не существует" (прежде его часто так называли) или “Закупочная контора из Мэриленда" (безобидное название агентства, под которым оно выступало при закупке больших количеств высокотехнологичных продуктов). Действительно, АНБ оказалось в центре внимания общественности как орган, обладающий превосходной техникой обеспечения безопасности. Такие его методологии, как IAM - расшифровывается двояко: либо как методология гарантированного информационного обеспечения (Information Assurance Methodology), либо как методология оценки информационной безопасности (Infosec Assessment Methodology), - широко опубликованы и преподаются во многих учебных заведениях.
Продукт Core Impact компании Core Security Technologies помогает проводить
автоматизированную проверку возможности проникновения в сеть
IAM включает понятие “факторов влияния" (impact attributes), которые должны учитывать и понимать те, кто отвечает за безопасность предприятий. К основным факторам влияния часто относят конфиденциальность, целостность и доступность. Все они имеют существенное значение для инфраструктуры, претендующей на то, чтобы называться надежной. Действительно, эти три фактора представляют собой три несущие опоры конструкции, которая обрушится, если любая из них окажется неустойчивой.
Укрощение рисков
Определенные организации и задачи могут потребовать учета и других факторов, влияющих на информационную безопасность. Компания Security Horizon опубликовала руководство АНБ по IAM (выпущено в 2004 г. издательством Syngress в виде книги под названием “Оценка безопасности"). В руководстве говорится, что кроме трех упомянутых могут иметь значение также следующие факторы (описания факторов составлены в лаборатории eWeek Labs).
- Учет (Accountability). Кто и какую информацию ввел, или какие изменения в нее внес, или какие действия с ней предпринял.
- Отсутствие анонимности (Nonrepudiation). Кто произвел те или иные действия и как это можно проверить.
- Авторизация (Authorization). Кому и какие действия разрешено производить. Кто выдал разрешение. Какие сочетания допустимых действий должны быть запрещены.
- Аудит (Audit). Совершение каких действий с использованием какой информации можно доказать. Кем они были предприняты. Когда. С какого компьютера.
- Контроль доступа (Access control). Какие подразделения обладают правом и какого конкретно вида доступа, к каким ресурсам и какими политиками этот доступ регулируется.
Передовой опыт: оценка ситуации - Сосредоточьте внимание на типах информации. Определяйте типы не в зависимости от создающих или использующих их приложений, а в зависимости от создающих, использующих или вносящих в них изменения бизнес-процессов. - Обратите внимание на реальное использование информации и на существующие взаимозависимости. Определите, кто должен подтвердить, что имеются такие-то сведения, кому они должны быть известны, кто должен иметь право вносить в них изменения и кто предоставляет полномочия на совершение любого их этих действий. - Выявите, какие средства обеспечения безопасности имеют значение в данных конкретных условиях. Конфиденциальность, целостность данных, отсутствие анонимности, аудит и другие средства играют неодинаковую роль в различных ситуациях. Источник: лаборатория eWeek Labs. |
Авторы руководства не приводят исчерпывающего списка, а предлагают руководствоваться более общим подходом. Ответственные лица должны выяснить, какие виды информации являются важными для их организации. Составленный список следует дополнить сведениями, отражающими их собственные представления о том, как можно удовлетворить информационные потребности своей организации с учетом стоящих перед этим специалистами задач и требований, предъявляемых различными видами информации.
Любой идиот может вызвать повышение уровня угрозы или индекса риска либо другого обобщенного показателя угрозы. При отсутствии детального анализа (не на уровне информационных активов, а на уровне важнейших процессов и сопряженных с ними факторов влияния) обобщенные показатели не просто бесполезны - они создают ложное представление, будто бы вы знаете, что происходит на самом деле. Руководителям предприятий нужно что-то получше этого, поэтому у специалистов по инфраструктуре еще никогда не было столь мощного рычага, чтобы добиться выделения ресурсов, необходимых для решения этой задачи.