Как говорится, «все течет, все изменяется». Информационная область - не исключение. Однако в среде специалистов бытует мнение о некоторых аксиомах, которые не требуют доказательств и пересмотра с течением времени. Это не так, и в этом материале мы рассмотрим только три заблуждения, которые не только распространены даже среди экспертов по ИБ, но и мешают активному распространению новых подходов и технологий безопасности.

ISO 27001

О стандарте ISO 27001 (и его русском аналоге в системе Гостандарта) сегодня говорят все – к месту и не к месту. Интеграторы и консультанты пропагандируют важность и необходимость данного стандарта на каждом углу. Заказчики под влиянием убедительных слов интеграторов стали активно задумываться о внедрении якобы процессного подхода и сертификации выделенных процессов на соответствие 27001. А ведь никто даже не задает себе ряд простых и правильных вопросов. Нужен ли данный стандарт в конкретной ситуации? Нет ли другого, более подходящего стандарта? Нам нужен сертификат или переход ИБ на качественно новый уровень? Мы слепо доверяем словам интеграторов, консультантов, регуляторов и иных «светил ИБ», но...

У стандарта ISO 27001 есть ряд особенностей, о которых мало кто знает, догадывается или просто не задумывается. Во-первых, это не единственный стандарт в области управления ИБ. Помимо ISO 27001 существует множество других, не менее, а в ряде случаев и более интересных и полезных стандартов. Например, ISO 13335, ISM3, ISF SoGP, ITU-T X.1051, SPE20003, AS/NZS 4444, SS627799, Canadian Handbook on Information Technology Security, NIST SP 800-12, 800-14, 800-18. И это не говоря про российский стандарт Банка России СТО БР ИББС-1.0-2006 и различные стандарты управления рисками ИБ – AS/NZS 4360, MAGERIT, MARION, MEHARI и другие, возможно, более известные. Почему именно ISO 27001? Особенно учитывая необязательность его использования.

На мой взгляд, ответ будет простым и циничным – стандарт ISO 27001 является денежным для его апологетов. В отличие от многих других требований и рекомендаций внедрение ISO 27001 завершается сертификацией компании-заказчика (без сертификации внедрение данного стандарта является в общем-то бессмысленным). А сертификация – это всегда деньги, и деньги немалые. И тут, помимо оплаты услуг по подготовке компании к ISO 27001, можно заработать еще и на сертификации и - регулярно - на ресертификации компании. Иными словами, однажды подсадив заказчика на иглу ISO 27001, интегратор или консультант получает стабильный и неплохой доход. Есть ли другие стандарты, которые подразумевают последующую сертификацию или аттестацию? Да. Например, ISM3. Но кто знает или хотя бы слышал про этот стандарт? А ведь он гораздо более интересен, чем ISO 27001. Более того, он понятен не-специалисту (например, руководителю компании или бизнес-подразделения) и ориентирован на бизнес (в отличие от 27001, ориентированного на внедрение защитных мер). Но выгодно ли интегратору продвигать его? Нет. И дело не только в отсутствии знаний и опыта по нему.

Значит ли все написанное, что я против стандарта ISO 27001? Нет. Просто я за то, чтобы данный стандарт воспринимался адекватно - со всеми его достоинствами и недостатками. Более того, не стоит его воспринимать как истину в последней инстанции, – прежде чем задумываться о внедрении всего ISO 27001 или его части желательно ознакомиться и с другими стандартами и рекомендациями. И уже после рассмотрения разных альтернатив делать выбор в пользу одной из них. Не факт, что это будет именно ISOшный стандарт. Я бы порекомендовал обратить свой взор на стандарт ISM3).

Оценка рисков

Другая популярная тема в среде специалистов по информационной безопасности - оценка рисков. Что такое риск в области информационной безопасности? Это некоторая функция, вычислимая на основе двух ключевых параметров – вероятность осуществления угрозы и стоимость нанесения ущерба в результате данной угрозы. В ряде источников вместо стоимости ущерба используется стоимость защищаемых информационных активов. Идея оценки рисков в области ИБ достаточно здравая, т.к. позволяет приоритезировать не только риски, грозящие компании, но и меры управления этими рисками, а также оценивать их в понятных бизнесу финансах. Но красивая идея столкнулась с тем, что на практике ее нельзя реализовать в принципе. По крайней мере на сегодняшнем этапе. Почему?

Начнем с вероятности осуществления угрозы? Как ее определить? Существует три основных метода:

· воспользоваться услугами предсказателей;

· сделать вывод на основе собранных своими руками данных;

· воспользоваться собранной кем-то статистикой.

Первый метод достаточно интересен, но я не видел предложения таких услуг со стороны экстрасенсов. Второй способ гораздо более интересен, но... для того, чтобы он заработал необходимо потратить не менее 2-3-х лет на составление более менее репрезентативной выборки. Но и тут не все просто. Любой математик скажет, что даже такой срок для таких данных не может говорить о репрезентативности. Например, заказчики пока не часто сталкиваются с DDoS-атаками, но это не значит, что мы не должны задумываться о мерах по их отражению. Но дело даже не в этом. Собирать статистику 2-3 года можно, но зачем? Обычно эта информация собирается как раз для того, чтобы обосновать выделение денег на средства защиты, которые и собирают эту статистику. Заколдованный круг. Чтобы получить деньги нам нужны средства защиты, на покупку которых мы эти деньги и просим. И это не говоря про то, что ждать 2-3 года до момента, когда собранная статистика начнет «работать», мало кто будет.

И, наконец, третий метод. Он тоже нерабоспособен, т.к., во-первых, такой статистики нет, а во-вторых, даже если она появится, то будет отражать «среднюю температуру по больнице». Одними из наиболее часто упоминаемых в среде специалистов статистических данных является отчет американского института компьютерной безопасности (CSI), который стал неким стандартом де-факто, на который опираются многие производители и интеграторы, запугивая потенциальных клиентов огромными убытками от компьютерных угроз. Однако при глубоком рассмотрении этого отчета ситуация становится не такой радужной. Во-первых, этот стандарт ориентирован на опрос только крупных американских корпораций, что, согласитесь, является пусть и интересной, но явно не репрезентативной выборкой. Да, можно признать, что проблемы американских корпораций могут встречаться и у европейских и у российских компаний, но… знак равенства все-таки ставить не совсем корректно. Во-вторых, ориентация на крупный бизнес выводит из под действие данного отчета операторов связи, малый и средний бизнес, что, конечно, является очень большим упущением авторов отчета. В-третьих, отчет не учитывает вертикальной специфики. И если в хорошо компьютеризированной Америке это обоснованно, то, например, в России, где уровень информатизации разных отраслей может различаться на порядки, это уже неправильно. К чему мы приходим?.. Отчет «Computer Crime and Security Survey» показывает нам «среднюю температуру по больнице», которую нельзя использовать в реальной работе и опираться на эту статистику для прогнозирования ситуации с информационной безопасностью в конкретной компании или организации.

Можно долго ругать американскую статистику, но, к сожалению, надо признать, что другой у нас нет. В России за все годы ее информатизации так и не появилось сколь-нибудь значимой и авторитетной статистики. Называть таковой данные о компьютерных преступлениях МВД неправильно по двум причинам. Первая из них аккумулирует все, что было сказано выше про отчет CSI (отсутствие вертикализации, учета разных масштабов бизнеса и др.). А вторая заключается в том, что МВД считает не угрозы и не атаки, а «дела», доведенные до суда и более того, дела по которым преступник был наказан (какой смысл рапортовать о «висяках» и делах, в которых вина задержанного не была доказана). По этой причине, кстати, название американского отчета «Computer Crime» (компьютерные преступления) не совсем корректно, т.к. в нем говорится именно об атаках, а не делах, попавших в суд. В России отсутствует аналог американского CERT/CC (координационный центр реагирования на компьютерные инциденты). У нас нет аналога CSI или иного исследовательского центра. Поэтому ждать, что у нас в обозримом будущем появится адекватная статистика по компьютерной безопасности не приходится.

Теперь переходим к стоимости информации или ущерба. Кто умеет их считать? Никто. Даже сам заказчик не в состоянии оценить ни стоимость информации, ни стоимость информационных активов, ни стоимость ущерба. Недавно на одной из конференций в докладе генерального директора одного российского интегратора прозвучала мысль, которая явно взята из опыта отечественных страховых компаний, которые оценивают электронную информацию, как материальный актив. Комментарии, как говорится, излишни.

К чему мы пришли? Мы не можем сегодня оценивать риски информационной безопасности в принципе. Поэтому неслучайно некоторые специалисты на Западе стали говорить о том, что раз мы не можем оценивать риски, то стоит от них отказаться, чтобы не вводить в заблуждение заказчиков. Однако пока эта крамольная мысль не вошла в сознание отечественных специалистов и они по-прежнему продолжают «продвигать» услуги оценки рисков в массы и взимать за это немалые деньги.

Мое личное мнение в отношении оценки рисков для обоснования инвестиций можно выразить одним словом – «профанация». Это не значит, что я категорически против. Просто у этой оценки есть своя область применения и свои ограничения. Например, использовать качественную оценку для приоритезации своих работ по ИБ вполне логично. Но ждать слишком много от нее не стоит. И уж не стоит надеяться, что на основе этой экспертной оценки бизнес начнет выделять финансовые средства на приобретение тех или иных программных и программно-аппаратных средств.

Триада безопасности

В среде специалистов бытует распространенное мнение о том, что вся информационная безопасность базируется на трех китах – конфиденциальности, целостности и доступности, т.н. «триаде безопасности». Однако это устравшее восприятие, которое зачастую мешает активному продвижению новых технологий и подходов в области безопасности. Допустим сотрудник какой-либо компании пошел в Интернет и скачал к себе на компьютер нелицензионное ПО. Угроза эта для компании? Да. Может она нанести ущерб? Да. Должны ли мы предотвращать такие действия? Да. Подпадает ли она под какой-либо элемент классической триады? Нет.

Другой пример. Компания предоставляет услуги через Интернет (например, Интернет-магазин или Интернет-банк). Должны ли мы аутентифицировать пользователя, подключающегося к Интернет-площадке? Обязательно. Задача ли это специалистов по ИБ? Да. Подпадает ли эта задача под классическую триаду? Опять нет. И последний пример. Оператор связи ведет биллинговую систему, которая содержит в себе большое количество важной информации, и среди нее тарифы связи для конкретных групп пользователей. Если недобросовестный сотрудник оператора изменит тарифы для своего друга или внесет его в группу привилегированных пользователей, то налицо нарушение информационной безопасности. Относится ли оно к триаде? Ответ будет неоднозначный. Нарушения доступности точно нет, как и нарушения конфиденциальности. С целостностью ситуация спорная, но учитывая традиционное понимание термина «целостность», триада и тут находится в стороне.

Парадокс? Нет. Просто современная ситуация отличается от того времени, когда появилась триада CIA (confidentiality, integrity, availability). Именно поэтому некоторые специалисты давно говорят о необходимости расширения данной триады за счет таких элементов, как подотчетность (accountability), подлинность (authenticity), адекватность (reliability), контроль использования (use control) и др. В частности первые три элемента дополнили классическую триаду в международном стандарте ISO 13335 и его отечественном аналоге ГОСТ Р ИСО 13335.

Заключение

Оценка рисков, ISO 27001, триада... Классика информационной безопасности, о которой знают или слышали многие и которую считают незыблемой. Лучше ISO 27001 нет ничего, оценка рисков – панацея от всех бед, триада расширена быть не может... Вот некоторые из заблуждений, которые не соответствуют действительности и которые надо развеивать, чтобы они не мешали специалистам заниматься действительно реальной безопасностью и повышать защищенность своих систем.

Об авторе:

Алексей Лукацкий, бизнес-консультант по безопасности Cisco, alukatsk@cisco.com

Обсуждение статьи на форуме.