Информация может быть представлена в разных видах: на бумажных носителях, в файлах и базах данных, в виде электрических импульсов и т. д. Для обеспечения безопасности информации необходимо защищать ее на всех объектах информационной среды, где она может быть представлена, в том числе путем защиты самих объектов среды, будь то персональные компьютеры, серверы, приложения, каналы передачи данных, помещения, люди, носители.

Чтобы эффективнее обеспечивать безопасность информации, нужна стандартизация как объектов, так и методов защиты информации.

Базовые определения

Стандарт — нормативный документ по стандартизации, разработанный, как правило, на основе согласия, характеризующийся отсутствием возражений по существенным вопросам у большинства заинтересованных сторон и утвержденный уполномоченным органом. Стандарт определяет для длительного и постоянного пользования правила, характеристики или общие принципы, затрагивающие разные виды деятельности или их результат. Задача стандарта — достичь наилучшей степени упорядочения в заданной области.

Функции стандартов:

  • методический справочник;
  • эталон для сертификации и измерения;
  • снижение издержек на разработку;
  • снижение издержек на поиск и изучение свойств продукции;
  • оптимизация разнообразия (параметрические стандарты);
  • унификация.

Безопасность — состояние защищенности жизненно важных интересов личности, общества, организации, предприятия от потенциально и реально существующих угроз или отсутствие таких угроз.

Безопасность информации — состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

Защита информации компании — целена­правленная деятельность ее органов и должностных лиц с использованием разрешенных сил и средств для достижения состояния защищенности информационной среды компании, обеспечивающего ее нормальное функционирование и динамичное развитие.

Стандартизация объектов защиты

Как видно из базовых определений, к объектам защиты относится и сама информация, и объекты информационной среды. В любой компании специалисты по защите информации сталкиваются с огромным количеством различных типов объектов среды, обладающих различными специфичными уязвимостями и подверженных воздействию различных угроз. И в такой ситуации крайне важно типизировать и унифицировать защищаемые объекты, обеспечив тем самым возможность применения одинаковых защитных мер.

Кроме того, в общем случае подразделение ИБ компании диктует требования информационной безопасности и контролирует соблюдение этих требований. При этом исполнение требований чаще всего ложится на плечи прочих подразделений, и прежде всего — на подразделение ИТ. Стандартизация объектов среды позволяет избежать бесконечных согласований защитных мер, экономя людские ресурсы обоих подразделений — ИТ и ИБ.

К основным метрикам эффективности информационной безопасности компании относятся частота возникновения инцидентов информационной безопасности и скорость реагирования на них. Качество снятых по этим метрикам показателей напрямую зависит от умения компании выявлять инциденты информационной безопасности, то есть, прежде всего, от качества процесса мониторинга событий информационной безопасности. Различные операционные системы, СУБД, прикладное ПО, средства защиты информации ведут журналы регистрации событий в собственном, специфичном формате. Стандартизация объектов среды позволяет также сократить разнообразие форматов журналов регистрации событий, упростить систему мониторинга и анализа событий, повысить вероятность своевременного выявления инцидентов ИБ.

Таким образом, стандартизация объектов защиты дает как минимум следующие очевидные преимущества:

  • сужение квалификационных требований к персоналу, занятому в эксплуатации объектов среды;
  • сужение технических квалификационных требований к персоналу, определяющему необходимые меры защиты информации и объектов среды;
  • сокращение времени на определение, согласование и реализацию требований ИБ при введении новых объектов среды.

Стандартизация объектов защиты также обеспечивает почву для следующего шага — стандартизации методов защиты.

Стандартизация методов защиты

Стандартизировав объекты защиты, компания открывает путь для стандартизации методов защиты. Получив информацию о том, какие операционные системы, СУБД, прикладное ПО, бизнес-приложения, сетевое оборудование используются или будут использоваться в компании, подразделение ИБ получает возможность подготовить требования по безопасной настройке таких систем и выразить эти требования в виде соответствующих стандартов безопасного конфигурирования, которые существенно сокращают процедуру согласования требований ИБ при вводе каждого нового объекта информационной среды. Единожды согласованный стандарт безопасного конфигурирования понятен подразделению ИТ и может быть реализован, например, в стандартном образе системы, который будет «заливаться» на все новые серверы или рабочие станции.

Кроме того, проверять соответствие информационных систем требованиям ИБ становится значительно проще. Ведь в случае типизированных объектов среды, к которым предъявляются одинаковые требования по безопасной настройке, нет необходимости проводить полную проверку — можно ограничиться подходом, основанным на репрезентативной выборке.

Безусловно, разработанные стандарты безопасного конфигурирования систем необходимо пересматривать, если выявлены непредусмотренные или совершенно новые угрозы и уязвимости, но в большинстве случаев это не приводит к кардинальным изменениям требований.

Вполне естественно, что при стандартизации методов защиты недостаточно ограничиться просто стандартами безопасной настройки. Необходимо также уделить внимание правилам установки, настройки и эксплуатации средств защиты информации, определить и реализовать организационные меры защиты. И прежде всего необходимо уточнить цели обеспечения информационной безопасности компании, определив методы для достижения этих целей, критерии оценки эффективности принятых мер. Другими словами, необходимо спланировать и реализовать систему управления информационной безопасностью компании. Стоит отметить, что при выборе мер защиты информации, разработке стандартов безопасного конфигурирования, построении системы управления информационной безопасностью компании целесообразно использовать накопленный ранее мировой опыт в области обеспечения ИБ. Существует множество организаций, обладающих мировым именем и разрабатывающих и совершенствующих рекомендации по обеспечению ИБ, например:

  • International Organization for Standardization, International Electrotechnical Commission (ISO/IEC);
  • Computer Security Division at the National Institute of Standards and Technology (NIST);
  • Open Web Application Security Project (OWASP);
  • Computer Emergency Response Team (CERT).

Заключение

С появлением новых законодательных и отраслевых требований и рекомендаций в области защиты информации все чаще в дискуссиях совершенно разного уровня поднимаются вопросы о том, следует ли применять те или иные стандарты в области информационной безопасности; о связи между реализацией требований/рекомендаций и изменением реального уровня защищенности; о том, может ли факт успешной сертификации на соответствие требованиям какого‑либо стандарта гарантировать высокий уровень информационной безопасности в компании.

Необходимо напомнить, что достичь состояния абсолютной защищенности невозможно. Даже если компания потратит на обеспечение безопасности информации больше денег, чем эта информация стоит, риски, остаточные после реализации защитных мер, все равно будут ненулевыми. Поэтому не имеет смысла говорить о полном искоренении инцидентов информационной безопасности после реализации требований стандартов. Но крайне важно научиться выявлять инциденты, добиться сокращения количества инцидентов за заданный период времени, сокращения времени реагирования на инциденты, снижения ущерба от инцидентов. А эти цели вполне доступны, и применение стандартов различного уровня способно оказать достойную помощь в их достижении.