Политика безопасности

2.1. Особенности разработки  политики безопасности

         Разработка ПБ организации, как формальной, так и неформальной, - безусловно, нетривиальная задача. Эксперт должен не только владеть  соответствующими стандартами и  хорошо разбираться в комплексных  подходах к обеспечению ИБ организации, но и, например, проявлять недюжинные детективные способности при  выявлении особенностей построения информационной системы и существующих мер по организации защиты информации. Сходная проблема возникает в  дальнейшем при необходимости анализа  соответствия рекомендаций ПБ реальному  положению вещей: необходимо по некоторому критерию отобрать своего рода «контрольные точки» и сравнить их практическую реализацию с эталоном, задаваемым ПБ.

         В общем случае можно  выделить следующие процессы, связанные  с разработкой и реализацией  ПБ и поддающиеся автоматизации.

         1. Комплекс мероприятий,  связанных с проведением анализа  рисков. К этой группе можно  отнести: 

          • учет материальных  или информационных ценностей; 

          • моделирование  угроз ИБ системы; 

          •  собственно анализ рисков с использованием того или иного подхода - например, стоимостный анализ рисков.

          2. Мероприятия по  оценке соответствия мер по  обеспечению ИБ системы некоторому  эталонному образцу: стандарту,  формальной политике безопасности, профилю защиты и т. п. 

          3. Действия, связанные  с разработкой разного рода документов, в частности отчетов, диаграмм, профилей защиты, заданий по безопасности.

          4. Действия, связанные  со сбором, хранением и обработкой  статистики по событиям безопасности  для организации. 

          В настоящее  время на рынке отсутствуют  системы, которые предоставляли  бы исчерпывающие средства для  автоматизации всех перечисленных  аспектов разработки ПБ. Наиболее  широко представлены средства  для автоматизации анализа рисков, а также для проверки соответствия  информационной системы компании  положениям того или иного  стандарта. Именно на последних  системах в силу их относительной  новизны, а также с учетом  роли, которую они потенциально  могут сыграть для популяризации  соответствующих стандартов, стоит  остановиться подробнее.

2.2. COBRA: неформальные  советы мудрой  змеи

         Наиболее известный  программный продукт, предназначенный  для проверки выполнения требований стандарта ISO 17799, - это система COBRA производства компании С&A Systems Security Ltd. Помимо анализа соответствия информационной системы компании положениям стандарта, система обеспечивает также автоматизацию проведения анализа рисков.

          Оценка соответствия  системы положениям стандарта  ISO 17799 производится следующим образом.  Пользователю предлагается ответить  на ряд вопросов из следующих групп:

          1. Классификация  активов и управление ими. Под  активами в данном случае понимаются  материальные и информационные  ценности, рассматриваются вопросы  их учета и классификации. 

          2. Планирование непрерывности  ведения бизнеса. Рассматриваются  вопросы разработки планов непрерывного  ведения бизнеса, их тестирования  и распределения ответственности. 

          3. Управление компьютерными операциями. Выделяется широкий перечень вопросов, связанных с управлением процессами и сервисами безопасности.

          4. Соответствие. Рассматриваются  вопросы соответствия информационной  инфраструктуры различного рода  требованиям, инструкциям и рекомендациям. 

          5. Безопасность персонала.  Рассматриваются вопросы распределения  ответственности по реализации  положений ПБ между сотрудниками, а также порядок приема сотрудников. 

          6. Физическая безопасность среды. Рассматриваются вопросы организации физической защиты на территории предприятия, охраны, контроля физического доступа, энергетической и противопожарной безопасности.

          7. Организация безопасности. Рассматриваются вопросы организации службы ИБ на предприятии – в частности, создания форумов по безопасности, а также порядок взаимодействия со сторонними экспертами по безопасности и распределение ролей в ходе реализации мероприятий по защите информации между сотрудниками.

          8. Политика безопасности. Вопросы данного раздела преследуют  цель определить положение ПБ  в системе мер по обеспечению  ИБ организации, а также позволяют  оценить структуру этого документа  и его применяемость на практике.

          9. Управление доступом  к системе. Рассматриваются вопросы  контроля и разграничения доступа,  а также категорирования защищаемой  информации.

          10. Разработка и  поддержка системы. Рассматриваются  вопросы обеспечения ИБ системы  на протяжении всего жизненного  цикла. В частности, оцениваются  применяемые технологии анализа  рисков.

          Для ответа  на очередной вопрос предлагается  выбрать либо один, либо несколько возможных вариантов.

          Для значительной  части вопросов имеются комментарии,  поясняющие используемые понятия. 

          На основании  сведений, полученных в ходе выполнения  всех вопросников или некоторой  их части, COBRA генерирует отчет:

         Структура отчета.

         1. Введение. Содержит  общую информацию о сгенерированном  отчете.

          2. Обзор проверки  соответствия. В разделе детализируется  информация об использованном  вопроснике, выделяются использованные  модули и категории вопросов.

          3. Анализ несоответствий. Раздел содержит исчерпывающий  анализ выявленных несоответствийс указанием ссылок на соответствующие разделы стандарта ISO 17799.

          4. Требования по  улучшению. Приводятся рекомендации  по устранению обнаруженных несоответствий.

          5. Перечень вопросов  и ответов. Раздел содержит  перечень вопросов, которые были  использованы при построении  отчета, и соответствующих ответов. 

         Проведенный анализ показывает, что система COBRA действительно  позволяет реализовать исчерпывающую  проверку соответствия информационной системы положениям стандарта ISO 17799. Однако необходимо подчеркнуть, что COBRA ни в коей мере не претендует на то, чтобы заменить собой эксперта в  области ИБ. Действительно, достоверность  результатов анализа, проведенного с помощью COBRA, полностью определяется адекватностью ответов на вопросники, которые, в свою очередь, требуют глубокого понимания механизмов обеспечения ИБ, а также архитектуры и особенностей реализации подлежащей оценке информационной системы. Тем не менее в руках специалиста COBRA может стать удобным инструментом, позволяющим значительно ускорить процесс разработки и реализации неформальной ПБ.

         Спартанский интерфейс  программы не отличается особой изысканностью, однако навигация в большинстве  случаев достаточно удобна и интуитивно понятна. Наиболее серьезным препятствием для распространения системы  в России является ее англоязычность, которая во многих случаях исключает возможность непосредственного использования сгенерированных отчетов.

2.3. КОНДОР: ISO 17799 с высоты  птичьего полета

         Программный комплекс КОНДОР (разработчик – компания Digital Security) является русскоязычным аналогом COBRA-подобной системы, также предназначенной для оценки соответствия информационной системы положениям стандарта ISO 17799. Концепции этих двух пакетов совершенно аналогичны: на основании ответов на вопросы генерируется отчет.

          Вопросы структурированы  в следующие разделы: 

          • политика  безопасности;

          • организационные  меры;

          • управление  ресурсами; 

          • безопасность  персонала; 

          • физическая  безопасность;

          • управление  процессами;

          • контроль  доступа; 

          • непрерывность  бизнеса; 

          • соответствие  системы; 

          • разработка  систем.

          По глубине  анализа (числу вопросов) КОНДОР  несколько проще, чем COBRA. Кроме  того, возможности по анализу  рисков у текущей версии системы  отсутствуют. В текущей версии  есть определенные некорректности, впрочем, принципиально не снижающие  ценность продукта. Так, в блоке  «Политика безопасности» можно  на первый же вопрос ответить, что ПБ в организации отсутствует  - но разговор на этом не  будет закончен, придется описывать  подробные характеристики этой (несуществующей) ПБ. Соответственно, при построении диаграммы в отчете полученные данные анализируются исключительно с количественной точки зрения - в приведенном на рис. 6 примере требования к несуществующей ПБ скорее выполнены, чем не выполнены.

          Наименее проработанным,  на наш взгляд, компонентом системы  КОНДОР является генератор отчетов.  Собственно отчет (см. рис. 5) представляет собой перечень разделов стандарта с указанием тех из них, с которыми выявлено соответствие. К некоторым из положений стандарта доступны краткие комментарии. Также имеется возможность построения диаграмм, показывающих степень соответствия системы требованиям стандарта. Какие либо рекомендации или выводы частично отсутствуют, что несколько снижает эффективность использования подобного рода отчетов.

          Отдельной критики  заслуживает интерфейс программы.  Просмотр отчета достаточно неудобен  и требует навигации в четырех  направлениях, то же самое можно  сказать о справочной системе. 

          При всем при  этом, к очевидному достоинству  системы КОНДОР по сравнению  с COBRA является русскоязычный  интерфейс. Остается надеяться,  что дальнейшие версии продукта  будут следовать по пути более  развитого конкурента.

2.4. CC Toolbox: автоматизация разработки формальной политики безопасности

         Рассмотренные нами системы ориентированы исключительно  на проверку соответствия требованиям  стандарта ISO 17799, что соответствует  неформальному уровню разработки ПБ. Формальный уровень, в свою очередь, предполагает использование инструментария КОБИТ, и наиболее известным средством  автоматизации в данном случае является пакет CC Toolbox.

          Общий вид интерфейса  пакета СС Toolbox представлен на рис. 7.

          Система обеспечивает  автоматизацию разработки двух  типов документов:

          • профилей  защиты;

          • заданий  по безопасности.

         Порядок работы с CC Toolbox во многом аналогичен продуктам COBRA и КОНДОР. Пользователю предлагается ответить на ряд вопросов, полностью специфицирующих все разделы профиля защиты или задания по безопасности. На основании информации, полученной из анализа ответов на вопросы, генерируется соответствующий документ, который может быть экспортирован в html-формат или распечатан.

          Поскольку требования  КОБИТ в отличие от ISO 17799 являются  формальными, проблемы полноты  вопросников не возникает. Выбор  компонентов КОБИТ осуществляется  интуитивно понятным образом  и в естественном порядке. Принятая  концепция позволяет учитывать  логические связи между разделами  документа, что позволяет эффективным  образом вносить изменения в  процессе разработки профиля  защиты или задания по безопасности.

          Итак, пакет CC Toolbox может быть с успехом использован при формализации ПБ. Единственным ограничением является опять-таки англоязычность пакета. Однако с учетом аутентичности перевода отечественной версии КОБИТ можно предположить, что разработка русскоязычной версии не составит особого труда. Разработка такой версии продукта могла бы самым благоприятным образом повлиять на ход внедрения ГОСТ Р ИСО/МЭК 15408-2002 в нашей стране.