Оценка эффективности защиты информации – это непрерывный процесс, который подразумевает проведение анализа в динамике. На сегодняшний день оценка эффективности защиты информации осуществляется на основании технических и эксплуатационных показателей.
Особенности проведения оценки защиты информации
Эксплуатационные показатели, что используются в процессе осуществления оценки защиты информации и изложены в положениях ФСТЭК, содержатся в информационных системах разного назначения. В частности, они изложены в государственных ИС и применяются для управления производственными технологическими процессами, а также для обработки персональных данных.
Технические показатели отражаются в Профилях защиты, что используются для соответствующих видов защиты информации. Профилем защиты является методический документ, который содержит особую совокупность задач защиты, требований адекватности, функциональных требований, а также их обоснование.
В 2012 году ФСТЭК Российской Федерации были выпущены отечественные профили информационной защиты, что предназначались для средств обнаружения вторжений, а также для средств антивирусной защиты. После этого разрабатывались профили защиты для средств контроля отчуждения и подключения съемных носителей, операционных систем и средств доверенной загрузки.
Требования безопасности, которые предъявлялись к межсетевым экранам, содержались в Руководящем документе и дифференцировались для пяти классов защиты информации. В 2016 году были утверждены профили защиты для межсетевых экранов, которые разрабатывались в соответствии с тенденциями совершенствования требований оценки механизмов защиты. Обновленный набор требований информационной безопасности предназначался для пяти типов межсетевых экранов:
- уровня логических страниц;
- уровня сети;
- уровня веб-сервера;
- уровня узла;
- промышленной сети.
От общего числа сертифицированных средств защиты информации в России межсетевые экраны составляют около 25%, поэтому обновление устаревших требований безопасности произошло не случайно. В соответствии с ГОСТ Р ИСО/МЭК-15408, те показатели защищенности, которые существовали ранее, были дополнены и изложены как основные функциональные требования и требования доверия к безопасности объекта оценки защиты информации.
Компоненты доверия к информационной безопасности, которые рассматриваются межсетевыми экранами, соответствуют оценочному уровню доверия ОУДЗ и дополнены компонентами следующих классов: AMA, ADV, AVA, ALC.
Эффективность средств информационной защиты достигается путем результативного и квалифицированного управления, поэтому оценивая эффективность защиты информации, целесообразно проводить оценку эффективности управления ими. Сегодня существует множество методов оценки эффективности управления, в основе которых:
- оценка квалификации персонала, который принимает решения;
- оценка вероятности своевременного сбора всей актуальной информации.
Но для того чтобы оценить защиту информации, целесообразно использовать метод, который позволяет моделировать значения определенных параметров средств защиты, что невозможно измерить физически.
Стоит отметить, что достаточной мерой оценки эффективности управления является соответствие оговоренным требованиям ее частных показателей. Только тогда уровень эффективности управления при выполнении всех норм можно принимать за достаточный уровень эффективности.
Проводить оценку эффективности защиты информации необходимо в условиях реального времени. В качестве исходных данных можно использовать частные показатели эффективности управления, сведения, которые были получены в ходе опроса экспертов в сфере защиты информации, а также нормативные значения, что соответствуют каждому эксплуатационному и частному техническому показателю эффективности управления.
В соответствии с выбранной стратегией оценки эффективности информационной защиты, моделируют процессы управления средствами защиты и подсчитывают статистические характеристики данных управленческих процессов. Исходные данные оцениваются по программе оценки эффективности, а в процессе подсчета выполняется свертка частных показателей, которые соответствуют результатам анализа измеряемых критериев. Далее при осуществлении оценки защиты информации проводится анализ, отражение и документирование результатов оценки. В результате этого получается обобщенный показатель оценки информационной защиты.
Таким образом можно добиться расширения функциональных возможностей системы защиты информации посредством увеличения точности оценки эффективности управления средствами информационной защиты, а также с помощью моделирования значения тех параметров, которые невозможно измерить физически.
Как осуществляется оценка эффективности системы защиты информации
В процессе осуществления оценки защиты информации проще всего оценивается качество реализации механизмов защиты. Данные механизмы должны не только функционировать, но и оставлять результаты собственной деятельности, которые должны регулярно проверяться и подтверждать корректность их функционирования.
Контроль доступа обязательно сопровождается документированием заявок на проведение выборочных сверок и предоставление доступа. Что касается управления обновлениями, то должна проводиться выборочная проверка серверов и рабочих станций, а при оценке межсетевого экранирования – периодический пересмотр правил фильтрации.
Все операции по контролю защиты информации должны подтверждаться документально: кто осуществлял такую проверку, что именно он проверял и почему сделал выводы о корректном или некорректном функционировании механизма защиты.
Обычно адекватность мероприятий по защите информации оценивается теми методами анализа рисков, которые изложены в стандартах серии ISO 13335.
Проще всего оценивается адекватность мер защиты, которые связаны непосредственно с главными бизнес функциями организации. Наиболее сложно оценивается достаточность мероприятий защиты, поэтому тут используется комбинация из нескольких методик. Такие стандарты в сфере управления информационной безопасности, как ISM3, ISO 27001, Global Technology Auditing Guide и IT Baseline Protection Manual содержат подробные каталоги механизмов защиты информации, реализуя которые, можно обеспечить надлежащую защиту информационных ресурсов большинства организаций.
Существует еще один подход при оценке защиты информации – это расчет метрик, при котором отдельные аспекты безопасности информационной системы характеризуются одним или несколькими численными показателями.
Последним из методом оценки защиты информации является тестирование на проникновение. Данный метод подразумевает практическое выявление и демонстрацию эффективных методов реализации атаки, с которыми применяемыми на момент оценки мерами защиты информации справиться практически невозможно.