Профессиональное сообщество
лидеров цифровой трансформации
Редакция

Мониторинг и аудит систем информационной безопасности

Андрей Курило, советник по вопросам информационной безопасности «САЙБЕР Бизнес Консалтинг», к.т.н., доцент кафедры комплексной безопасности критически важных объектов РГУ нефти и газа им. Губкина.

Статья посвящена вопросам совершенствования методов контроля и управления системами обеспечения информационной безопасности, анализу и оценке возникающих в ходе решения этих задач рисков и их влияния на уровень защищённости ИТ-инфраструктуры.

Ключевые слова: управление, мониторинг, аудит, оценка соответствия, риски информационной безопасности, ошибки оценок защищённости.

Понятие «безопасность» определяется как состояние защищённости ценного актива, отсутствие или невозможность реализации угроз в отношении него. Безопасность есть специфическое свойство, категория качества [1], возникающая у объекта защиты при реализации защитных мер. Это свойство латентно и постоянно стремится к незаметному «испарению». Информационную безопасность принято оценивать либо по шкале меры близости к некоему заданному уровню защищённости, зрелости в соответствии с полным или выборочным набором требований, либо непосредственным тестированием с помощью имитации атак или сканирования уязвимостей.

Оценка защищённости ИТ-системы

Защищённость системы достаточно сложно оценить, так как для этого доступны только сложные косвенные методы измерения и оценки. Естественно, при этом возникают вопросы, насколько достоверны и точны такие измерения. Если используется метод прямого тестирования уязвимостей или обновлений, то по полученным результатам можно сделать вывод об отсутствии или наличии уязвимостей в системе защиты в отношении того или иного класса атаки, но в целом по этим результатам оценить общий уровень защищённости объекта крайне сложно.

Таким образом, прежде чем анализировать проблему мониторинга, аудита и оценки рисков, следует определиться, что нас интересует в итоге: защищённость ценных активов [2] от каких-либо угроз или уровень защиты информации в них?

Следует уточнить, что мы понимаем под информацией. По Норберту Винеру это «иная, отличная от материи и энергии сущность», обладающая отличными, специфическими только для неё свойствами и характеристиками. Важнейшее свойство информации, влияющее на проблематику её защиты и на всю сферу информационной безопасности – её абсолютная инвариантность. К ней нельзя применить принципы CIA (доступность, целостность и конфиденциальность), которые являются ограничительными мерами. А ведь именно они положены в основу всех инструментов защиты информации.

Противоречие между невозможностью применить CIA к информации и необходимостью их использовать в своё время было разрешено достаточно просто: объектом защиты была выбрана не информация, а материальная среда, в которой она хранится, обрабатывается и передаётся [3]. Так было принято первое допущение (1), устанавливающее тождество между защитой информации и защитой среды её обработки.

Зи ≡ Зд (1),

где Зи – защищённость информации, а Зд – защищённость данных в среде обработки.

Такой подход позволил осуществлять измерения и установить критерии достаточности мер защиты.

До середины 70-х годов прошлого века, когда программное обеспечение было неотделимо от самого компьютера, защищённость информации оценивалась исключительно радиотехническими методами – путём измерений радиоизлучений (т. н. ПЭМИН [4]) «железа». В качестве критерия защищённости рассматривалось хорошо известное в радиотехнике соотношение шум/сигнал на входе измерительного радиоприёмника. Это всех устраивало.

Но с развитием информационных технологий, разлучивших ПО с «железом», возникновением индустрии разработки приложений и усложнением архитектуры вычислительных систем потребовалось усовершенствовать методику оценки защищённости информационных систем, которые стали рассматриваться как совокупность ПО, «железа», данных и пользователей, участвующих в работе системы и/или получающих от неё определённые услуги. В середине 80-х годов прошлого века было принято второе допущение (2), согласно которому стало принято считать, что уровень защиты информации может быть оценен как результат выполнения набора специфических защитных мер, предъявленных к среде её обработки.

Кзи = f (∑ мзи) (2),

где Кзи – коэффициент защищённости системы, данных, информации, а Мзи – защитная мера.

Этот подход позволил ввести шкалу для измерения уровня защищённости информации. Критерием защищённости стало либо полное выполнение всего набора защитных мер (бинарный подход), либо выполнение определённого и достаточного набора требований в соответствии с установленной мерой близости к некоему идеальному состоянию.

Такой подход оказался удобен для сертификации продуктов информатизации по требованиям к безопасности и был положен в основу широко распространённого стандарта ISO/IEC 15408 Common criteria. Однако попытки применения этого стандарта для решения задачи обеспечения информационной безопасности информационных систем и АСУ начали сталкиваться со всё более возрастающими трудностями, которые в конце концов обесценили преимущества данного подхода.

Давайте разберёмся, почему это произошло.

Проблемы и вызовы при оценке защищённости информационных систем

Во-первых, выяснилось, что даже выполнение на объекте защиты всех требований по безопасности не позволяет достичь абсолютной защищённости – всегда существует ненулевая вероятность «прокола» и успешной атаки на данные или ПО, что мы и наблюдаем на практике. Основные причины в том, что:

  • всегда или почти всегда может появиться новая, ранее неизвестная угроза, учесть которую заранее при проектировании системы защиты было невозможно;
  • вероятность срабатывания защитных мер даже против известных типов атак – не стопроцентная.

Во-вторых, на фоне формального соответствия требованиям безопасности всегда проявляется такое неприятное свойство информационной безопасности, как тенденция к «быстрому и незаметному испарению».

В-третьих, растущая сложность информационных систем увеличивает т. н. «поверхность атаки», которая доступна злоумышленнику. За счёт неэффективного менеджмента и постоянно возникающих уязвимостей эта «поверхность» постоянно расширяется, и её защитное покрытие становится всё более «дырявым», повышая риск.

В-четвёртых, чем сложнее информационные системы и системы информационной безопасности, тем чаще наблюдается их некачественное администрирование. И это, пожалуй, самая главная проблема сегодня.

В-пятых, выяснилось, что задачу обеспечения защиты какого-либо объекта нельзя ставить «вообще» – только на определённом отрезке времени. Например, задачу для службы безопасности можно сформулировать так: не допустить реализации атак через фишинговые письма или отразить DDoS-атаки определённой плотности в течение ближайших трёх-пяти лет. Со временем эти цели придётся уточнять, поскольку новые угрозы потребуют модификации всей системы защиты.

От защиты периметра к сплошной защите

В развитии систем защиты ясно обозначились два этапа:

  • защита периметра, имеющая целью не пропустить атаку внутрь системы;
  • обеспечение безопасности внутренней структуры информационной системы, чтобы предотвратить развитие атаки в случае проникновения.

При переходе ко второму этапу стало необходимым повышать качество защиты объектов ИТ-инфраструктуры и рассматривать их и их подсистемы не выборочно, а в совокупности с поставщиками, подрядчиками и клиентами как специфическую «экосистему информационной безопасности», имея в виду, что всегда рвётся самое слабое звено.

Переход ко второму этапу отразился и на изменении требований регуляторов к организации защиты информации.

Отметим, что такие требования существенно различаются в отношении:

  • эффективности систем защиты;
  • вероятности срабатывания;
  • скорости ослабления (деградации) атаки;
  • затрат на реализацию.

В ходе контрольных мероприятий часть этих требований необходимо непрерывно контролировать и поддерживать, а другие можно проверять с гораздо меньшей периодичностью, упрощая процедуры контроля и делая их более прозрачными.

Киберпреступность тоже не стоит на месте, активно развивается и совершенствуется. В условиях СВО «та сторона» постоянно приобретает новое, более детальное знание информационной среды РФ; намеченные к атаке системы целенаправленно изучаются, тщательно планируются, в результате число успешных атак растёт. Очевиден тренд на индустриализацию, промышленную разработку хакерских инструментов, интеграцию усилий различных групп злоумышленников и увеличение скорости атак за счёт внедрения ИИ.

Все это вновь заставляет переосмысливать задачи обеспечения безопасности.

Стало очевидно, что на качество защиты самым существенным образом влияют:

  • не столько факт соответствия нормативным требованиям по безопасности, сколько уровень зрелости процессов её обеспечения, так как именно процессный подход позволяет наиболее эффективно парировать деградацию защитных мер и поддерживать их на надлежащем уровне;
  • оперативность и качество первоочередных мер, обеспечивающих прочность периметра и способность успешно отражать атаки, а также оперативность выявления и устранения критических уязвимостей системы защиты;
  • наличие оперативного контроля и мониторинга основных механизмов защиты внутренней структуры ИС, а также выявления признаков атак;
  • автоматизация системы обеспечения ИБ для повышения скорости реакции системы на атаку;
  • повышение требований к поставщикам услуг в части обеспечения информационной безопасности с целью предупреждения атак «через поставщика».

Методы оценки и метрики защищённости ИТ-систем

Важнейший вопрос в том, как измерять качество защиты – соотносить ли его с вероятностью отражения атак или с вероятностью нанесения ущерба? Достаточно ли измерять уровень соответствия требованиям или необходим иной подход? И как в современных условиях организовать эффективный мониторинг информационной безопасности? Какие задачи управления безопасностью необходимо автоматизировать, чтобы эффективно управлять рисками?

Информационная безопасность системы обеспечивается качественной реализацией рекомендованных или предписанных защитных и контрольных мер и организационных мероприятий.

Защитные меры не всегда имеют стопроцентную эффективность. При этом обычно 20% первоочередных действий обеспечивают 80% результата. В нашем случае к таким действиям относится набор мер по защите периметра и web-сервисов. Выполнить эти требования относительно несложно, а результат будет заметным. Однако затем должны быть реализованы и все остальные защитные меры.

Выполнение требований регуляторов обеспечивает переход к процессному подходу, который, в свою очередь, обеспечивает устойчивость защитных мер и существенно снижает вероятность их незаметного «испарения».

Управление системой безопасности на этих принципах существенно ускоряет её реакцию на вторжения и инциденты и включает максимальную автоматизацию функций сбора информации, контроля работы подсистем и выявления признаков атак и реакции на них.

Мониторинг основных защитных мер и состояния информационной инфраструктуры должен быть непрерывным и включать в себя:

  • аудит соответствия требованиям безопасности не реже одного раза каждые три года;
  • оценку уровня зрелости процессов ИБ;
  • оперативный контроль первоочередных мер защиты, особенно периметра (электронной почты и web-сервисов), а также внутренней структуры информационной системы с использованием инструментального тестирования – каждые шесть месяцев. Это относится не только к объектам КИИ, но и ко всем значимым для населения страны объектам и сервисам;
  • обязательную централизованную сдачу отчётности регуляторам по результатам проверок;
  • усиление административной и уголовной ответственности собственников и руководителей компаний за непринятие мер по обеспечению защиты информации.

При переходе к процессному подходу риски нарушения ИБ могут быть существенно снижены за счёт «менеджмента рисков». На практике до уровня управления рисками дело пока не дошло. ФСТЭК на протяжении последних лет в ходе проверок объектов КИИ фиксирует грубые и примитивные нарушения требований защиты: использование заводских настроек паролей и т.д. Число административных штрафов, вынесенных по результатам проверок 700 объектов в 2025 году, составило 1 200. При этом лишь 36% проверенных организаций соответствуют минимальному уровню защищённости. Пока эта простая, но исключительно важная задача не решена, о менеджменте рисков говорить не приходится.

Управление информационной безопасностью

Тем не менее с учётом последних изменений выстраивается следующая схема управления безопасностью объекта и контроля.

  1. Двухэтапная (1-й этап – защита периметра и web-сервисов, взаимодействующих с сетью Интернет; 2-й этап – организация защиты внутренней структуры и управления ИБ) реализация требований нормативной базы по обеспечению информационной безопасности не только на объектах КИИ, но и на других, ценных для населения объектах – типа Владимирского хлебозавода, информационная система которого недавно подверглась разрушительной компьютерной атаке.
  2. Контроль реализации требований по защите в виде аттестации или аудита ИБ.
  3. Повтор аудита ИБ на соответствие требованиям информационной безопасности и оценки уровня зрелости процессов обеспечения безопасности каждые три года.
  4. Оперативный контроль защищённости периметра, включая инструментальное тестирование каждые шесть месяцев, с одновременной оценкой уровня зрелости основных трёх-четырёх процессов управления и обеспечения информационной безопасности.
  5. Централизованная обязательная отчётность перед госрегуляторами по результатам проверок.
  6. Усиление административной и уголовной ответственности собственников (руководителей) организаций за непринятие мер защиты.

Заключение

Обеспечение информационной безопасности в нашей стране в современных условиях превращается из необходимости соответствовать формализованной системе требований в задачу по обеспечению устойчивости работы информационных систем в условиях беспрецедентного числа кибератак все возрастающей сложности. Будет ошибкой думать, что ситуация в ближайшем будущем изменится в лучшую сторону.

Другими словами, выход у нас только один:

  • постоянное улучшение защиты;
  • оптимизация требований;
  • использование новых методик контроля защищённости;
  • повышение качества управления информационной безопасностью;
  • повышение ответственности первых лиц за организацию работы в сфере информационной безопасности своих организаций.

Примечания

[1] В основе деятельности по обеспечению безопасности лежат стандарты управления качеством ISO 9000 и 9001, созданные на базе цикла управления деятельностью Деминга–Шухарта (PDCA).

[2] Что-либо, что имеет ценность для организации [ГОСТ Р ИСО/МЭК 27000-2012]. Примечание. Типы активов: информация; программное обеспечение; материальные активы, например компьютеры; услуги; люди и их квалификация, навыки и опыт; нематериальные активы, такие как репутация и имидж.

[3] Данные – поддающееся многократной интерпретации представление информации в формализованном виде, пригодном для передачи, связи или обработки (ISO/IEC 2382:2015).

[4] ПЭМИН – побочные электромагнитные излучения и наводки.

356
фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.