Период +

ИСКАТЬ


Бизнес

Как оценить уровень защищенности ИТ-систем

Работа по стандартизации методов оценки защищенности информационных систем давно ведется во всем мире. Это дальновидная стратегия, целью которой является объективизация анализа рисков ИТ-систем и, как следствие, создание рациональных методов их защиты. Вопрос, как оценить уровень защищенности ИТ-систем всегда актуален из-за технологий и программных решений которые все время усовершенствуются.

Как измерить безопасность стандартным способом

Проблема связана с тем, что в ИТ-отрасли, будучи относительно молодой, гарантии качества все еще находятся в зачаточном состоянии. Что еще хуже, их доступность несоразмерно низка по сравнению с той ответственностью, которую эти системы возложили на их создателей — использование ИТ практически во всех сферах жизни за последние годы вышло беспрецедентным размахом, но системные инженерные методы в этой отрасли только недавно начали догонять пелотон прогресса.

Что касается оценки рисков, обычно используются аудиты (например, ISO 27001) или различные формы оценки рисков, включая тестирование на проникновение. Первые хорошо справляются с оценкой общей зрелости управления безопасностью. Последние могут дать ценную информацию о практическом уровне защищенности той или иной системы, но повторяемость результатов и гарантия их качества пока оставляют желать лучшего.

В масштабах ИТ-инфраструктуры государства или другой крупной организации невозможно провести эффективную оценку защищенности, если ее результаты зависят от индивидуальных компетенций и предрасположенностей специалистов данной нишевой отрасли.

Отсюда идет интенсивное развитие отраслевых систем сертификации — от общих аудиторских сертификатов (CISSP, CISA) до специализированных инженерных сертификатов (CEPT, CEH, LPT, OPSA), некоторые из которых стали стандартом де-факто для государственного управления (например, CHECK в Великобритании).

Также разрабатываются методики оценки безопасности — от общей (ISO 27002) до низкоуровневого (OSSTMM, NIST SP 800-42 и 800-115, OISSG ISSAF). Вы также можете найти аналогичные методологии для конкретных протоколов (Руководство по рейтингу SSL-серверов) или продуктов (Microsoft Security Baseline Analyzer).

Повторяемость и измеримость результатов оценки безопасности требует также стандартизации самих объектов, подлежащих испытаниям, и их уязвимостей.

Все эти проекты служат одной цели — построению общей, стандартизированной и систематически управляемой базы данных чек-листов для ИТ-систем, которые можно запускать в сетях в массовом и автоматическом режиме, получая повторяемые результаты с указанием уровня угрозы и отличиями от стандарта, указанного в политике безопасности.