Главная » Безопасность » Защита5 » Имеющиеся подходы к проблеме создания инструментов и методик оценки интегрального уровня информационной безопасности

Имеющиеся подходы к проблеме создания инструментов и методик оценки интегрального уровня информационной безопасности

Имеющиеся подходы к проблеме создания инструментов и методик оценки интегрального уровня информационной безопасности организации весьма противоречивы. Тем не менее, перечислим существующие подходы:

— использование стандартов и норм аудита финансовых организаций, включая аудит их информационных систем и аудит безопасности этих систем;
— проведение аудита ИТ-инфраструктуры организации по стандарту безопасности компьютерных систем ISO 17799;
— применение для оценки защищенности информационных систем стандартов ISO 15408 «Открытые критерии»;
— использование для оценки защищенности информационных систем частных методик и критериев, предназначенных для оценки криптографической стойкости алгоритмов шифрования и защищенности информации от утечки по техническим каналам.

При этом происходит фактическая подмена модели угроз, в центре которой стоят проблемы борьбы с легальным пользователем системы (он, как уже упоминалось, и является основным источником проблем — razgovorodele.ru), моделью соответствующих ведомств, в центре которых стоят субъекты несанкционированного доступа. При таком подходе фактически одни и те же вопросы в организации подвергаются различным проверкам по различным методикам, по итогам которых выносятся определенные суждения об уровне безопасности отдельных подсистем. Руководство как было, так и остается в некотором неведении в отношении того, насколько правильно организована работа, достаточен ли уровень безопасности, не обесценились ли вложения в эту сферу, или, напротив, не слишком ли много средств расходуется на безопасность.

Уровень безопасности отдельной подсистемы

Применительно к целям руководства, которое объективно заинтересованно в обеспечении устойчивого и эффективного функционирования организации, безопасность является обеспечивающей основные задачи функцией, проявляясь при этом на всех уровнях функционирования организации и оказывая прямое воздействие на ее деятельность в целом. С этой точки зрения важнейшим свойством безопасности в обеспечении интересов организации в целом оказывается возможность обеспечения ее прозрачности и контролируемости. Это необходимо учитывать при разработке политики безопасности информационных систем. Под прозрачностью здесь следует понимать возможность получения объективной и целостной информации на всех уровнях организации в ограниченные сроки без создания конфликтной ситуации. Под контролируемостью понимают возможность получения в ограниченные сроки объективной оценки результатов решений, принимаемых на данном уровне организации, и внесения соответствующих изменений в действия сотрудников и подразделений в целях получения желаемого результата.

Реализация этих свойств позволяет руководству организации:

— сосредоточить свое внимание на наиболее важных аспектах обеспечения безопасности организации;
— принимать решения на основе объективной и целостной информации;
— контролировать возникающие риски;
— добиваться с большей эффективностью исполнения принятых решений;
— отслеживать качество принимаемых решений и оперативно вносить необходимые коррективы;
— значительно повысить предсказуемость результатов принимаемых решений.

Оценка эффективности работы подразделений информационной безопасности

К настоящему времени в нашей стране еще не сложился стандартный подход к оценке эффективности работы подразделений информационной безопасности и определенный взгляд на роль факторов, оказывающих влияние на уровень интегральной безопасности организации. Регулирующие ведомства пока не подают признаков того, что они готовы трансформировать свои взгляды в сторону более реального учета проблем и потребностей гражданского сектора. Все это, несомненно, влияет на выработку политики безопасности информационных систем организации и ведет к необходимости учета следующих факторов:

— определения целей защиты;
— определения объекта защиты;
— определения актуальных угроз, субъектов этих угроз, выбора профилей защиты;
— разработки методов определения качества защиты или выбора уже существующих систем критериальных оценок;
— получения гарантий защищенности системы.

В условиях сложившейся неопределенности достаточно распространена ситуация, когда организация, заказывая услуги в сфере безопасности информационных систем, плохо представляет себе роль и место конкретной услуги, равно как и ее вклад в интегральный уровень безопасности. Как следствие, резко увеличиваются затраты на обеспечение безопасности при практической неопределенности в оценке достигнутого эффекта. При этом парадокс состоит в том, что при дальнейших вложениях неопределенность оценок практически не снижается, а сложность реализации мер безопасности растет.

В практической работе по организации и поддержанию уровня безопасности адекватного потребностям организации (защищенности, сохранности — razgovorodele.ru) информационных ресурсов при разработке политики безопасности в условиях неопределенности и неоднозначности действующей в стране концептуальной, законодательной и нормативной базы волей-неволей приходится сталкиваться с весьма разноплановыми факторами, влияющими на формирование этой политики. Следует также отметить, что любой заказчик услуг безопасности находится под сильным интеллектуальным давлением поставщиков таких услуг, и в первую очередь, поставщиков оборудования и программных средств безопасности, а эти средства ориентированы на самую распространенную модель угроз — модель НСД. В результате, при отсутствии собственной адекватной реалиям политики безопасности заказчик приобретает те услуги, которые предлагают поставщики, а не те, которые необходимы самой организации. Между тем, уровень многих фирм, даже владеющих всеми необходимыми лицензиями, далек от совершенства.

Заказчик приобретает те услуги, которые предлагают поставщики, а не те, которые необходимы самой организации

Оставить комментарий