Все новости от 27 июня 2002 г. Метрический бум
С решения именно этих задач и начинали руководители НАСА, когда познакомились с печальными результатами проверки 1998 г. Прежде всего Нельсон вместе с другими менеджерами этой организации потратил полгода на то, чтобы дать собственную оценку программ безопасности ИТ.
В результате были определены пять основных направлений дальнейшей деятельности, что, в свою очередь, позволило Нельсону, исполнительным директорам и руководителям ИТ разработать системы метрических показателей для всего агентства в целом и каждого ее подразделения в отдельности.
Какие же задачи считать первоочередными? Во-первых, добиться, чтобы каждый служащий четко сознавал свои обязанности по обеспечению безопасности. Во-вторых, сократить до минимума количество уязвимых мест. В-третьих, наладить систему отражения атак. В-четвертых, повысить качество управления аутентификацией пользователей и доступом в систему. И наконец, постоянно поддерживать высокую эффективность политики в области безопасности.
После ряда “мозговых штурмов” и рабочих совещаний, в которых принимало участие до 30 человек, включая самого Нельсона, сотрудников центрального аппарата ИТ всего агентства, исполнительных директоров подразделений и их руководителей по информатизации, на вооружении НАСА появились наборы метрических характеристик контроля по каждому из направлений.
Чтобы служащие НАСА лучше понимали свою роль в обеспечении безопасности, было решено, что дополнительную подготовку в области информационной защиты должно пройти в 2001 г. не менее 90% сотрудников каждого центра. А для борьбы с уязвимыми местами каждому центру был задан критерий: в ходе проверок уже известные бреши не должны обнаруживаться чаще, чем на одной аппаратной системе из пяти (всего в НАСА имеется 89,5 тыс. таких систем, включая настольные компьютеры и серверы).
Да и статичными метрические характеристики НАСА назвать трудно. Вот уже три года подряд, по словам Нельсона, они подвергаются ежегодному пересмотру. Это происходит по мере того, как менеджеры ИТ и руководители других подразделений начинают все четче понимать, что такое хороший критерий.
НАСА, например, пришлось немало потрудиться, чтобы научиться измерять результаты борьбы с атаками, — оказалось очень сложно определить, что именно можно квалифицировать как попытку взлома системы.
В результате, как рассказал Нельсон, было решено производить своего рода “учебные тревоги”, в ходе которых задействуется вся система оповещения ответственных работников о хакерских атаках, а затем оценивается, кто получил такие сообщения и сколько для этого понадобилось времени. В будущем, впрочем, Нельсон надеется найти более эффективный путь решения этой проблемы.
Как уже отмечалось, на сегодняшний день нет завершенных стандартов, опираясь на которые корпоративное руководство могло бы разрабатывать собственные метрики. Тем не менее организациям здесь не приходится начинать с нуля. Они вполне могут позаимствовать идеи передового опыта, методику и эталонные критерии из нескольких уже существующих стандартов обеспечения безопасности.
Конечно, здесь не найти универсального руководства, но критерии для оценки эффективности брандмауэров и маршрутизаторов предлагаемые стандарты подскажут.
В их число входят спецификация под названием Common Criteria (общий критерий), сочетающая в себе элементы правительственных стандартов Северной Америки и Европы, а также сертификации ICSA Labs корпорации TruSecure (Херндон, шт. Виргиния).
Вносит свой вклад в эту область и Center for Internet Security (Центр безопасности Интернета) — бесприбыльная ассоциация, охватывающая самый широкий спектр различных организаций, от фирм-производителей до крупнейших корпораций наподобие Caterpillar и Hallmark Cards, которые выступают в роли конечных пользователей. Их совместными усилиями, направленными на более детальную оценку безопасности, уже разработаны эталонные критерии для конфигурирования ОС, а сейчас этот центр работает над стандартами для сетевых экранов, маршрутизаторов и BPN.
Более широкий подход к проблеме изложен в международном стандарте ISO 17799, содержащем рекомендации на основе накопленного передового опыта в этой области.
И все же в большинстве случаев такие стандарты могут послужить лишь отправной точкой. Как правило, разработку специфических характеристик безопасности, которые лучше всего подойдут конкретному предприятию, приходится производить аппарату ИТ в тесном сотрудничестве с производственными менеджерами. Именно так поступают с середины 90-х годов многие руководители консультационной группы организации глобальных услуг фирмы DuPont (Уилмингтон, шт. Делавэр).
Эту группу возглавляет Роберт Джордж — менеджер программ эталонного тестирования, на чьи плечи возложено обеспечение информационной безопасности по всему миру. Под его руководством и во взаимодействии с производственными подразделениями были разработаны задачи по четырем ключевым направлениям: финансам, обслуживанию клиентов, внутренней деятельности и обучению. Затем группа выработала набор характеристик, позволяющий оценивать успех в каждой из этих областей.
Полученные результаты представляются в виде сбалансированной оценочной ведомости, где сопоставляются с бизнес-целями корпорации, благодаря чему появляется возможность определить успех в достижении поставленных целей.
Взять, к примеру, финансовую область, в которой главной задачей DuPont является увеличение капитала владельцев акций. Чтобы определить, какой вклад вносят в нее программы обеспечения безопасности, фирма измеряет долю расходов на ИТ, связанную с этим аспектом деятельности, и, по словам Джорджа, стремится постоянно находиться по данному показателю в первых рядах родственных компаний.
В области подготовки специалистов руководство DuPont следит за тем, какая часть служащих прошла подготовку на курсах DuPont Information Security Organization University, и старается довести этот показатель до 100%.
Однако, по мнению экспертов, пока еще немного найдется организаций наподобие НАСА и DuPont, которые уже предпринимают всесторонние официальные меры для измерения уровня информационной безопасности. Большинство же компаний пока только начинает свой путь в этой области. Их первые шаги, как правило, ведут лишь к улучшению защищенности информации. С этой целью они обращаются к сторонним поставщикам услуг и консультантам за сертификацией своих программ обеспечения безопасности, пытаются претворить в жизнь передовой опыт, налаживают контроль за выполнением выработанной политики.
В качестве примера можно привести поставщика хостинговых услуг фирму Cervalis (Уоппинджер-Фолз, шт. Нью-Йорк). Независимая оценка мер безопасности была нужна ей для того, чтобы обеспечить собственное спокойствие и убедить своих клиентов в полной защищенности их информации.
Открыв первый вычислительный центр в мае прошлого года, фирма сразу же обратилась к TrueSecure с просьбой провести аудиторскую проверку его безопасности. Тщательно проанализировав политику Cervalis в этой области и предприняв ряд попыток проникнуть в ее инфраструктуру, аудитор выдал этой компании в ноябре прошлого года сертификат поставщика услуг TruSecure Service Provider.
По словам Эдди Рабиновича, вице-президента Cervalis по сетевой инженерии, его фирма намерена и дальше обращаться к услугам TruSecure, чтобы подтверждать полученную сертификацию. Опирается Cervalis и на стандарты Центра безопасности Интернета.
В частности, Рабинович уже воспользовался предложенными этой организацией эталонными критериями для безопасного развертывания операционных систем Solaris и Windows 2000. Не собирается он отказываться и от других рекомендаций центра по мере того, как те будут появляться.
Однако, говоря о подобной сертификации, нельзя не отметить: она лишь подтверждает наличие определенных процессов обеспечения безопасности, но ни в коей мере, как предупреждают эксперты, не способна заменить скрупулезной программы отслеживания метрических характеристик информационной защищенности.
Во-первых, в отличие от внутренних мероприятий с использованием метрик, выполняемые консультантами сертификация и аудит зачастую носят разовый характер и повышают эффективность на сравнительно недолгий срок. Во-вторых, они могут оказаться чересчур субъективными.
“Для аудиторских проверок просто нет единиц измерения, — признается Рон Кноде, глобальный директор управляемых услуг безопасности корпорации Computer Sciences (Эль-Сегундо, шт. Калифорния). — Приятно слышать, когда аудитор говорит, что проверка пройдена, но сразу же возникает вопрос: а в соответствии с какими стандартами? Стандартом здесь служит только взгляд наблюдателя”.
И в НАСА, и в DuPont реализация метрических программ помогла вывести потребности информационной безопасности и готовности на уровень высшего руководства. В НАСА, скажем, Нельсон ежеквартально получает метрические отчеты от исполнительных директоров и менеджеров безопасности исследовательских центров, после чего представляет общий обзор исполнительному директору всего агентства. А раз в год готовятся отчеты высшего руководства НАСА, которые представляются генеральному инспектору этой организации и в соответствии с федеральными требованиями направляются в Главное бюджетно-контрольное управление.
Что же касается DuPont, то Джордж доводит результаты своих сбалансированных оценочных ведомостей вместе с отчетом об инцидентах безопасности, потерях и расходах до высшего руководящего состава, в который входят исполнительный директор, менеджер по информатизации, ключевые партнеры ИТ и аудиторская комиссия фирмы.
Такой обмен точной метрической информацией помогает решить вопрос о выделении дополнительных средств на информационную безопасность. Даже в НАСА, где такой бюджет верстают руководители отдельных программ безопасности, а не менеджеры ИТ, за один только год расходы на эту сферу деятельности почти удвоились. По словам Нельсона, сейчас, после реализации метрической программы, они вышли на уровень 5% от всего бюджета ИТ.
Увеличила расходы на информационные технологии и DuPont, хотя точная цифра прироста здесь не называется.
И все же сами по себе метрические характеристики всех проблем безопасности не решают, что хорошо видно даже на примере НАСА. В последнем протоколе компьютерной безопасности палаты представителей американского конгресса, подготовленном в ноябре ее подкомитетом по эффективности правительственной деятельности, финансовому управлению и межправительственным отношениям, это аэрокосмическое агентство поднялось на целую ступень выше прошлогоднего уровня и заняло третье место среди правительственных организаций. Но даже при столь заметных успехах агентству едва удалось получить оценку С-“удовлетворительно”, что наглядно показывает: до совершенства НАСА пока еще очень далеко.
Но Нельсон уверен, что его организация будет и дальше двигаться по этому пути. Исследования в области информации сродни космическим. Как каждый полет в космос учит исследователей и астронавтов чему-то новому, так и метрические характеристики безопасности помогают НАСА оттачивать свои планы совершенствования информационной защиты. “Хорошие метрические критерии демонстрируют ваш прогресс и при этом стимулируют дальнейшее движение вперед”, — уверен Нельсон.
|