*Безопасность — это отнюдь не борьба с ветряными мельницами*

В предыдущих статьях я уже достаточно подробно рассказал о публикации NIST SP 800-53. Были успешно освещены разбиение контролей на семейства, подробное описание структуры контролей безопасности, процесс управления рисками в масштабах организации и даже вкратце отдельная публикация FIPS 200.
Из-за выхода в свет Geektimes пришлось немного задержаться, но мы продолжаем двигаться дальше, и сегодня речь пойдёт о базовых наборах контролей безопасности и об определении критичности информационных систем.
Ну и конечно в комплекте аутентичные американские плакаты, посвященные безопасности.

Ссылки на предыдущие статьи:
ИБ по-американски. Часть 1. Что такое NIST 800-53 и как выглядят контроли безопасности?
ИБ по-американски. Часть 2. А можно поподробнее о NIST 800-53 и причём тут управление рисками?
ИБ по-американски. Часть 3. Что из себя представляет базовый набор контролей и как определять критичность систем?
ИБ по-американски. Часть 4. Разбираемся с «подгонкой» и «перекрытиями» и завершаем этот обзор


Базовые наборы контролей


О структуре семейств контролей безопасности и устройстве отдельно взятого контроля (включая его «усиления» — «control enhancements») мы говорили в первой части. Теперь же самое время понять, что с этими контролями делать. Как выбирать из нескольких сотен различных мер, чем руководствоваться при определении необходимости реализации и в каком порядке осуществлять этот процесс.
Итак, организации необходимо адекватно компенсировать риски информационной безопасности, возникающие в ходе функционирования и выполнения бизнес задач. Серьёзной проблемой для организации является определение наиболее подходящего финансово-выгодного набора контролей, который после реализации будет ещё и эффективным.

Поскольку начинать с чего-то всё же надо, а хвататься за всё подряд не очень продуктивно, да и вообще было бы недурно обеспечить всех и сразу единым надёжным базисом для дальнейших изысканий, в NIST были разработаны три базовых набора контролей безопасности, которые являются стартовой точкой для дальнейшего процесса «подгонки» (вольный перевод термина «tailoring», в контексте документа означающий оптимизацию или адаптацию). Наборы отличаются между собой по такому параметру как критичность информационной системы, к которой они будут применяться и которую, собственно, и необходимо защитить. Конкретный стартовый набор выбирается исходя из категории безопасности отдельной ИС (или группы ИС), определяемой в соответствии с публикацией FIPS Publication 199 (возможно вы помните, что это первый шаг рассмотренного во второй части Фреймворка управления рисками). Подробнее о процессе категоризации будет поведано чуть дальше.

Естественно, было бы наивно предполагать, что можно разработать хотя бы один универсальный набор мер ИБ (не говоря уже о трёх), способный обеспечить должный уровень защищённости для неопределённого круга систем. Тем более, что NIST позиционирует свой документ как крайне универсальный инструмент, пригодный как для больших организаций и государственных структур, так и чуть ли не для частного использования. Поэтому, суть базовых наборов заключена в их названии – это стартовая точка, с которой можно и нужно начинать. Особенно тем, кто не знает с какого конца хвататься за палку а лучше бы пряник информационной безопасности.

Итак, есть три базовых набора, предназначенных для систем с низкой, средней и высокой критичностью. Чтобы дать читателю примерное представление об объемах мер, содержащихся в наборах (а, следовательно, и стойкости, хотя зависимость между количеством контролей и результирующим уровнем ИБ всё же абсолютно не линейна) можно привести следующую статистику:
  • Базовый набор уровня LOW содержит порядка 110 контролей безопасности и примерно 10 «усилений» контролей.
  • Набор уровня MODERATE содержит около 150 контролей и несколько десятков «усилений».
  • Самый крутой набор уровня HIGH содержит почти 170 контролей и приближающееся к сотне количество «усилений».

Здесь обязательно стоит отметить, что даже набор уровня HIGH представляет собой далеко не полный перечень всевозможных мер обеспечения безопасности, представленных в NIST SP 800-53. Это лишь отправные точки, подразумевающие дальнейшую «подгонку», т.е. работу по оптимизации данных списков под нужды конкретной организации, тонкости устройства отдельных ИС и особенности среды функционирования.


*О своих секретах Мона Лиза лишь молча улыбается. Улыбайтесь и вы*

Определение критичности ИС


В процессе подготовки к выбору подходящего базового набора контролей безопасности для ИС организации и их среды функционирования прежде всего необходимо произвести определение критичности информации, которая будет обрабатываться, храниться или передаваться этими ИС. Этот процесс в документах NIST называется категоризацией ИС и описан в документе FIPS Publication 199 «Standards for Security Categorization of Federal Information and Information Systems». Название документа в переводе не нуждается, всё до безобразия просто и похоже на названия упоминавшихся ранее публикаций. В основе категоризации лежит оценка возможного негативного воздействия на ИС. Результаты этого процесса позволяют отобрать необходимые контроли безопасности для адекватной защиты ИС, выбрав соответствующий базовый набор. В общем здесь никаких новых идей, это давно отработанный принцип, просто грамотно сформулированный и зафиксированный в официальном документе в единой для всех форме. Пробежимся по нему вкратце.

Методика FIPS 199


Из всего документа я выделил для читателя только существенную часть и постарался оформить её в виде небольшой методики. Считаю нужным привести её здесь, поскольку она является необходимым шагом, с которого и начинается построение системы обеспечения информационной безопасности. Особенно полезно будет для тех, кто только начинает знакомство с ИБ.

Объекты обеспечения безопасности


Объектами обеспечения безопасности (мой вольный перевод. Так как эти термины появляются всего несколько раз и только в рамках данного документа, я не посчитал нужным делать сильный упор на компактности определения и удобстве дальнейшей применимости) являются три базовые характеристики информации: Конфиденциальность, Целостность и Доступность (предполагаю, что в представлении не нуждаются). Далее очевидным образом определяется утрата каждого их этих трёх объектов обеспечения безопасности, т.е. поясняется, например, что такое утрата целостности.

Уровни потенциального воздействия


Выделяются три уровня потенциального воздействия утраты объекта безопасности на организацию и отдельные лица: низкий, средний и высокий. Применение приведённых ниже уровней потенциального воздействия необходимо оценивать и производить конкретно для каждой организации исходя из индивидуальных особенностей. Далее постараюсь уместить три определения в одном:
Потенциальное воздействие является низким/средний/высоким, если –
утрата конфиденциальности, целостности, доступности может привести к ограниченному/значительному/критичному негативному влиянию на деятельность организации, её активы и отдельные лица.

Описание трёх уровней негативного влияния также представлены в документе, но, по сути, являются всего лишь общими формулировками. В качестве примера приведу описание только для критичного влияния. Для описания остальных уровней можно просто заменить соответствующим прилагательным слово «Критичное», подкорректировать описание в сторону ослабления последствий и убрать человеческие жертвы.

Критичное негативное влияние означает, что, например, утрата конфиденциальности, целостности или доступности может привести: к серьёзному ограничению возможности исполнения задач бизнеса в такой степени, что организация не в состоянии выполнять одну или несколько своих основных функции; к тяжёлому повреждению активов организации; к большим финансовым потерям; к серьёзному или критичному вреду отдельным лицам, человеческим жертвам или серьёзным травмам, опасным для жизни.


*Соблюдение контрольно-пропускного режима относится ко всем*

Категории безопасности информации


Категория безопасности типа информации может быть ассоциирована сразу как с пользовательской, так и с системной информацией и может применяться для информации, представленной как в электронной, так и в неэлектронной форме (ведь многие информационные системы выходят за рамки цифровых носителей хотя бы в точке подсоединения кабеля принтера). Категории безопасности типов информации в дальнейшем могут быть использованы для определения категории безопасности соответствующих информационных систем, в которых они представлены. Присвоение типу информации определённой категории безопасности по существу требует оценки потенциального воздействия утраты каждого из трёх объектов безопасности (конфиденциальности, целостности, доступности), относящихся к данному типу информации.
Категория безопасности типа информации представляется следующим образом:

КБ тип информации = {(конфиденциальность, воздействие), (целостность, воздействие), (доступность, воздействие)},
где потенциальное воздействие может принимать следующие значения: НИЗКОЕ, СРЕДНЕЕ, ВЫСОКОЕ, ОТСУТСТВУЕТ. Значение ОТСУТСТВУЕТ применимо только для конфиденциальности (считается что есть информация, которую можно предоставлять кому угодно, не волнуясь о конфиденциальности. Однако даже к такой информации должны применяться минимальные требования по целостности и доступности).


Стоит отметить, что это не формула, а вектор (привет матану и линейной алгебре). В данном случае фигурные скобки означают совокупность трёх характеристик. Подробнее в примере ниже.

Категории безопасности информационных систем


Определение категории безопасности информационной системы должно учитывать категории безопасности всех типов информации, представленных в данной системе. Для информационной системы потенциальное воздействие утраты каждого из трёх объектов безопасности (конфиденциальности, целостности, доступности) определяется наивысшим значением потенциального воздействия утраты соответствующих объектов безопасности среди категорий безопасности всех типов информации, представленных в информационной системе.
Категория безопасности информационной системы представляется следующим образом:

КБ информационная система = {(конфиденциальность, воздействие), (целостность, воздействие), (доступность, воздействие)},
где потенциальное воздействие может принимать следующие значения: НИЗКОЕ, СРЕДНЕЕ, ВЫСОКОЕ. В случае информационных систем, значение ОТСУТСТВУЕТ не применимо даже к потенциальному воздействию утраты конфиденциальности ввиду необходимости обеспечения минимальной защищённости функционирования систем и системной информации.


Критичность типов информации и информационных систем


Критичность типа информации и информационной системы определяется как наивысшее значение потенциального воздействия среди всех трёх объектов безопасности, представленных в категории безопасности.


*В безопасности не бывает ничего старомодного*

Пример


Чтобы из всех этих жутких формулировок и векторов сложилось понимание в действительности не очень сложного и логичного принципа рассмотрим следующий пример.
Имеется информационная система, используемая в основных бизнес процессах организации, содержащая как критичные для бизнеса данные о контрактах и клиентах, так и обычную системную информацию. Руководство организации приняло решение, что: для информации о контрактах и клиентах потенциальное воздействие утраты конфиденциальности является средним, утраты целостности — средним, утраты доступности — низким; для системной информации потенциальное воздействие утраты конфиденциальности является низким, целостности — низким, доступности — низким. В результате категории безопасности типов информации выглядят следующим образом:

КБ информация о контрактах и клиентах = {(конфиденциальность, СРЕДНЕЕ), (целостность, СРЕДНЕЕ), (доступность, НИЗКОЕ)},
КБ системная информация = {(конфиденциальность, НИЗКОЕ), (целостность, НИЗКОЕ), (доступность, НИЗКОЕ)}.

Категория безопасности оцениваемой информационной системы принимает следующие значения:

КБ оцениваемая система = {(конфиденциальность, СРЕДНЕЕ), (целостность, СРЕДНЕЕ), (доступность, НИЗКОЕ)}.

Для удобства пищеварения понимания представим эту информацию в единой Таблице 1, хотя правильнее было бы разнести категории безопасности информации и информационных систем в различные таблицы. Как мы видим тут все довольно легко и просто. В итоге интересующий нас результат, а именно — критичность ИС, находится в правой нижней ячейке.

Таблица 1. Категорий безопасности и критичности информации и информационных систем
Конфиденциальность Целостность Доступность Критичность
Информация о контрактах Среднее Среднее Низкое
Системная информация Низкое Низкое Низкое
Оцениваемая система Среднее Среднее Низкое Среднее