В поиске эталонной стратегии и процедур обеспечения безопасности
Самая неприятная проблема, касающаяся стандартных наборов тестов защиты информационных систем, связана с тем, что эталон все время меняется, поскольку постоянно возникают новые технологии и новые угрозы безопасности.
Менеджеры по информационной безопасности различных компаний считают, что такого рода проблемы очень сложно решать. Результаты работы над новой совместной инициативой были представлены в виде практически законченного набора тестов на проверку защиты компьютерных систем под управлением ОС Sun Solaris.
Но несмотря на сомнения относительно действенности и надежности тестов, многие пользователи считают, что предложенные центром Center for Internet Security (CIS) наборы тестов безопасности станут основой их работы по обеспечению защиты компьютерных систем на платформе Solaris.
«С моей точки зрения, это великолепный пакет», — заметила Айрис Паттон, куратор по вопросам систем защиты компании Shell Services International, ИТ-подразделения корпорации Royal Dutch/Shell Group. По ее словам, за членский взнос в размере 5 тыс. долл., который ее компания заплатила CIS, она получает техническую информацию, служащую прекрасной заменой дорогостоящим консультантам.
CIS — некоммерческая группа, созданная в октябре 2000 года. В ее состав входит более 140 компаний, госучреждений и консалтинговых фирм.
Набор тестов включает в себя список конкретных действий и настроек для систем защиты на различных уровнях безопасности. Он стал результатом совместных усилий и опирается на оценку предварительных версий тестов, представленную техническими специалистами фирм, входящих в CIS, в том числе, и Unix-специалистами компании Shell.
Донна Францис, занимающаяся вопросами защиты в компании Subaru of America, считает, что совместный подход к подготовке тестов поможет повысить уровень компетентности в этой области. Но насколько полезны эти тесты — покажет время.
«Каким образом они собираются их обновлять? — вопрошает Францис. — Как люди планируют модернизировать их с учетом собственного опыта, в следующем году или в ближайшие несколько месяцев?»
Клинт Крейтнер, исполнительный директор CIS, считает, что задача состоит в поддержке актуальности на основании информации, получаемой от членов группы, производителей и других пользователей. Кроме того, в CIS намерены проводить сертификацию инструментальных средств.
Планируется создать аналогичные тесты для Linux, а также для Windows 2000 и Windows NT.
«Это согласованные усилия, — подчеркнул Крейтнер. — Мы не коммерческая организация, которая что-то продает. Необходимые знания есть, они лишь нерегулярно распространяются».
Сравните сами
Инициатива CIS по подготовке наборов тестов в основном касается технических аспектов защиты. Но компании, заинтересованные в применении более комплексных подходов к вопросам безопасности, могут последовать примеру корпорации Ford Motor.
В июле прошлого года Ford завершила обошедшуюся ей в 100 млн. долл. модернизацию систем защиты, после того как протестировала свои процедуры обеспечения информационной безопасности и сравнила их с системами некоторых других корпораций, в том числе Intel и Motorola.
«Какой уровень безопасности у них достигается?» — основной вопрос, который интересовал Патрика Миллигана, менеджера Ford по вопросам защиты. Ford представила ряду корпораций, которые работают на других рынках и не являются ее конкурентами, свои оценки уровня безопасности и сравнила их методы организации защиты со своими собственными.
Миллиган советует другим организациям следовать этим же путем при принятии решения о том, следует ли пользоваться услугами консультантов в поддержке тестирования или делать это своими силами.
Крупные консалтинговые фирмы предлагают превосходные услуги, но, по словам Миллигана, «в Ford тестирование было проведено самостоятельно и позволило получить более конкретное представление о методах и способах защиты, применяемых в отрасли, благодаря чему мы смогли эффективно разработать свою внутреннюю стратегию».
Патрик Тибоди