Верификация безопасности бизнеса с использованием стандартов де-факто

Ёрхов Е.В.,
генеральный директор ООО "Ай Экс Ай лаборатория защиты информации"

Верификация — это подтверждение соответствия конечного продукта предопределённым эталонным требованиям  (Wikipedia)

Верификация безопасности бизнеса предполагает наличие в проекте многопрофильных специалистов, которые обладают глубокими знаниями в нескольких смежных областях, таких как: техники преодоления систем защиты, нормативно-правовая база, техники социальной инженерии, методы анализа бизнес-процессов и понимание используемых технологий.  Это сложная задача, которая требует наличия системного подхода и выверенных методик проведения процесса верификации безопасности, позволяющих получить результат, который будет понятен владельцу бизнеса или заказчику.

С точки зрения владельца бизнеса, верификация безопасности бизнеса предполагает постановку следующих вопросов:

• Что представляет собой результат верификации бизнеса? Как он связан с реальной безопасностью предприятия? Имеется ли возможность встроить результаты верификации безопасности непосредственно в процесс обеспечения безопасности бизнеса?
• Как сравнить два результата верификации бизнеса, выполненные разными проектными командами или выполненными в разное время? Не является ли процесс тестирования защищённости бизнеса, на самом деле, процессом тестирования проектных команд, которые занимаются тестированием защищённости?
• Можно ли доверять положительному результату верификации бизнеса? Не упущены ли тестировщиками какие-либо важные составляющие, критически влияющие на информационную безопасность предприятия?

Для ответа на эти вопросы, результаты верификации безопасности бизнеса должны быть понятными заказчику и измеримыми. К сожалению, на сегодняшний день, не существует простых способов процесса верификации безопасности бизнеса, отвечающих на эти вопросы. Большая часть компаний работает по собственным методикам и внутренним стандартам.

В докладе рассмотрены основные подходы к выполнению процесса верификации бизнеса. Сделано разделение подходов по типу заказчика тестирования на внешнее тестирование, когда тестировщик эмулирует атаки и проверяет реальную защищённость и внутреннее тестирование, когда тестировщик выполняет проверку соответствия лучшим практикам, отражённым в стандартах информационной безопасности и выявляет отклонения от лучших практик. В докладе отмечены основные достоинства и недостатки обоих подходов и сделан вывод о том, что для процесса верификации безопасности следует рассматривать системный подход, который предполагает:

• Использование обоих подходов тестирования защищённости с точки зрения внутреннего и внешнего заказчика
• Наличие цикла тестирования с фиксацией результата на  начальном и конечном этапах
• Периодичность тестирования, встроенного в цикл обеспечения безопасности бизнеса

В докладе предложено место процесса верификации безопасности в функциональной модели обеспечения непрерывности безопасности бизнеса. Также, в докладе отмечается, что в основе процесса верификации безопасности должна находиться методика тестирования защищённости, определяющая и детализирующая процесс верификации. Сделан вывод о том, что методика тестирования защищённости должна представлять собой основу всех процессов или решений, которые определяют, что должно проверяться, кем, как и где.  В методике, процесс верификации должен быть декомпозирован на понятные подпроцессы, которые объясняют, собственно, сам процесс верификации. Методика, также, должна объяснять какие тесты, где, как и кем следует выполнять тесты, а также, как следует управлять самими тестами. Критически важно, чтобы методика содержала метрики, позволяющие выполнять количественную оценку защищённости исследуемых объектов. Для разработки функциональной модели верификации безопасности бизнеса, в докладе рассматриваются методики тестирования защищённости: «Open Source Security Testing Methodology Manual» (OSSTMM) v.3 и «Penetration Test Execution Standard» (PTES) бета-версия, являющиеся стандартами де-факто на сегодняшний день. Рассматриваются их сильные и слабые стороны, предлагается функциональная модель процесса верификации безопасности бизнеса, построенная на основе указанных стандартов де-факто.

Основные результаты, полученные в работе:

• На основе анализа сильных и слабых сторон существующих общемировых,  российских стандартов и методик выбрана базовая методика тестирования защищённости OSSTMM v.3 в силу её практической направленности и наличия количественных метрик для измерения ИБ. Также, выбрана  методика PTES, в качестве референсной модели для проведения тестов защищённости.
• Предложена функциональная модель верификации безопасности бизнеса на основе указанных методик
• Предложенная референсная модель процесса верификации безопасности бизнеса, является частью цикла оперативного управления (SDCA) функциональной модели обеспечения непрерывности безопасности бизнеса.

Литература

1. BS ISO | IEC 27001:2005 “Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования”
2. BS ISO/IEC 27005:2008 «Методы обеспечения безопасности – Управление рисками информационной безопасности»
3. «Open Source Security Testing Methodology Manual»  http://www.isecom.org/research/osstmm.html
4. Словарь терминов ITIL® на русском языке, версия 2.0, 29 июля 2011 г.
5. «Penetration Test Execution Standard» http://www.pentest-standard.org/index.php/Main_Page