CIS является некоммерческой организацией и специализируется на разработке средств тестирования реализации систем компьютерной безопасности. Директор CIS Берт Миуччо заявил, что новые стандарты оценки безопасности корпоративных компьютерных систем будут опубликованы к концу года.
Для однозначного ответа
"Различные системы оценок создавались сообществом специалистов по безопасности и раньше, - пояснил Миуччо. - Как правило, по форме это были списки вещей, подлежащих оценке с точки зрения безопасности. Среди них, например, технические параметры, процедуры и подготовка работников. Но что по-прежнему вызывает трудности, так это определение реальной отдачи от вложений в безопасность и оценка состояния дел с безопасностью на предприятии".
Стандарты безопасности, разрабатываемые в Центре, позволят дать на эти вопросы однозначный ответ, считает Миуччо. Они основываются на восьми ключевых параметрах:
- среднее время между инцидентами в области безопасности;
- среднее время восстановления нормальной работы после инцидентов в области безопасности;
- доля систем, сконфигурированных в соответствии с принятыми стандартами;
- доля систем, на которых установлены обновления в соответствии с правилами;
- доля систем с установленными антивирусными программами;
- доля бизнес-приложений, по которым проведен анализ рисков;
- доля бизнес-приложений, по которым проведен анализ уязвимостей или путей проникновения.
- доля кода приложений, по которому перед производственным развертыванием проведен анализ безопасности, анализ модели угроз или обзор кода.
"Центр по безопасности Internet продолжит работу над средствами тестирования безопасности компьютерных программ, - добавил Миуччо. - В четвертом квартале выйдут новые средства для проверки безопасности конфигурации Microsoft Office и SharePoint, драйверов принтеров, пакета с открытым кодом Tomcat и трех браузеров: Internet Explorer, Opera и Firefox".
Доказать себе и другим
Некоторым организациям стандарты безопасности нужны для того, чтобы доказать и себе, и своим деловым партнерам, что в их деятельности действительно реализованы методы обеспечения безопасности.
Например, компания Pacific Gas & Electric применяет у себя так называемую "Модель зрелости функциональности средств обеспечения информационной безопасности" (Information Security Assurance Capability Maturity Model, IA-CMM). Она была разработана Агентством национальной безопасности США.
"IA-CMM предназначена для оценки эффективности организации в деле обеспечения безопасности клиентов, то есть всех, кто пользуется ее услугами", - пояснил менеджер по информационной безопасности PG&E Сет Бромбергер. Для оценки по IA-CMM приглашается уполномоченная сторонняя фирма. Она проводит тщательное обследование того, как в организации документированы процедуры безопасности и как они выполняются.
"Почетная" тройка
Оценку безопасности в PG&E выполнила в конце прошлого года фирма Security Horizon. По пятибалльной шкале PG&E получила три.
Хотя на первый взгляд оценка невысока, надо учесть, что, по словам Бромбергера, до сих пор только одной компании удалось набрать четыре балла. Это была компания International Network Services. Система оценок IA-CMM очень жесткая, и "тройка" означает, что процедуры документирования и исполнения политики безопасности в организации "четко определены". Бромбергер считает, что можно гордиться тем, что его компании вообще удалось пройти проверку по IA-CMM и достичь такой итоговой оценки.
"Это повышает доверие к заявлениям относительно наших программ безопасности, - полагает Бромбергер. - Особую важность это имеет при переговорах с федеральными ведомствами и муниципальными службами об обмене информацией по поводу безопасности. С практической точки зрения это инструмент, обеспечивающий руководству уверенность. Ведь мы производим электроэнергию и относимся к важнейшим элементам национальной инфраструктуры".
Не хватает обратной связи
"В области безопасности очень мало четко определенных стандартов", - утверждает Бромбергер. Он знаком с разработками CIS в области тестирования безопасности программ, и для него они являются авторитетным источником. Бромбергер с удовольствием воспринял известие о предстоящей публикации стандартов по безопасности и добавил, что "без сомнения, рассмотрит возможность их применения в PG&E, если, конечно, разумно будет расширять нашу собственную программу тестирования безопасности".
Что же касается Миуччо, то для него модель IA-CMM представляется отличным средством для планирования и разработки стратегии, но недостатком ее является отсутствие "обратной связи по данным". Стандарты, создаваемые в Центре по безопасности Internet, будут дополнять IA-CMM, полагает он.
"Наши стандарты выведут модель на новый уровень", - обещает Миуччо.