02.10.2012

Зри в корень

a_babenko

Автор: Алексей Бабенко

Должность: руководитель направления компании «Информзащита».

При формировании системы информационной безопасности в расчет берется огромное количество факторов. В том числе в качестве ориентира часто используются национальные и мировые стандарты, лучшие практики, рекомендации разработчиков и многое другое. При этом часто приходится видеть удручающую картину, красноречиво озвученную немецкой поговоркой – «Слепое усердие только вредит». Соответствие любым требованиям не должно идти вразрез с объективной оценкой угроз ИБ. Иными словами, любая мера защиты должна быть направлена на закрытие конкретного риска (или нескольких). Именно такой подход позволяет выполнить стоящую задачу наиболее эффективно (а подчас и просто выполнить задачу).

Простой пример – требования парольной политики. Параметры пароля (его длина, состав символов) служат одной цели – увеличению возможных вариантов и, как следствие, повышению сложности вводимого значения. Простая арифметика ставит знак равенства по сложности между паролем, состоящим из семи цифр, и тем, который состоит из пяти цифр и строчных букв латинского алфавита. Поэтому часто при необходимости повысить его сложность много проще увеличить длину, чем изыскивать техническую возможность задания состава символов, входящих в пароль.

Безусловно, такой подход может нести дополнительные риски. Но, как правило, адекватный выбор мер, закрывающих исходное требование, позволяет их избежать.

Также важно понимать смысл требований, содержащихся в стандартах. Например, формальное соответствие PCI DSS версии 1.2 допускало хранение номеров карт одновременно в маскированном и хешированном виде. В результате, исходные номера карт можно было за несколько секунд высчитать по хранимым значениям. То есть изначальная цель – обеспечение безопасности данных – выполнена не была.

Эти примеры – частные случаи, но, думаю, их суть предельно ясна.

Печально, что эти примеры можно встретить на каждом шагу. В моей практике проведения аудитов информационной безопасности каждый третий заказчик не в полной мере понимает изначальную цель тех требований, которым он соответствует. Ложное ощущение собственной защищенности бывает опаснее, чем отсутствие защищенности как таковой. Поэтому приходится повторять вновь и вновь: реальную пользу в снижении рисков информационной безопасности несут только те меры, назначение которых осознано, а использование обоснованно.