Главная > Uncategorized > Анализ защищенности vs оценка защищенности vs анализ безопасности

Анализ защищенности vs оценка защищенности vs анализ безопасности

Этот пост я решил написать, прочитав описание курса «Анализ и оценка защищенности Web-приложений». Вопрос, которым я задался, звучит так: «чем отличается анализ защищенности от оценки защищенности? И чем это отличается от анализа/оценки безопасности?» Это разные услуги или одно и то же?

Итак, перед нами два вопроса:
1. Чем отличается защищенность от безопасности?
2. Чем отличается анализ от оценки?

При ответе на вопросы я решил руководствоваться в первую очередь отечественными нормативными документами — ГОСТами. За основу я взял «Критерии оценки безопасности информационных технологий». Прямо на третьей странице дается определение безопасности ИТ:
Под безопасностью информационной технологии понимается состояние ИТ, определяющее защищенность информации и ресурсов ИТ от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность ИТ выполнять предписанные функции без нанесения неприемлемого ущерба субъектам информационных отношений.
По этому определению безопасность — это защищенность от всех угроз. То есть, безопасность либо есть, либо её нет, и, как следствие, вводить понятие уровня безопасности некорректно. Единственно, возникает вопрос: о защищенности от каких угроз идет речь? От всех-всех-всех или от заданных? Если первое, то определение неконструктивно, ибо любая система получается заведомо небезопасной. Остается второй вариант. Этому выводу мы находим подтверждение далее в тексте стандарта:
«Требования к безопасности конкретных продуктов и систем ИТ устанавливаются исходя из имеющихся и прогнозируемых угроз безопасности, проводимой политики безопасности, а также с учетом условий их применения».

Отлично, оказывается:

  • есть такая штука, как требования к безопасности продуктов ИТ;
  • угрозы рассматриваются только известные (это важно!);
  • угрозы рассматриваются в контексте проводимой политики безопасности.

В сухом остатке у нас получаются следующие выводы:
1. Безопасность — защищенность от угроз, заданных в требованиях к продукту.
2. Безопасность либо есть, либо нет. Соответственно, говорить об уровне безопасности некорректно. Получется, что поставщик услуги «анализ безопасности», найдя одну уязвимость в системе заказчика, имеет полное право сказать «небезопасна» и завершить анализ :)
Соответственно, говорить об уровне защищенности — как раз очень корректно.

Анализ vs Оценка
Анализ всегда должен иметь цель. В отсутсвие цели можно говорить только о методах анализа, но никак не о результатах. Вообще, слово «анализ» можно смело заменять на слово «познание».
Что же тогда такое «анализ защищенности»? Если у продукта есть требования к безопасности — это проверка соответствия этим требованиям. При наличии таких требований результаты анализа защищенности будут объективны.
Оценка защищенности — это использование объективных результатов анализа для определения возможных последствий от невыполнения требований безопасности. Оценка сильно зависит от владельца объекта оценки (специфика деятельности предприятия) и от его окружения (то, что называется threat environment).
Получается, что оценка использует результаты анализа, является относительной, да еще и переменной во времени!

Осталось разобраться с одним маааленьким «нюансом». А что, если требований к безопасности продукта нет? А это, к сожалению, суровая реальность, особенно, при разработке веб-приложений. Неужели анализ и оценка защищенности становятся невозможны?
Мы, как источники услуг по оценке защищенности, категорически против! Тут возможны два варианта — правильный и быстрый.

  • Правильный вариант. Проводится моделирование угроз (threat modeling), в результате чего с заказчиком согласовывается перечень угроз, относительно которых будет проводиться анализ и, возможно, оценка.
  • Быстрый вариант. Берется список самых актуальных и распространенных уязвимостей и соответствующих им угроз. Весь анализ затем проводится относительно этого «стандартного» списка.

Быстрый вариант подходит для «стандартных» заказчиков, которые не предъявляют высоких требований к уровеню доверия и к полноте полученных результатов. Для всех остальных случаев используется правильный вариант.

Говорите правильно. Понимайте, что за услуги вам предлагают.

Реклама
  1. 10.06.2010 в 01:23

    :)) в моем понимании «оценка защищенности» — это, в большей степени, автоматизированный скан с верификацией уязвимостей, а «анализ защищенности» — это, прежде всего, работа человека… «анализ защищенности» — это широкое понятие, которое может включать в себя, как оценку степени соответствия (compliance), так и чистый фаззинг… так и не того и другого;)

  2. 10.06.2010 в 12:18

    Ну ты согласен, что оценка защищенности по-любому должна включать этап анализа? Иначе на основе каких данных выводится эта оценка?

    И я правильно понял, что ты считаешь, что оценка одной и той же уязвимости должна быть одинаковой, независимо от окружения этой уязвимости? То есть оценка уязвимости DNS-сервера для провайдера и для маленькой конторы, которая хостит веб-сайт на своем сервере, — одинаковая?

  3. 29.06.2010 в 17:52

    >> оценка защищенности по-любому должна включать этап анализа?
    разумеется да

    >> И я правильно понял, что ты считаешь, что оценка одной и той же уязвимости должна быть одинаковой

    уязвимость либо есть, либо отсутсвует. другое дело категорирование уровня опасности, тут может быть существенная разница в зависимости от множества условий

    • 29.06.2010 в 18:12

      Вот в моем понимании в оценку защищенности обязательно должно входить ранжирование найденных уязвимостей по уровням опасности. Иначе неясно, в чем же заключается оценка. И в этом контексте, оценка защищенности никак не может быть произведена автоматически )

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: