Nowy sposób pomiaru bezpieczeństwa

10 wrzesień 2008

Organizacja CIS (Center for Internet Security) rozpoczęła prace nas nową metodą oceny i pomiaru poziomu zabezpieczeń firm i instytucji. Do ocenianych elementów należy odsetek zaktualizowanych komputerów w danej firmie oraz czas od wykrycia ataku do usunięcia jego skutków.

Pod koniec bieżącego roku CIS opublikuje efekty swoich prac oraz końcową wersję przewodnika po nowych zasadach. Zdaniem B. Miuccio, szefa CIS, wiele osób wciąż nie rozumie wagi inwestycji w bezpieczeństwo.

Metoda oceny poziomu bezpieczeństwa ma ułatwić planowanie wydatków i ocenę działań oraz uzyskanie jednoznacznych wyników. Podczas oceny zostanie uwzględnionych 8 podstawowych kategorii:

1. Średni czas między incydentami z zakresu bezpieczeństwa;
2. Średni czas przywracania sprawności infrastruktury po incydencie;
3. Odsetek systemów skonfigurowanych pod określone standardy bezpieczeństwa;
4. Odsetek systemów w pełni uaktualnionych;
5. Odsetek systemów z zainstalowanym oprogramowaniem antywirusowym;
6. Odsetek aplikacji biznesowych, które przeszły proces oceny ryzyka;
7. Odsetek aplikacji biznesowych, które przeszły testy penetracyjne;
8. Odsetek kodu aplikacji, który przeszedł proces audytu/analizy bezpieczeństwa lub analizę modelu zagrożenia.

CIS opracuje również testy bezpieczeństwa dla popularnych aplikacji, jak MS Office, Tomcat, SharePoint, oraz dla trzech najpopularniejszych przeglądarek – Opery, Firefox i Explorera.

Obecnie istnieje już standard oceny bezpieczeństwa danej infrastruktury informatycznej, np. procedura opracowana przez IA-CMM. Umożliwia firmie lub instytucji otrzymać ocenę bezpieczeństwa w skali od 1 do 5, po przejściu odpowiedniego audytu. Kryteria IA-CMM są jednak niezwykle surowe. Najwyższa przyznana dotąd ocena to 4.
CIS uważa to narzędzie za bardzo praktyczne, jednak niekompletne. Procedury CIS będą komplementarne dla systemu stworzonego przez Narodową Agencję Bezpieczeństwa.