Как организовать непрерывный мониторинг ИБ

SecOps
Бывший федеральный CIO США (главный CIO всех органов власти) Вивек Кундра как-то сказал: «Непрерывный мониторинг — основа истинной безопасности». И это действительно так. Внедрить системы защиты, настроить их, реализовать реагирование на инциденты… Это все хорошо, но недостаточно. Необходимо уметь оценивать текущий уровень ИБ, сравнивать его с целевыми показателями и, в зависимости от результатов анализа, предпринимать какие-либо действия. Но измерять надо не раз в три года, во время проверки ФСТЭК. И не раз в год, как при аудите PCI DSS. И даже не раз в месяц. Измерять надо постоянно. Но как?

В США для этой задачи разработали систему CAESARS (Continuous Asset Evaluation, Situational Awareness, and Risk Scoring), которая взяла за основу три существующих системы:

  • Security Risk Scoring System Госдепартамента
  • Security Compliance Posture Monitoring and Reporting Министерства финансов
  • Cyber Security Assessment and Management Министерства Юстиции.

Взяв эти системы за основу, Министерство национальной безопасности (Department of Homeland Security) и разработала систему CEASARS, которая будучи состоящей из 4-х подсистем:

  • сенсоры
  • база данных / репозиторий
  • анализ / оценка рисков
  • презентации и отчеты

решает следующие задачи:

  • оценка текущего уровня каждого из ИТ-активов, находящегося под управлением
  • оценка разрыва между тем «что и есть» и тем «что должно быть»
  • количественная и понятная оценка риска для каждого разрыва
  • представление простого и понятного уровня ИБ для каждой системы или узла
  • гарантия того, что ответственность за каждую систему или узел назначена правильно
  • предоставление рекомендаций по управлению выявленными рисками.

Достойный проект, который пытается охватить все федеральные органы США в рамках единой системы мониторинга уровня ИБ. При этом CAESARS базируется на уже разработанных и принятых документах. В частности, уровень соотвествия требованиям по ИБ оценивается на базе FISMA.

Жаль, что у нас такой даже в планах нет ;-(  У ФСО есть куча систем мониторинга, но все они очень высокоуровневые. Например, ГАС оценки финансово-технологических рисков. Но она оценивает риски государственных программ, государственных заказов, отдельных мероприятий в рамках госзаказов. Т.е. ни о какой ИБ-направленности и речи не идет. Хотя выглядят разработки ФСО достаточно привлекательно.


Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. biakus

    У нас проблема мониторинга в том — что защитой и оценкой защиты *непрерывно* занимается одно и тоже лицо, и лишь изредка кто-то другой.
    А проблемами самооценки занимается психология..

    Ответить
  2. rsibi

    +1

    Ответить
  3. doom

    >занимается одно и тоже лицо
    Причем не потому, что не понимают необходимость разделения полномочий, а потому, что это вообще одно лицо — и дополнительных ставок никто не даст 🙂

    А вообще интересно, какое решение DoHS взяли за основу — вот пиар будет для производителя…

    Ответить
  4. Алексей Лукацкий

    Отчет посмотри — там написано, чьи решения взяты за основу. Но речь не идет о конкретных продуктах — это серьезная доработка и интеграция имеющихся решений.

    Ответить
  5. doom

    Ага. Ссылку-то я и не приметил 🙂
    Ну там все-таки некий предварительный анализ возможных инструментов, насколько я понял.
    Отдельно заинтересовал SPAWAR SCAP Compliance Checker — вот бы у нас министерство обороны что-то подобное смогло создать… Ведь судя по сайту — это вполне коммерческий продукт.

    Ответить
  6. Алексей Лукацкий

    Российское МинОбороны и создать? Гы 😉

    Ответить