Пример самооценки для госоргана (в продолжение вчерашней заметки)

Но прежде отвечу на общее замечание, что все, что я предложил, госорганам не нужно и инициатива вообще наказуема. Это так. Поэтому в самом начале я и написал, что это имеет смысл только там, где госорган занимается ИБ не для галочки и не для compliance, а для реальной безопасности. И потом… никто же не требует показывать данные результаты самооценки при проверках регулятора — достаточно их иметь для собственного понимания текущего состояния и того, куда можно и нужно развиваться.

Что касается второго замечания о том, что для госоргана не может быть разных уровней соответствия и он обязан выполнить все и сразу, опять же повторю то, что уже написал. Госорган может реализовывать не только базовый уровень с усилением, но и адаптированный, то есть расширенный уровень защищенности своих информационных систем. И госпредприятие как раз может двигаться от базового уровня до адаптированного. Не стоит рассматривать базовый уровень как максимальный, пятый. И это если не рассматривать вариант с возможность исключать защитные меры из базового уровня, о чем я уже писал ранее и повторяться не буду.

Но вернемся к конкретному примеру. Итак, как я и написал, ГОСТ 15504 можно использовать двояко. Я вчера написал «можно взять эту модель без изменения (если рассматривать каждый из блоков защитных мер как процесс), а можно попробовать и упростить (правда, в ущерб качеству)«. Первый вариант простой и сложный одновременно. Простой потому что не надо выдумывать свои атрибуты для оценки процессов и условия переходов между ними. Сложность заключается в том, что даже сама ФСТЭК не рассматривает явно защитные меры как процесс ИБ. Например, защитная мера, описанная в УПД.12 «Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки». В методичке по мерам защиты в ГИС эта мера описана более подробно, но в обоих случаях совершенно непонятно, речь идет о технологии (например, мандатное разграничение доступа), механизме (например, Oracle Label Security), законченном продукте защиты (например, Cisco Identity Service Engine) или целом процессе по управлению метками безопасности. Трактовать текущие формулировки можно по-разному, но чаще всего как процесс защитные меры из 17-го приказа все-таки не воспринимают.

Но и запрета на такую трактовку нет. Просто сами регуляторы, особенно на местах, не готовы к такой трактовке. Ведь это потребует от них пересмотра вообще всей идеологии, к которой они привыкли в ФСТЭК. Не смотря на инициацию перевода и гармонизации ISO 2700x в виде соответствующего ГОСТ, а также отсыл к нему в том же 17-м приказе, к процессному, то есть непрерывному обеспечению ИБ у нас еще в госорганах не привыкли и все по-прежнему живут от аттестации до аттестации.

Если все же рассмотреть УПД.12 как процесс, то как у нас будут выглядеть 6 уровней оценки, которые найдут свое отражение в радарной диаграмме:

• Уровень 0. Управление метками не реализовано вовсе.
• Уровень 1. Управление метками реализовано в том или иной виде — для файлов, для сетевого трафика, для записей СУБД или еще для какого-либо объекта защиты. Тут важен сам факт реализации, а не то, как это сделано и каких практических результатов мы достигли. По сути у нас никак не прогнозируется достижение поставленных целей и какими усилиями эти цели могут быть достигнуты.
• Уровень 2. Мы не только реализовали простановку меток на защищаемую информацию, но и регулярно отслеживаем его состояние — соответствие целям (мы вообще понимаем, зачем нам метки?); мониторинг процесса (а у нас метки сохраняются на протяжении всего процесса обработки или хранения информации?); определены ответственные за данный процесс и разграничена ответственность между ними; ответственные понимают свои полномочия в рамках простановки меток безопасности; понятно, от чего зависит та или иная метка; процесс документирован и т.п. 
• Уровень 3. Процесс выполняется по всей организации (а не только в рамках какого-либо подразделения, сегмента или ИТ-решения), в соответствии с общими правилами «для всех» и мы получаем ожидаемые результаты, которые на предыдущих этапах могли наступить или не наступить. При этом персонал, обеспечивающий управление метками безопасности квалифицирован, что подтверждается соответствующим образованием, навыками и опытом.
• Уровень 4. Процесс управления метками становится предказуемым, то есть измеримым и контролируемым, что и является ключевым отличием от предыдущего этапа. Метрики у данного процесса могут быть разными, например, время простановки и время проверки метки безопасности. Можно вообще выйти за рамки классических меток на файлы или иные порции информации и рассмотреть нечто схожее с Xerox Printed Memory, то есть «физическую» метку, которую можно измерять по числу меток выпущенных и внедренных за единицу времени.
• Уровень 5. Процесс постоянно совершенствуется исходя из изменяющихся целей предприятия.

• Уровень 0. Управление метками безопасности не реализовано вовсе. Можно сколь угодно говорить о том, что госорган обязан реализовывать то, что написано в 17-м приказе, но практика говорит о другом. Нет денег — нет защиты. К тому же, не забываем, что я могу предложенную модель использовать для оценки текущего уровня защищенности и выработки пути движения к базовому уровню по 17-му приказу. В этом случае нулевой уровень имеет право на существование.
• Уровень 1. Управление метками, как защитная мера, есть (и может быть даже как-то задокументирована), но централизованного управления нет. Например, я могу вручную проставлять метки для каждого файла в операционной системе. Например, файл с 17-м приказом ФСТЭК у мена на лэптопе у меня имеет разные метки и я могу добавлять туда и свои собственные метки.

• Уровень 2. Появляется централизованное управление с помощью специализированных решений, например, какое либо решение класса IRM или DLP. Тот же упомянутый выше Cisco ISE — это пример именно централизованной системы управления метками безопасности (Security Group Tag, SGT) для сетевого трафика, который в противном случае можно «метить» с помощью  тегов VLAN.
• Уровень 3. Мы не просто централизованно управляем системой управления метками безопасности, но и обеспечиваем непрерывный мониторинг защитной меры — наличие меток на объектах или у субъектов защиты, обработка меток инфраструктурой и т.п. В случае появления каких-то сбоев мы оперативно реагируем на них, но без соблюдения четкого SLA.
• Уровень 4. На этом уровне мы определяем метрики измерение эффективности защитной меры, например, время присвоения метки объекту/субъекту защиты, время реагирования в случае сбоя, время простановки меток, число меток определенного типа/уровня конфиденциальности и т.п. 
• Уровень 5. Наконец, на высшем уровне мы оптимизируем данную защитную меру, превращая ее в управляемый, контролируемый, прогнозируемый процесс.