03.06.2014

Как строить ИБ между аттестациями или что такое CDM?

Не секрет, что у нас во многих государственных и муниципальных учреждениях информационная безопасность живет волнами - от аттестации до аттестации. Сначала мы строим систему защиты (например, по 17-му приказу), потом проводим ее аттестацию и... забываем на некоторое время. Средства защиты работают, что-то ловят, обновляются, но полноценного непрерывного мониторинга состояния защищенности государственных и муниципальных информационных систем не происходит. Отчасти по причине нехватки кадров и финансирования, отчасти из-за исторической направленности ФСТЭК только на выстраивание защитной стены без дальнейшего отслеживания ее состояния.

Необходима новая модель обеспечения безопасности, которая позволила бы выстраивать трехуровневую систему ИБ - до появления атаки на границе защищемого объекта, в процессе ее реализации и уже после компрометации. Учитывая изменение ландшафта угроз и появление целенаправленных (APT) атак, эта задача становится все более насущной и необходимой. Но... если коммерческое предприятие в состоянии эту модель у себя реализовать, то с государственными учреждениями все не так просто. Им нужна помощь.

Понимая это, в США недавно стартовала новая программа под названием CDM (Continuous Diagnostics and Mitigation), которая и отличается тем, что позволяет обеспечить непрерывный мониторинг и нейтрализацию угроз американским государственным органам. По описанию CDM напоминает российскую систему СОПКА, смотрящим за которой является ФСБ. Но в отличие от СОПКИ CDM лучше описан и базируется на коммерческих решениях, доступных на рынке.

Программа CDM покрывает 15 областей, разбитых на 3 фазы:

  1. Фаза 1
    • HWAM – Hardware Asset Management - Управление физическими активами
    • SWAM – Software Asset Management - Управление ПО
    • CSM – Configuration Settings Management - Управление конфигурацией
    • VUL – Vulnerability Management - Управление уязвимостями
  2. Фаза 2
    • TRUST –Access Control Management (Trust in People Granted Access) - Управление контролем доступа
    • BEHV – Security-Related Behavior Management - Управление поведением, связанным с ИБ
    • CRED – Credentials and Authentication Management - Управление аутентификацией и учетными записями
    • PRIV – Privileges Boundary Protection (Network, Physical, Virtual) - Управление информационными потоками через различные границы
  3. Фаза 3
    • Управление событиями ИБ
    • Реагирование на события ИБ
    • Аудит и мониторинг
    • Документирование, политики и т.п.
    • Управление качеством 
    • Управление рисками.
Еси посмотреть на этот список, то мы увидим почти все темы, нашедшие себя в 17-м приказе ФСТЭК. За одной только разницей, для реализации этих блоков предлагаются специальные "сенсоры" (на базе коммерческих решений), которые позволяют не только отображать нужную информацию и ключевые показатели деятельности самим госорганам на специальной панели управления (dashboard), но и передавать ее в облачный центр мониторинга ИБ всеми госорганами (CMaaS), для отслеживания общей ситуации с ИБ в стране и оперативного реагирования на негативные изменения и события. Другим отличием является выбор подрядчиков для реализации CDM. Он уже сделан государством в виде списка аккредитованных компаний.

Иными словами, государство в лице министерства национальной безопасности (DHS) решило частично взять на себя задачи мониторинга ИБ в госорганах, которые сами не всегда способны реализовать непрерывный процесс ИБ на должном уровне. Пока реализация программы CDM находится в самом начале и пока сложно судить о ее эффективности. Но направление, на мой взгляд, взято верно.

5 коммент.:

Алексей Беседин комментирует...

Что-то мне это напоминает деятельность академика Глушкова: создание Общегосударственной автоматизированной системы учёта и обработки информации (ОГАС), предназначенной для автоматизированного управления всей экономикой СССР в целом (в Вики есть статья о нем).

" Технически ОГАС представлялась ему как единая, масштаба всей страны, система из тысяч вычислительных центров, отдельных АСУ предприятий и автоматизированных систем отраслевого управления. Поэтому ключевым моментом для реализации ОГАС было создание Единой сети вычислительных центров. Сеть должна была объединить 100-200 крупных вычислительных центров в промышленных городах и экономических центрах. В рамках ОГАС задумывалось также развертывание распределенного банка данных и разработка системы математических моделей управления экономикой. Предполагалось, что из любой точки системы можно будет получить доступ к любой информации, конечно, при наличии соответствующих полномочий, которые проверялись бы автоматически. Кроме этого ОГАС предусматривала безденежную системы расчетов населения."

Как бы подводные камни вновь не утопили замечательную идею...

Алексей Лукацкий комментирует...

Ну тут все-таки речь идет не о ОГАС, а территориально-распределенной SIEM. А это задача более подъемная

doom комментирует...

А вот Чили в свое время осилили свой ОГАС: http://ru.wikipedia.org/wiki/%D0%9A%D0%B8%D0%B1%D0%B5%D1%80%D1%81%D0%B8%D0%BD

Алексей Беседин комментирует...

SIEM создаст возможность собирать, обрабатывать, анализировать информацию. Это как фундамент для принятия управленческих решений по модернизации ИБ,корректировки развития ИБ в установленных рамках.

Мне кажется, что в перспективе к модели типа ОГАС или подобной все и движется...
Если смотреть поэтапно - то да,возможно. На всё и сразу денег не дадут и местами не рискнут))

Алексей Беседин комментирует...

doom

Опять-таки зарубили (уже отлично работавший) проект. Все-таки квалификация управленца вещь размытая. А ОГАС сокращает число рабочих мест управленцев, показывает их настоящую квалификацию...

спасибо за ссылку))