21.6.16

Самооценка по ИБ для госоргана: что взять за основу?

В комментариях к предыдущей заметке прозвучал вопрос о том, откуда брать значения по пятибальной шкале для каждого лепестка? На самом деле шкала там шестибалльная; есть еще значение 0. Но не так это и важно, просто данная шкала является общепризнанной в различных моделях зрелости (CMMI, COBIT, ITIL, ISO 15504 и других). На самом деле шкала может быть и трех-, и четырех-, и даже десятибалльной.

Нужна такая шкала для объективной оценки определенных параметров, которая позволяет оценивать и сравнивать себя с кем-либо или чем-либо, опираясь на единую методологию. Ну а если мы говорим об объективности, то лучше использовать некоторую методологию, которая бы уже стала стандартом де-факто, в том числе и в России. Поэтому я бы взял за основу стандарт ГОСТ Р ИСО/МЭК 15504 "Оценка процессов" из 5-ти частей, который и позволяет оценивать процессы, в том числе и по информационной безопасности по унифицированной методологии. Данный стандарт устанавливает требования к процессу оценки, к оценщикам, к инструментам и т.п.


ГОСТ Р ИСО/МЭК 15504 определяет шесть уровней для каждого процесса:
  • Неполный процесс (уровень 0)
  • Осуществленный процесс (уровень 1) 
  • Управляемый процесс (уровень 2)
  • Установленный (уровень 3)
  • Предсказуемый (уровень 4)
  • Оптимизирующий (уровень 5)

Данные шесть уровней характеризуются девятью атрибутами (атрибут осуществления процесса, управления осуществлением, определения процесса, измерения процесса, развертывания процесса и т.п.), каждый из которых характеризуется определенным рейтингом, который принимает одно из 4-х значений:
  • Не достигнут (Н) - 0-15% достижения желаемого уровня.
  • Частично достигнут (Ч) - >15-50% достижения желаемого уровня.
  • В основном достигнут (В) - >50-85% достижения желаемого уровня.
  • Полностью достигнут (П) - >85-100% достижения желаемого уровня.
Переход с уровня на уровень возможен при достижения атрибутами процесса одного из установленных значений. В ГОСТе 15504 это описано следующей табличкой:


В случае с 17-м приказом можно взять эту модель без изменения (если рассматривать каждый из блоков защитных мер как процесс), а можно попробовать и упростить (правда, в ущерб качеству). Например, для каждого блока защитных мер можно взять за основу несколько атрибутов:
  • наличие защитной меры
  • управление защитной мерой
  • документирование защитной меры
  • измерение эффективности защитной меры
  • непрерывный контроль защитной меры
  • оптимизация защитной меры.
Что дает такая модель? Унификацию подходов к оценке защитных мер, независимо от того, планируется ли в организации аттестация или нет, и независимо от того, какая система подлежит оценке. Это универсальный подход, который можно применить и в рамках одной организации или группы организаций, и даже в рамках всей страны, если такая идеология будет описана ФСТЭК и принята в качестве нормативного документа. А такая "глобализация" дает возможность проводить оценку соответствия государственных ресурсов требованиям по ИБ в масштабах всей страны - то, чего нам так не хватает.

Учитывая, что ФСТЭК любит использовать в своей работе уже готовые стандарты (27001, 15408, 18045 и т.п.) и ссылаться на них в своих приказах, переход к данной идее не потребует серьезных усилий по разработке соответствующего НПА. И смены идеологии это также не потребует - просто появится еще одна форма оценки соответствия, а точнее самооценки. Если такой опыт будет признан успешным, то можно внедрить эту же идеологию и в процесс аттестации, установив единые критерии для внутренней и внешней оценки ГИС/МИС требованиям по безопасности, а это в свою очередь уберет неразбериху в процессе аттестации, которая пока носит очень субъективный характер.

Но, конечно, все эти мысли насчет признания такого подхода ФСТЭК носят пока чисто гипотетический характер. Не стоит рассматривать это как путь, по которому регулятор уже двинулся вперед. Нет... Это не более, чем мои размышления, которые пока можно реализовывать своими силами и не нарушая никаких нормативов ФСТЭК или иных регулирующих органов по ИБ.

PS. В одной из следующих заметок попробую показать на примере вариант расчета.

5 коммент.:

Сергей Городилов комментирует...

Это модель оценки зрелости менеджмента, а не мер безопасности. Например, как учесть техническое совершенство и степень соответствия технологии современному уровню? Методика должна перейти от точки зрения менеджера на точку зрения эксперта по выбору мер. Конечно подразумевается, что внутри можно предусмотреть, положив вопрос на квалификацию внедряющего. Как отличить в этом случае применение CheckPoint NGTP и ViPNet Coorinator+IDS? Оба файрволы, обас одержат IDS, а второй даже лучше соответствует требованиям - все нужные сертификаты имеет. Оба мониторят, измеряют :) По поводу темпа оптимизации - он у обоих вендоров есть, но степень его идеальна у одного и далеко неидеальная у второго решения. И как её оценить?

Ronin комментирует...

Имеет смысл для систем управления безопасностью и для процессов. С точки зрения выполнения требований законодательства смысла мало. На то они и требования, что выполняются или не выполняются, потому шкала будет да/нет, 0/1. Усиления из методички не по волеизъявлению оператора делаются, а по конкретным условиям или как дополнительная мера защиты от актуальной угрозы.
Если есть требования по реализации управления доступом, его документированию, контролю соответствия прав доступа и мониторинга фактов доступа, то это нужно делать. Какой смысл с точки зрения выполнения требований говорить, что вот мы внедрили средства защиты, админ ей управляет и мы написали Положение об управлении доступом, но еще контролируем ничего и не знаем как оптимизировать? Требования не выполнены? Нет - иди выполняй.

У нас установлены требования по защите, а не требования по управлению безопасностью, а приведенный подход говорит все-таки о втором варианте.

Алексей Лукацкий комментирует...

Сергей: Это не догма, это пример подхода, который можно взять за основу. Я напишу про пример

Алексей Лукацкий комментирует...

Ronin: видимо мне мтоило четче написать, что я предлагаю не без изменений взять подход 15504, а как основу. Буду писать в следующей заметке детали, видимо

Александр Германович комментирует...

Любой гос. орган хорошо знает, что инициатива наказуема. За самооценку точно не похвалят, а, скорее всего, начнут задавать массу лишних вопросов.
Гос. органы волнует не самооценка, а оценка регулятора. Прошли проверку - хорошо, не прошли - плохо, надо устранять замечания. Все остальное - просто дополнительная работа и трата времени.

Если ФСТЭК пойдет по предложенному Вами пути, это всего лишь приведет к необходимости сделать дополнительный ворох формальных бумажек, наличия которых будут требовать при проверках.