Бывший федеральный CIO США (главный CIO всех органов власти) Вивек Кундра как-то сказал: "Непрерывный мониторинг - основа истинной безопасности". И это действительно так. Внедрить системы защиты, настроить их, реализовать реагирование на инциденты... Это все хорошо, но недостаточно. Необходимо уметь оценивать текущий уровень ИБ, сравнивать его с целевыми показателями и, в зависимости от результатов анализа, предпринимать какие-либо действия. Но измерять надо не раз в три года, во время проверки ФСТЭК. И не раз в год, как при аудите PCI DSS. И даже не раз в месяц. Измерять надо постоянно. Но как?
В США для этой задачи разработали систему CAESARS (Continuous Asset Evaluation, Situational Awareness, and Risk Scoring), которая взяла за основу три существующих системы:
Жаль, что у нас такой даже в планах нет ;-( У ФСО есть куча систем мониторинга, но все они очень высокоуровневые. Например, ГАС оценки финансово-технологических рисков. Но она оценивает риски государственных программ, государственных заказов, отдельных мероприятий в рамках госзаказов. Т.е. ни о какой ИБ-направленности и речи не идет. Хотя выглядят разработки ФСО достаточно привлекательно.
В США для этой задачи разработали систему CAESARS (Continuous Asset Evaluation, Situational Awareness, and Risk Scoring), которая взяла за основу три существующих системы:
- Security Risk Scoring System Госдепартамента
- Security Compliance Posture Monitoring and Reporting Министерства финансов
- Cyber Security Assessment and Management Министерства Юстиции.
- сенсоры
- база данных / репозиторий
- анализ / оценка рисков
- презентации и отчеты
- оценка текущего уровня каждого из ИТ-активов, находящегося под управлением
- оценка разрыва между тем "что и есть" и тем "что должно быть"
- количественная и понятная оценка риска для каждого разрыва
- представление простого и понятного уровня ИБ для каждой системы или узла
- гарантия того, что ответственность за каждую систему или узел назначена правильно
- предоставление рекомендаций по управлению выявленными рисками.
Жаль, что у нас такой даже в планах нет ;-( У ФСО есть куча систем мониторинга, но все они очень высокоуровневые. Например, ГАС оценки финансово-технологических рисков. Но она оценивает риски государственных программ, государственных заказов, отдельных мероприятий в рамках госзаказов. Т.е. ни о какой ИБ-направленности и речи не идет. Хотя выглядят разработки ФСО достаточно привлекательно.
У нас проблема мониторинга в том - что защитой и оценкой защиты *непрерывно* занимается одно и тоже лицо, и лишь изредка кто-то другой.
ОтветитьУдалитьА проблемами самооценки занимается психология..
>занимается одно и тоже лицо
ОтветитьУдалитьПричем не потому, что не понимают необходимость разделения полномочий, а потому, что это вообще одно лицо - и дополнительных ставок никто не даст :)
А вообще интересно, какое решение DoHS взяли за основу - вот пиар будет для производителя...
Отчет посмотри - там написано, чьи решения взяты за основу. Но речь не идет о конкретных продуктах - это серьезная доработка и интеграция имеющихся решений.
ОтветитьУдалитьАга. Ссылку-то я и не приметил :)
ОтветитьУдалитьНу там все-таки некий предварительный анализ возможных инструментов, насколько я понял.
Отдельно заинтересовал SPAWAR SCAP Compliance Checker - вот бы у нас министерство обороны что-то подобное смогло создать... Ведь судя по сайту - это вполне коммерческий продукт.
Российское МинОбороны и создать? Гы ;-)
ОтветитьУдалить