понедельник, 28 февраля 2011 г.

Построение процессов управления сетевыми уязвимостями и соответствием

Данная статья отражает мнение автора, как физического лица. Статистическая информация, названия юридических лиц, компаний и торговых марок предназначены сугубо для ознакомления и не преследуют маркетинговые либо какие-то иные цели.
 
В современных рыночных условиях, отличающихся особо жесткой конкуренцией, непрерывная работа информационной инфраструктуры компании является первоочередной задачей для качественного ведения бизнеса. Если прибавить к этому все возрастающую ценность конфиденциальной информации для компании любого сектора экономики, а так же ценность ее репутации то можно говорить об обязательности действий по обеспечению информационной безопасности и непрерывности бизнеса.
Зачастую инциденты взлома узлов информационной сети компании приводят не только к потере информации или ущербу репутации, но и к прямым финансовым потерям. 
Кроме того, требования о необходимости соответствия международным стандартам (ISO27001, PCIDSS), а так же стандартам РФ: СТО БР ИББС и ФЗ-152 переходят из разряда рекомендательных в разряд обязательных.
Как показывает статистика, каждую секунду по всему миру хакеры осуществляют более 100 атак на различные компьютеры. По мнению экспертов компании Symantec каждые 4,5 сек. одна такая атака влияет на работу какого-либо компьютера. А сумма ущерба от взлома компьютерных систем превышает 600 млн. в год.
Одними из основных причин происходящего являются:
-        Наличие не устраненных уязвимостей в информационных системах.
-        Несвоевременная установка обновлений безопасности.
-        Неправильная настройка программного обеспечения или использование настроек по умолчанию.
-        Некомпетентность специалистов.
-        Отсутствие процесса управления уязвимостями информационной системы как такового.
-        Отсутствие контроля сроков и качества процессов ИБ.
-        Соответствие стандартам только «на бумаге».
Кроме того 36% обнаруживаемых уязвимостей в мире относится к продуктам компаний ТОП 10: Apple, Oracle, Microsoft, HP, Adobe, IBM, VMware, Cisco, Google, Mozilla. Например. В WindowsXPза год обнаруживается несколько сотен уникальных уязвимостей по классификации CVE. А вот частота выпуска обновлений безопасности не так велика, например, Adobe выпускает пакет обновлений, как правило, раз в 3 месяца и только в исключительных случаях, готовятся единичные обновления безопасности.
Все вышеперечисленное говорит о высокой вероятности возникновения проблем с безопасностью практически в любой компании, которая использует программные продукты для ведения бизнеса. Что в свою очередь не позволяет закрывать глаза на реалии и необходимость противодействия угрозам.
Следующие мероприятия позволят значительно сократить угрозы информационной инфраструктуре компании и бизнесу в целом:
-        Проведение категоризации ресурсов и определение наиболее критичных.
-        Построение корректного процесса управления уязвимостями и    несоответствием.
-        Правильное конфигурирование систем поддерживающих бизнес процессы.
-        Разработка документации, регламентирующей процесс управления уязвимостями и несоответствием.
-        Обучение сотрудников работе в рамках правильно спроектированных  и выстроенных систем.
Реализация указанных мероприятий на практике позволяет значительно сократить риски для бизнеса путем отсутствия санкций контролирующих органов, минимизацией ущерба и надежной защитой репутации компании.
Рассмотрим, как строится процесс управления информационными уязвимостями и соответствием, а так же какие преимущества он может предоставить бизнесу.
Процесс управления сетевыми уязвимостями регламентирует работы по контролю за отсутствием уязвимостей в сетевой инфраструктуре компании. Данный процесс должен строится циклически в соответствии с рекомендациями стандартов ISO 27001, на основе NIST 800-40 с учетом требований стандарта PCIDSS.
При упоминании о процессе управления уязвимостями нельзя не сказать об управлении соответствием. Данный процесс подразумевает автоматическую проверку на предмет соответствия стандартам, в части автоматических проверок сетевой инфраструктуры.
Это позволяет проводить такие проверки в любое удобное время, в том числе по заданному графику, удаленно и не требуя при этом много времени специалистов информационной безопасности или ИТ.
Как же правильно спроектировать и внедрить столь полезные процессы для информационной безопасности компании и бизнеса в целом?
В первую очередь должно быть проанализировано состояние информационной инфраструктуры компании, программные решения которые используются на текущий момент в компании, а так же разработаны требования к построению процесса управления уязвимостями и соответствием. На основе чего, уже должен проводиться анализ решений в данной области с указанием их возможностей в форме сравнительной характеристики.
Следующим этапом должно стать внедрение программных либо программно-технических решений, разработка, документирование процессов и процедур работы с системой и разработка регуляторных документов, регламентирующих процессы управления уязвимостями сетевой инфраструктуры. Также могут быть разработаны и внедрены решения по интеграции системы управления уязвимостями с системой обработки инцидентов в компании, если это необходимо. Многие решения, представленные на рынке, имеют внутреннюю систему обработки заявок.
Система управления сетевыми уязвимостями, как правило, строится в соответствии с циклической структурной схемой приведенной ниже:
  Данная схема, предусматривает формирование перечня ресурсов и графиков  сканирования информационных узлов, на начальном этапе.
Информация о сетевых узлах, которые используются той или иной системой должны предоставляться департаментом ИТ. В случае отсутствия подобной информации, дополнительно к предварительному обследованию производится анализ информационной системы компании и определяется перечень критичных ресурсов. Полезно будет привлечение специалистов отдела внутреннего аудита, а так же представителей бизнес подразделений. Возможно, что полезным окажется так же привлечение сторонних компаний для выполнения данных работ.
Сканирование может проводиться не только на предмет наличия уязвимостей, но и на предмет наличия несоответствий на сетевых узлах. 
Несоответствие – конфигурация сетевого узла, которая противоречит требованиям  международных стандартов либо внутреннего регулятивного документа.  Например, регламентирующего требования к наличию или отсутствию на сервере или рабочей станции определенного программного обеспечения, открытых портов, настроек операционной системы или программного обеспечения, подключенным устройствам и пр.
Ниже приведены возможные типы сканирований на наличие сетевых уязвимостей и несоответствий:
  Изображение
 
По результатам сканирования должен формироваться  перечень заявок на устранение уязвимостей и несоответствий. После создания заявки ей автоматически присваивается категория и время выполнения, после чего она направляются ответственным администраторам для ее выполнения. Время выполнения заявки по устранению уязвимостей (4 и 5 уровня по CVE) согласно требованиям стандарта PCIDSS должно быть менее одного месяца, с момента выхода необходимого обновления безопасности  (актуально только для систем, которые работают с карточными данными). При возникновении ситуаций, когда устранение уязвимости или несоответствия на критичном сетевом узле может повлечь неработоспособность систем, инициируется процесс анализа рисков. Если риски от наличия данной уязвимости или несоответствия, ниже, чем у проблем, которые могут возникнуть в процессе их устранения – такая заявка попадает в исключения.
Как правильно выстроить процесс анализа рисков на основании ценности актива – тема отдельной публикации. Можно использовать рекомендации стандарта ISO 13335-3,  разрабатывая метрики и используя статистическую информацию, актуальную для конкретной компании. Так же в дальнейшем на основании этой информации можно оптимизировать процесс устранения уязвимостей и несоответствий достигая минимального времени их устранения. Данная тема, возможно, будет освещена дополнительно, если вызовет интерес.
По результатам проведенной работы формируется отчетность, которая  и  предоставляются руководству, после чего инициируется процесс разработки компенсационных мер. Все уязвимости и несоответствия, которые попали в исключения, должны пересматриваться на предмет возможности их устранения с обозначенной периодичностью. 
После закрытия заявок происходит процесс повторного сканирования сетевых узлов для подтверждения факта устранения уязвимости или несоответствия. Если заявка не была выполнена – она должна быть открыта вновь. Данный процесс должен особо тщательно контролироваться, что бы исключить возможность возникновения вновь уже «устраненных» уязвимостей. Например, в результате восстановления систем из более ранних резервных копий.
Для поддержания в работе высокого уровня сервиса при обработке заявок, сканировании, и выполнении иных задач должны использоваться разработанные требования к выполнению задач (SLA),  а для контроля сроков и качества - показатели эффективности (KPI). Данные показатели достаточно индивидуальны для каждой компании и должны разрабатываться с учетом стратегии информационной безопасности в компании, численности персонала, и приоритетами в выполняемых задачах.
Так же необходима разработка документа, который регламентирует процесс, описанный выше, например «Процедура управления сетевыми уязвимостями». Основными задачами документа являются:
- Описание процесса управления сетевыми уязвимостями.
- Закрепление ответственности за выполнение задач и предоставление информации.
- Закрепление сроков сканирования и времени устранения уязвимостей и несоответствий.
-  Документальное закрепление требований стандартов.
Для реализации процессов управления уязвимостями информационной системы и соответствием могут использоваться следующие программные решения: QualysGuard, MaxPatrol, McAfee, Nessus, Retina, а так же другие. Данные системы представлены на рынке многие годы, что позволяет говорить о них, как о «взрослых», проверенных решениях следующих последним тенденциям и потребностям заказчиков по всему миру. Каждая компания должна сама решить какое программное или программно-аппаратное обеспечение удовлетворяет ее требованиям и лучше всего подходит для реализации приоритетных задач. Не забыв при этом обратить внимание на цену продуктов, так как она может отличаться достаточно сильно.
Не стоит руководствоваться субъективным мнением или неактуальными данными, так как версии систем меняются очень быстро, и набор возможностей со временем может заметно изменяться.
Дополнительным преимуществом некоторых систем является то, что они позволяют проводить ASV сканирование на предмет соответствия требованиям  PCIDSS автоматически, что позволяет экономить средства на привлечении сертифицированного аудитора. А так же осуществлять иные автоматические проверки соответствия.
За редким исключением все системы, которые представлены на рынке обладают удобными пользовательскими интерфейсами. А так же достаточно быстро получают обновления от производителей, что позволяет своевременно выявлять уязвимости узлов сетевой инфраструктуры. 
Отдельно хотелось бы вкратце остановиться на особенностях внедрения процесса управления сетевыми уязвимостями и соответствием в реальных условиях.
При инициировании внедрения процесса управления сетевыми уязвимостями и соответствием желательно заручится поддержкой начальников департамента ИТ и отдела внутреннего аудита, если таковой имеется. Доказав им выгоды от внедрения данного процесса именно для них. Так же стоит потратить время на ознакомление сотрудников ИТ отдела со статусом и основными пунктами проекта внедрения процессов управления сетевыми уязвимостями и соответствием в компании. В идеале добившись их заинтересованности и личного участия в проекте.
Кроме того настоятельно рекомендую внедрять данные процессы итерационно на отдельно взятой части сети компании. Так как, во-первых, первоначально данная система, как и любая другая требует дополнительной настройки и оптимизации процессов. А во-вторых, количество обнаруженных уязвимостей и несоответствий может быть столь велико, что первые несколько недель по регламенту отдел ИТ будет все время заниматься только устранением уязвимостей сетевой инфраструктуры. Что в свою очередь может отразиться на работе других ИТ систем. Кроме того первые полгода необходимо жестко контролировать результаты работы по устранению сетевых уязвимостей и несоответствий, пока данный процесс не войдет в штатный режим.
В целом, если удастся грамотно спроектировать и выстроить процесс управления сетевыми уязвимостями и соответствием. А потом внедрить его без ущерба для функционирования информационных систем компании и бизнес процессов, с дальнейшим поддержанием, совершенствованием и контролем то можно однозначно говорить о значительных достижениях в улучшении процессов управления информационной безопасностью в компании.
В результате грамотного построения процессов управления сетевыми уязвимостями и соответствием должны быть значительно снижены риски для бизнеса, сводя к минимуму вероятность наступления инцидентов информационной безопасности. Соответствие стандартам, позволит удовлетворить претензии контролирующих органов, а автоматизация процессов управления сетевыми уязвимостями и соответствием - экономить время специалистов информационной безопасности.

Автор:
Давыдыч Виктор
Контакты: 

Комментариев нет: