четверг, 8 сентября 2011 г.

СОИБ. Анализ. Защита от неактуальных угроз.

Давно хотел обсудить вопрос о неактуальных угрозах.
Допустим мы провели в Компании моделирование угроз (оценку рисков связанных с этими угрозами) в соответствии с РД по ФСТЭК, ISO 27005-2008 или РС БР ИББС-2.2-2009. В результате мы получили 2 перечня – перечень актуальных угроз (неприемлемых рисков) и перечень неактуальных угроз (приемлемых рисков). При этом часть неактуальных угроз получилась в результате того, что в Компании уже применяются определенные меры обеспечения ИБ (организационные, технические, СЗИ).
Далее, в большинстве случаев, про перечень неактуальных угроз забывается, работа идет только с перечнем актуальных угроз, на основе него создается план мероприятий по защите (обработки неприемлемых рисков), ТЗ на систему обеспечения ИБ, в проекте на система обеспечения ИБ описывается меры необходимые для выполнения ТЗ и нейтрализации актуальных угроз. С одной стороны всё логично. Никаких требований или рекомендаций связанных с неактуальными угрозами нет.
С другой стороны такая ситуация опасна. Допустим, на момент анализа угроз в организации проводились оргмеры по обеспечению доверенности администраторов (полиграф), видеоконтроль помещения или прокси-сервер фильтрующий трафик. Эти меры повлияли на оценку угроз (рисков), но в дальнейшем ни в один план, ТЗ, проект или описание системы защиты не попали, так как риски связанные с угрозами определены приемлемыми. Через некоторое время эти меры могут быть отменены за ненадобностью, потому что не требуются внутренними документами.
Коллеги, как думаете нужно поступать с контрмерами по неактуальным угрозам? В каких документах их фиксировать и как обеспечить чтобы про их необходимость не забыли?

10 комментариев:

Игорь Бурцев (IBSec) комментирует...

Сергей, по итогам оценки рисков (если по ИСО или по СТО БР) или оценки актуальности угроз (если по ФСТЭК) мы подготовливаем планы именно для обработки этих неприемлимых рисков, которые содержат дополнительные меры, которые необходимо применить для их снижения. Да, на этом этапе мы забываем про допустимые риски, но (!) не забываем о них в рамках деятельности по поддержанию допустимых рисков на их уровнях.

Результаты оценки рисков (если они учитывают текущие защитные меры) говорят только о дополнительных мерах.
Уже существующие меры при этом никуда не деваются, а если в дальнейшем защитная мера аннулируются, то, по идее, надо переоценивать риски, на которые эта защитная мера влияла. Вернее даже сначала надо провести оценку, как повлияет аннулирование защитной меры на уровень допустимых рисков, а только после этого принимать конкретные решения.

Другой вопрос, если мы изначально проводим оценку рисков без учета тех или иных защитных мер, просчитываем те или иные варианты и т.п., то тогда мы можем сказать, что где-то у нас наоборот меры избыточны.

Сергей Борисов комментирует...

Может, чтобы не забыть, нужно контрмеры по неактуальным угрозам тоже в проекте на системы обеспечения ИБ рассматривать?

Или ввести какой-то дополнительный документ "перечень защитных мер", "план поддержания допустимых рисков на их уровнях"?

Trotsky комментирует...

Сергей, модель угроз составляется не на всю жизнь ведь. Пересмотр модели раз в год+периодический внутренний/внешний аудит изменений.
К тому же в модель угроз, составленная без четкого обоснования вероятности угроз безопасности (тут и принятые контрмеры) - моветон, ИМХО.

Алексей Волков комментирует...

Сперва надо понимать причину, по которой угрозы отнесены к неактуальным. Вариантов три:

1. Слишком маленькая вероятность ее реализации вне зависимости от ущерба. Например, инопланетная атака. Вероятность оценивается экспертом, и если квалификация эксперта недостаточна и (или) эксперт один и тот же, то вне зависимости от частоты пересмотра карты рисков одни и те же "неактуальные" риски будут переходить во все ее версии (возможно, добавляться новые). Лечится созданием комиссии по управлению рисками, ротацией экспертов и повышением их квалификации.

2. Риск принят бизнесом ввиду несущественного ущерба (страхование не рассматриваю, так как его в РФ де-факто нет). Ущерб считает эксперт. Лечится вовлечением бизнеса в процесс анализа и оценки рисков, ну и далее - по пункту 1.

3. По мнению эксперта, риск компенсирован оргтехмероприятиями и (или) дополнительными контролями. Оргтехмеры внедряет ИБ на основании тех угроз, что оценил эксперт, и часто - тем же экспертом. Как говорится, до поры до времени. Из своего опыта могу сказать, что очень многие, кто надеялся на антивирусы, сильно попали в январе 2009 года на Conficker. Лечится вовлечением ИТ-службы в ИБ-процессы с технической точки зрения и выбиванием бюджета (как правило после инцидента).

Защититься на 100% от всего на свете невозможно, и ИБ-шник не должен быть истиной в последней инстанции - он должен давать рекомендации. Ни один риск не должен быть признан актуальным или неактуальным одним человеком - для этого должен быть создан соответствующий управляющий орган, а ИБ - претворять в жизнь его решения. В конце концов, это просто работа :)

Алексей Волков комментирует...

Да, ну и Trotsky +1 :)

Сергей Борисов комментирует...

Основная проблема - если людей участвующих в деятельности по ИБ несколько, а анализом рисков занимается "аналитик". Остальные сотрудники тоже участвовали - но между делом. И с отчетами об оценке рисков они дальше работать не будут.

Так что есть большая вероятность забыть.

Получается что - либо вести формализованный "перечень мер защиты", которые надо обязательно поддерживать.
Либо ждать до следующего анализа рисков.

eagle комментирует...

Решение проблемы - управление изменениями. Когда отменяется защитная мера, нужно проанализировать, на что она влияла раньше и предусмотреть замену своевременно. Ежегодный пересмотр модели - это прекрасно, но сидеть 11 месяцев с незакрытой актуальной угрозой - не очень.

Алексей Волков комментирует...

Я бы сказал, управление изменениями (очень важно) + нормальная организация работ по оценке рисков (то, что описал Сергей - ненормальная).

Сергей Борисов комментирует...

Я бы сказал, что ситуация типовая, когда работы по оценке рисков выполняются одной подрядной организацией, а поддержание СОИБ на уровне - заказчиком или второй подрядной организацией.

Алексей Волков комментирует...

Это говорит об очень плохой вовлеченности ИБ в проект по ИБ :)