среда, 2 октября 2013 г.

СОИБ. Проектирование. Сколько человек нужно чтобы вкрутить сканер защищенности

Во времена, до эпохи ПДн, сканеры защищенности внедрялись организациями, переходящими на высокий уровень зрелости системы управления ИБ, для автоматизации мероприятий по анализу уязвимостей, тестирования средств защиты, контроля обновлений, инвентаризации устройств в сети, инвентаризации ПО.

После вступления в силу ФЗ о ПДн и выхода сначала “четверокнижья” а потом и 58 приказа ФСТЭК, сканеры защищенности стали входить по умолчанию во все встреченные мной проекты СЗПДн. Я бы сказал, что с 2008 года возник “бум” на сканеры защищенности. Но работают ли они? Посмотрим сколько сотрудников или ролей должно быть задействовано в эффективной работе сканера защищенности.

Администраторы систем (подразделения ИТ). Так как в процессе своей работы, сканер защищенности направляет в проверяемую систему нестандартные/аномальные запросы, то система может повести себя нестандартным образом – выход из строя, нарушение целостности информации, чрезмерная загрузка ресурсов.  Чтобы отслеживать подобные ситуации, администраторы систем должны быть уведомлены о графике проведения проверки и отслеживать состояние систем в период проверки, устранять найденные уязвимости и устанавливать отсутствующие обновления. Это касается администраторов всех направлений – АРМ, серверных ОС, СУБД и других сервисов, корпоративных информационных систем, активного сетевого оборудования.

Администратор сканера защищенности. Специалист, который настраивает профили сканирования, создает политики для контроля, вносит учтенные записи для аудита, настраивает расписание сканирования и создания отчетов. В зависимости от сложности системы это может быть сотрудник подразделения ИТ или технический специалист подразделения ИБ.

Оператор сканера защищенности. Так как работа сканера растянута по времени и занимает несколько дней, а то и неделю, в крупных сетях, требуется сотрудник, который в любой момент времени может  проверить состояние сканера защищенности, остановить, если сканирование нарушает работоспособность систем или перезапустить проверку. Как правило, администратор сканера защищенности – это один сотрудник, управляющий системой в свое рабочее время. В остальное время система может контролироваться дежурным оператором подразделения ИТ или даже службы безопасности.

 Администратор безопасности информации. Как правило, периодичность и детализация сканирования, а так-же сроки устранения обнаруженных уязвимостей и отсутствующих обновлений должны зависеть от степени критичности проверяемых систем. Поэтому при настройке системы и анализе отчетов не обойтись без сотрудника, обладающего знанием о степени критичности всех систем. Так-же этому сотруднику будет необходима информация о текущем уровне защищенности систем и о нарушениях политик ИБ.

Владельцы информационных систем, руководитель подразделения ИТ и куратор ИБ со стороны руководства компании. Так как устранение некоторых уязвимостей может потребовать значительных ресурсов (например, перехода на существенно новую версию ПО, приобретение поддержки, доработка ПО или заказ доработки ПО, замены устаревшего оборудования, невозможности использования необходимых сервисов и т.п.) то принять решение могут только на уровне топ. менеджмента компании. Процедурами использования сканера защищенности должно быть предусмотрено привлечение таких лиц в случае наличия критических уязвимостей в важных системах.

Полноценное участие всех приведенных выше сотрудников / ролей встречается далеко не в каждой компании. У многих сканер защищенности лежит на полке не вкрученным.

(UPDATE) Один из встреченных вариантов - сканер куплен и даже установлен на одном выключенном АРМ. Зато сертификат помогает защитится от регуляторов.

Другой возможный вариант - сканер используется одним единственным специалистом ИБ, который сам его запускает, сам изучает отчеты и сам пытается устранить уязвимости. Другие роли и подразделения в использование системы не вовлечены и не ознакомлены с принципами работы, поэтому воспринимают её только как источник проблем.


3 комментария:

А.А. комментирует...

4 человека. Это для крупного бизнеса.

Александр Бодрик комментирует...

1. Опыт глобальной автомобильной компании

Сергей Борисов комментирует...

Из опыта крупного сотового оператора - были все роли которые я описал.
Управляющая холдингом компания - сканер куплен и не запускался.