СОИБ. Анализ. Защита от неактуальных угроз.
Давно хотел обсудить вопрос о неактуальных угрозах.
Допустим мы провели в Компании моделирование угроз (оценку рисков связанных с этими угрозами) в соответствии с РД по ФСТЭК, ISO 27005-2008 или РС БР ИББС-2.2-2009. В результате мы получили 2 перечня – перечень актуальных угроз (неприемлемых рисков) и перечень неактуальных угроз (приемлемых рисков). При этом часть неактуальных угроз получилась в результате того, что в Компании уже применяются определенные меры обеспечения ИБ (организационные, технические, СЗИ).
Далее, в большинстве случаев, про перечень неактуальных угроз забывается, работа идет только с перечнем актуальных угроз, на основе него создается план мероприятий по защите (обработки неприемлемых рисков), ТЗ на систему обеспечения ИБ, в проекте на система обеспечения ИБ описывается меры необходимые для выполнения ТЗ и нейтрализации актуальных угроз. С одной стороны всё логично. Никаких требований или рекомендаций связанных с неактуальными угрозами нет.
С другой стороны такая ситуация опасна. Допустим, на момент анализа угроз в организации проводились оргмеры по обеспечению доверенности администраторов (полиграф), видеоконтроль помещения или прокси-сервер фильтрующий трафик. Эти меры повлияли на оценку угроз (рисков), но в дальнейшем ни в один план, ТЗ, проект или описание системы защиты не попали, так как риски связанные с угрозами определены приемлемыми. Через некоторое время эти меры могут быть отменены за ненадобностью, потому что не требуются внутренними документами.
Коллеги, как думаете нужно поступать с контрмерами по неактуальным угрозам? В каких документах их фиксировать и как обеспечить чтобы про их необходимость не забыли?
Комментарии
Результаты оценки рисков (если они учитывают текущие защитные меры) говорят только о дополнительных мерах.
Уже существующие меры при этом никуда не деваются, а если в дальнейшем защитная мера аннулируются, то, по идее, надо переоценивать риски, на которые эта защитная мера влияла. Вернее даже сначала надо провести оценку, как повлияет аннулирование защитной меры на уровень допустимых рисков, а только после этого принимать конкретные решения.
Другой вопрос, если мы изначально проводим оценку рисков без учета тех или иных защитных мер, просчитываем те или иные варианты и т.п., то тогда мы можем сказать, что где-то у нас наоборот меры избыточны.
Или ввести какой-то дополнительный документ "перечень защитных мер", "план поддержания допустимых рисков на их уровнях"?
К тому же в модель угроз, составленная без четкого обоснования вероятности угроз безопасности (тут и принятые контрмеры) - моветон, ИМХО.
1. Слишком маленькая вероятность ее реализации вне зависимости от ущерба. Например, инопланетная атака. Вероятность оценивается экспертом, и если квалификация эксперта недостаточна и (или) эксперт один и тот же, то вне зависимости от частоты пересмотра карты рисков одни и те же "неактуальные" риски будут переходить во все ее версии (возможно, добавляться новые). Лечится созданием комиссии по управлению рисками, ротацией экспертов и повышением их квалификации.
2. Риск принят бизнесом ввиду несущественного ущерба (страхование не рассматриваю, так как его в РФ де-факто нет). Ущерб считает эксперт. Лечится вовлечением бизнеса в процесс анализа и оценки рисков, ну и далее - по пункту 1.
3. По мнению эксперта, риск компенсирован оргтехмероприятиями и (или) дополнительными контролями. Оргтехмеры внедряет ИБ на основании тех угроз, что оценил эксперт, и часто - тем же экспертом. Как говорится, до поры до времени. Из своего опыта могу сказать, что очень многие, кто надеялся на антивирусы, сильно попали в январе 2009 года на Conficker. Лечится вовлечением ИТ-службы в ИБ-процессы с технической точки зрения и выбиванием бюджета (как правило после инцидента).
Защититься на 100% от всего на свете невозможно, и ИБ-шник не должен быть истиной в последней инстанции - он должен давать рекомендации. Ни один риск не должен быть признан актуальным или неактуальным одним человеком - для этого должен быть создан соответствующий управляющий орган, а ИБ - претворять в жизнь его решения. В конце концов, это просто работа :)
Так что есть большая вероятность забыть.
Получается что - либо вести формализованный "перечень мер защиты", которые надо обязательно поддерживать.
Либо ждать до следующего анализа рисков.