Как организовать непрерывный мониторинг ИБ

Бывший федеральный CIO США (главный CIO всех органов власти) Вивек Кундра как-то сказал: "Непрерывный мониторинг - основа истинной безопасности". И это действительно так. Внедрить системы защиты, настроить их, реализовать реагирование на инциденты... Это все хорошо, но недостаточно. Необходимо уметь оценивать текущий уровень ИБ, сравнивать его с целевыми показателями и, в зависимости от результатов анализа, предпринимать какие-либо действия. Но измерять надо не раз в три года, во время проверки ФСТЭК. И не раз в год, как при аудите PCI DSS. И даже не раз в месяц. Измерять надо постоянно. Но как?

В США для этой задачи разработали систему CAESARS (Continuous Asset Evaluation, Situational Awareness, and Risk Scoring), которая взяла за основу три существующих системы:

• Security Risk Scoring System Госдепартамента
• Security Compliance Posture Monitoring and Reporting Министерства финансов
• Cyber Security Assessment and Management Министерства Юстиции.

Взяв эти системы за основу, Министерство национальной безопасности (Department of Homeland Security) и разработала систему CEASARS, которая будучи состоящей из 4-х подсистем:

• сенсоры
• база данных / репозиторий
• анализ / оценка рисков
• презентации и отчеты

решает следующие задачи:

• оценка текущего уровня каждого из ИТ-активов, находящегося под управлением
• оценка разрыва между тем "что и есть" и тем "что должно быть"
• количественная и понятная оценка риска для каждого разрыва
• представление простого и понятного уровня ИБ для каждой системы или узла
• гарантия того, что ответственность за каждую систему или узел назначена правильно
• предоставление рекомендаций по управлению выявленными рисками.

Достойный проект, который пытается охватить все федеральные органы США в рамках единой системы мониторинга уровня ИБ. При этом CAESARS базируется на уже разработанных и принятых документах. В частности, уровень соотвествия требованиям по ИБ оценивается на базе FISMA.

Жаль, что у нас такой даже в планах нет ;-(  У ФСО есть куча систем мониторинга, но все они очень высокоуровневые. Например, ГАС оценки финансово-технологических рисков. Но она оценивает риски государственных программ, государственных заказов, отдельных мероприятий в рамках госзаказов. Т.е. ни о какой ИБ-направленности и речи не идет. Хотя выглядят разработки ФСО достаточно привлекательно.