Как строить ИБ между аттестациями или что такое CDM?

Как строить ИБ между аттестациями или что такое CDM?
Не секрет, что у нас во многих государственных и муниципальных учреждениях информационная безопасность живет волнами - от аттестации до аттестации. Сначала мы строим систему защиты (например, по 17-му приказу), потом проводим ее аттестацию и... забываем на некоторое время. Средства защиты работают, что-то ловят, обновляются, но полноценного непрерывного мониторинга состояния защищенности государственных и муниципальных информационных систем не происходит. Отчасти по причине нехватки кадров и финансирования, отчасти из-за исторической направленности ФСТЭК только на выстраивание защитной стены без дальнейшего отслеживания ее состояния.

Необходима новая модель  обеспечения безопасности, которая позволила бы выстраивать трехуровневую систему ИБ - допоявления атаки на границе защищемого объекта, в процессе ее реализации и уже после компрометации. Учитывая изменение ландшафта угроз и появление целенаправленных (APT) атак, эта задача становится все более насущной и необходимой. Но... если коммерческое предприятие в состоянии эту модель у себя реализовать, то с государственными учреждениями все не так просто. Им нужна помощь.

Понимая это, в США недавно стартовала новая программа под названием CDM (Continuous Diagnostics and Mitigation), которая и отличается тем, что позволяет обеспечить непрерывный мониторинг и нейтрализацию угроз американским государственным органам. По описанию CDM напоминает российскую систему СОПКА, смотрящим за которой является ФСБ. Но в отличие от СОПКИ CDM лучше описан и базируется на коммерческих решениях, доступных на рынке.

Программа CDM покрывает 15 областей, разбитых на 3 фазы:

  1. Фаза 1
    • HWAM – Hardware Asset Management - Управление физическими активами
    • SWAM – Software Asset Management - Управление ПО
    • CSM – Configuration Settings Management - Управление конфигурацией
    • VUL – Vulnerability Management - Управление уязвимостями
  2. Фаза 2
    • TRUST –Access Control Management (Trust in People Granted Access) - Управление контролем доступа
    • BEHV – Security-Related Behavior Management - Управление поведением, связанным с ИБ
    • CRED – Credentials and Authentication Management - Управление аутентификацией и учетными записями
    • PRIV – Privileges Boundary Protection (Network, Physical, Virtual) - Управление информационными потоками через различные границы
  3. Фаза 3
    • Управление событиями ИБ
    • Реагирование на события ИБ
    • Аудит и мониторинг
    • Документирование, политики и т.п.
    • Управление качеством 
    • Управление рисками.
Еси посмотреть на этот список, то мы увидим почти все темы, нашедшие себя в 17-м приказе ФСТЭК. За одной только разницей, для реализации этих блоков предлагаются специальные "сенсоры" (на базе коммерческих решений), которые позволяют не только отображать нужную информацию и ключевые показатели деятельности самим госорганам на специальной панели управления (dashboard), но и передавать ее в облачный центр мониторинга ИБ всеми госорганами ( CMaaS ), для отслеживания общей ситуации с ИБ в стране и оперативного реагирования на негативные изменения и события. Другим отличием является выбор подрядчиков для реализации CDM. Он уже сделан государством в виде списка аккредитованных компаний.

Иными словами, государство в лице министерства национальной безопасности (DHS) решило частично взять на себя задачи мониторинга ИБ в госорганах, которые сами не всегда способны реализовать непрерывный процесс ИБ на должном уровне. Пока реализация программы CDM находится в самом начале и пока сложно судить о ее эффективности. Но направление, на мой взгляд, взято верно.
Alt text
Комментарии для сайта Cackle