Не секрет, что у нас во многих государственных и муниципальных учреждениях информационная безопасность живет волнами - от аттестации до аттестации. Сначала мы строим систему защиты (например, по 17-му приказу), потом проводим ее аттестацию и... забываем на некоторое время. Средства защиты работают, что-то ловят, обновляются, но полноценного непрерывного мониторинга состояния защищенности государственных и муниципальных информационных систем не происходит. Отчасти по причине нехватки кадров и финансирования, отчасти из-за исторической направленности ФСТЭК только на выстраивание защитной стены без дальнейшего отслеживания ее состояния.
Необходима новая модель обеспечения безопасности, которая позволила бы выстраивать трехуровневую систему ИБ - допоявления атаки на границе защищемого объекта, в процессе ее реализации и уже после компрометации. Учитывая изменение ландшафта угроз и появление целенаправленных (APT) атак, эта задача становится все более насущной и необходимой. Но... если коммерческое предприятие в состоянии эту модель у себя реализовать, то с государственными учреждениями все не так просто. Им нужна помощь.
Понимая это, в США недавно стартовала новая программа под названием CDM (Continuous Diagnostics and Mitigation), которая и отличается тем, что позволяет обеспечить непрерывный мониторинг и нейтрализацию угроз американским государственным органам. По описанию CDM напоминает российскую систему СОПКА, смотрящим за которой является ФСБ. Но в отличие от СОПКИ CDM лучше описан и базируется на коммерческих решениях, доступных на рынке.
Программа CDM покрывает 15 областей, разбитых на 3 фазы:
Необходима новая модель обеспечения безопасности, которая позволила бы выстраивать трехуровневую систему ИБ - допоявления атаки на границе защищемого объекта, в процессе ее реализации и уже после компрометации. Учитывая изменение ландшафта угроз и появление целенаправленных (APT) атак, эта задача становится все более насущной и необходимой. Но... если коммерческое предприятие в состоянии эту модель у себя реализовать, то с государственными учреждениями все не так просто. Им нужна помощь.
Понимая это, в США недавно стартовала новая программа под названием CDM (Continuous Diagnostics and Mitigation), которая и отличается тем, что позволяет обеспечить непрерывный мониторинг и нейтрализацию угроз американским государственным органам. По описанию CDM напоминает российскую систему СОПКА, смотрящим за которой является ФСБ. Но в отличие от СОПКИ CDM лучше описан и базируется на коммерческих решениях, доступных на рынке.
Программа CDM покрывает 15 областей, разбитых на 3 фазы:
- Фаза 1
- HWAM – Hardware Asset Management - Управление физическими активами
- SWAM – Software Asset Management - Управление ПО
- CSM – Configuration Settings Management - Управление конфигурацией
- VUL – Vulnerability Management - Управление уязвимостями
- Фаза 2
- TRUST –Access Control Management (Trust in People Granted Access) - Управление контролем доступа
- BEHV – Security-Related Behavior Management - Управление поведением, связанным с ИБ
- CRED – Credentials and Authentication Management - Управление аутентификацией и учетными записями
- PRIV – Privileges Boundary Protection (Network, Physical, Virtual) - Управление информационными потоками через различные границы
- Фаза 3
- Управление событиями ИБ
- Реагирование на события ИБ
- Аудит и мониторинг
- Документирование, политики и т.п.
- Управление качеством
- Управление рисками.
Еси посмотреть на этот список, то мы увидим почти все темы, нашедшие себя в 17-м приказе ФСТЭК. За одной только разницей, для реализации этих блоков предлагаются специальные "сенсоры" (на базе коммерческих решений), которые позволяют не только отображать нужную информацию и ключевые показатели деятельности самим госорганам на специальной панели управления (dashboard), но и передавать ее в облачный центр мониторинга ИБ всеми госорганами ( CMaaS ), для отслеживания общей ситуации с ИБ в стране и оперативного реагирования на негативные изменения и события. Другим отличием является выбор подрядчиков для реализации CDM. Он уже сделан государством в виде списка аккредитованных компаний.
Иными словами, государство в лице министерства национальной безопасности (DHS) решило частично взять на себя задачи мониторинга ИБ в госорганах, которые сами не всегда способны реализовать непрерывный процесс ИБ на должном уровне. Пока реализация программы CDM находится в самом начале и пока сложно судить о ее эффективности. Но направление, на мой взгляд, взято верно.
