Архив метки: оценка риска

TOP причин, почему не работают организационные меры. Третье место

Все мы знаем, что для обеспечения безопасности необходим комплекс организационных и технических мер. И, если с реализацией технических мер еще более или менее понятно (все зависит от финансирования), то с организационные делают все. И 90% из них не работает. Причин тут вагон и маленькая тележка. Выделим основные из них.

3 место – Доброта

Да-да, самое светлое чувство, которое спасет этот мир вместе с любовью. Сейчас вы узнаете почему. Небольшая зарисовка.

dobro

На прошлой неделе, во вторник, я был в Альфа-банке. Мне необходимо было сделать определенные дела, я пришел, взял талончик электронной очереди и стал ждать. Зайдя и сдав документы, я был отправлен ждать.

После начались определенные действия, которые будут нам интересны в других частях нашего топа. Все они были настолько вопиющими, что хотелось, как говорит молодежь, «взять и уебать». Я нашел как минимум 3 нарушения в процедуре. Кстати, если вы думаете, что я придираюсь, буквально в четверг узнал о подобном ахуе в других отделениях.

И вот, я весь, пылая гневом, уже был готов писать жалобу в книгу. Думал, сейчас закончу дело и точно напишу. Дело сделал, девушка еле слышно попросила извинения, и я пошел по своим делам. Плюнул на книгу, плюнул на жалобу. В целом банк меня устраивает, а  то, что такая петрушка произошла — так больше я этими делами заниматься не буду.

Люди по своей природе не злые, именно поэтому у нас часто появляются паразиты, которые это эксплуатируют. И именно поэтому у нас есть карательные ведомства, чтобы держать их в узде, т.к. обычному человеку не хочется, жалко, некогда связываться.

И именно поэтому у нас не работают организационные меры, т.к. надо держать все в ежовых рукавицах, надо быть той сволочью, которая поставит всех на уши. А этого ведь не хочется, правда? Человек стадное животное, за исключением ничтожного процента асоциалов. Никто не способен обойтись без социальных взаимодействий на работе.

Я как-то работал в службе безопасности. Одной из моих обязанностей было отслеживание использования сотрудниками интернета, включая карательные меры при использовании не по назначению. Меня ненавидел и боялся весь офис, я особо этого не замечал, т.к. у нас был довольной большой отдел и мы варились внутри него, но будь коллектив поменьше – работать с чисто человеческой точки зрения было бы сильно неуютно. Люди из-за этого увольняются.

Да, и жалко человека. Мб у нее семеро по лавкам сидят, а он – единственный кормилец в семье. И не его вина, что именно он попался, все же так делают. А если вместо него другого накажешь, так буча будет, что любимчики у тебя, и тебе всыпят. Сможете спокойно спать с осознанием, что из-за вас уволили многодетную мать-одиночку?

Невозможно одновременно контролировать и поддерживать хорошие отношения: либо контроль будет плохой, либо отношений не будет. Но контролерам хотя бы деньги платят, они знали, на что шли. В информационной безопасности контроль над пользователями и их действиями — одна из десятков функций. Будешь сильно упорствовать, остальные не сделаешь, врагов наживешь, и уволят тебя. И приходится мягко увещевать, иногда грозить пальчиком, и закрывать, вздыхая, глаза. Ведь процедуры полностью не соблюдает никто, даже безопасники.

Добра вам.

Второе место

Четвертое место

Как, читая, нивелировать угрозу хакеров

Когда работаешь в крупной компании и в такой насыщенной новостями области, как информационная безопасность, на тебя валится огромный вал документов. С одной стороны, целый ворох внутренних приказов и положений, которые ты должен учитывать в своей работе. С другой — шквал аналитики, отчетов, статей, изменений, проектов изменений, законов и еще всякого.

read_forever

На мою беду у меня есть пунктик: читать все, что мне приходит. Вот вышел новый приказ, и какой-то сумрачный гений, писавший штатное расписание, решил, что я должен быть в рассылке о новом приказе по учету складских остатков. Благо, я смог договориться с той бандой, что степень «глубины» чтения я могу выбирать сам. Многое можно достаточно бегло посмотреть, даже просто по заголовкам. Конечно, если заголовки говорящие (кстати, именно поэтому я не пишу говорящие заголовки, чтобы вы, мои любимые читатели, читали все целиком :)).

И, наконец, я добрался до всяких итоговых отчетов аналитиков за прошлый год. Например, отчет группы IB. В целом унылое занудство, рост числа угроз, хакерские группы растут, бюджеты на иб падают и т.п. Но во всем отчете есть одна (ну, я думаю их все же там больше) дельная для меня мысль. Хакеров интересует прибыль: чем быстрее полученная информация или взломанная система приводит к деньгам, тем лучше.

Фактически из этого следует, что «обычную конфиденциальную» инфу вообще не надо защищать от хакеров. Пока они ее получат, пока найдут покупателя… проще взломать еще пару миллионов смартофонов и повытаскивать деньги со счетов владельцев.

Т.е. если вы не работаете с деньгами клиентов — вы не в топе целей хакеров.

Следующая в списке – информация о самих клиентах. Например, вендоры DLP любят приводить пример со страховыми компаниями, когда уходящий продавец уносил с собой своих клиентов и пытался забрать клиентов компании. Ну, а дальше обычная конфиденциалка и ноу-хау.

И знаете, что самое страшное? Это очень похоже на правду. Такой подход исключает или существенно снижает риск хакерских атак на вас. Конечно, если вас целенаправленно не закажут.

Всего вам доброго.

У Камина: 38 попугаев

Решил заделать новую рубрику. Ну, как новую? Рассмотрение чужих статей – формат старый как мир. Новое разве что для нашего безопасного комьюнити. В данной рубрике я буду читать для вас разные статьи, разумеется, с моими непревзойденными комментариями :). Статьи, попадающие сюда, я предварительно не читаю, так что мы с вами в равных условиях. Мы первопроходцы в поиске нового и интересного.

fireplace_main

И начнем мы со статьи «38 попугаев, или не все метрики одинаково полезны» Андрея Захарова, опубликованной на сайте Jet Info. Это корпоративный портал компании Инфорсистемы Джет. Выбрал я именно ее, так как тема измерений мне близка до глубины души. Начнем.

Оригинальный текст взят as is. Все права на оригинальный текст принадлежат их правообладателям.

 

38 попугаев, или не все метрики одинаково полезны

Сразу вопрос к названию: в оригинале было 38 попугаев и одно попугайское крылышко. Точность – добродетель любых измерений.

38_0

Проблема измерения эффективности мер обеспечения ИБ уже давно стала притчей во языцех. За последние годы на эту тему были опубликованы многочисленные статьи, представлены разнообразные доклады на отраслевых конференциях, организован и проведен не один круглый стол.

Да ладно. Можно списочек? И даже если так – вы решили добавить еще одну статью в эту «огромную кучу»?

Но если посмотреть на ситуацию в целом, можно обнаружить, что, несмотря на кажущуюся популярность и востребованность этой темы, в действительности изменилось немногое.

Изменилось по сравнению с чем?

По нашим наблюдениям, доля компаний, использующих комплексные метрики для оценки состояния информационной безопасности, за последнее время возросла лишь незначительно. И тому есть объяснение.

Вы в окно посмотрели? Или исследование проводили?

Что такое метрики и для чего вообще они нужны? Метрики – это функции, которые используются для измерения чего-либо, например, какого-либо процесса. Можно провести простую аналогию с транспортным средством. Для того чтобы определить, как быстро движется автомобиль, используется метрика «спидометр», какое расстояние было пройдено – «одометр». Обычно формула расчета метрики составляется из тех характеристик процесса, которые представляют наибольший интерес.

Специально в словарь заглянул. Самое ближайшее к данному определение:

   математический термин, обозначающий правило определения того или иного расстояния между любыми двумя точками (элементами) данного множества А.

Т.е. проблема в самом начале – в терминах. Метрика не функция, а «числовой показатель», который рассчитывается. А, вот, расчет может проводиться разными способами, в том числе и функцией. Зачем огород городить, вводя новые термины? Чем старые не угодили?

Для начала отметим, что практикуемые в компании методы управления ИБ значительно зависят от сложившегося в ней корпоративного управления.

Точно так. А почему множественное число? Автор у статьи один – Андрей Захаров. Или это коллективное мнение компании Джет? А вот от чего действительно зависит измерение ИБ – так это от уровня корпоративной зрелости.

Если принятие руководством управленческих решений основывается на качественном внутреннем анализе, то и спрос на Business Intelligence (BI) будет высок.

Оу-оу-оу. Мы вроде про безопасность тут, с чего BI ? Продукт плейсмент услуг компании Джет? :)

И наоборот, если для оценки ситуации используется ограниченное число высокоуровневых бизнес-показателей, спрос на анализ внутренних процессов будет ограничен. Каждый вариант напрямую влияет на цели и задачи программы измерения состояния ИБ.

Что вы говорите. Надеюсь, дальше этот тезис будет раскрыт.

Главные вопросы, на которые компании необходимо ответить, чтобы эффективно оценивать свою ИБ, для кого создаются метрики и какую информацию они должны нести.

Очень странный тезис. Ок, поиграем в вашу игру. Например, метрики создаются для распильщиков, какую информацию они должны содержать?

Что по этому поводу советуют эксперты?

По какому поводу? Вопрос-то не поставлен. Во всем тексте сверху нет ни одного знака вопроса.

Для ответа на этот вопрос обратимся к отраслевым стандартам. Пионер стандартизации в области информационной безопасности NIST выделяет 4 типа метрик: достижения целей, реализации (выполнения) процесса, результативности (эффективности) выполнения процесса и влияния на бизнес.

Рис. 1. Уровни зрелости метрик ИБ (по материалам NIST)

Рис. 1. Уровни зрелости метрик ИБ (по материалам NIST)

Руководящий документ NIST SP 800-55 Rev.1 был разработан почти 10 лет назад и до сих пор не потерял своей актуальности.

Пропущу шутку, почему статья не вышла 9-10 лет назад.

В нем хорошо отражена идея индикаторов: результативности (KPI), достижения цели (KGI) и риска (KRI).

Да, норм критерии. Немного избыточно, но ок.

Казалось бы, задача понятна, подходы хорошо известны,

А конкретней? Тут весь рынок ждет применения этих «известных подходов». Голословное утверждение.

однако практика показывает, что попытки самостоятельного внедрения системы метрик зачастую заканчиваются неудачей.

Ага, надо звать компанию Джет.

Это происходит потому, что с самого начала не было соблюдено несколько важных условий. Дело в том, что каждый тип метрик предназначен для определенного уровня зрелости (развития) оцениваемых процессов.

А почему об этом написано здесь, а не во введении, где вы говорили о «сложившемся типе корпоративного управления»? Но, правильно ли я понял, что Андрей утверждает, будто метрики «результативности (KPI), достижения цели (KGI) и риска (KRI)» применяются не на всех уровнях зрелости?

Поэтому совершенно бессмысленно конструировать, например, метрики эффективности, если оцениваемые процессы едва удалось документировать.

Да вы что? Метрика эффективности уборки корпоративного туалета измеряема, но вряд ли документирована (во всяком случае на уровне процедур).

Крупный российский оператор связи разработал и внедрил систему метрик информационной безопасности в поддержку недавно утвержденной стратегии в сфере обеспечения ИБ. Разработанные метрики охватывали не только уже существующие процессы обеспечения ИБ, но и те, которые еще предстояло внедрить.

Как это, интересно, у них получилось?

Для удобства подготовки отчетности для руководства, курирующего блок информационной безопасности, расчет метрик был автоматизирован.

Вот это поворот, сразу виден накал автоматизации. Опять продукт плейсмент? И какое это имеет отношение к теме статьи?

Почти сразу же возникла проблема, связанная с некорректностью расчета метрик, поскольку они описывали состояние пока еще не реализованных процессов обеспечения ИБ. Так как руководство интересовали обобщенные показатели состояния ИБ, общая картина получилась «смазанной» в худшую сторону, несмотря на то, что текущее состояние ИБ было достаточно высоким.

Не понятно, как вообще такое допустили? Если уровень ИБ высокий, значит там сидят не идиоты. Значит допустили идиоты, которые эту методику внедряли, а потом сразу автоматизировали, не проведя опытной эксплуатации.

И никакого вывода из примера. Печаль.

Начать с самого простого

Метрики достижения цели позволяют ответить на вопрос о том, были ли решены поставленные ИБ-задачи. Общие цели в области ИБ определены практически в каждой компании.

Не плохо бы пару примеров. Или Андрей считает, что за 10 лет с момента выхода этого NIST все с ним ознакомились?

Частные политики и процедуры конкретизируют и детализируют их в разрезе отдельных процессов. Планы мероприятий, в свою очередь, определяют конкретные задачи, подлежащие выполнению.

Метрики достижения цели используются в первую очередь для оценки наличия результатов, поэтому полезны для оперативного управления.

*подавился чаем* В абзаце выше говорилось про решаемые ИБ-задачи, все это глобальные стратегические вещи. При чем тут оперативное управление? Или компания Джет считает, что метрика достижения цели – кинуть бумагу в шредер?

Важно отметить, что этот тип метрик ничего не говорит о том, достигается ли желаемый результат на регулярной основе. Для этих целей используется метрика реализации процесса.

Следующий шаг

Метрики реализации являются следующей ступенькой системы измерения и служат для определения того, в какой мере внедрен конкретный процесс.

Т.е., по мнению автора, процесс «может быть чуть-чуть внедрен»? Процесс либо есть (как-то работает), либо нет (не работает). Возможно редкое состояние, когда мы строим новый процесс. Но это крайне незначительный промежуток времени (дни-недели), чтобы по нему считать метрики.

Они используются в том случае, когда деятельность уже формализована в виде процесса, но он еще не внедрен полностью. К примеру, управление уязвимостями требует наличия процесса их выявления.

Да, но не обязательно. Можно покупать фиды у Касперского.

В том случае, если он выполняется только для 70 систем из 100, можно говорить о 70% его реализации.

А можно сказать, что процесс не достигает цели комплексного управления уязвимостями. Ведь из этих 30 систем все 30 могут быть бизнес-важными.

Этот тип метрики является относительным

Относительным между чем и чем?

и требует наличия установленных пороговых значений,

Как могут быть пороговые значения, если выше говорилось о 100% внедрения процесса? Получается, надо строить еще целый процесс по установке пороговых значений.

с которыми будет сравниваться измеренный результат. Определение пороговых значений отдельная задача, порой еще более сложная, чем основная, поскольку 100%-ный результат любой ценой далеко не всегда является целесообразным. Отметим, что метрики реализации предназначены в основном для руководства ИБ-подразделения, поскольку позволяют отслеживать прогресс внедрения процессов обеспечения ИБ.

Вообще метрики — для руководства.

Входим во вкус

Метрики результативности выполнения процесса, стоящие еще на одну ступеньку выше в иерархии метрик, сфокусированы на конкретных показателях деятельности и отвечают на вопрос, насколько результативно работает тот или иной процесс или защитная мера, будучи внедренными.

Т.е. к чуть-чуть беременным процессам у нас добавились конкретные показатели этой беременности. Я всю жизнь думал, что мы идем от частного к общему. Кстати, ISO тоже так построено.

К примеру, одна из целей процесса повышения осведомленности пользователей в области ИБ состоит в минимизации числа инцидентов, связанных с использованием методов социальной инженерии.

Это правда. Но в начале их надо научить не втыкать гребанные флешки, принесенные из дома. И всякую фигню не устанавливать.

Если в результате обучения пользователей в 8 случаях из 10 они не поддаются на провокационные письма и звонки злоумышленников, можно сказать, что показатель результативности процесса (для этой цели) составляет 80%.

Вообще, при таком выстроенным процессе должно быть 11 из 10. К тому же, надо еще строить процесс оценки, что же в эти 20% инцидентов может попасть. А вдруг там андеррайтер в банке.

Данный тип метрик также является относительным и требует определения пороговых значений, с которыми будет сравниваться результат.

Для того чтобы учесть фактор стоимости ресурсов, которые затрачиваются для достижения желаемого результата, используются метрики эффективности.

Наконец, добрались. Странно, что метрики эффективности не были перечислены в общем пуле выше. Хотя интереснее учитывать не стоимость ресурсов, а критичность активов, не накрытых процессами с 70% реализацией.

Зачастую они являются производными от метрик результативности.

Производными – это значит вытекают из показателей результативности? Т.е. если нам надо измерить общую площадь дома, мы на него смотрим, говорим – 1000 кв. м. А потом идем внутрь с рулеткой и мерим?

Метрики эффективности могут высчитываться по формуле результативность/стоимость,

А могут и не высчитываться. Хорошо бы еще примеров. Интересен также физический смысл данной формулы – мы % делим на деньги. Фактически мы получаем аналог скорости: сколько денег нужно, чтобы увеличить результативность на 1%. И что от чего теперь производное?

где в качестве стоимости могут выступать любые используемые ресурсы: деньги, персонал, время, или их комбинация. Если потребителями метрик результативности являются руководители подразделения ИБ, то метрики эффективности могут быть интересны руководству компании, курирующему ИБ-направление.

Постичь дзен

Наконец, последний тип метрик – метрики влияния на бизнес.

Андрей, мне очень интересно, где можно почитать про последние два вида метрик. Как я понимаю, нижестоящие метрики на бизнес не влияют. А если бы влияли, то не надо было бы вводить новые показатели – они просто бы пересчитывались через нормирующий коэффициент.

Он является самым сложным с точки зрения наполнения. Эти метрики отвечают на вопрос, в какой степени результаты конкретных мер обеспечения ИБ влияют на показатели бизнес-деятельности.

Бизнес, в конечном счете, всегда интересуют доходы, соотнесенные с рисками, поэтому первое, что приходит в голову в качестве критерия измерения, это риск-ориентированные метрики, поскольку это общая цель для всех процессов обеспечения ИБ.

Бизнес как раз не интересуют доходы, «связанные с рисками». Его просто доходы интересуют. И, понятно, чем выше риск – тем больше потенциальный доход, любой тренер на Форексе вам скажет. Что такое «риск-ориентированные метрики»?

Отношение показателя результативности (эффективности)

Андрей, так в прошлой части вы сказали, что результативность и эффективность не одно и то же. Как вы собираетесь «скорость» опять делить на деньги?

конкретной меры ИБ к величине ожидаемых потерь (ALE) по защищаемому активу или процессу неплохая бизнес-метрика,

Исходя из вашего рассуждения, у вас принципиальная разница между активом и процессом. Тут не может быть или.

отражающая меру адекватности защитной меры существующему риску. Однако зачастую возникает проблема, связанная с недостаточно развитым процессом анализа рисков в компании. Поэтому этот подход не универсален.

Завидую вашей невозмутимости. А вообще, риски — это зачастую единственное, до чего могут безопасники дотянуться. Риски не требуют капитальных затрат в со an и железо.

Другой путь выбрать несколько бизнес-целей, очевидным образом зависящих от успехов (или неудач) в области ИБ, и создать метрики на их основе.

Если в компании есть ИТ и от нее как-то зависит бизнес, то все бизнес цели зависят в конечном итоге от ИБ.

В результате масштабного исследования, проведенного Ponemon Institute в 2013 году, выяснилось, что более половины организаций вообще не применяют бизнес-ориентированных метрик ИБ, поскольку не в состоянии оценить фактическое влияние ИБ на бизнес.

Так стандарту 10 лет, и тема уже изжеванная ;)

Рис. 2. Основные причины отсутствия бизнес-ориентированных метрик ИБ в западных компаниях (по данным Ponemon Institute)

Рис. 2. Основные причины отсутствия бизнес-ориентированных метрик ИБ в западных компаниях (по данным Ponemon Institute)

Кстати, а почему слайд на английском? Дедлайн перед сдачей материала? Ну, и текст можно было бы сделать покрупнее.

Для решения этой сложной задачи можно воспользоваться концепцией системы сбалансированных показателей (Balanced Scorecards, BSC). На рис. 3 приведен пример бизнес-ориентированных метрик ИБ, вписанных в систему ценностных перспектив BSC.

Рис. 3. Пример бизнес-ориентированных метрик ИБ

Рис. 3. Пример бизнес-ориентированных метрик ИБ

Для статьи норм так критерии. Правда, резанула глаз фраза «доля проектов и процессов с участием ИБ».

Разминка для ума

Рассмотрим использование системы метрик измерения эффективности ИБ на простом примере. Предположим, мы задались целью приобрести автомобиль.

Ну, не совсем корректно. Сразу смешались цели и процесс. Автомобиль рано или поздно будет куплен, а ИБ никогда не заканчивается.

Попробуем сконструировать набор метрик, который поможет нам измерить успех этого мероприятия на всех его этапах.

Прежде чем стать обладателем автомобиля, нам необходимо выбрать желаемую комплектацию, сравнить цены в автосалонах, решить вопрос с финансированием покупки и, собственно, совершить приобретение. Метрика достижения цели будет определяться степенью выполнения всех перечисленных задач в процентном отношении. Дополнительно можно учесть вес/важность каждой задачи.

Обычный метод выбора по весовым коэффициентам, довольно сложно применимый к процессам. Проходят в институте.

Метрик реализации может быть несколько – по одной на задачу (иногда больше). К примеру, если мы решим задействовать средства на покупку из нескольких источников, можно использовать метрику, которая будет характеризовать объем уже собранных средств в сравнении с целевой суммой. Аналогично можно оценить число автосалонов, которые мы посетили, в сравнении с планируемым.

Предположим, мы успешно справились со всеми задачами, но пока этим занимались, самые интересные комплектации во всех автосалонах раскупили, и нам пришлось купить автомобиль с более скромными характеристиками. Метрика результативности нашей покупки характеризует то, в какой степени наш автомобиль соответствует тому, что мы хотели получить, чего мы ожидали. Можно привести множество метрик результативности: оценку разгонной динамики в сравнении с эталоном (например, заявленным изготовителем), шумоизоляцию, экономичность и т.д.

Метрика эффективности покупки в данной ситуации будет определять, насколько привлекательную цену мы заплатили за эту комплектацию, не переплатили ли или не слишком ли залезли в долги.

Наконец, эквивалентом бизнес-метрик будут являться метрики влияния совершенной покупки на нашу жизнь. Насколько продуктивнее мы стали использовать свое время, передвигаясь на автомобиле? Как изменились наши расходы в связи с приобретением? Какие новые возможности у нас появились благодаря наличию автомобиля? Список можно продолжать.

В качестве заключения

Отметим, что ключ к получению действительно эффективных метрик их регулярное тестирование как на этапе конструирования, так и при последующем использовании.

Посыл странный, надо не метрики эффективные делать, а – процессы. Ведь метрики нужны лишь для того, чтобы процессы стали лучше.

Данные, на основании которых должна рассчитываться метрика, могут попросту отсутствовать, быть некорректными или неактуальными. В этой ситуации метрика будет приносить больше вреда, чем пользы. Необходимо всегда отталкиваться от имеющегося фактологического материала, учитывать цели и задачи создаваемых метрик, и по возможности автоматизировать весь процесс.

 

 

Фух, вот и конец. Надеюсь, вам было интересно. Спасибо Андрею Зотову за интересный материал.

Я ставлю 4 полена из 5.

Увидимся, и всего вам доброго.

Что читать безопасникам?

Если вы, когда-нибудь ходили на собеседования, в чем я лично не сомневаюсь. Вы ходили. Так, вот, если вы ходили на собеседования, то уже знаете примерно, как это происходит. Если вы делали это сравнительно недавно, хотя бы раз за последние пять лет, вы должны были сталкиваться с хитрыми вопросами HR. Ох уж эти эскулапы HR, их задача влезть в ваше естество, понять кто вы, не врете ли вы, насколько вы мотивированы и многое-многое другое.

Но есть один вопрос, который теперь ставит меня в тупик… Где-то ближе к концу собеседования, вас спросят или будет отдельный пункт в анкете: — Какие последние три-пять-десять книг вы прочитали?

main_book

Вроде, логика понятна, если укажешь кучу книг по теме вакансии или смежных, то ты молодец – стремишься развиваться. А если ты укажешь кучу фантастики или книг по хобби? Это значит, что ты развиваться не стремишься? А если, я читаю по книге в неделю, и последняя книга по специальности была четвертой-шестой-одиннадцатой?

Если посмотреть с другой стороны, то состоявшийся профессионал все основное по теме уже прочитал. Может быть еще в институте. Сейчас он читает новости и статьи, которые на книгу не тянут. В этом случае, перечень каких-то базовых книг, может быть признаком несостоятельности кандидата. Что это он в 25 лет основы читает?

Отдельный вопрос – как проверить, что именно эти книги прочитаны? Устраивать опрос? Но HR находиться вне понятийного поля вакансии, если только не берет другого HR. Это задача начальника. В общем, вопросы, вопросы, вопросы. Вопросы ради вопросов.

Но давайте посмотрим на себя. Какие книги вы читаете по специальности? Я не беру книги а-ля 7 улучшенное и дополненное издание «Риск-ориентированный подход в безопасности». Вы это в институте проходили, а это так – обновить. И я сомневаюсь, что вы читаете «Особенности администрирования Windows Server 2012 в условиях геополитических угроз». Если вы выполняете инженерные функции, то без этого никуда – ПО имеет свойство обновляться.

Выходит, что мы шлифуем наш базис все теми же статьями, новостями, да постами в блогах сомнительных личностей, вроде меня. А знаете, что самое ужасное? Что бы быть востребованным безопасником, надо читать совершенно другие книги. Все эти риски, угрозы, системы, средства защиты, РД регуляторов – интуитивно понятны и просты. Данные знания не продвигают вас к успеху. Количество прочтенных ISO и NIST не приблизят вас к цели. Все это проходиться в студенческом возрасте.

Теперь вы обладаете знанием, куда ходить не надо. Поздравляю! И всего доброго.

Введение в экономику безопасности (пример)

В прошлый раз я рассказывал о вопросах, волнующих меня по поводу татаро-монгольского Ига. А сегодня поговорим о другом вопросе.

Счетовод

Поехали

Собственно, вопрос я поставил так — Как часто мылись в банях русские крестьяне?

Причиной этому послужил огромный спектр свидетельств и мнений — от того, что крестьяне вообще не мылись, до того, что русские были чистоплотней всех просвещенных европейцев вмести взятых.

Будем считать, что в банях моются лишь в холодный период времени. Летом можно и в речке помыться или под дождичком поскрестись. С поправкой на суровость климата в средней полосе России в то время примем холодный период, равный шести месяцам. Т.е. 6 месяцев мылись в банях, а в остальное время как-то по-другому.

Что такое баня? Традиционные русские бани (деревенские) делятся на:

  •  Бани, отапливаемые «по-чёрному», имеют открытый очаг, который прогревает не только камни, но и стены бани. Дым от очага выходит через дверь или отдушину в потолке. Обычно в ней есть каменка из валунов-окатышей и котёл для горячей воды. Протапливается дровами, предпочтительно лиственных пород (например, берёзовыми). При неправильной топке баня «горчит». Древесина внутри бани сильно коптится, в результате стены бани — тёмного цвета, но это также служит целям дезинфекции помещения бани.
  • Бани, отапливаемые «по-белому», бывают различных конструкций. В такой бане обязательно имеется каменная, кирпичная или металлическая печь с баком для нагревания воды. Такая баня требует для натапливания больше дров, однако намного проще и приятнее в эксплуатации. Такую конструкцию имеют и современные индивидуальные бани.
  • Баня внутри русской печи. Печь протапливается, в чугунах нагревается вода. После топки с пода печи убирается зола и насыпается солома. Жар сгребается в угол печи. После этого можно мыться, забравшись в печь и даже осторожно париться веником, чтобы не натаскать на себя сажи. Вероятно, отсюда происходит украинское название бани — «ла́зня»

Усредним эти данные, и будем представлять баню как помещение с источником тепла (печкой), нагретое до 80-100 градусов для пара (и до 40 градусов для воды), и где, кроме всего прочего, греют воду.

Сколько же потребуется дров, чтобы попариться в бане? Так, как это представляется в обществе — с троекратным заходом в парилку, с купанием в снегу (или обливанием холодной водой)?

На даче у меня есть печка-буржуйка. Чтобы в течение 4 часов там поддерживать приемлемую температуру (от 28 до 18 градусов), ее необходимо растопить приблизительно 10 паленьями (2 кг дров), и затратить на это около двух часов. Т.е. мы получаем 6 часов тепла.

Чтобы на моей буржуйке добиться искомых 80-100 градусов, потребуется в 3 раза больше времени и дров (будем считать зависимость линейной). Итого 6 часов и 6 кг дров, чтобы подготовить баню. Собственно, время не расходится с нашими представлениями. Нам известно, что баню надо предварительно протопить, это занимает определенное время. Скорректируем для простоты счета — уменьшим время до реального (2 часа), а количество дров увеличим до 10 кг. Расход современных печек подтверждает наш расчет (аналитический расчет сошелся с фактическим).

В итоге, чтобы вся деревня в 100 человек могла помыться в бане хотя бы раз в месяц (по 5 человек в бане), в год потребуется:

20партий*6месяцев*10 кг= 1200 кг дров

Могли ли крестьяне позволить себе потратить 1200 кг дров суровой русской зимой на помывку? Это с учетом, что надо еще и свои избы отапливать? Могла ли помывка в банях носить повсеместный характер? На мой взгляд, не могла. Помывка в банях носила скорее характер лоскутный.

P.S.: Есть мнение, что тонна дров — это приемлемая величина для заготовки на зиму на помывку. Если так рассматривать (люди ведь разные, силы у всех разные), то да – могли мыться и раз в неделю (тогда число дров увеличивается всего до нескольких тонн – 4-5).

P.S.S.: Если исходить из моих расчетов, то в деревнях могли мыться и каждую неделю. Заковырка оказалась в интерпретации результатов. Благодарность всем, кто топит бани, заготавливает дрова и поделился со мной знаниями по этому поводу.

Введение в экономику безопасности

Тяга к знаниямОт природы я человек любопытный. Любопытство мое неактивное, носит созерцательный характер. Не, я тоже любил разбирать все и смотреть, как оно устроено. Но не более, пальцы в розетку не совал. Один раз только попробовал запитать тетрис, намотав проволоку на контакты и сунув в розетку :)

Мой метод исследования — это «оказаться в нужном месте в нужное время». Посмотреть, как оно работает, увидеть какое-то редкое явление, завалить вопросами по предмету. Т.е. для меня первичен объект. Как разберемся с внешним объектом, так можно уже лезть внутрь — разбираться. А кто-то действует по-другому, например, разнообразные вивисекторы (это которые режут по живому, а потом исследуют как оно там).

Основой в моем любопытстве является простое соображение — вокруг полно информации. Если ее уметь обрабатывать, можно приблизиться к пониманию и уже делать какие-то выводы. На этом, кстати, и строится измерение безопасности.

Если учесть, что каждый объект обладает всей информацией о самом себе, информационный поток походит на шквал — утонешь и не всплывешь. С какого краю браться? Чего искать? Потому и ценится так искусство исследователя.

В чем залог успеха хорошего исследования? В умении правильно задавать вопросы. В основном себе, и уже на это рыть информацию.

Когда-то давно я ознакомился со знатной книжкой «Фрикономика. Мнение экономиста-диссидента о неожиданных связях между событиями и явлениями» (вторая часть не очень), за авторством Стивена Д. Левитта и Стивена Дж. Дабнера. Авторы доступным языком показывают необходимость вопроса при исследовании и обработке больших объемов данных на простейших бытовых примерах. Учат смотреть на вопросы с экономической точки зрения. Например, почему торговцы наркотиками продолжают жить со своими родителями? Всем рекомендую.

И вот я задался двумя новыми вопросами. Оба связаны с историей нашего народа.

Первый вопрос

Первый вопрос у меня связан с татаро-монгольским игом. Как много татаро-монгол могло прийти на Русь?

ЧингизханОбычный воин Орды — это всадник, с пикой и луком. Одна лошадь должна съедать в день до 14 кг корма (для легкой нагрузки зимой), уменьшим это количество до 10 кг для простоты счета (и скинем на мелкокостность монгольских лошадей).

Поэтому я не думаю, что монголы смогли бы собрать миллион воинов (или сколько там в учебниках пишут?). Что более вероятно? Чингизхан мог собрать под свои знамена примерно до 95 тыс. воинов. С поправками будем считать, что для похода на Русь и Европу (которую мы героически защитили от этой угрозы) монголы собрали 200 тыс. человек (150 тыс. всадников + 50 тыс. пеших с обозом и обслуживающим персоналом).

150 тыс. всадников — это минимум 150 тыс. лошадей, не считая запасных, которых надо минимум еще по одной. Таким образом, имеем 300 тысяч лошадей (это по минимуму), которые должны съедать до 3 миллионов кг корма в день или 300 тонн в день.

Здесь бы хорошо прикинуть, сколько корма произрастает на одном гектаре. Но тут у нас хуже всего, поэтому будем оценивать по траве Кинельская 100: урожай зеленой массы 30 т/га, семян 1,5 т/га. Уменьшим до 10 т/га исходя из следующих соображений: 1) это культивируемая трава, и в реальности растет не так бурно; 2) трава в степях немного не такая, как в полях, а в лесах ее совсем нет. Так что примем это как нашу экспертную оценку.

Т.е. весь этот огромный табун должен был пастись на 30 гектарах каждый день – не так плохо. Если монгол было миллион — то это 150 га в день. Много это или мало? Сложно сказать, для одного дня не особо много (100 га равно 1 квадратному километру). А если считать все стоянки? Обоз опять же не самый мобильный юнит – не однозначно все как-то. А еще зима в Сибири бывает, тогда уж травы не особо много.

Кто подскажет, сколько официально в летописях пишут численность Орды? Могли ли монголы дойти до Европы? А доходили ли они до Руси? Ведь война – это прежде всего обеспечение, фураж и походы, в иных войнах до прямых боев может и не доходить.

Во такой вопрос у меня возник :)  А про второй вопрос расскажу как-нибудь в другой раз.

Про тренды в информационной безопасности: SOC, ЗПД и т.п.

Вернувшись с очередной конференции по новомодным трендам, задумался о вечном. Об истории. По сути, вся история защиты информации в России прошла перед моими глазами, и принимал я в ней деятельное участие. А т.к. я известный цифирькосчет и фрик, решил изучить тренды в информационной безопасности на опыте себя любимого.

Сразу жбахну картинку.

Количество проектов за последние 6 лет

Количество проектов за последние 6 лет

Это разбивка моего опыта выполнения различных проектов по информационной безопасности. Вписал, что помнил. Совсем не стал вписывать, где были просто поставки (без работ). А также не упоминал темы, мало связанные с безопасностью.

До 2011 года я активно выполнял работы сам и чуть-чуть пресейлил. После активно пресейлил и гиповал и чуть-чуть делал сам. Т.к. изменился спектр обязанностей, получился большой разрыв в количестве. Продажи занимают больше времени, чем исполнение (сравнимо с методическими рекомендациями Департамента образования). А ведение проекта не заканчивается с написанием комплекта документов.

Предлагал я весь спектр интеграторских услуг, но в итоге получилось следующее:

Разбивка проектов по типам работы

Разбивка проектов по типам работы

Сейчас пишу и вспоминаю, что еще делал pen- test, внедрял DLP и еще всякое разное, но уж как получилось. Как видно, персональные данные как стали трендом в 2009 году, так и не отпускают пальму первенства.

Количество проектов по защите персональных данных

Количество проектов по защите персональных данных

А вот в процентах тренд виден более явно:

Количество проектов в процентах по защите персональных данных

Количество проектов в процентах по защите персональных данных

И последняя диаграмма: разбиение по отраслям:

Количество проектов по отраслям

Количество проектов по отраслям

Что в итоге?

1. Персональные данные все еще тренд. Спасибо 242-ФЗ.

2. SOCи набирают популярность (надо похвалиться – я приложил руку к одному из крупнейших SOCов в Восточной Европе). Но ввиду масштабности проектов это могут потянуть не все интеграторы.

3. Анализ рисков – тема, о которой все говорят, но мало кто хочет за нее платить. Во всяком случае в отрыве от других работ. А с другими работами — это, скорее всего, с персональными данными.

4. Количество проектов мало влияет на выполнение квоты (но об этом как-нибудь в другой раз). С 2011 по 2014 – личное выполнение плана.

5. В основном ЗПД заказывают или те, кого обязали (госы), или те, кто под прицелом (образование, медицина).

Я знаю, в среде многих известных блоггеров принято ругать защиту персональных данных. Но надо понимать, что это хлеб всего интеграторского бизнеса по информационной безопасности (да и у заказчиков). В 2008 году я ставил CheckPoint и XSpider и выступал с презентациями, как круто аттестоваться по ISO 27001.

Всего вам доброго.

BYOD: будущее, которого нет

Хотел бы вас спросить: каким будет мир через 20 лет? Уверен, что в ответе вы примените всю вашу фантазию. Вы посмотрите вокруг на то, что вас окружает, найдете архаичные предметы, технологии и идеи. Вы улучшите или замените их. Вы, подобно фантастам середины прошлого века, опишите мир более технологичным, новым. И попадете в ту же ловушку, что и они. Главная проблема фантастов в том, что практически ничего из предсказанного ими не сбылось. Сегодня больше похоже на вчера, чем мы вчерашние могли бы подумать.

Бенуа Мандельброт однажды сформулировал эффект Линди: для всего того, что портится, каждый дополнительный день жизни означает, что ожидаемая дополнительная продолжительность жизни становится короче. Для всего того, что не портится, каждый дополнительный день может означать, что ожидаемая продолжительность жизни станет длиннее.

Во всем мире четко прослеживается тенденция усиливающейся адаптации принципов и технологий удаленной работы в стиле мобильных сотрудников. Руководители, не боящиеся делать сотрудников мобильными, видят, что те начинают использовать для работы даже свои личные смартфоны.

К тому, что портится, можно отнести материальные объекты – компьютеры, машины, одежду и т.п. К тому, что не портится, относятся идеи и технологии – двигатель внутреннего сгорания, компьютерные технологии, идея носить шкуру или ее эквивалент в холодную погоду. Таким образом, чем дольше существует технология, тем дольше она может продержаться.

Например, я пишу эту статью, сидя за столом в кресле (идее, как минимум, 3000 лет), на мне штаны и рубашка (мало чем отличаются от аналогичных у Отци, которые он использовал 5300 лет назад). Делаю я это за вычислительной машиной, первый прототип которой был сделан более 60 лет назад, а если углубиться в суть компьютеров (проведение элементарных операций над числами), то прообразы можно отыскать и 400 лет назад (Шиккард), и 530 лет назад (Леонардо да Винчи). Монитору более 100 лет (как идее показывать изображение с помощью ЭЛТ, а вот технология сменилась на LCD и производные). Компьютерной мыши – чуть менее 50 (и по правде сказать, она первый кандидат на вылет, для человека естественней управлять и вводить текст руками, чем крусором).

Как мы видим, «старого» среди нас очень много, а «новому» необходимо доказывать свою состоятельность. «Новое» зачастую подобно морской пене, оно на виду, оно вскипает, а потом уходит вместе с отливом. Вспомните, как в начале 1990-х гг. у всех были видеокассеты, потом CD-диски, затем DVD. Последних сейчас и не найдешь, для переноса данных удобней флешки, а для просмотра фильмов – целый набор форматов высокой четкости.

И BYOD – это такая же пена.

Доступ к корпоративной почте – это не BYOD

BYOD (Bring Your Own Device – «принеси свое собственное устройство») – это идея использовать в работе свои мобильные устройства (планшеты, телефон и т.п.). Я обращаю ваше внимание на слово «мобильные». Нет ничего нового в том, чтобы получить доступ к своей корпоративной почте из дома. Это потребность насущна и понятна (видимо, потому, что почта «стара»). Для доступа к почте необходим лишь доступ к Интернету и браузер (а может быть, почтовый клиент, VPN или т.д.).

Но BYOD идет дальше, сама его суть подразумевает доступ к бизнес-приложениям. Стоп! А зачем нам удаленный мобильный доступ к бизнес-приложениям? Подумайте минуту, кому в вашей компании необходим удаленный мобильный доступ? VIP-пользователям, на то они и VIP. Хотя я сомневаюсь, что их мобильные устройства можно назвать личными. Их настройку проводит штатная служба IТ, а сами пользователи являются мобильными в силу своего (вынужденного) статуса. Кто еще? Работники бухгалтерии? Производственные работники? Продавцы?

И вот тут кроется самое главное умолчание адептов BYOD. Они смешивают в одну кучу понятия «мобильного пользователя» и «мобильного пользователя со своим устройством». Мобильность – вещь, безусловно, полезная для ряда задач. Например, недавно одна из авиакомпаний оснастила своих пилотов планшетами с документацией к самолету (занимает несколько томов). Выигрыш налицо. Но представьте того же пилота, который приходит со своим телефоном и загружает документы на него. Это как минимум странно, с чем мы и разберемся далее.

Итак, мобильных пользователей у нас может быть много. Но минуточку. В нормальной организации мобильными пользователями являются в основном командируемые сотрудники, если у вас, конечно, не почтовая служба с кучей курьеров или подобный бизнес. Я сам работаю в крупной группе компаний с тысячами сотрудников и часто езжу в командировки. Командируемый сотрудник знает, куда он едет и что ему там понадобится. Он возьмет рабочий ноутбук, на котором установлены все необходимые приложения (и средства защиты), и, как только на месте отыщет вожделенный Интернет, подключится к корпоративной сети.

И тут всплывает еще одна хитрость адептов BYOD. Когда вы с ними встречаетесь, они быстро проскакивают самый первый вопрос: а к каким системам необходим мобильный доступ с личных устройств? Почту сразу убираем – это уже неотъемлемая часть бизнес-процесса, не требующая BYOD. По тем же причинам убираем Web-приложения. Остаются клиент-серверные приложения. Ведь именно под них адепты BYOD предлагают писать мобильные клиенты на десятке различных платформ. Но если сотрудник работает с клиент-серверной системой, его работа наверняка не связана с частыми разъездами. Бухгалтеры, бизнес-аналитики, хозяйственные и логистические службы, поднимальщики пингвинов. И они могут сделать необходимую работу непосредственно на рабочем месте, когда вернутся.

Чем обосновывается ценность BYOD?

Если вы спросите продавцов BYOD-решений, зачем мне использовать мобильные устройства, он вам скажет примерно следующее (отрывок из статьи одного из крупных поставщиков BYOD):

В чем важность использования мобильных устройств для бизнеса?

К сожалению, менталитет подавляющего большинства отечественных управленцев таков: сотрудник обязательно должен приходить в офис, чтобы с 9 до 18 «отбывать» там свой рабочий день, и не важно, делает ли он в это время что-то полезное (стандартный демагогический прием изобрети миф, и со всей силой на него обрушиться – здесь и далее прим. автора). К счастью, тенденция меняется. Во всем мире четко прослеживается тенденция усиливающейся адаптации принципов и технологий удаленной работы в стиле мобильных сотрудников. Руководители, не боящиеся делать сотрудников мобильными, видят, что те начинают использовать для работы даже свои личные смартфоны. Они становятся (есть такой термин) hyper-connected (так ведь выше вы сказали, что сотрудники отбывают номер на работе): образно говоря, сотрудники не расстаются со смартфонами даже во сне, а, проснувшись, первым делом проверяют рабочую почту (зачем? Если через два часа он будет на рабочем месте?). И последнее, что они делают перед сном, – тоже проверяют рабочую почту (наверно, чтобы срочно позвонить клиенту). Как показало недавнее исследование iPass, такие сотрудники приносят компании примерно 240 человеко-часов дополнительного рабочего времени в год (интересно, как производился подсчет? Проверка почты – 5 минут, два раза в день, на 365 дней – получается 60 человеко-часов), за которое компания не платит ни копейки. Это value, которое можно перевести в деньги буквально одним щелчком пальцев. Человек по собственному желанию тратит на работу свое личное время, его легко «поймать» во время перекура или за обедом. Это важно для развития бизнеса: высококвалифицированных человеческих ресурсов может быть немного, зато они находятся в постоянном доступе. Разрешение использовать собственные устройства – это еще и инструмент повышения лояльности сотрудников, что важно для любой корпорации.

[…]

Словом, бизнес должен осознать пользу использования сотрудниками собственных устройств и не прибегать к одним лишь запретам. Это реальный источник прибыли для компании.

BYOD – источник прибыли

Бизнес должен осознать пользу использования сотрудниками собственных устройств и не прибегать к одним лишь запретам. Это реальный источник прибыли для компании.

Мифическое повышение трудоспособности кочует из одной статьи о BYOD в другую. Неужто работник – это собака Павлова, и мотивируется от использования своего, а не корпоративного устройства? Сделали BYOD, лампочка зажглась – слюна потекла? Если человек мотивирован работать, он будет достигать результата, используя все имеющиеся ресурсы. А вот немотивированных сотрудников BYOD способен превратить в настоящую угрозу для компании.

Мифическое повышение трудоспособности кочует из одной статьи о BYOD в другую. Неужто работник – это собака Павлова, и мотивируется от использования своего, а не корпоративного устройства? Сделали BYOD, лампочка зажглась – слюна потекла? Если человек мотивирован работать, он будет достигать результата, используя все имеющиеся ресурсы. А вот немотивированных сотрудников BYOD способен превратить в настоящую угрозу для компании.

Еще одним обоснованием ценности BYOD выступает снижение затрат. Часто так и пишут: «снижение затрат» и все. Иногда уточняют, что уменьшаются затраты на поддержание инфраструктуры и вообще на IТ-инфраструктуру. Тут все очень неоднозначно. Если запросить решение под ключ у известного западного вендора, то решение BYOD влетит вам в копеечку. Вам потребуется отдельный шлюз для мобильных пользователей, и это при том, что не любой пользователь туда сможет подключиться. В лучшем случае это будет iOS и Android старших версий. А что делать другим пользователям? Наверное, их придется демотивировать, сказав, чтобы меняли телефон на поддерживаемый.

Еще вам потребуется поднять свой Store для всех поддерживаемых платформ, чтобы раздавать корпоративное ПО. Нанять программистов, чтобы они доработали приложения. Установить средства защиты. Обучить и, возможно, расширить штат IТ-службы, так как именно она примет на себя основной удар BYOD (и он никогда не ослабнет, как в обычных случаях: пользователи буду приходить и уходить, а устройства – меняться). Стоит ли игра свеч?

И разумеется, все это очень небезопасно. Сколько уже было инцидентов увода конфиденциальной информации через телефоны? Десятки? И их количество будет только расти. Телефоны будут красть, их будут забывать и терять, их будут продавать, не удалив ключевую информацию.

Стоит ли внедрять сомнительную, крайне дорогую технологию, которая нужна единицам в вашей компании? Ответ за вами.

О будущем BYOD

В заключение хотелось бы сказать о будущем BYOD. Он будет жить в том или ином виде. Он будет жить, пока люди, продвигающие его, будут находить тех, кому это можно продать. Как только экономическая выгода иссякнет, BYOD умрет. А ваше рабочее место, как и мое, все так же будет состоять из «старых» вещей.

Дудко Дмитрий
Опубликовано: Журнал «Information Security/ Информационная безопасность» #4, 2014

Программные средства для управления ИБ и анализа рисков

В век развивающихся технологий найти самые разнообразные программные средства для управления ИБ и анализа рисков – тривиальная задача. Достаточно создать запрос в поисковике, и первой же ссылкой будет страница с необходимым ПО (платным и бесплатным). Там же мы сможем найти подробное описание данного ПО, его оценку по различным параметрам. Так что создавать очередной обзор программных средств нет смысла.

Стоит нам перенестись из теории в прикладную область, здесь мы сталкиваемся с проблемой выбора. Найти подходящие конкретной компании программные средства – вот это уже задача нетривиальная. Как же разобраться во всем многообразии предложений и не ошибиться?

Универсальный инструмент для управления рисками

Когда мы слышим про управление рисками, мы сразу представляем себе большие и не очень перечни, в которых эти самые риски перечислены. В самом простом случае мы получаем примерно то, что показано в табл. 1.

Программные средства для управления ИБ и анализа рисков. Таблица 1

К сожалению, большинство программ требуют много времени на изучение интерфейса. Нивелировать фактор его сложности могут онлайн-курс или видео по основным функциям.

Как вы заметили, использована обычная таблица. Самый распространенный табличный процессор – MS Excel. Примем его за нормированную единицу оценки, поскольку его функционала вполне хватает для определения рисков. Однако каким бы удобным инструментом ни был Excel, у него нет ряда функций. Например, вам никогда не удастся добиться многопользовательского режима работы. Или же в том случае, если количество угроз перевалит за несколько десятков, да еще и потребуется проводить анализ рисков для различных процессов/филиалов/подразделений, количество отслеживаемых зависимостей начинает усложнять работу, а полезный эффект от работы с Excel стремительно уменьшается.

Таким образом, Excel можно использовать на начальном этапе или в тестовых целях, но для работы с рисками он не подойдет.

Что же тогда выбрать?

Не будем рассматривать конкретные продукты, иначе это превратится в переписывание рекламных материалов. Обозначим ключевые требования к программным продуктам для управления рисками.

Интуитивно понятный интерфейс

Казалось бы, куда проще. Уже все заявляют о простоте работы с интерфейсом (рис. 1). Но это, пожалуй, самое главное. Если вы часто работает с Excel, то наверняка столкнулись с нетривиальным расположением привычных разделов и кнопок при выходе новых версий MS Office 2007, 2010 и 2012.

Программные средства для управления ИБ и анализа рисков. Рисунок 1

К сожалению, большинство программ требуют много времени на изучение интерфейса. Нивелировать фактор его сложности помогут онлайн-курс или видео по основным функциям.

Поддержка русского языка

Если вы начнете использовать ПО, основанное на методике иностранного стандарта (ISO 31000 и 27000, FERMA и др.), то рискуете не использовать все доступные функции.

Наличие предустановленных перечней угроз и активов

Как ни крути, а вбивая перечни угроз, можно непродуктивно потратить уйму времени или что-то забыть. Гораздо лучше работать с уже готовым перечнем, адаптируя его под собственные нужды (рис. 2).

Программные средства для управления ИБ и анализа рисков. Рисунок 2

К тому же очень удобно иметь готовые элементы для управления СУИБ, а не моделировать их самому.

Многопользовательская работа и Web-доступ

Программные средства для управления ИБ и анализа рисков. Рисунок 3

Время и технологии не стоят на месте. Сейчас уже нет возможности работать одному сотруднику с одной копией программы, в которой все хранится. С перечнями рисков должны работать многие сотрудники с разными ролями (хотя бы чтение и чтение/запись). А доступ к интерфейсу и всему функционалу должен быть как можно более простым, например через Web-консоль.

Добавление новых параметров

С одной стороны, тривиальное требование, но не везде выполнимое. Если мы используем простую формулу риска (риск = вероятность х ущерб), нам хватит и базового функционала. Но, как ни странно, не все программы позволяют добавить столько параметров, сколько необходимо (рис. 3).

К этому же требованию можно отнести импорт уже существующих перечней из других программ.

Подключение внешних источников данных

В сущности, управление информационной безопасностью можно осуществлять и с помощью офисных программ. Однако, как и каждый самостоятельный процесс, управление ИБ требует значительных трудозатрат для функционирования. Большинство этих работ приходится на рутинные операции, которые легко поддаются автоматизации.

Когда мы сформировали необходимый перечень угроз и провели оценку рисков, наша модель остается статичной. Она не изменится во времени, если вы ее сами не измените. А ведь у нас столько систем безопасности, каждая вносит свой вклад в управление рисками, понижая или повышая уровень угрозы. Таким образом, программа управления рисками должна иметь возможность изменения параметров рисков в зависимости от произошедших событий.

Так, полгода не обновляющиеся антивирусные базы должны увеличивать степень рисков, связанных с вирусной активностью, а также всех бизнес-процессов, где эти элементы присутствуют.

Все вышеперечисленное также относится и к системе управления ИБ, так как риск-менеджмент – это составляющая подсистема качественного средства автоматизации СУИБ.

Универсальный инструмент для управления ИБ

В сущности, управление информационной безопасностью можно осуществлять и с помощью офисных программ. Однако, как и каждый самостоятельный процесс, управление ИБ требует значительных трудозатрат для функционирования. Большинство этих работ приходится на рутинные операции, которые легко поддаются автоматизации. Рассмотрим желаемые функции.

Функционал управления СУИБ

Самый первый и важный пункт. ПО автоматизации СУИБ должно автоматизировать все или большинство функций, в эту СУИБ входящих. Например, в ISO 27001 есть 10 разделов с контролями, а в PCI DSS – 12. Берем количество функций, которые автоматизируются, и высчитываем их отношение к общему количеству. Получаем, что по ISO у нас 100%-ное выполнение, а по PCI DSS – 47%-ное.

Инвентаризация защищаемых активов

Крайне желательно, чтобы программа самостоятельно могла поддерживать в актуальном состоянии имеющиеся активы и вносить изменения. Если добавление новых активов – не критичная задача, то отслеживание уже существующих прямо влияет на актуальность и эффективность процесса управления ИБ.

Отображение процессов

Так как процесс управления ИБ неразрывно связан с бизнес-процессами, то желательно иметь наглядное представление обо всех. К процессам должны быть привязаны активы и риски.

Визуализация рисков и инцидентов, оповещение

Смотреть бесконечные колонки текста и цифр интересно, но хотелось бы иметь наглядную картину инцидентов. Лучше, если она будет привязана к плану здания (рис. 4). Вместе с возможностью инвентаризации активов подобная визуализация становится мощным инструментом мониторинга.

Программные средства для управления ИБ и анализа рисков. Рисунок 4

Также желательно иметь возможность оповещения ответственных лиц по электронной почте или SMS для оптимизации времени реагирования на инцидент.

Управляющие воздействия

Несколько лет назад это был тренд систем управления – автоматические действия на определенные события. Функция, безусловно, полезная, но требующая очень аккуратного использования.

Минимальная кастомизация

Некоторые производители избрали своей тактикой продавать «полупустой продукт». Вы покупаете оболочку, а затем интегратор за отдельные деньги «допилит» вам требуемый функционал. В бухгалтерских системах этого придерживается 1С, а в сфере безопасности – некоторые вендоры SIEM-решений.

В принципе в этом нет ничего плохого, если есть деньги и время. Но не забывайте, что в продукте, разработанном специально для вас, будут специфические именно для вашей среды особенности и дырки, которые не закрываются общими патчами. Как правило, гораздо комфортнее работать с решением, настроенным под конкретную задачу, а не специально для этого разработанным.

Программные средства для управления ИБ и анализа рисков. Таблица 2

Для того чтобы окончательно разобраться с продуктами и выбрать конкретное ПО для управления ИБ и рисками, вы можете воспользоваться табл. 2 (выберите подходящий вариант для каждого параметра и сложите оценки).

Дудко Дмитрий
Опубликовано: Журнал «Information Security/ Информационная безопасность» #1, 2014