Максим Анненков, Security Vision
Security Vision RM – это комплексная система управления рисками информационной безопасности предприятия, предоставляющая широкие возможности для организаций любых размеров и отраслей.
Продукт разработан с учетом требований отечественных и международных стандартов в области обеспечения управления рисками информационной безопасности, таких как:
· ISO 27005:2022 Information security, cybersecurity and privacy protection — Guidance on managing information security risks;
· ГОСТ Р ИСО/МЭК 27005 Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства.;
· Методика оценки угроз безопасности информации ФСТЭК от 5 февраля 2021 г.
· FAIR (Factor Analysis of Information Risk)
Security Vision RM позволяет обеспечить реализацию процесса управления рисками на всех стадиях его жизненного цикла:
Процесс менеджмента риска информационной безопасности согласно ГОСТ Р ИСО/МЭК 27005
Security Vision RM охватывает весь жизненный цикл процесса управления рисками, начиная с этапа определения среды. Используя ресурсно-сервисную модель, система позволяет детально описать бизнес и ИТ-компоненты инфраструктуры. На стадии идентификации рисков продукт интегрирует методологию ФСТЭК, позволяя моделировать угрозы с применением обширной базы данных уязвимостей.
Последующие этапы анализа и оценки рисков поддерживают качественный и количественный методы оценки. Security Vision RM дает аналитику возможность провести оценку полностью самостоятельно либо собрать данные от экспертов с помощью опросных листов.
На этапе обработки рисков пользователи могут моделировать различные конфигурации внедрения мер защиты с целью выбора оптимального набора по соотношению затрат и эффективности, а также создавать и управлять задачами, направленными на минимизацию рисков.
В рамках мониторинга и пересмотра рисков в продукт заложены механизм ключевых индикаторов риска и функционал переоценки рисков.
Далее рассмотрим подробнее перечисленные аспекты продукта подробнее.
Ресурсно-сервисная модель
В основе продукта лежит ресурсно-сервисная модель, позволяющая создать модель предприятия с нужным уровнем декомпозиции, начиная от бизнес-процессов и информационных систем и заканчивая конкретными хостами, оборудованием или даже периферийными устройствами.
Таким образом, можно произвести оценку рисков как на высоком уровне для совокупностей объектов, так и детально для конкретного рабочего места, принтера или телефона. Благодаря наличию визуального представления в виде графа можно отследить взаимосвязи между объектами до уровня необходимой детализации.
Встроенные справочники
Система включает в себя все справочники из Банка данных угроз безопасности информации ФСТЭК, что позволяет пользователям создавать модели угроз и сценарии реализации рисков на основе уже готового и взаимосвязанного набора данных. Эти справочники состоят из следующих элементов:
· Негативные последствия
· Типы нарушителей
· Угрозы
· Компоненты воздействия
· Способы реализации угроз
· Меры защиты
Пользователи также могут редактировать справочники, удаляя нерелевантные объекты или дополняя их, например, техниками из MITRE ATT&CK.
Это дает возможность создать полноценную модель угроз для анализируемого набора активов. Построенная модель угроз далее становится основой для сценариев реализации рисков, которые представляют собой комбинацию из последствий, угроз, нарушителя и доступных этому нарушителю способов реализации.
Оценка рисков
Продукт дает аналитику возможность как провести оценку самостоятельно, так и собрать данные от экспертов с помощью опросных листов. При этом для разных экспертов можно создавать разные опросные листы в зависимости от их компетенций и зон ответственности. Так, от бизнес-подразделений можно собрать данные о потенциальном ущербе от реализации тех или иных угроз, а от технических экспертов получить данные о вероятности реализации того или иного сценария в определённой инфраструктуре.
Проведение оценки может как полностью проходить в онлайн формате, так и быть частично вынесено в офлайн за счет функционала импорта и экспорта данных в файл (составление опросных листов, методик оценки, формирование стандартов, этап сбора информации), что полезно для работы с удаленными локациями.
Все качественные оценки переводятся в балльную систему, в рамках которой результаты оценки могут быть рассчитаны с учетом принятых в конкретной организации практик (среднее, медиана, максимум и др.). За счет этого качественная и количественная оценка рассчитываются по единым формулам.
Обработка рисков
После того как все данные собраны и показатели риска рассчитаны, в системе предусмотрен функционал обработки рисков, в рамках которого пользователь может смоделировать эффект от внедрения тех или иных мер защиты и сопоставить их стоимость со степенью снижения риска при их внедрении. Таким образом, в интерфейсе системы можно подобрать наиболее адекватный набор мер по соотношению «Цена и эффективность».
Из этого же окна пользователю доступно создание задач на обработку риска. Механизм задач на внедрение мер защиты предоставляет возможность отслеживать выполнения сроков взятия в работу и исполнения, переназначать ответственных, принимать/отправлять задачи на доработку. Жизненный цикл задач можно кастомизировать.
После выполнения задач на внедрение исправлений и мер защиты все изменения автоматически отражаются на активах ресурсно-сервисной модели и в последующем учитываются при проведении регулярной оценки.
Мониторинг рисков
В модуль Security Vision RM включен функционал ключевых индикаторов риска, который значительно расширяет возможности управления и мониторинга рисков. Система позволяет автоматизированно собирать и агрегировать данные из различных внешних источников, таких как системы SOAR, управления уязвимостями и управления активами, что позволяет видеть полную картину текущих рисков в реальном времени. Более того, продукт автоматически уведомляет о случаях превышения заданных пороговых значений всех связанных с индикатором рисков.
Пользователь может точно настраивать, для каких именно рисков актуален конкретный индикатор, а также задавать фильтры для автоматической выборки рисков. Это позволяет, например, индикаторам, отслеживающим появление незакрытых критических уязвимостей, динамически сообщать о повышении рисков, связанных с использованием злоумышленниками известных уязвимостей. Такой подход обеспечивает более оперативное и точное реагирование на потенциальные угрозы, улучшая общие показатели кибербезопасности организации.
Возможности моделирования
В продукт встроен функционал моделирования рисков методом Монте-Карло, представляющий собой инструмент для оценки и управления неопределенностью в процессе принятия решений. Этот метод позволяет пользователям проводить множество итераций сценариев, используя случайные величины для учета возможных изменений и вариаций в данных. В результате пользователь сможет оценить потенциальную величину потерь и подверженность риску, а с помощью параметров распределения частоты и ущерба отследить минимум/среднее/максимум значений для дальнейшего.
Применение метода Монте-Карло в моделировании рисков позволяет не только выявлять наиболее вероятные события, но и анализировать влияния различных факторов на конечный результат. Это дает возможность принимать более обоснованные решения, вовремя выявлять и минимизировать потенциальные угрозы.
Отчеты и дашборды
В модуль Security Vision RM включены преднастроенные отчеты, позволяющие выгружать данные как по отдельным объектам системы (объекты ресурсно-сервисной модели, процессы оценки, опросные листы и др.), так и сводные отчеты, которые содержат консолидированную информацию.
Также включен ряд преднастроенных дашбордов, отображающих ключевую информацию по статусам оценок, уровням рисков и ключевых индикаторов рисков, а также сводной аналитике собранных данных.
Все дашборды автоматически обновляются и являются интерактивными: пользователь может «провалиться» в необходимый срез данных и увидеть источник для расчета того или иного показателя.
Таким образом, процесс управления рисками становится прозрачным и удобным.
Часть экосистемы Security Vision
Ресурсно-сервисная модель Security Vision RM также является полноценной составляющей Модуля управления активами, входящего в экосистему Security Vision. Помимо основного функционала, Модуль управления активами тесно связан с другими продуктами экосистемы, что обеспечивает синергию функционала линейки продуктов в единой области данных путем взаимного обогащения, переиспользования информации и единого управляющего интерфейса. Модуль управления активовами является важным источником базовой информации, используемой продуктами экосистемы, такой как перечень уязвимостей ПО/ОС, установленные обновления, а также артефакты и свидетельства, используемые в процессах управления инцидентами или управления рисками.
