суббота, 18 февраля 2012 г.

Qualys и управление рисками

Наверное многие даже и не знают, что в стандартном модуле Qualys VM встроена возможность проведения оценки рисков, а также управления ими.
Расскажу поподробнее...

Qualys не является системой для управления рисками, однако способен измерить часть ИТ-рисков и посмотреть их общую динамику. Логика процесса выглядит следующим образом:

  1. Сначала проводится маппинг сети, выявляются все хосты (активы), которые будут входить в область оценки.
  2. Для каждого актива (группы активов) определяется/назначается владелец и устанавливаются основные свойства актива (группы активов), которые в конечно счете будут влиять на ценность актива и вероятность реализации угроз.
  3. Проводится сканирование активов (поиск уязвимостей).
  4. Учитывая критичность уязвимости (подробнее см.здесь) и выставленных характеристик актива (из п.2) решение Qualys считает уровень риска. При необходимости оценку можно уточнять изменяя критичность уязвимости и/или добавляя/исключая уязвимости.
  5. Далее проводятся работы по устранению уязвимостей. Как мы знаем, решение Qualys может назначать задачи на конкретных исполнителей в зависимости от выбранных параметров, например, критичности уязвимостей и типа актива. При этом мы можем определить доля себя некий допустимый уровень риска (а по факту совокупность уровня и типа уязвимости, а также группы актива), на который сотрудники, ответственные за устранение уязвимостей будут реагировать уменьшая или избегая риска.
  6. Через некоторое время (или строго по расписанию) можно провести повторное сканирование, по результатам которого риски автоматически пересчитаются, и мы сможем увидеть динамику их изменения.
Далее чуть подробнее про оценку рисков с Qualys (однако про то. как делать маппинг сети (поиск доступных хостов), сканирование сети, подготовку отчета и назначение задач по устранению уязвимостей рассказывать не буду, это стандартные функции и процедуры в Qualys VM).

Включение CVSS Scoring
Первое, что необходимо сделать - это включить CVSS Scoring, без этого не будут доступна возможность установления свойств для активов. Включение производится во вкладке Reports/Setup/CVSS

Назначение владельцев и классификация активов
В свойствах актива можно переназначить владельца и установить следующие свойства активов:


  • Business Impact. Влияние на бизнес.
    Возможные варианты: Low/Minor/Medium/High/Critical. По умолчанию устанавливается - High.
  • Collateral Damage Potential. Потенциальная возможность реализации.
    По сути, данная характеристика определяет, на сколько сильно будут влиять на итоговую оценку рисков потенциальные (неподтвержденные, но выявленные) уязвимости. Возможные варианты:  Not_Defined/None/Low-Medium/ Medium-High. По умолчанию устанавливается - Not Defined (не определено).
  • Target Distribution. Уникальность актива.
    Возможные варианты:  Not_Defined/None/Low/Medium/High. По умолчанию устанавливается - Not Defined. 
  • Confidentiality Requirement. Конфиденциальность.
    По сути, насколько важна конфиденциальность информации, обрабатываемой на данном активе. Возможные варианты:   Not_Defined/Low/Medium/High. По умолчанию устанавливается - Not Defined. 
  • Integrity Requirement. Целостность.
    По сути, насколько важна целостность информации, обрабатываемой на данном активе. Возможные варианты:   Not_Defined/Low/Medium/High. По умолчанию устанавливается - Not Defined. 
  • Availability Requirement. Доступность.
    По сути, насколько важна доступность данного актива/ информации, обрабатываемой на нем. Возможные варианты:   Not_Defined/Low/Medium/High. По умолчанию устанавливается - Not Defined.


Свойства актива редактируются во вкладке Assets/Asset Group посредством выделения группы активов и нажатия на значок Edit.

Просмотр значения величины риска

Величина риска отображается в отчетах в виде небольшой шкалы, где 0-минимальный уровень риска, а 5- максимальный. 
Так же считается бизнес-риск, при этом учитывается только коэфициент "Business Impact".

Оценка рисков информационной безопасности полезный, но обычно не простой процесс. Вы можете для начала (или дополнительно) использовать возможности и инструментарий Quays VM. Это просто и удобно, а итоговая оценка показательна даже для руководителей, не имеющих дела с ИТ.



Комментариев нет:

Отправить комментарий