Наверное многие даже и не знают, что в стандартном модуле Qualys VM встроена возможность проведения оценки рисков, а также управления ими.
Расскажу поподробнее...
Qualys не является системой для управления рисками, однако способен измерить часть ИТ-рисков и посмотреть их общую динамику. Логика процесса выглядит следующим образом:
Назначение владельцев и классификация активов
В свойствах актива можно переназначить владельца и установить следующие свойства активов:
Расскажу поподробнее...
Qualys не является системой для управления рисками, однако способен измерить часть ИТ-рисков и посмотреть их общую динамику. Логика процесса выглядит следующим образом:
- Сначала проводится маппинг сети, выявляются все хосты (активы), которые будут входить в область оценки.
- Для каждого актива (группы активов) определяется/назначается владелец и устанавливаются основные свойства актива (группы активов), которые в конечно счете будут влиять на ценность актива и вероятность реализации угроз.
- Проводится сканирование активов (поиск уязвимостей).
- Учитывая критичность уязвимости (подробнее см.здесь) и выставленных характеристик актива (из п.2) решение Qualys считает уровень риска. При необходимости оценку можно уточнять изменяя критичность уязвимости и/или добавляя/исключая уязвимости.
- Далее проводятся работы по устранению уязвимостей. Как мы знаем, решение Qualys может назначать задачи на конкретных исполнителей в зависимости от выбранных параметров, например, критичности уязвимостей и типа актива. При этом мы можем определить доля себя некий допустимый уровень риска (а по факту совокупность уровня и типа уязвимости, а также группы актива), на который сотрудники, ответственные за устранение уязвимостей будут реагировать уменьшая или избегая риска.
- Через некоторое время (или строго по расписанию) можно провести повторное сканирование, по результатам которого риски автоматически пересчитаются, и мы сможем увидеть динамику их изменения.
Далее чуть подробнее про оценку рисков с Qualys (однако про то. как делать маппинг сети (поиск доступных хостов), сканирование сети, подготовку отчета и назначение задач по устранению уязвимостей рассказывать не буду, это стандартные функции и процедуры в Qualys VM).
Включение CVSS Scoring
Первое, что необходимо сделать - это включить CVSS Scoring, без этого не будут доступна возможность установления свойств для активов. Включение производится во вкладке Reports/Setup/CVSS
В свойствах актива можно переназначить владельца и установить следующие свойства активов:
- Business Impact. Влияние на бизнес.
Возможные варианты: Low/Minor/Medium/High/Critical. По умолчанию устанавливается - High. - Collateral Damage Potential. Потенциальная возможность реализации.
По сути, данная характеристика определяет, на сколько сильно будут влиять на итоговую оценку рисков потенциальные (неподтвержденные, но выявленные) уязвимости. Возможные варианты: Not_Defined/None/Low-Medium/ Medium-High. По умолчанию устанавливается - Not Defined (не определено). - Target Distribution. Уникальность актива.
Возможные варианты: Not_Defined/None/Low/Medium/High. По умолчанию устанавливается - Not Defined. - Confidentiality Requirement. Конфиденциальность.
По сути, насколько важна конфиденциальность информации, обрабатываемой на данном активе. Возможные варианты: Not_Defined/Low/Medium/High. По умолчанию устанавливается - Not Defined. - Integrity Requirement. Целостность.
По сути, насколько важна целостность информации, обрабатываемой на данном активе. Возможные варианты: Not_Defined/Low/Medium/High. По умолчанию устанавливается - Not Defined. - Availability Requirement. Доступность.
По сути, насколько важна доступность данного актива/ информации, обрабатываемой на нем. Возможные варианты: Not_Defined/Low/Medium/High. По умолчанию устанавливается - Not Defined.
Свойства актива редактируются во вкладке Assets/Asset Group посредством выделения группы активов и нажатия на значок Edit.
Просмотр значения величины риска
Величина риска отображается в отчетах в виде небольшой шкалы, где 0-минимальный уровень риска, а 5- максимальный.
Так же считается бизнес-риск, при этом учитывается только коэфициент "Business Impact".
Оценка рисков информационной безопасности полезный, но обычно не простой процесс. Вы можете для начала (или дополнительно) использовать возможности и инструментарий Quays VM. Это просто и удобно, а итоговая оценка показательна даже для руководителей, не имеющих дела с ИТ.
Комментариев нет:
Отправить комментарий