Рассматриваем новые возможности Security Vision Risk Management (RM), которые позволяют организовать полный цикл управления рисками для предприятий и организаций всех размеров и отраслей.
- Введение
- Ресурсно-сервисная модель
- Встроенные справочники
- Оценка рисков
- Обработка рисков
- Мониторинг рисков
- Возможности моделирования
- Отчёты и дашборды
- Часть экосистемы Security Vision
- Выводы
Введение
Цифровизация окружающего мира набирает обороты, технологии помогают человеку оптимизировать как личное время, так и рабочее. Но что делать с технологиями, которые несут в себе риски злоупотребления ими?
Риски для информационной безопасности присутствуют в любом современном бизнесе. Для оценки и снижения потенциального ущерба от реализации рисков применяются различные подходы и аналитические модели: OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), FRAP (Facilitated Risk Analysis Process), CRAMM (CCTA Risk Analysis & Management Method), процессная модель управления рисками. Вендоры вкладывают ресурсы и опыт в разработку профильных инструментов для оценки рисков в области ИБ и управления ими.
Российская компания Security Vision выпустила обновление комплексной системы управления рисками Security Vision RM, предоставляющей широкие возможности для организаций всех размеров и отраслей. Продукт разработан с учётом требований отечественных и международных стандартов в области обеспечения управления рисками для информационной безопасности, таких как ISO 27005:2022, ГОСТ Р ИСО/МЭК 27005, методика оценки угроз безопасности информации ФСТЭК России от 5 февраля 2021 г., FAIR (Factor Analysis of Information Risk).
Security Vision RM позволяет обеспечить реализацию процесса управления рисками на всех стадиях его жизненного цикла.
Рисунок 1. Процесс менеджмента риска в сфере информационной безопасности согласно ГОСТ Р ИСО/МЭК 27005
Security Vision RM охватывает весь жизненный цикл процесса управления рисками, начиная с этапа определения среды. Ресурсно-сервисная модель позволяет детально описать бизнес и ИТ-компоненты инфраструктуры. На стадии идентификации рисков продукт интегрирует методологию ФСТЭК России, позволяя моделировать угрозы с применением обширной базы данных по уязвимостям.
Последующие этапы анализа и оценки рисков поддерживают качественный и количественный методы оценки. Security Vision RM даёт аналитику возможность провести оценку полностью самостоятельно либо собрать данные от экспертов с помощью опросных листов.
На этапе обработки рисков пользователи могут моделировать различные конфигурации внедрения мер защиты с целью составления оптимального набора по соотношению затрат и эффективности, а также создавать задачи, направленные на минимизацию рисков, и управлять ими.
В рамках мониторинга и пересмотра рисков в продукт заложены механизм ключевых индикаторов риска и функциональность переоценки рисков.
Далее рассмотрим перечисленные аспекты продукта подробнее.
Ресурсно-сервисная модель
Лежит в основе продукта, позволяет создать модель предприятия с нужным уровнем декомпозиции, начиная от бизнес-процессов и информационных систем и заканчивая конкретными хостами, оборудованием или даже периферийными устройствами.
Рисунок 2. Оценка рисков → Формирование в Security Vision RM
Таким образом, можно произвести оценку рисков как на высоком уровне для совокупностей объектов, так и детально для конкретного рабочего места, принтера или телефона. Благодаря наличию визуального представления в виде графа можно отследить взаимосвязи между объектами до уровня необходимой детализации.
Встроенные справочники
Система включает в себя все справочники из Банка данных угроз безопасности информации ФСТЭК России, что позволяет пользователям создавать модели угроз и сценарии реализации рисков на основе уже готового и взаимосвязанного набора данных. Эти справочники состоят из следующих элементов:
- Негативные последствия.
- Типы нарушителей.
- Угрозы.
- Компоненты воздействия.
- Способы реализации угроз.
- Меры защиты.
Пользователи также могут редактировать справочники, удаляя нерелевантные объекты или дополняя их, например, техниками из MITRE ATT&CK.
Рисунок 3. Справочники в Security Vision RM
Это даёт возможность создать полноценную модель угроз для анализируемого набора активов. Построенная модель угроз далее становится основой для сценариев реализации рисков, которые представляют собой комбинации из последствий, угроз, нарушителя и доступных этому нарушителю способов реализации.
Рисунок 4. Оценка рисков → Моделирование в Security Vision RM
Оценка рисков
Продукт даёт аналитику возможность как провести оценку самостоятельно, так и собрать данные от экспертов с помощью опросных листов. При этом для разных экспертов можно создавать разные опросные листы в зависимости от их компетенций и зон ответственности. Так, от бизнес-подразделений можно получить данные о потенциальном ущербе от реализации тех или иных угроз, а от технических экспертов — о вероятности реализации того или иного сценария в определённой инфраструктуре.
Проведение оценки может как полностью проходить онлайн, так и быть частично вынесено в офлайн за счёт функциональности импорта и экспорта данных из файла / в файл (составление опросных листов, методик оценки, формирование стандартов, этап сбора информации), что полезно для работы с удалёнными локациями.
Рисунок 5. Оценка рисков → Оценка в Security Vision RM
Все качественные оценки переводятся в балльную систему, в рамках которой результаты могут быть рассчитаны с учётом принятых в конкретной организации практик (среднее, медиана, максимум и др.). За счёт этого качественная и количественная оценки рассчитываются по единым формулам.
Обработка рисков
После того как все данные будут собраны, а показатели риска — рассчитаны, пользователь сможет в рамках функциональности обработки рисков, предусмотренной в системе, смоделировать эффект от внедрения тех или иных мер защиты и сопоставить их стоимость со степенью снижения риска при их внедрении. Таким образом, в интерфейсе системы можно подобрать наиболее адекватный набор мер по соотношению цены и эффективности.
Рисунок 6. Оценка рисков → Обработка в Security Vision RM
В этом же окне пользователю доступно создание задач на обработку риска. Механизм задач по внедрению мер защиты предоставляет возможность отслеживать выполнение сроков взятия в работу и исполнения, переназначать ответственных, принимать / отправлять задачи на доработку. Жизненный цикл задач можно индивидуализировать.
После выполнения задач по внедрению исправлений и мер защиты все изменения автоматически отражаются в активах ресурсно-сервисной модели и далее учитываются при проведении регулярной оценки.
Мониторинг рисков
В модуль Security Vision RM включена функциональность ключевых индикаторов риска, которая значительно расширяет возможности управления и мониторинга. Система позволяет автоматизированно собирать и агрегировать данные из различных внешних источников, таких как системы оркестровки и автоматизации (SOAR), управления уязвимостями и активами, что позволяет видеть полную картину имеющихся рисков в настоящем времени. Более того, продукт автоматически уведомляет о случаях превышения заданных пороговых значений всех связанных с индикатором рисков.
Рисунок 7. Ключевой индикатор риска в Security Vision RM
Пользователь может точно настраивать, для каких именно рисков актуален конкретный индикатор, а также задавать фильтры для автоматической выборки. Это позволяет, например, индикаторам, которые отслеживают появление незакрытых критических уязвимостей, динамически сообщать о повышении рисков, связанных с использованием злоумышленниками известных уязвимостей. Такой подход обеспечивает более оперативное и точное реагирование на потенциальные угрозы, улучшая общие показатели кибербезопасности организации.
Возможности моделирования
В продукт встроена функциональность моделирования рисков методом Монте-Карло, представляющая собой инструмент для оценки неопределённости в процессе принятия решений и управления ею. Этот метод позволяет пользователям проводить множество итераций сценариев, используя случайные величины для учёта возможных изменений и вариаций в данных. В результате пользователь сможет оценить потенциальную величину потерь и подверженность риску, а с помощью параметров распределения частоты и ущерба — отследить минимум / среднее / максимум значений для дальнейшего учёта.
Рисунок 8. Моделирование рисков по методу Monte Carlo в Security Vision RM
Применение метода Монте-Карло в моделировании рисков позволяет не только выявлять наиболее вероятные события, но и анализировать влияние различных факторов на конечный результат. Это даёт возможность принимать более обоснованные решения, вовремя выявлять и минимизировать потенциальные угрозы.
Отчёты и дашборды
В модуль Security Vision RM включены преднастроенные отчёты, позволяющие выгружать как данные по отдельным объектам системы (объекты ресурсно-сервисной модели, процессы оценки, опросные листы и др.), так и сводки, которые содержат консолидированную информацию.
Рисунок 9. Пример Аналитического дашборда в Security Vision RM
Также включён ряд преднастроенных дашбордов, отображающих ключевую информацию по статусам оценок, уровням и основным индикаторам рисков, а также сводную аналитику по собранным данным.
Все дашборды автоматически обновляются и являются интерактивными: пользователь может «провалиться» в необходимый срез данных и увидеть источник для расчёта того или иного показателя.
Рисунок 10. Пример Аналитической карты в Security Vision RM
Таким образом, процесс управления рисками становится прозрачным и удобным.
Часть экосистемы Security Vision
Ресурсно-сервисная модель Security Vision RM также является полноценной составляющей модуля управления активами, входящего в экосистему Security Vision. Помимо основной функциональности, этот модуль тесно связан с другими продуктами экосистемы, что обеспечивает синергию линейки продуктов в единой области данных путём взаимного обогащения и переиспользования информации и за счёт единого управляющего интерфейса.
Модуль управления активами является важным источником базовой информации, которой оперируют продукты экосистемы. От него поступают перечень уязвимостей ПО / ОС, сведения об установленных обновлениях, а также артефакты и свидетельства, используемые в процессах управления инцидентами или рисками.
Выводы
Новые возможности системы управления рисками для информационной безопасности Security Vision RM помогают провести глубокий комплексный анализ и оценку рисков для предприятия.
Система позволяет моделировать угрозы (например, согласно требованиям ФСТЭК России), учитывает методологию оценки рисков.
Конфигурацию «из коробки» возможно усилить данными из справочников и опросных листов.
Security Vision RM интегрируется со смежными системами и входит в экосистему продуктов Security Vision.
Реклама, ООО "ИНТЕЛЛЕКТУАЛЬНАЯ БЕЗОПАСНОСТЬ", ИНН 7719435412
ERID: 2VfnxyA5HUt
