30.01.2013

Не все то золото, что стандарт

Стандарты у западопоклонников в особой чести: если нечто скреплено магическими буквами и цифрами, оно заведомо хорошо всем и вчетверо превосходит отечественные потуги, что уверенно округляется до двух порядков. ФирмА, че уж там! Хвалить их принято в режиме реального времени – одновременно с чтением. То есть не так чтобы изучил, дал улечься и выразил, а тырнул фразу через буфер и прямо на ходу ей восхитился, а за ней сразу другую тоже. Акын-стайл.

Приключилось тут опять воспользоваться ISO 27005 – ну капец ведь.

2700х – это система, комплекс. Нестройный, но славный 27001 отправляет выбирать меры из 27002 на основе анализа рисков (для краткости не буду перечислять идентификацию, анализ, измерение, оценку – здесь и далее просто анализ), а тот находится в 27005 как раз. Т.е. в пятерке мы имеем дело не с анализом риском вообще, а с типичным анализом рисков на предмет. Ну, отлично – заглядываем в его собрата по исо27тыщ, чем же нам в конечном итоге предлагается защищаться.

И вот тут жесть. Потому что анализ рисков, он ведь у них устроен как: переписываем свои активы типа софт, железо, помещения, материальные носители, etc. и оцениваем их критичность с точки зрения последствий, потом пересекаем с угрозами, для которых определяем вероятность возникновения и легкость реализации (степень неуязвимости каждого актива к каждой угрозе, если так понятнее), и наконец все перемножаем к чертям собачьим.

Так вот это пересечение уже предопределило, что риски получатся вида «повреждение водой дела №21-01-8К», «программный сбой межсетевого экрана» и «недоступность серверной для обслуживающего персонала». Оно-то хорошо, но Вы как потом из этого получите, что в организации должны быть вовлеченность руководства, обработка инцидентов или обучение по проблемам информбезопасности? Или даже интереснее - что чего-то из них не должно быть. Правильно, притягиванием. Нет ничего невозможного для человека с интеллектом.

Да только длина логической цепочки такова, что оценка теряет смысл. «Мы не можем мириться с риском ошибки оператора 22, поэтому [бла-бла-бла-бла-бла] с помощью внутреннего форума по информационной безопасности, который в силу [бла-бла-бла-бла-бла] снизит наш риск до 19». А почему бы тогда не до 17 или не с помощью тестирования аварийных процедур? Что толку, что Вы героическими усилиями 22 насчитали, если потом все равно вот этот бубен «бла-бла-бла-бла-бла 11,63»?

Как бы это на пальцах… Что-то вроде: «возьмите буковую разделочную доску, измерьте площадь рабочей поверхности половника (не ошибитесь!) и сварите борщ». Инструментарий Вам дают один, а результат хотят другой, почти не связанный.

Есть, конечно, «контроли» и с совсем четкой цепочкой риск – контрмера – остаточный риск (среди ста с хреном штук еще бы им не быть!), да сам механизм длинными уже дискредитирован. Что толку, что вот конкретно здесь Вы совершенно точно намерили 9, если рядом так посмотришь – вроде 3, а так – все 42.

Или вот тоже смешно. Какие-то защитные меры в организации могут быть уже внедрены – так пятерка советует их предварительно идентифицировать, чтобы потом не предложить в качестве меры по управлению риском то, что и так есть. Это знаете для кого рекомендация? Для консалтера, который первый и последний раз эту СМИБ видит. От консалтера, который так их и видел.

В жизни 27005 тут сработает по-другому: имеющаяся контрмера «просадит» соответствующие угрозы – Вы когда будете опрашивать экспертов, Вам их дадут за вычетом. Скажем, все привыкли, что система усиленной аутентификации усиленно аутентифицирует, и по НСД оценки будут спокойные. А потом придет аудитор исошный и спросит: «А вот у вас система усиленной аутентификации – она как из анализа рисков следует?». А она и не следует. А по исо27тыщ меры должны быть оправданы – надо выключать. Выключили – на следующий год вылез риск – включили – исчез риск – выключили – на следующий год вылез риск... Замечательная мигалка DIY, можете попробовать, главное буквально следовать.

И ведь 70 страниц на это накручено. И ведь кто-то с душой переводит.

19 комментариев:

Михаил Новокрещенов комментирует...

Так это недостаток экспертного метода оценки вообще. На одном мероприятии слушал интересное выступление о методах оценки эффективности внедрения IT-технологий. Та же самая беда. Каких только методик не напридумано, но в конечном итоге все равно ключевые параметры берутся либо как средняя температура по больнице, либо как эксперту бог на душу положит. Куда деваться, пока другого инструментария не придумали, пользуемся этим. Как-то ведь надо измерять деятельность.. пока считаем в попугаях ))

Sergey Barmin комментирует...

27005 не торт!

Ригель комментирует...

Михаил, экспертный метод приложен к другому предмету - понимаете? Измеряете Вы половник, а готовить будете из продуктов.

Сергей, они все не торт.

Михаил Новокрещенов комментирует...

Согласен, правда я бы немного изменил метафору. Мы подбираем продукты к блюду и указываем вдруг, что необходимо воспользоваться половником.
Боюсь, что попытка формализовать критерии применимости (необходимости и достаточности) мер заняла бы ещё страниц 700

Ригель комментирует...

Да, как-то так!

Алексей Волков комментирует...

Это высокая кухня, ребята. В ней важно не только чем ты будешь накладывать, но и как, каким прибором, под каким соусом и в какой последовательности ты будешь это есть. Иначе мишленовский ресторан уйжет, а столовая номер 5 останется. А похавать можно и в ларьке Шаурма. Все от потребности клиента зависит.

Алексей Т. комментирует...

Читая стандарты 27*** понимаешь, что все их писали разные люди в разное время. Последствия как раз и описаны...я вообще не представляю идеальной методики оценки рисков- всегда получается либо слишком просто, либо как описал автор. Имхо лучше простоту выбирать.

Алексей Т. комментирует...

Читая стандарты 27*** понимаешь, что все их писали разные люди в разное время. Последствия как раз и описаны...я вообще не представляю идеальной методики оценки рисков- всегда получается либо слишком просто, либо как описал автор. Имхо лучше простоту выбирать.

Александр Бондаренко комментирует...

Уважаемый Ригель. Ну ты часто пишешь что называется не в бровь а в глаз, а тут я прямо удивился. Какое-то собрание стандартных клише и ошибок, которые наверное простительны только студенту (без обид) в первый раз увидевшему стандарт.

При всем моем уважении, я не говорю, что ISO 27005 идеален, но говорить, что он вообще не в кассу и не понятно как его применять никак нельзя.

Вот к примеру

1) Так вот это пересечение уже предопределило, что риски получатся вида «повреждение водой дела №21-01-8К», «программный сбой межсетевого экрана» и «недоступность серверной для обслуживающего персонала».

Риски можно формулировать по разному. Не хочу рекламировать ничего, но компания, которая занимается разработкой автоматизированного инструментария по оценке рисков и к которой я имею непосредственное отношение, использует в базе рисков другие формулировки, привязанные именно к последствиям. Т.е к примеру риск будет звучать как "хищение информации в результате противоправных действий персонала организации". Думаю что такую формулировку в состоянии понять даже бизнесовый человек

2) Да только длина логической цепочки такова, что оценка теряет смысл. «Мы не можем мириться с риском ошибки оператора 22, поэтому [бла-бла-бла-бла-бла] с помощью внутреннего форума по информационной безопасности, который в силу [бла-бла-бла-бла-бла] снизит наш риск до 19».

Ну это вообще никуда не годится. Прежде чем проводить оценку нужно договориться о критериях оценки рисков (это даже в стандарте сказано), так вот если эти критерии определить, то всем будет понятно что именно скрывается за цифрой 10, а что именно за цифрой 19.

3) Или вот тоже смешно. Какие-то защитные меры в организации могут быть уже внедрены – так пятерка советует их предварительно идентифицировать, чтобы потом не предложить в качестве меры по управлению риском то, что и так есть.

А вот и не правда. "пятерка" предлагает учесть эти меры при определении текущего уровня риска, а это не означает, что мы не воспринимаем эти меры как меры, воздействующие на риск. Они воздействуют и должны быть учтены. Так что

"....А по исо27тыщ меры должны быть оправданы – надо выключать. Выключили – на следующий год вылез риск – включили – исчез риск – выключили – на следующий год вылез риск... Замечательная мигалка DIY..."

это неправда, так никто не делает и стандарт к этому не призывает.

Я закончил :) Готов ловить помидоры от тех, кто считает оценку рисков профанацией :)

Роман комментирует...

Горячая тема! Я месяц сидел, пытаясь на базе 27005 сформулировать внятную методику. Получается либо профанация аля "искусство", либо неподъемный труд по перебору всех возможных угроз и уязвимостей по отношению ко всем активам.

Все упирается в отсутствие в стандарте целостной и исчерпывающей модели угроз. В приложении есть несколько примеров, но что с ними делать и откуда брать остальные непонятно.

Стал искать и набрел на титанический IT-Grundschutz Catalogues. Там, правда, заложена немного другая методология, но педантично расписаны все типы активов, угроз и защитных мер, плюс их соответствие друг другу, плюс модульная структура. 3000 страниц! И еще, там нет никаких "уязвимостей". Есть просто угрозы, которые могут быть применимы к различным типам активов. И еще важно, что там есть модуль B1 Generic aspects of IT security, куда входят как раз все общие организационные меры типа обучения персонала.

Теперь остается замапить свои активы и контроли на этот каталог, но зато есть надежда со временем получить более-менее обоснованный анализ.

Ригель комментирует...

Александр!

1) "хищение информации в результате противоправных действий персонала организации" - это то же самое. Это атака (уязвимосте-активо-источнико-угроза) опять же оценивается. А выбирается-то мера (и не факт даже, что контр-).

2) Если что-то опущено, значит оно не имеет значения в этом контексте. Ну, 20 там было бы приемлемым порогом - и что? Вы из точки 22 идете в весьма произвольно выбранную точку M, и оттуда возвращаетесь в произвольную же точку N. Сильно эти 22 и 20 на результат повлияли?

3) Конечно, воздействуют - у меня это и написано. На оценку экспертами вероятности. Эксперт, сидящий за хорошим ЧОПом, скажет, что краж-то сейчас совсем немного. А раз немного - так давайте сэкономим на ЧОПе, нам вон на IDSку опять не хватает.

Мне очень жаль, конечно, что Ваша компания что-то такое продает (а на самом деле что у нее самой RA по 27005 сделан), но если Вы видите у меня _детские_ ошибки - это Вы поленились вдуматься.

Ригель комментирует...

Роман, это интересно - надо посмотреть. Ничего сейчас не могу говорить про Grundschutz каталог.

Vladimir Gninyuk комментирует...

Комментировать данный пост кратко не получится, 27005 действительно заслуживает критики, но ИМХО за другое... Не сочтите за саморекламу, но ввиду того что тема мне не безразлична позволю две ссылки на мои посты, они возникли раньше, поэтому там не ответы на поднятые вопросы, там немного другое, но может они кому то позволят взглянуть на проблему под другим углом:
http://vgninyuk.blogspot.com/2012/09/blog-post.html
http://vgninyuk.blogspot.com/2012/10/blog-post.html

Александр Бондаренко комментирует...

1) "хищение информации в результате противоправных действий персонала организации" - это то же самое. Это атака (уязвимосте-активо-источнико-угроза) опять же оценивается. А выбирается-то мера (и не факт даже, что контр-).

Не очень понял к чему это. Это не атака, а риск (атака - это конкретная форма реализации угрозы / риска).

2) Если что-то опущено, значит оно не имеет значения в этом контексте. Ну, 20 там было бы приемлемым порогом - и что? Вы из точки 22 идете в весьма произвольно выбранную точку M, и оттуда возвращаетесь в произвольную же точку N. Сильно эти 22 и 20 на результат повлияли?

Опять же не очень понял комментарии. При наличии согласованных критериев все очень четко понимают что значит цифра 22 с точки зрения возможных последствий для организации (финансовых, юридических и проч.). И вы идете не из точки 22 в точку 20, а снижаете риск до приемлемого уровня, зачем же так сильно все утрировать....

3) Конечно, воздействуют - у меня это и написано. На оценку экспертами вероятности. Эксперт, сидящий за хорошим ЧОПом, скажет, что краж-то сейчас совсем немного. А раз немного - так давайте сэкономим на ЧОПе, нам вон на IDSку опять не хватает.

При оценке рисков надо принимать во внимание не только факт наличия или отсутствия сейчас инцидентов, но и также потенциал для их реализации (особенно если мы вдруг решим отказаться от тех мер, которые сейчас принимаем), так что тоже пример не очень. Хотя в принципе возможна ситуация, когда при оценке рисков какие-то меры будут приняты избыточными и убраны, но потом окажется что это было ошибкой (после реализации инцидента). И это нормально. Контроль вернут обратно, но это будет сделано осознанно и один раз, а не как Вы описываете - убрали-вернули-убрали-вернули и так до бесконечности. Это уже идиотизм простите...

Ригель комментирует...

Владимир, это правда другая проблема ;)
Я исходил из допущения, что риски-то идентифицированы/оценены правильно - говорил про тот бубен, который уже после этого момента, а не до.

Александр, формулировка рискового события это еще не риск (потому что не содержит в себе вероятности), но суть не в этом.

Давайте на пальцах. К чему у Вас (в Вашей СМИБ) пристегнута, например, контрмера "обработка инцидентов информационной безопасности" - какие риски она понижает и насколько?

Роман комментирует...

Да, рекомендую посмотреть. Стандарты и каталоги IT-Grundschutz бесплатные:
https://www.bsi.bund.de/EN/Topics/ITGrundschutz/ITGrundschutzCatalogues/itgrundschutzcatalogues_node.html

Есть еще тулза, в которой можно это все моделировать, за деньги.

Публикация английской версии несколько остает от немецкой.

Ригель комментирует...

У меня даже есть он, время только надо

Игорь Луканин комментирует...

ISO сработала на опережение: в новой версии 27001 подход к оценке рисков и рассмотрению защитных мер будет изменен, как пишет коллега.

Кстати, чем мне импонирует СТО БР ИББС, так это тем, что не предписывает идентифицировать активы поштучно, а допускает, что будут идентифицированы только типы активов. А с таким подходом до «повреждения водой дела №21-01-8К» просто не дойдёт.

Ригель комментирует...

Не выглядит панацеей, но любопытно. Спасибо!

Отправить комментарий