Zarządzanie podatnościami systemów informatycznych i procesów przetwarzania informacji w przedsiębiorstwach

Zarządzanie podatnościami w systemach informatycznych w każdej organizacji ma na celu identyfikowanie luk w bezpieczeństwie szeroko pojmowanych aktywów informacyjnych przedsiębiorstwa, czyli tych właśnie systemów informatycznych oraz przetwarzanych w nich informacji, w sposób kompleksowy i w ramach zorganizowanego procesu, a także – by móc robić to skutecznie – zastosowanie adekwatnych do poziomu ryzyka środków naprawczych.

Istnieją dwie kategorie środków naprawczych: (1) środki korygujące i (2) środki kompensujące ryzyka.

Środki korygujące są implementowane bezpośrednio w podatnym systemie i mają na celu usunięcie podatności poprzez zastosowanie poprawki w oprogramowaniu systemu lub zmiany w jego konfiguracji (programowej lub sprzętowej). Środki kompensujące mogą być zastosowane w podatnym systemie lub w zewnętrznych systemach zabezpieczających. Mogą też mieć charakter rozwiązań proceduralno-organizacyjnych (na przykład proceduralno-organizacyjne ograniczenia dostępu). Środki te nie mają na celu usunięcie samej podatności, a jedynie pośrednie skompensowanie związanego z nią ryzyka. Celem jest w tym przypadku zmniejszenie do minimum ekspozycji podatności na działanie czynnika materializującego zagrożenie (na atak).

Środki kompensujące stają się niezbędne zawsze wtedy, gdy nie ma możliwości natychmiastowego zastosowania docelowych środków korygujących. Taka sytuacja ma miejsce w przypadku, gdy:

  • podatność występuje w systemie wbudowanym w specjalistyczne urządzenia o zamkniętej architekturze, zwłaszcza jeśli podatne oprogramowanie występuje na nośniku dostępnym w trybie wyłącznie do odczytu;
  • podatność dotyczy systemów, w których zastosowanie poprawek bezpieczeństwa obarczone jest ryzykiem spowodowania nieciągłości działania aplikacji lub naruszenia warunków kontraktowych wsparcia technicznego (na przykład, kiedy krytyczna aplikacja działająca w środowisku podatnego systemu operacyjnego, serwera aplikacyjnego czy platformy uruchomieniowej (ang: runtime) nie jest zgodna programowo lub konfiguracyjnie z niezbędną do usunięcia podatności aktualizacją oprogramowania tegoż środowiska);
  • zastosowanie docelowego środka korygującego jest opóźnione koniecznością przeprowadzenia jego testów poprzedzających wdrożenie produkcyjne lub gdy produkcyjne wdrożenie jest możliwe jedynie w określonym czasie, w tzw. oknie serwisowym.
Proces Zarządzania Podatnościami

Proces Zarządzania Podatnościami

Identyfikowanie podatności może mieć miejsce: (1) w procesie testów podatności, (2) w procesie innych testów bezpieczeństwa: testów penetracyjnych, testów weryfikujących spełnienie wymagań bezpieczeństwa, testów zgodności z wymaganiami standardów bezpieczeństwa, (3) podczas przeprowadzania modelowania zagrożeń i analizy ryzyka, (4) w procesie zarządzania zdarzeniami bezpieczeństwa oraz proaktywnego monitorowania bezpieczeństwa systemów, (5) w procesie zarządzania incydentami bezpieczeństwa (podatność jako przyczyna zgłoszonego incydentu bezpieczeństwa), (6) w konsekwencji aktywnego poszukiwania informacji o podatnościach 0-day pasujących do bazy aktywów przedsiębiorstwa.

Zarządzanie podatnościami jako proces – część zintegrowanego systemu zarządzania bezpieczeństwem w organizacji – pozostaje w relacji do innych procesów operacyjnych IT oraz procesów zarządzania bezpieczeństwem informacji. Jakość tych powiązań decyduje o jego skuteczności. Najważniejszymi procesami powiązanymi są:

  • Zarządzanie Aktywami Informacyjnymi;
  • Zarządzanie Ryzykiem Aktywów Informacyjnych;
  • Zarządzanie Zdarzeniami Bezpieczeństwa;
  • Zarządzanie Incydentami Bezpieczeństwa Informacji;
  • Zarządzanie Ciągłością Działania Systemów Informatycznych;
  • BCM;
  • Zarządzanie Zgodnością ze Standardami Bezpieczeństwa

Najwyraźniej, zależności pomiędzy procesem Zarządzania Ryzykiem Aktywów Informacyjnych a procesem Zarządzania Podatnościami ujawniają się podczas:

  • oceny poziomu ryzyka związanego z podatnościami oraz doboru odpowiednich środków naprawczych;
  • przeprowadzania analiz ryzyka, bazując na raportach z testów podatności;
  • podczas oceny poziomu istotności zdarzeń bezpieczeństwa (określone zdarzenie w niepodatnym systemie ma niższy poziom istotności niż to samo zdarzenia w systemie podatnym).
Czynności w procesie Zarządzania Podatnościami

Czynności w procesie Zarządzania Podatnościami

Zarządzanie Zdarzeniami Bezpieczeństwa pozostaje w następujących (wzajemnych) zależnościach względem procesu Zarządzania Podatnościami:

  • bazy danych o podatnościach i systemy wspomagające zarządzanie podatnościami mogą być źródłem danych dla procesu Zarządzania Zdarzeniami Bezpieczeństwa: mogą zasilać systemy Zarządzania Zdarzeniami Bezpieczeństwa danymi o podatnościach, by w następnej kolejności dane te mogły stanowić kryteria zaawansowanych korelacji w systemach Zarządzania Zdarzeniami Bezpieczeństwa, a w razie spełniania kryteriów takiej korelacji, mogły być zwrotnie, do procesu Zarządzania Podatnościami, sygnalizowane podatności – przyczyny tych zdarzeń – trudne do wykrycia metodami klasycznych testów;
  • systemy Zarządzania Zdarzeniami Bezpieczeństwa mogą dostarczać danych do procesu Zarządzania Podatnościami, pozwalających na priorytetyzację działań naprawczych;
  • systemy Zarządzania Zdarzeniami Bezpieczeństwa dostarczają do procesu Zarządzania Podatnościami informacji pozwalających na dokładniejszą ocenę rzeczywistego poziomu ryzyka związanego z określoną podatnością oraz pozwalają na dodatkową weryfikację poziomu skuteczności zastosowanych środków naprawczych w procesie Zarządzania Podatnościami;

Skuteczność i jakość procesu Zarządzania Podatnościami zależy wprost od Zarządzania Aktywami Informacyjnymi. Oczywista jest potrzeba posiadania pełnej informacji o wszystkich aktywach podlegających zarządzaniu podatnościami, ich klasyfikacji oraz krytyczności według kryteriów BCM.

Powiązanie procesu Zarządzania Podatnościami z procesem Zarządzania Zgodnością ze Standardami Bezpieczeństwa ujawnia się w:

  • wykorzystaniu wyników identyfikacji podatności do oceny zgodności, tak z wewnętrznymi standardami bezpieczeństwa, jak i standardami branżowymi oraz wymogami przepisów prawa powszechnego
  • oceny wszystkich obszarów niezgodności ze standardami bezpieczeństwa do identyfikowania potencjalnych podatności.

Na skuteczność procesu zarządzania podatnościami wpływ mają następujące czynniki:

  • kompletność i jakość bazy aktywów objętych procesem zarządzania podatnościami;
  • jak najwcześniejsza detekcja podatności (jak najkrótszy czas pomiędzy publicznym ujawnieniem faktu istnienia podatności i jej detekcją w konkretnym systemie przedsiębiorstwa);
  • właściwa ocena ryzyka związanego z podatnością, pozwalająca na podjęcie adekwatnych do poziomu ryzyka środków postępowania;
  • jak najkrótszy czas ekspozycji podatności na atak (na przykład skrócenie czasu ekspozycji podatności przez tymczasowe zastosowanie środków kompensujących, wobec braku natychmiastowo dostępnych, docelowych środków korygujących);
  • efektywność doboru środków korygujących i kompensujących, planowania i wdrożenia planów ich zastosowania oraz pozyskania wszystkich niezbędnych w tym celu środków (budżet, personel etc.);
  • efektywność testowania środków naprawczych przed ich produkcyjnym wdrożeniem;
  • wiarygodność weryfikacji skuteczności zastosowanych środków naprawczych;
  • kompetencje merytoryczne uczestników procesu;
  • organizacja procesu;
  • powiązanie z innymi procesami zarządzania bezpieczeństwem informacji (Zarządzanie Ryzykiem Aktywów Informacyjnych, Zarządzanie Zdarzeniami Bezpieczeństwa, Zarządzanie Incydentami Bezpieczeństwa, Zarządzanie Ciągłością Działania Systemów Informatycznych i BCM, Zarządzanie Zgodnością ze Standardami Bezpieczeństwa);
  • pomiar efektywności i jakości procesu zarządzania podatnościami.
Ekspozycja podatności na atak

Ekspozycja podatności na atak

Zarządzanie podatnościami pozwala na efektywne postępowanie z ryzykiem, a tym samym istotne zmniejszenie prawdopodobieństwa i możliwych skutków naruszeń bezpieczeństwa systemów, a także wycieków wrażliwych informacji, w tym informacji podlegających prawnej ochronie (na przykład tajemnica bankowa, dane osobowe, tajemnica przedsiębiorstwa) poza organizację. Dobrze zaprojektowane i wdrożony proces oraz wspomagające go, niezbędne narzędzia, a także wyedukowany personel pozwalają przedsiębiorstwom na osiągnięcie istotnych sukcesów w tej dziedzinie.

Informacje Janusz Nawrat
Just ordinary man who likes thinking...

One Response to Zarządzanie podatnościami systemów informatycznych i procesów przetwarzania informacji w przedsiębiorstwach

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

TOMASZ WEŁNA

artysta grafik | wykładowca

PRACOWNIA OKO

Szkoła Rysunku Malarstwa i Grafiki DR TOMASZA WEŁNY | KRAKÓW | Plac Matejki 10 | tel 691 81 75 74

Piękno neurobiologii

Blog Jerzego Vetulaniego

Teoria muzyki, zasady muzyki, podstawy muzyki

Teoria muzyki, zasady muzyki, podstawy muzyki - czyli to co każdy amator muzyki wiedzieć powinien :)

Personal Development & Inspirations

Przemyślenia i refleksje, którymi warto się podzielić (blog by Janusz Nawrat)

Business IT Cooperation Platform

Biznes i IT - dwa światy, które muszą współdziałać

%d bloggers like this: