Инвентаризация активов с помощью R-Vision
Если люди – это фундамент, то управление активами – это «цемент» в стене под названием «защита информации». Именно процесс управления активами является связующим звеном и отправной точкой для других процессов информационной безопасности (ИБ). Поэтому я выделяю два ключевых требования к реестру активов, без соблюдения которых эта стена не получится достаточно крепкой и надежной – актуальность и полнота сведений.
Я, как специалист по ИБ, под понятием «управление активами» понимаю систематический процесс, включающий в себя постоянный контроль, учет и фиксацию всех ключевых изменений на протяжении всего жизненного цикла актива – от создания до вывода из эксплуатации. Результатом этого процесса является формирование реестра активов.
Система R-Vision справляется с задачей инвентаризации за счет отдельного функционального блока по управлению активами. В R-Vision есть перечень предварительно настроенных типов активов, которые можно разделить на две группы:
- ИТ-активы:
— Сети;
— Оборудование;
— ПО; - Группы ИТ-активов.
— Бизнес-активы:
— Бизнес-процессы;
— Подразделения/Организации;
— Информация;
— Помещения;
— Персонал.
Для всех этих типов активов прорисованы связи, т.е. мы сможем узнать в какой сети размещается то либо иное оборудование, какое программное обеспечение (ПО) установлено и какая информация обрабатывается на этом оборудовании, кто и с какими привилегиями имеет доступ к оборудованию (учетные записи пользователей) и т.д. Для более удобной работы с активами R-Vision позволяет объединять отдельные экземпляры оборудования в группы ИТ-активов, которые необходимо отдельно контролировать с точки зрения ИБ. Они, в свою очередь, связываются с другими типами активов, доступными в R-Vision. Кроме того, можно добавлять пользовательские типы активов и прописывать связи.
Для каждого типа актива определяется карточка актива – состав полей с информацией об активе. К примеру, для актива можно указать владельца, выбрать к какому из классов типовых информационных систем (согласно Приказу Оперативно-аналитического центра при Президенте Республики Беларусь № 66 от 20.02.2020) этот актив относится или выбрать категорию актива (объект КВОИ, АСУ ТП, информационная система, обрабатывающая персональные данные, и др.).
Наполнение системы R-Vision информацией об активах можно сделать несколькими способами:
- инвентаризация с помощью внутреннего “движка” R-Vision;
- импорт данных из внешних систем;
- импорт данных из файлов Excel;
- комбинация предыдущих способов.
Первый способ реализуется за счет внесения в R-Vision необходимых данных для выполнения инвентаризации (учетные записи) и настройки целевых систем инвентаризации (открыть необходимые порты, предоставить доступ и т.д.). Для каждого актива R-Vision собирает следующие основные параметры: сетевые интерфейсы, операционные системы (ОС), имя, перечень установленного ПО, перечень установленных обновлений для ОС Windows, перечень пользователей, которые успешно входили в систему. Также R-Vision предоставляет информацию включены либо выключены следующие параметры безопасности: «автоматическое обновление», «USB», «автозапуск», «межсетевой экран (МЭ)», «антивирус».
Второй способ реализуется за счет интеграции R-Vision и внешних систем с целью импорта сведений об активах. Перечень поддерживаемых внешних систем достаточно большой и постоянно пополняется – это антивирусы, сканеры уязвимостей, DLP и многие другие. Для каждого варианта интеграции можно настроить объем импортируемых сведений. К примеру, за счет интеграции с Active Directory можно наполнить R-Vision сведениями о персонале и структурных подразделениях организации.
Третий способ реализуется за счет заполнения шаблона в формате Excel сведениями об активах и импорте его в R-Vision, где все эти сведения разносятся по необходимым полям.
Четвёртый способ предполагает комбинацию трех предыдущих в любых вариациях.
Еще одной важной особенностью R-Vision является возможность сбора информации об активах в территориально-распределенных организациях. Благодаря реализации ролевой модели доступа, в Центральный аппарат (Центральный офис) будет стекаться информация об активах со всех филиалов (с разделением и привязкой к конкретному филиалу). При этом филиалы также будут владеть информацией о своих активах, но не смогут видеть информацию об активах других филиалов.
После успешной инвентаризации R-Vision позволит осуществить процесс управления уязвимостями. За счет интеграции с внешними системами (к примеру, сканерами уязвимостей) в R-Vision стекается информация по уязвимостям. В карточке уязвимости отображается ключевая информация о конкретной уязвимости, привязка к активам, на которых обнаружены уязвимости, информация об уязвимом ПО и других связанных уязвимостях. В R-Vision есть опция расчета рейтинга уязвимости на основании оценки CVSS и значений полей активов и уязвимостей, логику расчета рейтинга задает пользователь.
На практике я столкнулся с тем, что некоторые организации последовательно анализируют сегменты сети с помощью сканера уязвимостей. Это приводит к тому, что после каждого сканирования собранную информацию по уязвимостям необходимо удалять перед тем, как сканировать следующий сегмент ИТ-инфраструктуры. Конечно, эту проблему можно решить с помощью генерации и хранения отчетов, однако этот способ не оптимальный, т.к. часть информации все равно теряется. R-Vision решает эту задачу и позволяет хранить все сведения по уязвимостям в единой системе и использовать их в дальнейшей работе.
R-Vision обладает отдельным функциональным блоком по управлению документацией. Этот блок позволяет вести в системе весь документооборот организации в части ИБ. К примеру, в R-Vision можно загрузить “Регламент работы со съемными носителями информации”, назначить ответственного за документ, контролировать применение и сроки пересмотра документа в организации.
Функциональный блок R-Vision по управлению задачами позволяет осуществлять постановку задач конкретным лицам, контролировать сроки и статус выполнения задач (с возможность прикрепления доказательств их выполнения).
Также R-Vision обладает отдельным функциональным блоком для визуализации и формирования отчетности. В него встроены как “коробочные” графики и отчеты, так и конструкторы графиков и отчетов. К примеру, можно загрузить план этажа здания и на нем разместить активы, расположенные на этом этаже, вывести круговую диаграмму со статистикой по операционным системам, сгенерировать подробный отчет по хосту, отобразить в отчете статистику по задачам и т.д.
Таким образом система R-Vision позволяет сформировать единый, максимально наполненный, актуальный реестр активов.
После того, как процесс управления активами в организации будет отлажен, наверняка появится желание расширить функционал R-Vision.
R-Vision хорошо масштабируется путем подключения других функциональных блоков – управления инцидентами, аудитами, рисками. Об этом я расскажу в следующих постах.