Техническая реализация интеграции систем класса it-grc и...
TRANSCRIPT
Техническая реализация интеграции систем класса IT-GRC и систем контроля защищенности и
соответствия стандартам
Positive Hack Days 201421 мая 2014 г.
2
Докладчик
• Марат Рахимов• Инженер-проектировщик в
ООО «Газинформсервис»• Выпускник НИУ ИТМО 2013 г.
• [email protected] корпоративная
• [email protected] личная
• Санкт-Петербург
3
Сокращения и названия
• IT GRC – системы IT Governance, Risk and Compliance Management
• СКЗСС – система контроля защищенности и соответствия стандартам
• СОЗ – система оценки защищенности• САЗ – система анализа защищенности• Система для управления уязвимостями• Vulnerability & Compliance Management System• Vulnerability Assessment System
4
Модель организации ИБ в компании
GRC
Управление событиями и инцидентами ИБ
Упра
влен
ие д
осту
пом
Крип
тогр
афияБезопасность данных
Безопасность приложений
Безопасность ОС
Сетевая безопасность
Физическая безопасность
• Сканирование системного ПО
• Сканирование веб-приложений• Сканирование прикладного ПО
• Контроль целостности данных
• Подготовка данных для загрузки в SIEM системы
• Сканирование сетевой инфраструктуры и конфигурации оборудования
Система КЗССИнтеграция
5
Современная тенденция №1
Наращивание функциональности системы КЗСС
• Продукты нацелены не только на реализацию отдельной функциональной возможности (к примеру, сканирование сетевой инфраструктуры), но и помогают целиком выстраивать процессы управления уязвимостями и соответствием техническим стандартам.
6
Современная тенденция №1
Наращивание функциональности системы КЗСС
• Однако, возможностей систем КЗСС для реализации полноценного управления процессами ИТ и ИБ недостаточно.
7
Современная тенденция №2
Интеграция систем КСЗЗ и IT-GRC
• Альтернативный путь развития систем КЗСС – это разработка интеграционных решений с системами IT-GRC, предназначенными для автоматизации корпоративного управления ИТ и ИБ на основе оценки и обработки рисков в соответствии с требованиями (правовыми, нормативными).
8
Современная тенденция №2
Интеграция систем КСЗЗ и IT-GRC ВЫГОДЫ (1)
• использование данных из систем КЗСС для определения рисков ИБ, ИТ с точки зрения бизнеса;
• связка данных с бизнес-активами компании;• классификация обнаруженных уязвимостей и
несоответствий в зависимости от их критичности для бизнеса;
•
9
Современная тенденция №2
Интеграция систем КСЗЗ и IT-GRC ВЫГОДЫ (2)
• формирование планов по устранению обнаруженных несоответствий с учетом выявленных приоритетов;
• назначение задач ответственным лицам с учетом организационно-штатной структуры компании;
• контролировать выполнения поставленных задач.
Реализация интеграции на примере системы MaxPatrol и системы САПУИБ
ООО «Газинформсервис» на базе RSA Archer GRC
Процесс реализации интеграции
• Анализ исходного XML отчёта MaxPatrol
• Подготовка в системе RSA Archer GRC приложений для загрузки данных
• Настройка встроенного механизма интеграции RSA Archer GRC
• Выгрузка XML отчёта MaxPatrol в заданную директорию
• Анализ системой RSA Archer GRC XML файла отчёта
• Импорт системой RSA Archer GRC имеющихся в отчете данных
Анализ исходного XML отчёта MaxPatrol
• Структура отчета MaxPatrol определяется XSD схемой.
• Эталонный XML отчет, построенный по XSD схеме, содержит все элементы и атрибуты, которые можно получить при выгрузке различных типов отчетов MaxPatrol.
• Таким образом, для реализации полной интеграции с RSA Archer необходимо основываться на эталонном XML отчете.
Анализ исходного XML отчёта MaxPatrol
• Для генерации эталонного XML отчёта на основе XSD схем можно воспользоваться функциональностью <oXygen> XML Editor.
Анализ исходного XML отчёта MaxPatrol
• В зависимости от типа выгружаемого из MaxPatrol отчета могут быть включены или исключены те или иные его блоки.
• К примеру, в отчете по аудиту будут отсутствовать блоки compliances, controls, user_controls. Эти блоки появятся в отчете по соответствию требованиям.
• Эталонный отчет содержит все, что может быть выгружено из MaxPatrol.
•
Подготовка в системе RSA Archer GRC приложений для загрузки данных
Для обработки данных из системы MaxPatrol в целях реализации процесса управления уязвимостями в системе RSA Archer GRC был создан специальный модуль «Интеграция с MaxPatrol».•
Подготовка в системе RSA Archer GRC приложений для загрузки данных
Структура модуля была разработана с учетом структуры эталонного XML отчета MaxPatrol.
Настройка встроенного механизма интеграции RSA Archer GRC
Демонстрация видео
1
Настройка встроенного механизма интеграции RSA Archer GRC
<?xml version='1.0'?>
<xsl:stylesheet version="1.0"
xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="/">
<container>
<xsl:apply-templates/>
</container>
</xsl:template>
<xsl:template match="@*|node()">
<xsl:copy>
<xsl:apply-templates select="@*|node()"/>
</xsl:copy>
</xsl:template>
<xsl:template match="soft">
<xsl:copy>
<xsl:apply-templates select="@*|node()"/>
<key>
<xsl:value-of select="@id" /> - <xsl:value-of select="../../@ip" />
</key>
</xsl:copy>
</xsl:template>
<xsl:template match="content/data/host/scan_objects/soft/vulners/vulner">
<xsl:copy>
<xsl:apply-templates select="@*|node()"/>
<key>
<xsl:value-of select="@id" /> - <xsl:value-of select="../../@id" /> - <xsl:value-of select="../../../../@ip" /> - <xsl:number/>
</key>
</xsl:copy>
</xsl:template>
</xsl:stylesheet>
Настройка встроенного механизма интеграции RSA Archer GRC
• Встроенный в систему RSA Archer GRC механизм интеграции загружает данные из отчета MaxPatrol в соответствующие приложения.
Демонстрация видео
2
Использование загруженных данных в процессе управления уязвимостями• После осуществления импорта становится
возможным управлять данными из системы MaxPatrol, используя функциональные возможности системы RSA Archer GRC.
• На основе загруженных данных можно формировать различные информационные срезы, строить аналитические отчеты и информационные панели.
• 3
Выводы
• Интеграция систем КЗСС и систем класса GRC позволяет:• используя возможности GRC систем по
централизованному управлению, напрямую работать с данными об обнаруженных уязвимостях и несоответствиях, получаемых из систем КЗСС;
• производить оценку рисков ИБ для своих активов с учетом полученных технических данных;
• планировать задачи по устранению несоответствий в зависимости от критичности активов для бизнеса.
Спасибо за внимание.Вопросы?