Вопрос или проблема
Я недавно начал работать с ИТ-поставщиком, и мы соответствуем требованиям STIG.
На прошлой неделе клиент запросил доказательства соответствия, и моя компания отправила ему таблицу Excel с RHEL STIG V1R2, содержащую около 300 идентификаторов уязвимостей, а также примечание о том, с какими идентификаторами мы не соответствуем. Некоторые несоответствия касались уязвимостей с высокой “серьезностью”.
Клиенты приняли это, у моей компании не было проблем с отправкой. Но это оставило меня в замешательстве. Как мы можем сказать, что мы “соответствуем” 76 из 300+ несоответствующих записей?
Я немного почитал о процессе соответствия в интернете, и книги, которые я видел, обычно утверждали, что соответствие должно быть
(a) аккредитовано третьей стороной (т.е. какая-то другая авторитетная организация сертифицирует вас)
или
(b) проверкой уязвимостей или конфигурации со стороны отдела ITSEC клиента.
Таким образом, могу я спросить
- Какова позиция моей компании относительно соответствия STIG? Существует ли “частичное соответствие”?
- Есть ли какие-либо потенциальные проблемы, которые могут возникнуть из этого, к которым мне следует быть готовым?
В идеальном мире вы должны быть на 100% соответствующими требованиям STIG, но это не идеальный мир. Также поймите, что STIG или CIS Benchmarks являются рекомендациями. Они не могут учесть каждую ситуацию. Некоторые рекомендации для усиления STIG (и CIS) не учитывают ситуации, связанные с развертыванием, например, облачные развертывания или использование альтернативных решений.
Что касается Вопроса 1: Вы не предоставили достаточно информации о политике вашей компании/реализации STIG, чтобы сделать предположение о её позиции.
Существует ли “частичное соответствие”? Да, но это больше похоже на термин аудитора для “несоответствующей, но сделавшей усилие”. В общем, если вы скажете аудитору, что следуете STIG и предоставите отчет, который не на 100%, вы все равно можете быть признаны соответствующими в зависимости от того, почему вы не прошли некоторые контроли.
Например, если я использую другой инструмент для мониторинга целостности файлов (FIM), отличающийся от AIDE, я провалю эту часть аудита STIG, но все равно предоставлю функциональность, которая соответствует (или превышает) требования STIG. Я не следую букве STIG, но следую его духу. Это, вероятно, будет расцениваться как полное соответствие.
Другим примером будет установка пароля на GRUB. Вам нужен доступ к консоли, чтобы загрузить систему. Если у вас автоматическое масштабирование или у вас сервер в облаке, который не позволяет доступ к консоли (AWS), ваша система не загрузится. Технически вы не соответствуете требованиям, но внедрение этого контроля сломает вашу среду. Это будет расцениваться как допустимое.
Что касается Вопроса 2: Есть ли какие-либо потенциальные проблемы, которые могут возникнуть из этого, к которым мне следует быть готовым?
Да, документируйте все, что отличается от ожидаемого контроля. Используя приведенные выше примеры, вы должны быть в состоянии объяснить, что вы используете другой инструмент для FIM и можете показать, что он установлен и работает на тестовых хостах. Для чего-то вроде отсутствия пароля загрузчика объясните, почему вы не можете его реализовать и какие компенсирующие контроли имеются на месте.
Аудиторы, с которыми я имел дело, никогда не удивлялись, что мы не соответствуем на 100% руководству по усилению; все были приятно удивлены, когда им были представлены документы о том, почему мы не достигли 100%.
P.S. Инструменты аудита для соответствия STIG/CIS не являются надежными. Я видел ложные отрицательные результаты для таких вещей, как !! в /etc/passwd вместо !.
Ответ или решение
Соответствует ли частичное соответствие стандартам STIG?
Когда речь идет о соответствии стандартам STIG (Security Technical Implementation Guide), в вопросе соответствия часто возникает вопрос о частичном соблюдении. Рассмотрим основные аспекты, которые помогут прояснить ситуацию.
Понимание концепции частичного соответствия
-
Определение и контекст: Частичное соответствие – это состояние, при котором организация соответствует некоторым, но не всем требованиям установленного стандарта. В вашем случае, ваша компания имеет 76 из более чем 300 уязвимостей, с которыми она полностью соответствует, что уже указывает на наличие частичного соответствия.
-
Природа стандартов STIG: STIG и похожие методологии представляют собой руководство, которое помогает организациям подтянуть уровень безопасности. Однако каждое внедрение уникально, и не всегда возможно достичь 100% соответствия, особенно в условиях, когда применение некоторых правил может конфликтовать с другими требованиями или архитектурой вашей IT-инфраструктуры.
-
Понимание "духа" compliance: Если ваша компания применяет альтернативные решения и контроллирующие механизмы, которые обеспечивают аналогичную или даже более высокую степень надежности безопасности, чем указано в STIG, это может рассматриваться как соответствие духу стандартов, даже если некоторые конкретные технические рекомендации не были соблюдены.
Вопросы и возможные проблемы
Вопрос 1: Какова позиция вашей компании в отношении соответствия STIG? Существует ли "частичное соответствие"?
Моя точка зрения: Да, частичное соответствие существует. Оно может быть принято как форма соблюдения, если ваша организация имеет обоснование для каждой неисполненной позиции на основе рисков и альтернативных мер безопасности. Важно иметь документированное объяснение для каждой упущенной меры, чтобы ясно показать, что безопасность не была компрометирована.
Вопрос 2: С какими потенциальными проблемами вам стоит быть готовым?
-
Аудит и оценка: Аудиторы, как правило, ожидают, что организации предоставят полное описание своих мер безопасности. Если вы не сможете обосновать, почему были выбраны определенные компромиссы в безопасности, это может вызвать вопросы и привести к негативным отзывам.
-
Документирование: Всегда документируйте любые отклонения от ожидаемого контроля. Объясните причины, почему не были выполнены определенные меры (например, лимитации при авто-масштабировании в облаке) и какие компенсирующие меры были реализованы.
-
Управление рисками: Ваша организация должна понимать и уметь объяснить риски, связанные с теми уязвимостями, которые остаются несоответствующими. Убедитесь, что у вас есть планы по устранению этих рисков, чтобы продемонстрировать, что вы принимаете безопасность всерьез.
Заключение
В условиях реального мира 100% соответствие STIG может быть недостижимо. Однако наличие обоснованных причин для частичного несоответствия и проактивное управление рисками могут обеспечить вашему бизнесу уверенность и минимизировать последствия в случае аудита. Важным моментом является ведение открытой и прозрачной коммуникации с вашими клиентами и аудиторами относительно ваших усилий по соблюдению стандартов безопасности.