SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
19.07.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |      

Руслан Рахметов, Security Vision

В предыдущей статье мы познакомились с основными концепциями измерения эффективности процессов информационной безопасности. Разумеется, для целостного подхода следует обратиться к международным лучшим практикам и стандартам, которые описывают рекомендованные подходы к количественному измерению качества процессов кибербезопасности. Такими рекомендациями являются публикация NIST SP 800-55 и стандарт ISO/IEC 27004:2016.

Документ NIST SP 800-55 "Performance Measurement Guide for Information Security" («Рекомендации по измерению эффективности информационной безопасности») был опубликован в 2008 году, в настоящее время готовится к выходу 2-ая редакция. В документе интересен концептуальный подход к измерению эффективности ИБ: вся терминология и требования логически взаимосвязаны с другими стандартами NIST 800-ой серии, а в данной публикации подчеркивается важность поддержки процессов измерения ИБ на всех уровнях управления компанией, что дает такие преимущества, как повышение прозрачности процессов, повышение эффективности ИБ, упрощение процедур комплаенса, предоставление измеримых входных данных для принятия информированных решений о выделении ресурсов, а также экономия бюджета за счет обработки киберинцидентов и повышение уровня репутации и доверия, достигнутое за счет сформированного уровня ИБ.

В документе указываются также и факторы, которые могут привести к сложностям в проекте внедрения корректных метрик процессов ИБ: недостаток ресурсов, недостаток обучения/квалификации, количество новых и обновленных информационных систем без внедренных защитных мер, совместимость ПО со средствами защиты, недостаток поддержки со стороны руководства компании, отсутствующие задокументированные политики и процедуры ИБ, уязвимости и недостатки в архитектуре систем, неэффективно выстроенные процессы планирования и внедрения, в том числе процессы коммуникации.

Для измерения эффективности процессов кибербезопасности выбраны такие метрики, как автоматизация сбора информации и сложность этого процесса, доступность данных для анализа, операционные ИБ-процедуры, а также процессы ИБ. Для оценки зрелости используются метрики достижения целей непосредственно подразделений информационной безопасности, оценка сложности внедрения процессов ИБ, метрики эффективности и экономичности, а также оценка влияния кибербезопасности на бизнес-процессы. Для оценки используется, как правило, количественный показатель, выраженный в процентном отношении текущего количества выполненных действий к максимальному значению количества реализованных мер.

Для внедрения метрик ИБ предлагается выполнить следующие шаги:

1. Подготовка к сбору данных для оценки эффективности ИБ, в том числе разработка и утверждение плана внедрения метрик ИБ с назначением ролей и ответственных, утверждением процесса сбора данных, инструментов оценки, коммуницирования и отчетности.

2. Сбор данных и анализ результатов, включая агрегацию собранных сведений, консолидацию в стандартном формате, проведение gap-анализа для оценки объема несобранных данных, идентификацию причин сложностей и путей улучшения.

3. Определение корректирующих действий, включая определение их объема, приоритизацию и выбор наиболее релевантных корректирующих шагов.

4. Предоставление экономического обоснования и выделение ресурсов.

5. Выполнение корректирующих действий.

В качестве примерного списка метрик информационной безопасности приведены следующие:

1. Процент ИТ-бюджета, выделенного на кибербезопасность (заметим, что данная метрика может считаться устаревшей, т.к. у ИБ-подразделений крупных компаний в настоящее время как правило существует самостоятельный бюджет)

2. Процент уязвимостей высокого уровня (по шкале CVSS), устраненных с момента обнаружения за установленный период времени

3. Процент точек удаленного подключения, которые можно использовать для несанкционированного доступа

4. Процент сотрудников, прошедших обучение по информационной безопасности

5. Средняя частота анализа журналов аудита для выявления несанкционированных операций

6. Процент согласованных и внедренных конфигурационных изменений (по отношению к общем числу внесенных изменений)

7. Процент информационных систем, которые прошли ежегодное тестирование на обеспечение непрерывности деятельности и восстановление работоспособности

8. Процент сотрудников с доступом к разделенным (shared) или неперсонализированным учетным записям

9. Процент инцидентов, обработанных за установленный для каждой категории период времени

10. Процент информационных систем, которые уходят на обслуживание в соответствии с задокументированным расписанием

11. Процент носителей информации, которые проходят процедуру очистки данных (санитизацию) перед утилизацией

12. Процент инцидентов несанкционированного физического доступа к помещениям с информационными системами

13. Процент сотрудников, которые получают доступ к информационным системам только после ознакомления под роспись с правилами работы с ними

14. Процент проверенных Службой Безопасности сотрудников, получающих доступ к корпоративным информационным системам

15. Процент контрактов на приобретение систем и сервисов, в которых были указаны требования/спецификации по информационной безопасности

16. Процент программных уязвимостей, которые были пропатчены.

В документе представлен также набор метрик, которые можно применить при разработке или поддержке информационных систем. Приведены такие меры, как:

1. Процент недостатков/дефектов в продукте, которые негативно влияют на состояние кибербезопасности информационной системы

2. Процент мер ИБ, заложенных при проектировании и разработке системы

3. Количество точек входа в систему, применимых для передачи потенциально вредоносных управляющих сигналов

4. Количество уязвимостей и места их обнаружения

5. Количество отклонений модели и итогового продукта от требований ИБ

6. Процент устраненных уязвимостей

7. Отклонение в планах и затратах на ИБ от заложенных в проекте внедрения/приобретения информационной системы

8. Процентное соотношение невыполненных требований по ИБ.

Кроме указанных метрик, можно использовать и другие показатели, например:

1. Процент нормально функционирующих свойств актива после кибератаки

2. Среднюю длину графа кибератаки (количество узлов сети до оцениваемого ИТ-актива)

3. Процент скомпрометированных хостов в сети в течение определенного периода времени

4. Вероятность эксплуатации уязвимости ИТ-актива (можно рассчитывать на основе CVSS-метрик)

5. Уровень негативного воздействия эксплойта после успешного запуска

6. Количество потенциальных векторов и путей кибератак в сети

7. Процент ИТ-активов, которые могут быть оперативно замещены альтернативными решениями или восстановлены из резервных копий

8. Есть ли избыточные/зарезервированные информационные ресурсы под критичные бизнес-процессы

9. Доступность информационных систем, поддерживающих бизнес-процессы

10. Кратчайший путь для компрометации ИТ-актива (на основе графов кибератаки)

11. Процент хостов в сети, для которых известны уязвимости.


Практика ИБ Метрики ИБ Подкасты ИБ Управление ИТ-активами NIST Стандарты ИБ

Рекомендуем

Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Что за зверь Security Champion?
Что за зверь Security Champion?
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»

Рекомендуем

Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Что за зверь Security Champion?
Что за зверь Security Champion?
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»

Похожие статьи

Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Что за зверь Security Champion?
Что за зверь Security Champion?
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П

Похожие статьи

Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Что за зверь Security Champion?
Что за зверь Security Champion?
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П