SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 2
19.07.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |      



Руслан Рахметов, Security Vision


В предыдущей статье мы познакомились с основными концепциями измерения эффективности процессов информационной безопасности. Разумеется, для целостного подхода следует обратиться к международным лучшим практикам и стандартам, которые описывают рекомендованные подходы к количественному измерению качества процессов кибербезопасности. Такими рекомендациями являются публикация NIST SP 800-55 и стандарт ISO/IEC 27004:2016.


Документ NIST SP 800-55 "Performance Measurement Guide for Information Security" («Рекомендации по измерению эффективности информационной безопасности») был опубликован в 2008 году, в настоящее время готовится к выходу 2-ая редакция. В документе интересен концептуальный подход к измерению эффективности ИБ: вся терминология и требования логически взаимосвязаны с другими стандартами NIST 800-ой серии, а в данной публикации подчеркивается важность поддержки процессов измерения ИБ на всех уровнях управления компанией, что дает такие преимущества, как повышение прозрачности процессов, повышение эффективности ИБ, упрощение процедур комплаенса, предоставление измеримых входных данных для принятия информированных решений о выделении ресурсов, а также экономия бюджета за счет обработки киберинцидентов и повышение уровня репутации и доверия, достигнутое за счет сформированного уровня ИБ.


В документе указываются также и факторы, которые могут привести к сложностям в проекте внедрения корректных метрик процессов ИБ: недостаток ресурсов, недостаток обучения/квалификации, количество новых и обновленных информационных систем без внедренных защитных мер, совместимость ПО со средствами защиты, недостаток поддержки со стороны руководства компании, отсутствующие задокументированные политики и процедуры ИБ, уязвимости и недостатки в архитектуре систем, неэффективно выстроенные процессы планирования и внедрения, в том числе процессы коммуникации.


Для измерения эффективности процессов кибербезопасности выбраны такие метрики, как автоматизация сбора информации и сложность этого процесса, доступность данных для анализа, операционные ИБ-процедуры, а также процессы ИБ. Для оценки зрелости используются метрики достижения целей непосредственно подразделений информационной безопасности, оценка сложности внедрения процессов ИБ, метрики эффективности и экономичности, а также оценка влияния кибербезопасности на бизнес-процессы. Для оценки используется, как правило, количественный показатель, выраженный в процентном отношении текущего количества выполненных действий к максимальному значению количества реализованных мер.


Для внедрения метрик ИБ предлагается выполнить следующие шаги:

1. Подготовка к сбору данных для оценки эффективности ИБ, в том числе разработка и утверждение плана внедрения метрик ИБ с назначением ролей и ответственных, утверждением процесса сбора данных, инструментов оценки, коммуницирования и отчетности.

2. Сбор данных и анализ результатов, включая агрегацию собранных сведений, консолидацию в стандартном формате, проведение gap-анализа для оценки объема несобранных данных, идентификацию причин сложностей и путей улучшения.

3. Определение корректирующих действий, включая определение их объема, приоритизацию и выбор наиболее релевантных корректирующих шагов.

4. Предоставление экономического обоснования и выделение ресурсов.

5. Выполнение корректирующих действий.


В качестве примерного списка метрик информационной безопасности приведены следующие:

1. Процент ИТ-бюджета, выделенного на кибербезопасность (заметим, что данная метрика может считаться устаревшей, т.к. у ИБ-подразделений крупных компаний в настоящее время как правило существует самостоятельный бюджет)

2. Процент уязвимостей высокого уровня (по шкале CVSS), устраненных с момента обнаружения за установленный период времени

3. Процент точек удаленного подключения, которые можно использовать для несанкционированного доступа

4. Процент сотрудников, прошедших обучение по информационной безопасности

5. Средняя частота анализа журналов аудита для выявления несанкционированных операций

6. Процент согласованных и внедренных конфигурационных изменений (по отношению к общем числу внесенных изменений)

7. Процент информационных систем, которые прошли ежегодное тестирование на обеспечение непрерывности деятельности и восстановление работоспособности

8. Процент сотрудников с доступом к разделенным (shared) или неперсонализированным учетным записям

9. Процент инцидентов, обработанных за установленный для каждой категории период времени

10. Процент информационных систем, которые уходят на обслуживание в соответствии с задокументированным расписанием

11. Процент носителей информации, которые проходят процедуру очистки данных (санитизацию) перед утилизацией

12. Процент инцидентов несанкционированного физического доступа к помещениям с информационными системами

13. Процент сотрудников, которые получают доступ к информационным системам только после ознакомления под роспись с правилами работы с ними

14. Процент проверенных Службой Безопасности сотрудников, получающих доступ к корпоративным информационным системам

15. Процент контрактов на приобретение систем и сервисов, в которых были указаны требования/спецификации по информационной безопасности

16. Процент программных уязвимостей, которые были пропатчены.


В документе представлен также набор метрик, которые можно применить при разработке или поддержке информационных систем. Приведены такие меры, как:

1. Процент недостатков/дефектов в продукте, которые негативно влияют на состояние кибербезопасности информационной системы

2. Процент мер ИБ, заложенных при проектировании и разработке системы

3. Количество точек входа в систему, применимых для передачи потенциально вредоносных управляющих сигналов

4. Количество уязвимостей и места их обнаружения

5. Количество отклонений модели и итогового продукта от требований ИБ

6. Процент устраненных уязвимостей

7. Отклонение в планах и затратах на ИБ от заложенных в проекте внедрения/приобретения информационной системы

8. Процентное соотношение невыполненных требований по ИБ.


Кроме указанных метрик, можно использовать и другие показатели, например:

1. Процент нормально функционирующих свойств актива после кибератаки

2. Среднюю длину графа кибератаки (количество узлов сети до оцениваемого ИТ-актива)

3. Процент скомпрометированных хостов в сети в течение определенного периода времени

4. Вероятность эксплуатации уязвимости ИТ-актива (можно рассчитывать на основе CVSS-метрик)

5. Уровень негативного воздействия эксплойта после успешного запуска

6. Количество потенциальных векторов и путей кибератак в сети

7. Процент ИТ-активов, которые могут быть оперативно замещены альтернативными решениями или восстановлены из резервных копий

8. Есть ли избыточные/зарезервированные информационные ресурсы под критичные бизнес-процессы

9. Доступность информационных систем, поддерживающих бизнес-процессы

10. Кратчайший путь для компрометации ИТ-актива (на основе графов кибератаки)

11. Процент хостов в сети, для которых известны уязвимости.


Практика ИБ Метрики ИБ Подкасты ИБ Управление ИТ-активами NIST Стандарты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют