SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3

Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
26.07.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   

Руслан Рахметов, Security Vision

В предыдущей части мы рассмотрели публикацию NIST SP 800-55, посвященную рекомендациям по измерению эффективности кибербезопасности, а в сегодняшней публикации рассмотрим международный стандарт ISO/IEC 27004:2016, который также посвящен проблематике измерения, оценки и анализа эффективности системы управления информационной безопасностью (СУИБ) и описывает, как выстроить процесс измерения эффективности ИБ в организациях.

Стандарт ISO/IEC 27004:2016 ”Monitoring, measurement, analysis and evaluation” («Мониторинг, измерение, анализ и оценка») является наследником первой версии данного документа, которая была выпущена в 2009 году. Этот документ логически связан со стандартами серии ISO 27000, использует единый с ними терминологический аппарат и используется для проверки соответствия СУИБ требованиям оценки эффективности, как указано в п.9.1 стандарта ISO/IEC 27001:2013. В частности, данный пункт требует, чтобы организации оценивали эффективность функции информационной безопасности и выстроенной СУИБ путем определения объектов измерения (включая процессы и меры ИБ), выбора методов для оценки и анализа эффективности, а также утверждения сроков и ответственных с сохранением документальных результатов оценки.

Целью оценки эффективности СУИБ является проверка того, что выстроенные процессы и выполняемые действия действительно ведут к выполнению требований стандарта ISO 27001. Основными задачами при оценке эффективности СУИБ являются сбор релевантной информации, её корректная обработка и анализ, а также обеспечение воспроизводимости результатов. Преимуществами внедрения процессов оценки эффективности СУИБ являются повышение прозрачности СУИБ (выявление некорректных, неэффективных или вообще не внедренных мер защиты), обеспечение количественной оценки прогресса эффективности СУИБ и процессов ИБ, документальное свидетельство выполнения требований стандарта ISO 27001, а также поддержка риск-ориентированных процессов принятия решений, в том числе для обоснования выделения бюджетов на ИБ. 

Для получения релевантной информации, пригодной для последующего анализа, стандарт ISO/IEC 27004:2016 предлагает использовать мониторинг следующих действий, процессов и систем:

1. Внедрение процессов СУИБ

2. Управление киберинцидентами

3. Управление уязвимостями

4. Управление конфигурациями

5. Awareness-программы

6. Сбор событий ИБ

7. Аудит ИБ

8. Процессы оценки и обработки киберрисков

9. Управление киберрисками третьих лиц

10. Управление непрерывностью деятельности

11. Управление процессами физической безопасности

12. Мониторинг ИТ-инфраструктуры.

В стандарте ISO/IEC 27004:2016 указаны следующие процессы СУИБ, которые можно анализировать для измерения эффективности ИБ:

1. Планирование

2. Поддержка со стороны руководства компании

3. Риск-менеджмент

4. Управление политиками ИБ

5. Управление ресурсами

6. Обмен информацией

7. Оценка со стороны руководства

8. Документирование

9. Аудит.

В документе также предлагаются следующие роли, которые могут быть назначены ответственным лицам компании в рамках процесса измерения эффективности СУИБ:

1. Клиент - запрашивает информацию об эффективности СУИБ и мер защиты информации, включая СЗИ

2. Планировщик - сопоставляет получаемые из СУИБ или СЗИ данные с параметрами, применяемыми для оценки эффективности СУИБ, создавая модель измерения

3. Рецензент - проверяет корректность модели измерения и релевантность сопоставления данных с параметрами

4. Владелец информации - передает данные из компонентов СУИБ или СЗИ, находящихся в сфере его ответственности

5. Сборщик информации - отвечает за сбор, запись и хранение данных для измерения

6. Аналитик - проводит анализ собранных данных

7. Коммуникатор - сообщает результаты анализа заинтересованным уполномоченным лицам.

Стандарт ISO/IEC 27004:2016 предлагает следующий процессный PDCA-подход для оценки эффективности СУИБ:

1. Определение входных данных, которые будут использоваться для оценки и анализа; при этом используется высокоуровневое описание СУИБ и бизнес-процессов компании.

2. Создание и поддержка измеримых параметров, которые передаются из компонент СУИБ, из СЗИ, от сотрудников в результате опросов, например, события ИБ, отчеты о сканированиях, статистика по пройденным awareness-тренингам, статистика по инцидентам ИБ, результаты аудитов, результаты учебных тревог по обеспечению непрерывности деятельности и восстановлению работоспособности.

3. Запуск процедур для оценки эффективности СУИБ, что включает в себя оповещение задействованных лиц и подразделений, выбор и настройку систем для сбора данных, настройку правил проверки получаемых данных на корректность, анализ данных и предоставление отчетности в заданном формате, включая отчеты, дашборды, диаграммы.

4. Мониторинг и измерение, включающие в себя ручной и/или автоматизированный сбор данных, проверку полученных данных на корректность, надежное хранение.

5. Анализ результатов и интерпретация результатов анализа, которые должны отражать недостатки СУИБ и отклонения между ожидавшимися и фактическими результатами измерения параметров СУИБ.

6. Оценка эффективности СУИБ и процессов ИБ на основе анализа полученных результатов.

7. Пересмотр и улучшение процессов мониторинга, измерения, анализа, оценки СУИБ на основе полученной обратной связи, анализа выученных уроков, данных бенчмарков, пересмотра процедур оценки эффективности СУИБ.

8. Сохранение отчетных документов, передача их для ознакомления заинтересованным уполномоченным лицам.

В приложении «B» к стандарту ISO/IEC 27004:2016 приведен пример набора непосредственно метрик ИБ, которые можно использовать для оценки эффективности СУИБ в соответствии с требованиями, указанными в стандарте ISO 27001:

1. Соотношение используемых и выделенных ресурсов на СУИБ в пределах бюджетного периода.

2. Соотношение пересмотренных за прошедший период политик ИБ к общему количеству политик ИБ.

3. Соотношение проведенных встреч с топ-менеджментом по вопросам ИБ к количеству запланированных встреч.

4. Количество киберрисков, не обработанных за период времени.

5. Соотношение выполненных и запланированных аудитов ИБ.

6. Соотношение мероприятий, выполненных в срок, с заданным качеством и в пределах запланированных затрат, к общему количеству запланированных мероприятий.

7. Общий ущерб от произошедших инцидентов ИБ за период времени.

8. Соотношение количества инцидентов ИБ, которые привели к пересмотру и устранению недостатков процессов СУИБ, к общему количеству киберинцидентов.

9. Соотношение нереализованных корректирующих действий к общему количеству запланированных действий по корректировке процессов СУИБ.

10. Соотношение количества сотрудников, прошедших awareness-тренинги, к общему количеству сотрудников, которые должны были пройти обучение по ИБ в течение заданного периода времени.

11. Процент сотрудников, правильно ответивших на вопросы теста по материалам awareness-тренингов.

12. Процент сотрудников, перешедших по фишинговой ссылке в рамках учебной рассылки.

13. Процент паролей к учетным записям сотрудников, соответствующих правилам сложности и политикам ротации паролей в организации.

14. Процент паролей, поддающихся брутфорс-взлому за 4 часа.

15. Соотношение количества критичных ИТ-систем, в которых проводится периодический пересмотр прав доступа пользователей, к общему количеству критичных ИТ-систем.

16. Количество инцидентов физической безопасности, при которых был осуществлен несанкционированный доступ к ИТ-системам.

17. Отставание даты выполненного обслуживания ИТ-систем от запланированной даты.

18. Соотношение количества установленных/обновленных приложений/систем, установка/обновление которых соответствовали регламенту внесения изменений в конфигурацию ИТ-систем, к общему количеству установленных/обновленных приложений/систем.

19. Соотношение количества инцидентов ИБ, вызванных вредоносным ПО, к общему количеству выявленных и заблокированных атак вредоносного ПО.

20. Соотношение количества хостов в сети компании с базами антивирусных сигнатур, устаревшими на 1 неделю и более, к общему количеству устройств в сети.

21. Количество правил на пограничных фаирволлах с нулевым количеством «хитов» (т.е. не использовавшихся ни разу) за временной период.

22. Соотношение проанализированных лог-файлов с критичных ИТ-систем к общему количеству имеющихся лог-файлов критичных ИТ-систем за временной период.

23. Соотношение числа устройств в сети компании, чья конфигурация удовлетворяет требованиям ИБ, к общему количеству устройств.

24. Соотношение количества критичных ИТ-систем, для которых проводилось тестирование на проникновение или сканирование на наличие уязвимостей с даты последнего крупного обновления ПО/ОС, к общему количеству критичных ИТ-систем.

25. Соотношение количества ИТ-систем, для которых проводилось тестирование на проникновение в течение последнего года или сканирование на наличие уязвимостей в течение последнего квартала, к общему количеству ИТ-систем.

26. Значения CVSS-оценок и количество уязвимых систем.

27. Соотношение договоров с третьими лицами, в которых есть требования по ИБ, к общему количеству договоров.

28. Количество инцидентов ИБ, обработка которых заняла время, превышающее нормативное для данного типа киберинцидента.

29. Количество и тип инцидентов ИБ, выявленных за период времени.

30. Соотношение числа проведенных аудитов СУИБ независимыми внешними аудиторами к числу запланированных аудитов.

Практика ИБ Метрики ИБ Подкасты ИБ Стандарты ИБ

Рекомендуем

Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
ChatGPT на темной и светлой стороне
ChatGPT на темной и светлой стороне
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
SGRC по закону. ГИС, ПДн, проект ГОСТ
SGRC по закону. ГИС, ПДн, проект ГОСТ
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание

Рекомендуем

Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
ChatGPT на темной и светлой стороне
ChatGPT на темной и светлой стороне
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
Сценарии реагирования, или чем процессы ИБ/ИТ похожи на театр
SGRC по закону. ГИС, ПДн, проект ГОСТ
SGRC по закону. ГИС, ПДн, проект ГОСТ
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание

Похожие статьи

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Геймификация SOC
Геймификация SOC
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 3
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор публикации NIST SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations"
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Геймификация SOC
Геймификация SOC
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239