SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Управление информационной безопасностью (Менеджмент ИБ)

Управление информационной безопасностью (Менеджмент ИБ)
30.11.2020

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |      


Руслан Рахметов, Security Vision

 

Друзья, в процессе обсуждения тем управления рисками, формирования Центров SOC, внедрением и настройкой систем SIEM, SGRC и IRP / SOAR мы, скорее, рассуждали о вопросах информационной безопасности с позиции крупных компаний, обладающих достаточными ресурсами для внедрения процессов управления кибербезопасностью. При этом не стоит забывать, что вопросы обеспечения информационной безопасности на сегодняшний день стоят остро и у представителей сегмента среднего и малого бизнеса (СМБ-сегмент, или SMB - Small & Medium Business).


Данные организации подчас подпадают под действия разнообразных законодательных норм в части защиты информации, а ресурсов (как финансовых, так и людских) у них, как правило, катастрофически не хватает. При этом воспользоваться всем спектром услуг по аутсорсингу функций информационной безопасности опять же мешает ограниченный бюджет. Учтем также, что объектами атак в последнее время все чаще становятся именно представители СМБ-сегмента - отчасти по причине недостаточной защищенности, отчасти из-за повышенного интереса к ним со стороны хакеров, использующих взломанные инфраструктуры как своеобразный «плацдарм» для последующих атак на более крупные мишени, которые могут являться контрагентами (партнерами или, чаще всего, заказчиками) таких небольших организаций. Таким образом, потребность во внедрении процессов информационной безопасности и последующего управления ими носит осознанный характер: руководство и собственники из СМБ-сегмента все чаще слышат о последствиях успешных атак, которые при похожем сценарии вполне могут привести к краху и их фирмы.


Итак, построение процессов кибербезопасности становится уже не только законодательным требованием, но и необходимым условием для устойчивого развития организации, что в современных реалиях цифровой экономики особенно очевидно. При этом налицо еще одна сложность - острый недостаток квалифицированных кадров в области ИБ сужает список возможных претендентов на должность CISO (Chief Information Security Officer), т.е. руководителя направления информационной безопасности, которые будут готовы трудоустроиться в небольшую компанию, обладающую ограниченным бюджетом и не имеющую возможности предложить компенсацию на уровне более крупных организаций.


Выходом из ситуации может стать передача задач обеспечения кибербезопасности Департаменту ИТ, но, несмотря на казалось бы схожее направление деятельности, совмещение функций ИТ и ИБ будет таким же неэффективным, а может и вовсе вредным, как попытки, например, совместить функции бухгалтерии и планово-экономического отдела. Вывод напрашивается очевидный: принять молодого специалиста по кибербезопасности в Департамент ИТ с перспективой расширения функции ИБ до отдела (или департамента), поручив ему выстроить основные процессы защиты информации. Система менеджмента информационной безопасности будет зависеть от выбранных парадигм, стандартов и рекомендаций, которые и определят вектор становления и развития функции кибербезопасности в компании. Эффективность данной системы будет определяться способностью минимизировать киберриски и обрабатывать инциденты информационной безопасности.


Для корректного построения функций управления информационной безопасностью в компании требуется не только найм сотрудника с профильным образованием и опытом работы. Фундаментом всех процессов кибербезопасности должны стать внутренние нормативные документы, определяющие деятельность по защите информации: политики, стандарты, регламенты, процедуры и инструкции по информационной безопасности. Ответственный за систему управления защитой информации и применение средств менеджмента информационной безопасности должен обратиться к нормам текущего законодательства по защите информации, выстраивая процессы ИБ в соответствии с нормативными рекомендациями и требованиями. При этом можно руководствоваться и мировым опытом фреймворков управления информационной безопасностью и киберрисками, например, серией международных стандартов ISO 27000, документами NIST SP 800-ой серии, а также рекомендациями некоммерческой организации CIS (Center for Internet Security). Расскажем о них подробнее.


Итак, серия стандартов ISO/IEC 27000 разработана организациями ISO (International Organization for Standardization, Международная организация по стандартизации) и IEC (International Electrotechnical Commission, Международная электротехническая комиссия). Данная серия стандартов посвящена внедрению Системы Менеджмента Информационной Безопасности (сокращенно - СМИБ, или ISMS - Information Security Management System). Некоторые стандарты из данной серии были адаптированы в РФ и имеют префикс ГОСТ Р ИСО/МЭК. Какие стандарты входят в данную серию:

  • ISO 27000 «СМИБ. Обзор и глоссарий»

  • ISO 27001 «СМИБ. Требования»

  • ISO 27002 «СМИБ. Свод практических правил для обеспечения мер ИБ»

  • ISO 27003 «СМИБ. Руководство по внедрению СМИБ»

  • ISO 27004 «СМИБ. Мониторинг, измерения, анализ и оценка»

  • ISO 27005 «СМИБ. Управление рисками информационной безопасности»

  • ISO 27018 «Свод практических правил по защите персональных данных в публичных облаках»

  • ISO 27031 «Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса»

  • ISO 27032 «Руководство по кибербезопасности»

  • ISO 27035 «Управление инцидентами информационной безопасности»

  • ISO 27036 «Информационная безопасность при взаимоотношениях с поставщиками»

  • ISO 27039 «Выбор, настройка и работа с системами обнаружения и предотвращения вторжений»

  • ISO 27043 «Принципы и процессы расследования инцидентов информационной безопасности»

  • ISO 27102 «Руководство по киберстрахованию»

 

По стандартам серии ГОСТ Р ИСО/МЭК 27000, основные фазы построения системы обеспечения информационной безопасности должны соответствовать принципам P.D.C.A.-цикла Деминга для управления процессами: Plan – Do – Check – Act (Планирование – Выполнение – Оценка – Корректировка). Перечень этих фаз таков:

  • Оценка необходимости и потребности компании в мерах ЗИ путем оценки рисков и моделирования угроз/нарушителей;

  • Внедрение и обеспечение процессов ИБ, мер защиты и иных контрмер для противодействия выявленным актуальным угрозам;

  • Мониторинг и регулярный пересмотр эффективности работы СМИБ;

  • Непрерывное совершенствование СМИБ.


При этом ключевыми компонентами системы управления информационной безопасности будут:

  • Локальные нормативные акты (ЛНА)

  • Сотрудники с определенными должностными обязанностями

  • Процессы управления:

1.    Внедрением ЛНА

2.    Повышением квалификации и осведомленности сотрудников

3.    Планированием

4.    Внедрением мер защиты

5.    Текущей деятельностью

6.    Оценкой эффективности

7.    Анализом со стороны руководства

8.    Совершенствованием


В стандарте ISO/IEC 27001:2013 приведен перечень процессов обеспечения информационной безопасности для выстраивания корректной системы менеджмента ИБ, который включает в себя процессы управления учетными записями, логическим доступом, проверки и работы с персоналом, управления активами, классификации информации по степени важности, криптографической защиты информации, обеспечения физической безопасности, защиты от вредоносного ПО, обеспечения непрерывности бизнес-процессов, аудита и мониторинга событий информационной безопасности и управления инцидентами ИБ, управления уязвимостями, а также процессы обеспечения сетевой безопасности, безопасности при самостоятельной разработке ПО, процессы контроля информационного взаимодействия с контрагентами, соответствия применимым законодательным требованиям и проведения независимых аудитов информационной безопасности. При этом каждый из процессов подробно описан и разбит на подпроцессы для детализации требований к выстраиванию системы управления ИБ и настройки систем ИБ в компании. Стандарты ISO 27002 и 27003 дают детальное пояснение и рекомендации по всем требованиям и процессам, стандарт ISO 27004 содержит требования по мониторингу и аудиту выстроенной системы менеджмента информационной безопасности, а документ ISO 27005 посвящен управлению киберрисками. Разумеется, все документы данной серии стандартов логически взаимосвязаны и оперируют единым терминологическим аппаратом, приведенным в заглавном стандарте ISO 27000.


Перейдем к серии публикаций NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологий США), который включает в себя набор взаимосвязанных т.н. «специальных публикаций» (англ. Special Publication (SP)). Набор документов NIST SP 800-ой серии содержит в себе логически связанные положения и рекомендации по менеджменту информационной безопасности, в частности, по управлению киберрисками (публикации NIST SP 800-39, NIST SP 800-37, NIST SP 800-30), мониторингу информационной безопасности (NIST SP 800-137), по обработке инцидентов ИБ (NIST SP 800-61, NIST SP 800-83, NIST SP 800-86), оценке эффективности выстроенной системы менеджмента информационной безопасности (NIST SP 800-55), управлению журналами аудита (NIST SP 800-92), а также по реализации мер обеспечения информационной безопасности (NIST SP 800-53). Остановимся подробнее на последнем документе.


Итак, публикация NIST SP 800-53 регулярно обновляется (последняя ревизия NIST SP 800-53 Rev.5 была выпущена в сентябре 2020 г.) и содержит в себе всеобъемлющий список мер защиты информации в сочетании с рекомендациями по их практическому внедрению. В приложении NIST SP 800-53A содержатся методы оценки внедренных мер, а в NIST SP 800-53B приведены базовые уровни мер. В перечне мер указаны такие основные требования, как контроль доступа, проведение обучения персонала, аудит, мониторинг, управление изменениями и конфигурациями, планирование непрерывности бизнес-процессов, обеспечение аутентификации, реагирование на инциденты (т.е. инцидент менеджмент), защита носителей информации, обеспечение физической и кадровой безопасности, защита персональных данных, оценка киберрисков, вопросы приобретения систем и сервисов и управление цепочками поставок, а также защита и целостность систем и средств коммуникаций. При этом каждая из мер защиты раскрыта исключительно подробно, с перечнем конкретных действий для реализации каждой меры, с возможностью адаптации под нужды и возможности конкретной организации для построения целостной, гибкой, логически связанной системы менеджмента информационной безопасности и корректной настройки средств менеджмента информационной безопасности.


Говоря о достижении значимых целей в разумные сроки с привлечением ограниченного количества ресурсов, часто употребляют такие термины, как quick wins («быстрые победы») и low-hanging fruits («низко висящие фрукты»). В полной мере данные термины применимы к документу CIS TOP-20 Controls («20 лучших мер защиты»), разработанному некоммерческой организацией CIS (Center for Internet Security), последняя версия 7.1 которого вышла в 2020 г. В документе перечислены 20 наиболее эффективных мер защиты информации для построения системы менеджмента информационной безопасности в условиях ограниченных ресурсов (временных, кадровых, финансовых). Кроме указанных экспертных рекомендаций по реализации мер ИБ, CIS выпускает также практические документы – Benchmarks (бенчмарки, «золотые стандарты») с перечнем конкретных действий по настройке операционных систем, программного обеспечения, средств защиты информации (СЗИ).


Итак, документ CIS TOP-20 Controls содержит 20 простых, но эффективных мер защиты (технических, организационных), разделенных на группы:

Базовые:

1. Инвентаризация и контроль аппаратных активов

2. Инвентаризация и контроль программных активов

3. Непрерывное управление уязвимостями

4. Контроль использования административных полномочий

5. Защищенная настройка ПО и АО на устройствах

6. Мониторинг и анализ журналов доступа (логов)


Основные:

7. Защита email-клиентов и браузеров

8. Защита от ВПО

9. Ограничение и контроль использования сетевых портов, сервисов и протоколов

10. Возможности по восстановлению данных

11. Защищенная настройка сетевых устройств (межсетевые экраны, маршрутизаторы, коммутаторы)

12. Защита информационного периметра

13. Защита данных

14. Контролируемый доступ на основе принципа служебной необходимости

15. Контроль беспроводного доступа

16. Мониторинг и контроль учетных записей


Организационные:

17. Программа повышения осведомленности и обучение сотрудников

18. Безопасность прикладного ПО (безопасная разработка)

19. Управление и реагирование на инциденты

20. Тесты на проникновение и тесты Red Team


Применение указанных мер защиты позволит в достаточно сжатые сроки выстроить основы экономически эффективной системы менеджмента информационной безопасности, которую в дальнейшем будет легко развить до более продвинутой, применяя уже более затратные и сложные меры защиты информации.


Давайте вернемся на место нашего воображаемого героя - недавно нанятого специалиста по кибербезопасности. Представим, что он ознакомился с доступными методическими рекомендациями и нормативными требованиями и выбрал тот фреймворк, который наиболее применим и актуален в его ситуации. Но кроме этого выбора, ему предстоит осуществить практических рабочих действий, которые помогут в конечном итоге выстроить процессы управления кибербезопасностью и отладить систему менеджмента информационной безопасности. Какими могут быть его шаги? Предлагаем следующие этапы выстраивания системы менеджмента информационной безопасности:

  • Изучение бизнеса компании, включая бизнес-процессы, используемые технологии, средства защиты.

  • Выявление киберрисков, угроз ИБ, применимых регуляторных норм.

  • Выбор наиболее подходящих стандартов, рекомендаций и лучших практик для выстраивания процессов ИБ конкретно в данной компании.

  • Составление списка мер защиты (организационные, технические, физические), которые закрывают выявленные риски и угрозы.

  • Дополнение списка мерами, которые продиктованы регуляторными нормами.

  • Разработка и утверждение локальной (внутренней) нормативной документации (сначала политики и стандарты ИБ, затем по мере необходимости регламенты, процедуры, инструкции – с индексами документов, грифом, сквозной нумерацией, историей изменений, версионностью, списком согласовавших и утвердивших).

  • Повторный анализ имеющихся СЗИ – реализуют ли они все выявленные необходимые меры защиты?

  • Выбор новых СЗИ и/или модернизация старых. Экономическое обоснование затрат (инвестиций) в СЗИ. Приобретение СЗИ.

  • Набор новых сотрудников в подразделение защиты информации для работы с выбранными технологиями и средствами ИБ или прохождение обучения работе с ними самостоятельно.

  • Внедрение СЗИ (силами подрядчиков или самостоятельно), первичная настройка.

  • Контроль выполнения локальных нормативных актов с помощью СЗИ. Контроль минимизации рисков до заданного уровня (снижение количества инцидентов). Тюнинг СЗИ.

  • Непрерывное улучшение, охват все больших объектов бизнеса и ИТ-инфраструктуры, работа в соответствии с принципами P.D.C.A.-цикла Деминга для управления процессами.

СЗИ ГОСТы и документы ИБ Управление ИБ Стандарты ИБ Подкасты ИБ NIST

Рекомендуем

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Модель зрелости SOAR
Модель зрелости SOAR

Рекомендуем

Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Управление мобильными устройствами
Управление мобильными устройствами
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Модель зрелости SOAR
Модель зрелости SOAR

Похожие статьи

Как устроены вредоносные программы
Как устроены вредоносные программы
Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Динамические плейбуки
Динамические плейбуки
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации

Похожие статьи

Как устроены вредоносные программы
Как устроены вредоносные программы
Возможности обновленного продукта Security Vision ФинЦЕРТ
Возможности обновленного продукта Security Vision ФинЦЕРТ
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Динамические плейбуки
Динамические плейбуки
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации