Управление информационной безопасностью (Менеджмент ИБ)

Руслан Рахметов, Security Vision

Друзья, в процессе обсуждения тем управления рисками, формирования Центров SOC, внедрением и настройкой систем SIEM, SGRC и IRP / SOAR мы, скорее, рассуждали о вопросах информационной безопасности с позиции крупных компаний, обладающих достаточными ресурсами для внедрения процессов управления кибербезопасностью. При этом не стоит забывать, что вопросы обеспечения информационной безопасности на сегодняшний день стоят остро и у представителей сегмента среднего и малого бизнеса (СМБ-сегмент, или SMB - Small & Medium Business).

Данные организации подчас подпадают под действия разнообразных законодательных норм в части защиты информации, а ресурсов (как финансовых, так и людских) у них, как правило, катастрофически не хватает. При этом воспользоваться всем спектром услуг по аутсорсингу функций информационной безопасности опять же мешает ограниченный бюджет. Учтем также, что объектами атак в последнее время все чаще становятся именно представители СМБ-сегмента - отчасти по причине недостаточной защищенности, отчасти из-за повышенного интереса к ним со стороны хакеров, использующих взломанные инфраструктуры как своеобразный «плацдарм» для последующих атак на более крупные мишени, которые могут являться контрагентами (партнерами или, чаще всего, заказчиками) таких небольших организаций. Таким образом, потребность во внедрении процессов информационной безопасности и последующего управления ими носит осознанный характер: руководство и собственники из СМБ-сегмента все чаще слышат о последствиях успешных атак, которые при похожем сценарии вполне могут привести к краху и их фирмы.

Итак, построение процессов кибербезопасности становится уже не только законодательным требованием, но и необходимым условием для устойчивого развития организации, что в современных реалиях цифровой экономики особенно очевидно. При этом налицо еще одна сложность - острый недостаток квалифицированных кадров в области ИБ сужает список возможных претендентов на должность CISO (Chief Information Security Officer), т.е. руководителя направления информационной безопасности, которые будут готовы трудоустроиться в небольшую компанию, обладающую ограниченным бюджетом и не имеющую возможности предложить компенсацию на уровне более крупных организаций.

Выходом из ситуации может стать передача задач обеспечения кибербезопасности Департаменту ИТ, но, несмотря на казалось бы схожее направление деятельности, совмещение функций ИТ и ИБ будет таким же неэффективным, а может и вовсе вредным, как попытки, например, совместить функции бухгалтерии и планово-экономического отдела. Вывод напрашивается очевидный: принять молодого специалиста по кибербезопасности в Департамент ИТ с перспективой расширения функции ИБ до отдела (или департамента), поручив ему выстроить основные процессы защиты информации. Система менеджмента информационной безопасности будет зависеть от выбранных парадигм, стандартов и рекомендаций, которые и определят вектор становления и развития функции кибербезопасности в компании. Эффективность данной системы будет определяться способностью минимизировать киберриски и обрабатывать инциденты информационной безопасности.

Для корректного построения функций управления информационной безопасностью в компании требуется не только найм сотрудника с профильным образованием и опытом работы. Фундаментом всех процессов кибербезопасности должны стать внутренние нормативные документы, определяющие деятельность по защите информации: политики, стандарты, регламенты, процедуры и инструкции по информационной безопасности. Ответственный за систему управления защитой информации и применение средств менеджмента информационной безопасности должен обратиться к нормам текущего законодательства по защите информации, выстраивая процессы ИБ в соответствии с нормативными рекомендациями и требованиями. При этом можно руководствоваться и мировым опытом фреймворков управления информационной безопасностью и киберрисками, например, серией международных стандартов ISO 27000, документами NIST SP 800-ой серии, а также рекомендациями некоммерческой организации CIS (Center for Internet Security). Расскажем о них подробнее.

Итак, серия стандартов ISO/IEC 27000 разработана организациями ISO (International Organization for Standardization, Международная организация по стандартизации) и IEC (International Electrotechnical Commission, Международная электротехническая комиссия). Данная серия стандартов посвящена внедрению Системы Менеджмента Информационной Безопасности (сокращенно - СМИБ, или ISMS - Information Security Management System). Некоторые стандарты из данной серии были адаптированы в РФ и имеют префикс ГОСТ Р ИСО/МЭК. Какие стандарты входят в данную серию:

• ISO 27000 «СМИБ. Обзор и глоссарий»

• ISO 27001 «СМИБ. Требования»

• ISO 27002 «СМИБ. Свод практических правил для обеспечения мер ИБ»

• ISO 27003 «СМИБ. Руководство по внедрению СМИБ»

• ISO 27004 «СМИБ. Мониторинг, измерения, анализ и оценка»

• ISO 27005 «СМИБ. Управление рисками информационной безопасности»

• ISO 27018 «Свод практических правил по защите персональных данных в публичных облаках»

• ISO 27031 «Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса»

• ISO 27032 «Руководство по кибербезопасности»

• ISO 27035 «Управление инцидентами информационной безопасности»

• ISO 27036 «Информационная безопасность при взаимоотношениях с поставщиками»

• ISO 27039 «Выбор, настройка и работа с системами обнаружения и предотвращения вторжений»

• ISO 27043 «Принципы и процессы расследования инцидентов информационной безопасности»

• ISO 27102 «Руководство по киберстрахованию»
  

По стандартам серии ГОСТ Р ИСО/МЭК 27000, основные фазы построения системы обеспечения информационной безопасности должны соответствовать принципам P.D.C.A.-цикла Деминга для управления процессами: Plan – Do – Check – Act (Планирование – Выполнение – Оценка – Корректировка). Перечень этих фаз таков:

• Оценка необходимости и потребности компании в мерах ЗИ путем оценки рисков и моделирования угроз/нарушителей;

• Внедрение и обеспечение процессов ИБ, мер защиты и иных контрмер для противодействия выявленным актуальным угрозам;

• Мониторинг и регулярный пересмотр эффективности работы СМИБ;

• Непрерывное совершенствование СМИБ.

При этом ключевыми компонентами системы управления информационной безопасности будут:

• Локальные нормативные акты (ЛНА)

• Сотрудники с определенными должностными обязанностями

• Процессы управления:

1.    Внедрением ЛНА

2.    Повышением квалификации и осведомленности сотрудников

3.    Планированием

4.    Внедрением мер защиты

5.    Текущей деятельностью

6.    Оценкой эффективности

7.    Анализом со стороны руководства

8.    Совершенствованием

В стандарте ISO/IEC 27001:2013 приведен перечень процессов обеспечения информационной безопасности для выстраивания корректной системы менеджмента ИБ, который включает в себя процессы управления учетными записями, логическим доступом, проверки и работы с персоналом, управления активами, классификации информации по степени важности, криптографической защиты информации, обеспечения физической безопасности, защиты от вредоносного ПО, обеспечения непрерывности бизнес-процессов, аудита и мониторинга событий информационной безопасности и управления инцидентами ИБ, управления уязвимостями, а также процессы обеспечения сетевой безопасности, безопасности при самостоятельной разработке ПО, процессы контроля информационного взаимодействия с контрагентами, соответствия применимым законодательным требованиям и проведения независимых аудитов информационной безопасности. При этом каждый из процессов подробно описан и разбит на подпроцессы для детализации требований к выстраиванию системы управления ИБ и настройки систем ИБ в компании. Стандарты ISO 27002 и 27003 дают детальное пояснение и рекомендации по всем требованиям и процессам, стандарт ISO 27004 содержит требования по мониторингу и аудиту выстроенной системы менеджмента информационной безопасности, а документ ISO 27005 посвящен управлению киберрисками. Разумеется, все документы данной серии стандартов логически взаимосвязаны и оперируют единым терминологическим аппаратом, приведенным в заглавном стандарте ISO 27000.

Перейдем к серии публикаций NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологий США), который включает в себя набор взаимосвязанных т.н. «специальных публикаций» (англ. Special Publication (SP)). Набор документов NIST SP 800-ой серии содержит в себе логически связанные положения и рекомендации по менеджменту информационной безопасности, в частности, по управлению киберрисками (публикации NIST SP 800-39, NIST SP 800-37, NIST SP 800-30), мониторингу информационной безопасности (NIST SP 800-137), по обработке инцидентов ИБ (NIST SP 800-61, NIST SP 800-83, NIST SP 800-86), оценке эффективности выстроенной системы менеджмента информационной безопасности (NIST SP 800-55), управлению журналами аудита (NIST SP 800-92), а также по реализации мер обеспечения информационной безопасности (NIST SP 800-53). Остановимся подробнее на последнем документе.

Итак, публикация NIST SP 800-53 регулярно обновляется (последняя ревизия NIST SP 800-53 Rev.5 была выпущена в сентябре 2020 г.) и содержит в себе всеобъемлющий список мер защиты информации в сочетании с рекомендациями по их практическому внедрению. В приложении NIST SP 800-53A содержатся методы оценки внедренных мер, а в NIST SP 800-53B приведены базовые уровни мер. В перечне мер указаны такие основные требования, как контроль доступа, проведение обучения персонала, аудит, мониторинг, управление изменениями и конфигурациями, планирование непрерывности бизнес-процессов, обеспечение аутентификации, реагирование на инциденты (т.е. инцидент менеджмент), защита носителей информации, обеспечение физической и кадровой безопасности, защита персональных данных, оценка киберрисков, вопросы приобретения систем и сервисов и управление цепочками поставок, а также защита и целостность систем и средств коммуникаций. При этом каждая из мер защиты раскрыта исключительно подробно, с перечнем конкретных действий для реализации каждой меры, с возможностью адаптации под нужды и возможности конкретной организации для построения целостной, гибкой, логически связанной системы менеджмента информационной безопасности и корректной настройки средств менеджмента информационной безопасности.

Говоря о достижении значимых целей в разумные сроки с привлечением ограниченного количества ресурсов, часто употребляют такие термины, как quick wins («быстрые победы») и low-hanging fruits («низко висящие фрукты»). В полной мере данные термины применимы к документу CIS TOP-20 Controls («20 лучших мер защиты»), разработанному некоммерческой организацией CIS (Center for Internet Security), последняя версия 7.1 которого вышла в 2020 г. В документе перечислены 20 наиболее эффективных мер защиты информации для построения системы менеджмента информационной безопасности в условиях ограниченных ресурсов (временных, кадровых, финансовых). Кроме указанных экспертных рекомендаций по реализации мер ИБ, CIS выпускает также практические документы – Benchmarks (бенчмарки, «золотые стандарты») с перечнем конкретных действий по настройке операционных систем, программного обеспечения, средств защиты информации (СЗИ).

Итак, документ CIS TOP-20 Controls содержит 20 простых, но эффективных мер защиты (технических, организационных), разделенных на группы:

Базовые:

1. Инвентаризация и контроль аппаратных активов

2. Инвентаризация и контроль программных активов

3. Непрерывное управление уязвимостями

4. Контроль использования административных полномочий

5. Защищенная настройка ПО и АО на устройствах

6. Мониторинг и анализ журналов доступа (логов)

Основные:

7. Защита email-клиентов и браузеров

8. Защита от ВПО

9. Ограничение и контроль использования сетевых портов, сервисов и протоколов

10. Возможности по восстановлению данных

11. Защищенная настройка сетевых устройств (межсетевые экраны, маршрутизаторы, коммутаторы)

12. Защита информационного периметра

13. Защита данных

14. Контролируемый доступ на основе принципа служебной необходимости

15. Контроль беспроводного доступа

16. Мониторинг и контроль учетных записей

Организационные:

17. Программа повышения осведомленности и обучение сотрудников

18. Безопасность прикладного ПО (безопасная разработка)

19. Управление и реагирование на инциденты

20. Тесты на проникновение и тесты Red Team

Применение указанных мер защиты позволит в достаточно сжатые сроки выстроить основы экономически эффективной системы менеджмента информационной безопасности, которую в дальнейшем будет легко развить до более продвинутой, применяя уже более затратные и сложные меры защиты информации.

Давайте вернемся на место нашего воображаемого героя - недавно нанятого специалиста по кибербезопасности. Представим, что он ознакомился с доступными методическими рекомендациями и нормативными требованиями и выбрал тот фреймворк, который наиболее применим и актуален в его ситуации. Но кроме этого выбора, ему предстоит осуществить практических рабочих действий, которые помогут в конечном итоге выстроить процессы управления кибербезопасностью и отладить систему менеджмента информационной безопасности. Какими могут быть его шаги? Предлагаем следующие этапы выстраивания системы менеджмента информационной безопасности:

• Изучение бизнеса компании, включая бизнес-процессы, используемые технологии, средства защиты.

• Выявление киберрисков, угроз ИБ, применимых регуляторных норм.

• Выбор наиболее подходящих стандартов, рекомендаций и лучших практик для выстраивания процессов ИБ конкретно в данной компании.

• Составление списка мер защиты (организационные, технические, физические), которые закрывают выявленные риски и угрозы.

• Дополнение списка мерами, которые продиктованы регуляторными нормами.

• Разработка и утверждение локальной (внутренней) нормативной документации (сначала политики и стандарты ИБ, затем по мере необходимости регламенты, процедуры, инструкции – с индексами документов, грифом, сквозной нумерацией, историей изменений, версионностью, списком согласовавших и утвердивших).

• Повторный анализ имеющихся СЗИ – реализуют ли они все выявленные необходимые меры защиты?

• Выбор новых СЗИ и/или модернизация старых. Экономическое обоснование затрат (инвестиций) в СЗИ. Приобретение СЗИ.

• Набор новых сотрудников в подразделение защиты информации для работы с выбранными технологиями и средствами ИБ или прохождение обучения работе с ними самостоятельно.

• Внедрение СЗИ (силами подрядчиков или самостоятельно), первичная настройка.

• Контроль выполнения локальных нормативных актов с помощью СЗИ. Контроль минимизации рисков до заданного уровня (снижение количества инцидентов). Тюнинг СЗИ.

• Непрерывное улучшение, охват все больших объектов бизнеса и ИТ-инфраструктуры, работа в соответствии с принципами P.D.C.A.-цикла Деминга для управления процессами.