SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007

Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
12.04.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


В данной статье рассмотрим стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007, который объяснит вам принципы и поможет выстроить систему управления инцидентами информационной безопасности с учетом международной практики (ISO/IEC TR 18044:2004).


Стандарт ИСО МЭК 18044 был введен в действие достаточно давно (01.07.2008 г.), но при этом фундаментальный подход по отношению к управлению инцидент-менеджментом является актуальным и по сегодняшний день. К сожалению, в российской практике часто встречаются организации, где процессы управления инцидентами не имеют формализации и выстроенного структурного подхода. По сути, обработка инцидентов осуществляется по наитию, без четкого, последовательного, регламентированного и формализованного подхода, а это в свою очередь негативно отражается на уровне защищенности информационных активов организации.


Результатами отсутствия выстроенного инцидент менеджмента являются: регулярное повторение одних и тех же инцидентов ИБ, дефицит человеческих ресурсов за счет большого количества ложно-положительных событий ИБ, неэффективное реагирование, некорректное проведение анализа, плохая координация действий с другими подразделениями, неэффективное использование бюджета в части приобретения технических средств.


Рассматриваемый стандарт является одновременно гайдом и прекрасным базисом для построения правильного инцидент менеджмента, учитывая все основные аспекты. Кроме того, ГОСТ 18044 может служить источником полезной информации для оптимизации менеджмента инцидентов в вашей организации. При этом ориентироваться на него можно вне зависимости от сферы деятельности вашей организации.


Выстраивание менеджмента инцидентов ИБ по ГОСТ Р 18044 базируется на достаточно популярной модели PDCA (Plan-Do-Check-Act). В частности, основную часть документа занимает детализация следующих четырех этапов управления инцидентами ИБ: планирование и подготовка, использование, анализ, улучшение.


g1.png



В стандарте ИСО 18044 подробно обосновываются преимущества структурного подхода управления инцидентами ИБ, а также описывается ряд ключевых вопросов, на которые следует обратить внимание при построении системы управления инцидентами ИБ в вашей организации:

- обязательства руководства

- осведомленность

- правовые и нормативные аспекты

- эффективность эксплуатации и качество

- анонимность

- конфиденциальность

- независимость деятельности группы реагирования на инциденты ИБ

- типология.


Помимо общей концепции, для более детального погружения в предметную область в стандарте приведены некоторые примеры инцидентов ИБ и причины их возникновения (отказ в обслуживании, сбор информации, несанкционированный доступ).


Далее рассмотрим более подробно содержание каждого из четырех этапов менеджмента инцидентов информационной безопасности стандарта ГОСТ 18044.


1 Этап. «Планирование и подготовка»


Данный этап является фундаментом, в ходе которого должны быть осуществлены:

- формализация политики обработки событий и инцидентов ИБ

- формирование структуры подразделения по управлению инцидентами ИБ, включая формирование штатного расписания и подбор необходимого персонала

- формирование программы обучения и проведение мероприятий, направленных на осведомленность об инцидент менеджменте в организации.


В частности, на данном этапе создаются общее представление о менеджменте инцидентов ИБ, политика управления инцидентами ИБ в организации, подробные регламенты к процессам и процедурам обработки инцидентов ИБ (программа), осуществляется интеграция менеджмента инцидентов ИБ в общую политику менеджмента рисков и политику ИБ организации. Важным шагом является формирование специальной группы реагирования на инциденты ИБ (ГРИИБ), которая будет осуществлять процедуры с целью снижения ущерба связанных с инцидентами ИБ. При этом, для эффективного выполнения своих задач, ГРИИБ должна быть обеспечена доступом к необходимой информации по активам и бизнес-процессам организации, а также техническими средствами, которые будут использоваться для автоматизации анализа данных и внутренних процессов обработки инцидентов.


По итогам выполнения вышеописанных шагов необходимо провести мероприятия, направленные на повышение осведомленности в вопросах ИБ для всего персонала организации. А для участников процесса менеджмента инцидентов ИБ разработать внутреннюю программу обучения (с учетом различных уровней подготовки).


2 Этап. «Использование»


Этап «Использование» является одним из главных, в ходе которого на основе, заложенной на предыдущем этапе, проводится ряд ключевых операционных процессов по обработке инцидентов. Рассмотрим процессы данного этапа, приведенные в стандарте ИСО МЭК 18044.


Обнаружение и оповещение о событиях ИБ


Выявление событий ИБ может осуществляться как сотрудниками организации, так и различными техническими средствами в автоматическом режиме (МСЭ, СОВ, АВП, SIEM и прочими СЗИ). Далее в рамках этого процесса важным является оповещение с целью привлечения внимания группы обеспечения эксплуатации и менеджмента, в формате принятой отчетности в организации.


Оценка и принятие решений по событиям ИБ


Группа обеспечения эксплуатации, получив информацию по событию ИБ, проводит анализ события ИБ на основе предоставленной отчетной формы (при необходимости производит уточнения и сбор дополнительной информации) и проводит первичную оценку для классификации/категоризации данного события ИБ, то есть является ли данное событие инцидентом ИБ или же это ложно-положительное событие ИБ. При этом вне зависимости от того, является ли событие ложным или инцидентом, группа эксплуатации заполняет свою форму отчетности и передает ее в группу реагирования (ГРИИБ) для записи в базу данных и последующего анализа.


Далее ГРИИБ проводит вторую оценку инцидента ИБ для целей подтверждения или же опровержения данного факта. Аналогично предыдущему процессу, ГРИИБ проводит уточнение деталей у группы обеспечения эксплуатации и сбор дополнительной информации регистрируя всё в базе данных событий/инцидентов ИБ. В случае если инцидент ИБ подтверждается, то ГРИИБ переходит к следующему ключевому процессу - реагированию.


Реагирование на инциденты ИБ


Получив подтверждение инцидента ИБ, ГРИИБ в первую очередь производит действия по немедленному реагированию (например, отключение атакованной системы, сетевая изоляция зараженного узла) с уведомлением сотрудников организации и руководства (при возникновении кризисной ситуации). Важно отметить, что некоторые действия могут потребовать дополнительного согласования, эти тонкости должны быть зафиксированы в регламентах ГРИИБ.


Следующим действием ГРИИБ является подтверждение того, что инцидент ИБ находится под контролем, и переход к дальнейшим необходимым действиям по реагированию. В противном же случае сотрудник ГРИИБ инициирует срочные антикризисные действия.


Для инцидента ИБ, находящегося под контролем, сотрудник ГРИИБ определяет наиболее эффективные и оптимальные шаги реагирования для дальнейшей нейтрализации угрозы и устранения последствий. В свою очередь, для неконтролируемого инцидента ИБ ГРИИБ начинают обработку данного инцидента в режиме антикризисных действий по заранее разработанным планам.


В ходе предыдущих действий по реагированию могут потребоваться правовая экспертиза, которую должен осуществлять сотрудник ГРИИБ, или информирование конкретных лиц - как внутри организации, включая высшее руководство, так и за ее пределами, включая СМИ.


Важным условием при обработке событий/инцидентов ИБ является регистрация всех действий участников процесса в защищаемых журналах (с применением СЗИ и резервирования) с целью возможности проведения дальнейшего ретроспективного анализа и формирования доказательной базы.


3 Этап. «Анализ»


После закрытия инцидента ИБ проводится ряд аналитических процедур для выявления причин возникновения инцидента ИБ, уязвимостей, тенденций, проблемных областей с целью принятия мер для снижения вероятности возникновения повторных инцидентов. Также ГРИИБ проводит правовую экспертизу с целью сбора и определения свидетельств. По итогам данного этапа определяется перечень необходимых улучшений безопасности и системы менеджмента инцидентов ИБ.


4 Этап. «Улучшение»


На данном этапе осуществляется внедрение рекомендаций, полученных по итогам анализа. С целью усиления безопасности могут быть внедрены дополнительные технические или организационные защитные меры, проведены изменения в конфигурациях систем. Также могут производится корректировки процессов, процедур, форм отчетности с целью непрерывной оптимизации менеджмента инцидентов ИБ.


Важно, что, согласно подходу стандарта ГОСТ Р 18044, сводная информация, полученная в ходе операционной деятельности по управлению инцидентами ИБ, должна передаваться на более верхний уровень менеджмента, который занимается стратегическими вопросами управления информационной безопасностью в организации.


В конце стандарта приводится справочная информация по формам отчетов о событиях/инцидентах ИБ, а также рекомендации, которые могут быть использованы как базис для дальнейшей адаптации под нужды конкретной организации.


Резюмируя данную статью, хочется повторно обозначить важность формализованного и структурного подхода по обработке инцидентов ИБ. Ведь защита организации от угроз ИБ на фоне цифровизации всех наших аспектов жизнедеятельности становится критически важным вопросом. Скорость реакции и корректность действий подразделений, проводящих процедуры обнаружения, принятия решений, реагирования, проведения пост анализа и мероприятий по улучшению, оказывает самое существенное влияние на величину ущерба от инцидентов информационной безопасности.

Подкасты ИБ Управление ИБ Стандарты ИБ ГОСТы и документы ИБ

Рекомендуем

Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Интернет вещей и безопасность
Интернет вещей и безопасность
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Тестирование на проникновение
Тестирование на проникновение
False или не false?
False или не false?

Рекомендуем

Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Интернет вещей и безопасность
Интернет вещей и безопасность
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Тестирование на проникновение
Тестирование на проникновение
False или не false?
False или не false?

Похожие статьи

Интернет вещей и его применение
Интернет вещей и его применение
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Модель зрелости SOAR
Модель зрелости SOAR
Тестирование на проникновение
Тестирование на проникновение

Похожие статьи

Интернет вещей и его применение
Интернет вещей и его применение
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 1
Ландшафт угроз информационной безопасности последних лет. Часть 1
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Модель зрелости SOAR
Модель зрелости SOAR
Тестирование на проникновение
Тестирование на проникновение