SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007

Менеджмент инцидентов информационной безопасности. Стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007
12.04.2021

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


В данной статье рассмотрим стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007, который объяснит вам принципы и поможет выстроить систему управления инцидентами информационной безопасности с учетом международной практики (ISO/IEC TR 18044:2004).


Стандарт ИСО МЭК 18044 был введен в действие достаточно давно (01.07.2008 г.), но при этом фундаментальный подход по отношению к управлению инцидент-менеджментом является актуальным и по сегодняшний день. К сожалению, в российской практике часто встречаются организации, где процессы управления инцидентами не имеют формализации и выстроенного структурного подхода. По сути, обработка инцидентов осуществляется по наитию, без четкого, последовательного, регламентированного и формализованного подхода, а это в свою очередь негативно отражается на уровне защищенности информационных активов организации.


Результатами отсутствия выстроенного инцидент менеджмента являются: регулярное повторение одних и тех же инцидентов ИБ, дефицит человеческих ресурсов за счет большого количества ложно-положительных событий ИБ, неэффективное реагирование, некорректное проведение анализа, плохая координация действий с другими подразделениями, неэффективное использование бюджета в части приобретения технических средств.


Рассматриваемый стандарт является одновременно гайдом и прекрасным базисом для построения правильного инцидент менеджмента, учитывая все основные аспекты. Кроме того, ГОСТ 18044 может служить источником полезной информации для оптимизации менеджмента инцидентов в вашей организации. При этом ориентироваться на него можно вне зависимости от сферы деятельности вашей организации.


Выстраивание менеджмента инцидентов ИБ по ГОСТ Р 18044 базируется на достаточно популярной модели PDCA (Plan-Do-Check-Act). В частности, основную часть документа занимает детализация следующих четырех этапов управления инцидентами ИБ: планирование и подготовка, использование, анализ, улучшение.


g1.png



В стандарте ИСО 18044 подробно обосновываются преимущества структурного подхода управления инцидентами ИБ, а также описывается ряд ключевых вопросов, на которые следует обратить внимание при построении системы управления инцидентами ИБ в вашей организации:

- обязательства руководства

- осведомленность

- правовые и нормативные аспекты

- эффективность эксплуатации и качество

- анонимность

- конфиденциальность

- независимость деятельности группы реагирования на инциденты ИБ

- типология.


Помимо общей концепции, для более детального погружения в предметную область в стандарте приведены некоторые примеры инцидентов ИБ и причины их возникновения (отказ в обслуживании, сбор информации, несанкционированный доступ).


Далее рассмотрим более подробно содержание каждого из четырех этапов менеджмента инцидентов информационной безопасности стандарта ГОСТ 18044.


1 Этап. «Планирование и подготовка»


Данный этап является фундаментом, в ходе которого должны быть осуществлены:

- формализация политики обработки событий и инцидентов ИБ

- формирование структуры подразделения по управлению инцидентами ИБ, включая формирование штатного расписания и подбор необходимого персонала

- формирование программы обучения и проведение мероприятий, направленных на осведомленность об инцидент менеджменте в организации.


В частности, на данном этапе создаются общее представление о менеджменте инцидентов ИБ, политика управления инцидентами ИБ в организации, подробные регламенты к процессам и процедурам обработки инцидентов ИБ (программа), осуществляется интеграция менеджмента инцидентов ИБ в общую политику менеджмента рисков и политику ИБ организации. Важным шагом является формирование специальной группы реагирования на инциденты ИБ (ГРИИБ), которая будет осуществлять процедуры с целью снижения ущерба связанных с инцидентами ИБ. При этом, для эффективного выполнения своих задач, ГРИИБ должна быть обеспечена доступом к необходимой информации по активам и бизнес-процессам организации, а также техническими средствами, которые будут использоваться для автоматизации анализа данных и внутренних процессов обработки инцидентов.


По итогам выполнения вышеописанных шагов необходимо провести мероприятия, направленные на повышение осведомленности в вопросах ИБ для всего персонала организации. А для участников процесса менеджмента инцидентов ИБ разработать внутреннюю программу обучения (с учетом различных уровней подготовки).


2 Этап. «Использование»


Этап «Использование» является одним из главных, в ходе которого на основе, заложенной на предыдущем этапе, проводится ряд ключевых операционных процессов по обработке инцидентов. Рассмотрим процессы данного этапа, приведенные в стандарте ИСО МЭК 18044.


Обнаружение и оповещение о событиях ИБ


Выявление событий ИБ может осуществляться как сотрудниками организации, так и различными техническими средствами в автоматическом режиме (МСЭ, СОВ, АВП, SIEM и прочими СЗИ). Далее в рамках этого процесса важным является оповещение с целью привлечения внимания группы обеспечения эксплуатации и менеджмента, в формате принятой отчетности в организации.


Оценка и принятие решений по событиям ИБ


Группа обеспечения эксплуатации, получив информацию по событию ИБ, проводит анализ события ИБ на основе предоставленной отчетной формы (при необходимости производит уточнения и сбор дополнительной информации) и проводит первичную оценку для классификации/категоризации данного события ИБ, то есть является ли данное событие инцидентом ИБ или же это ложно-положительное событие ИБ. При этом вне зависимости от того, является ли событие ложным или инцидентом, группа эксплуатации заполняет свою форму отчетности и передает ее в группу реагирования (ГРИИБ) для записи в базу данных и последующего анализа.


Далее ГРИИБ проводит вторую оценку инцидента ИБ для целей подтверждения или же опровержения данного факта. Аналогично предыдущему процессу, ГРИИБ проводит уточнение деталей у группы обеспечения эксплуатации и сбор дополнительной информации регистрируя всё в базе данных событий/инцидентов ИБ. В случае если инцидент ИБ подтверждается, то ГРИИБ переходит к следующему ключевому процессу - реагированию.


Реагирование на инциденты ИБ


Получив подтверждение инцидента ИБ, ГРИИБ в первую очередь производит действия по немедленному реагированию (например, отключение атакованной системы, сетевая изоляция зараженного узла) с уведомлением сотрудников организации и руководства (при возникновении кризисной ситуации). Важно отметить, что некоторые действия могут потребовать дополнительного согласования, эти тонкости должны быть зафиксированы в регламентах ГРИИБ.


Следующим действием ГРИИБ является подтверждение того, что инцидент ИБ находится под контролем, и переход к дальнейшим необходимым действиям по реагированию. В противном же случае сотрудник ГРИИБ инициирует срочные антикризисные действия.


Для инцидента ИБ, находящегося под контролем, сотрудник ГРИИБ определяет наиболее эффективные и оптимальные шаги реагирования для дальнейшей нейтрализации угрозы и устранения последствий. В свою очередь, для неконтролируемого инцидента ИБ ГРИИБ начинают обработку данного инцидента в режиме антикризисных действий по заранее разработанным планам.


В ходе предыдущих действий по реагированию могут потребоваться правовая экспертиза, которую должен осуществлять сотрудник ГРИИБ, или информирование конкретных лиц - как внутри организации, включая высшее руководство, так и за ее пределами, включая СМИ.


Важным условием при обработке событий/инцидентов ИБ является регистрация всех действий участников процесса в защищаемых журналах (с применением СЗИ и резервирования) с целью возможности проведения дальнейшего ретроспективного анализа и формирования доказательной базы.


3 Этап. «Анализ»


После закрытия инцидента ИБ проводится ряд аналитических процедур для выявления причин возникновения инцидента ИБ, уязвимостей, тенденций, проблемных областей с целью принятия мер для снижения вероятности возникновения повторных инцидентов. Также ГРИИБ проводит правовую экспертизу с целью сбора и определения свидетельств. По итогам данного этапа определяется перечень необходимых улучшений безопасности и системы менеджмента инцидентов ИБ.


4 Этап. «Улучшение»


На данном этапе осуществляется внедрение рекомендаций, полученных по итогам анализа. С целью усиления безопасности могут быть внедрены дополнительные технические или организационные защитные меры, проведены изменения в конфигурациях систем. Также могут производится корректировки процессов, процедур, форм отчетности с целью непрерывной оптимизации менеджмента инцидентов ИБ.


Важно, что, согласно подходу стандарта ГОСТ Р 18044, сводная информация, полученная в ходе операционной деятельности по управлению инцидентами ИБ, должна передаваться на более верхний уровень менеджмента, который занимается стратегическими вопросами управления информационной безопасностью в организации.


В конце стандарта приводится справочная информация по формам отчетов о событиях/инцидентах ИБ, а также рекомендации, которые могут быть использованы как базис для дальнейшей адаптации под нужды конкретной организации.


Резюмируя данную статью, хочется повторно обозначить важность формализованного и структурного подхода по обработке инцидентов ИБ. Ведь защита организации от угроз ИБ на фоне цифровизации всех наших аспектов жизнедеятельности становится критически важным вопросом. Скорость реакции и корректность действий подразделений, проводящих процедуры обнаружения, принятия решений, реагирования, проведения пост анализа и мероприятий по улучшению, оказывает самое существенное влияние на величину ущерба от инцидентов информационной безопасности.

Подкасты ИБ Управление ИБ Стандарты ИБ ГОСТы и документы ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют