SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)

Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
01.02.2021

Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»

CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020


План действий по обеспечению непрерывности и восстановлению деятельности (ОНиВД) инфраструктуры компании = Business Continuity Planning (BCP) + Disaster Recovery Planning (DRP) = Business Continuity Management (управление непрерывностью бизнеса).

Источники угроз: человеческий, техногенный, природный фактор.

Рассматриваем события: аварии, стихийные бедствия, катастрофы, атаки, беспорядки, коллапсы, эпидемии и т.д.

До события: Обеспечение непрерывности деятельности (Business Continuity)

После события: Восстановление работоспособности (Disaster Recovery)

 

Документы:

  • ISO 22301:2019 = ГОСТ Р ИСО 22301-2014 «Системы менеджмента непрерывности бизнеса. Общие требования»

  • ISO/IEC 27031:2011 = ГОСТ Р ИСО/МЭК 27031-2012 «Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса»

  • NIST SP 800-34 «Руководство по планированию непрерывности»

  • Указание ЦБ РФ от 5 марта 2009 г. № 2194-У, в котором прописано требование о необходимости обеспечения непрерывности деятельности и (или) восстановления деятельности кредитной организации на случай непредвиденных обстоятельств.

 

Типы нарушений работоспособности инфраструктуры (по уровню воздействия):

  • Авария: проблемы с ПО или АО

  • Бедствие: здание недоступно некоторое время

  • Катастрофа: здание разрушено.

 

Для аварий важны параметры оборудования:

  • MTBF (mean time between failures, среднее время наработки на отказ)

  • MTTR (mean time to repair, среднее время восстановления).

 

Для бедствий и катастроф важны параметры систем восстановления:

  • RTO (recovery time objective) – время восстановления данных и элементов инфраструктуры из резервной копии, резервного ЦОД, резервной площадки

  • RPO (recovery point objective) – целевая дата, на которую можно восстановить данные

  • ADT (acceptable downtime) – время ожидания до начала действий по Плану ОНиВД

  • WRT (work recovery time) – временные затраты на тестирование и подготовку к включению систем после восстановления инфраструктуры

  • MTD (maximum tolerable downtime) – время, за которое бизнес-процессы вернутся к нормальному докризисному уровню. MTD рассчитывается для каждой бизнес-функции, операции, актива. MTD=RTO+WRT

 

RPO (recovery point objective) – на какую дату сможем восстановить данные, т.е. сколько данных потеряем.

RTO (recovery time objective) – за какое время после события восстановим данные из бекапа.

rto rpo.png 

 

Типы резервных площадок, которые можно взять в аренду:

  • «Горячий сайт» (Hot site) – предоставление наших резервных копий, оборудования и ПО; время готовности для начала работы на нем – немедленно

  • «Теплый сайт» (Warm site) – есть СКС, электроэнергия, но нет дорогого оборудования (сеть, сервера); время готовности – примерно 12 часов

  • «Холодный сайт» (Cold site) – только помещение; время готовности – примерно 1 неделя.

 

Взаимное соглашение (Reciprocal agreement) – заблаговременная договоренность с владельцем какого-либо офиса о возможности временного переезда туда в случае наступления события.

 

Избыточный/резервный сайт (Redundant site) – принадлежащая компании точная копия офиса и инфраструктуры, но без сотрудников; такое редко встречается по причине дороговизны.

 

Свойства систем:

  • Отказоустойчивость (Fault tolerance) – возможность системы самовосстановиться после ошибки

  • Высокая доступность (Failover / High Availability) – если одна система выходит из строя, вторая немедленно продолжает бизнес-процесс

  • Избыточность (Redundancy) – физическое дублирование оборудования, сетей.

 

Типы резервных копий (бекапов):

Полный (Full) бекап: резервная копия всех данных. Занимает много места, делается долго, быстрое восстановление, самый надежный способ.

Дифференциальный (Differential, разностный) бекап: резервная копия всех данных, созданных или измененных с момента последнего полного бекапа. Для восстановления данных нужна полная копия + сам дифференциальный бекап. Занимает мало места (т.к. хранится только последняя копия), делается долго (т.к. нужно записать все изменения с момента последнего полного бекапа), быстрое восстановление. Нет возможности откатиться на произвольную точку в прошлом, можно вернуться только на дату, когда был сделан последний разностный бекап (это плохо в случае вирусного заражения).

Инкрементальный (Incremental) бекап: резервная копия данных, измененных с момента предыдущего инкрементального бекапа. Для восстановления данных нужна полная копия + все промежуточные инкрементальные бекапы. Занимает много места (т.к. нужно хранить все промежуточные копии), делается быстро, долгое восстановление (т.к. нужно собрать вместе полную копию и всю цепочку предыдущих инкрементальных бекапов). Есть возможность откатиться на произвольную точку в прошлом.

Рекомендации по резервному копированию:

Не забывать шифровать резервные копии вне зависимости от типа носителя (ленты, диски, съемные накопители), сжимать данные для ускорения и экономии места, проверять целостность бекапов и возможность восстановиться с них.

 

Регламенты резервного копирования должны включать: установленный срок хранения данных (retention period), приоритизацию данных для бекапа, тестирование процесса восстановления, учет носителей, резервирование бизнес-данных и инфраструктурных файлов/конфигов (БД контроллера домена – файл NTDS.dit – занимает порядка 500 Мб, текстовые конфиги сетевых устройств – 1-10 Мб).

 

Правило резервного копирования «3-2-1»:

  • Создавать минимум 3 копии данных

  • Хранить резервные копии на 2 разных носителях (например, лента и диск)

  • Хранить 1 резервную копию за пределами площадки.

 

Схема резервного копирования «Дед, отец, сын»:

  • Ежемесячные полные резервные копии («дед»), хранятся 1 год, последняя копия в году хранится 5-10-15 лет

  • Еженедельные полные резервные копии («отец»), хранятся 1 месяц

  • Ежедневные инкрементальные или дифференциальные копии («сын»).

 

Учебные тревоги:

  • Чеклисты и тесты «на бумаге»: без воздействия на бизнес-процессы

  • Теоретические симуляции: совместная работа проектной команды, без воздействия на бизнес-процессы

  • Практические симуляции: возможно воздействие на некритичные бизнес-процессы и подразделения (например, непродолжительное перемещение нескольких отделов на резервную площадку)

  • Полномасштабное тестирование: полное перемещение всех подразделений и процессов на резервную площадку.

 

Физическая безопасность

 

Порядок применения физических мер защиты:

  1. Предупредить/напугать (таблички, предупреждения)
  2. Предотвратить доступ (закрытые двери, замки)
  3. Обнаружить попытки проникновения (датчики, камеры)
  4. Задержать/замедлить развитие проникновения до момента прибытия полиции (дополнительные замки, двери, препятствия).

 

При выборе здания надо учитывать:

  1. Ландшафт, окружение, соседние здания
  2. Характеристику местоположения (близость пожарных частей и отделов полиции, опасное производство/вокзалы/рынки поблизости)
  3. Доступность среды (дороги и трафик, близость транспорта)
  4. Природные факторы (вероятность потопов, землетрясений, иных природных катастроф).

 

Особенности проектирования серверных помещений:

  • Одна дверь для входа/выхода; для выхода в случае пожара - еще одна дверь, закрытая по умолчанию, с кнопкой экстренного выхода

  • Расположение серверных: дальше от мест массового присутствия сотрудников, лестниц, мест пребывания посторонних (ресепшн, зона погрузки), в самом сердце здания, дальше от стен, по этажности - не слишком высоко и не низко

  • Отверстия вентиляции должны быть зарешечены, внутри серверной – воздушное давление (пыль выдувается из серверной)

  • Кнопка для обесточивания серверного оборудования должна находиться рядом с выходом на случай пожара

  • Огнетушители – газовые, с возможностью находиться персоналу внутри помещения.

  • Датчики воды должны располагаться под поднятыми полами (для быстрого обнаружения воды) и в подвесных потолках (для обнаружения протечки сверху)

  • Датчики дыма (детектор частиц) и огня (температурные) должны быть видны и их местоположение должно быть задокументировано

  • Сигнал тревоги от датчиков должен идти охране

  • Желательно, чтобы в серверную приходила своя линия питания (не связанная со зданием)

  • Желательно - два или больше поставщика электроэнергии (от разных подстанций)

  • Должен быть бекап питания (UPS-аккумуляторы или дизель-генераторы с запасом топлива).

ИБ для начинающих Управление ИБ Оргмеры ИБ

Рекомендуем

Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (ISO 27000)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Что за зверь Security Champion?
Что за зверь Security Champion?

Рекомендуем

Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (ISO 27000)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Что за зверь Security Champion?
Что за зверь Security Champion?

Похожие статьи

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Статический анализ исходного кода
Статический анализ исходного кода
Конфиденциальная информация
Конфиденциальная информация
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика

Похожие статьи

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Статический анализ исходного кода
Статический анализ исходного кода
Конфиденциальная информация
Конфиденциальная информация
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика