SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)

Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
01.02.2021

Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»

CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020


План действий по обеспечению непрерывности и восстановлению деятельности (ОНиВД) инфраструктуры компании = Business Continuity Planning (BCP) + Disaster Recovery Planning (DRP) = Business Continuity Management (управление непрерывностью бизнеса).

Источники угроз: человеческий, техногенный, природный фактор.

Рассматриваем события: аварии, стихийные бедствия, катастрофы, атаки, беспорядки, коллапсы, эпидемии и т.д.

До события: Обеспечение непрерывности деятельности (Business Continuity)

После события: Восстановление работоспособности (Disaster Recovery)

 

Документы:

  • ISO 22301:2019 = ГОСТ Р ИСО 22301-2014 «Системы менеджмента непрерывности бизнеса. Общие требования»

  • ISO/IEC 27031:2011 = ГОСТ Р ИСО/МЭК 27031-2012 «Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса»

  • NIST SP 800-34 «Руководство по планированию непрерывности»

  • Указание ЦБ РФ от 5 марта 2009 г. № 2194-У, в котором прописано требование о необходимости обеспечения непрерывности деятельности и (или) восстановления деятельности кредитной организации на случай непредвиденных обстоятельств.

 

Типы нарушений работоспособности инфраструктуры (по уровню воздействия):

  • Авария: проблемы с ПО или АО

  • Бедствие: здание недоступно некоторое время

  • Катастрофа: здание разрушено.

 

Для аварий важны параметры оборудования:

  • MTBF (mean time between failures, среднее время наработки на отказ)

  • MTTR (mean time to repair, среднее время восстановления).

 

Для бедствий и катастроф важны параметры систем восстановления:

  • RTO (recovery time objective) – время восстановления данных и элементов инфраструктуры из резервной копии, резервного ЦОД, резервной площадки

  • RPO (recovery point objective) – целевая дата, на которую можно восстановить данные

  • ADT (acceptable downtime) – время ожидания до начала действий по Плану ОНиВД

  • WRT (work recovery time) – временные затраты на тестирование и подготовку к включению систем после восстановления инфраструктуры

  • MTD (maximum tolerable downtime) – время, за которое бизнес-процессы вернутся к нормальному докризисному уровню. MTD рассчитывается для каждой бизнес-функции, операции, актива. MTD=RTO+WRT

 

RPO (recovery point objective) – на какую дату сможем восстановить данные, т.е. сколько данных потеряем.

RTO (recovery time objective) – за какое время после события восстановим данные из бекапа.

rto rpo.png 

 

Типы резервных площадок, которые можно взять в аренду:

  • «Горячий сайт» (Hot site) – предоставление наших резервных копий, оборудования и ПО; время готовности для начала работы на нем – немедленно

  • «Теплый сайт» (Warm site) – есть СКС, электроэнергия, но нет дорогого оборудования (сеть, сервера); время готовности – примерно 12 часов

  • «Холодный сайт» (Cold site) – только помещение; время готовности – примерно 1 неделя.

 

Взаимное соглашение (Reciprocal agreement) – заблаговременная договоренность с владельцем какого-либо офиса о возможности временного переезда туда в случае наступления события.

 

Избыточный/резервный сайт (Redundant site) – принадлежащая компании точная копия офиса и инфраструктуры, но без сотрудников; такое редко встречается по причине дороговизны.

 

Свойства систем:

  • Отказоустойчивость (Fault tolerance) – возможность системы самовосстановиться после ошибки

  • Высокая доступность (Failover / High Availability) – если одна система выходит из строя, вторая немедленно продолжает бизнес-процесс

  • Избыточность (Redundancy) – физическое дублирование оборудования, сетей.

 

Типы резервных копий (бекапов):

Полный (Full) бекап: резервная копия всех данных. Занимает много места, делается долго, быстрое восстановление, самый надежный способ.

Дифференциальный (Differential, разностный) бекап: резервная копия всех данных, созданных или измененных с момента последнего полного бекапа. Для восстановления данных нужна полная копия + сам дифференциальный бекап. Занимает мало места (т.к. хранится только последняя копия), делается долго (т.к. нужно записать все изменения с момента последнего полного бекапа), быстрое восстановление. Нет возможности откатиться на произвольную точку в прошлом, можно вернуться только на дату, когда был сделан последний разностный бекап (это плохо в случае вирусного заражения).

Инкрементальный (Incremental) бекап: резервная копия данных, измененных с момента предыдущего инкрементального бекапа. Для восстановления данных нужна полная копия + все промежуточные инкрементальные бекапы. Занимает много места (т.к. нужно хранить все промежуточные копии), делается быстро, долгое восстановление (т.к. нужно собрать вместе полную копию и всю цепочку предыдущих инкрементальных бекапов). Есть возможность откатиться на произвольную точку в прошлом.

Рекомендации по резервному копированию:

Не забывать шифровать резервные копии вне зависимости от типа носителя (ленты, диски, съемные накопители), сжимать данные для ускорения и экономии места, проверять целостность бекапов и возможность восстановиться с них.

 

Регламенты резервного копирования должны включать: установленный срок хранения данных (retention period), приоритизацию данных для бекапа, тестирование процесса восстановления, учет носителей, резервирование бизнес-данных и инфраструктурных файлов/конфигов (БД контроллера домена – файл NTDS.dit – занимает порядка 500 Мб, текстовые конфиги сетевых устройств – 1-10 Мб).

 

Правило резервного копирования «3-2-1»:

  • Создавать минимум 3 копии данных

  • Хранить резервные копии на 2 разных носителях (например, лента и диск)

  • Хранить 1 резервную копию за пределами площадки.

 

Схема резервного копирования «Дед, отец, сын»:

  • Ежемесячные полные резервные копии («дед»), хранятся 1 год, последняя копия в году хранится 5-10-15 лет

  • Еженедельные полные резервные копии («отец»), хранятся 1 месяц

  • Ежедневные инкрементальные или дифференциальные копии («сын»).

 

Учебные тревоги:

  • Чеклисты и тесты «на бумаге»: без воздействия на бизнес-процессы

  • Теоретические симуляции: совместная работа проектной команды, без воздействия на бизнес-процессы

  • Практические симуляции: возможно воздействие на некритичные бизнес-процессы и подразделения (например, непродолжительное перемещение нескольких отделов на резервную площадку)

  • Полномасштабное тестирование: полное перемещение всех подразделений и процессов на резервную площадку.

 

Физическая безопасность

 

Порядок применения физических мер защиты:

  1. Предупредить/напугать (таблички, предупреждения)
  2. Предотвратить доступ (закрытые двери, замки)
  3. Обнаружить попытки проникновения (датчики, камеры)
  4. Задержать/замедлить развитие проникновения до момента прибытия полиции (дополнительные замки, двери, препятствия).

 

При выборе здания надо учитывать:

  1. Ландшафт, окружение, соседние здания
  2. Характеристику местоположения (близость пожарных частей и отделов полиции, опасное производство/вокзалы/рынки поблизости)
  3. Доступность среды (дороги и трафик, близость транспорта)
  4. Природные факторы (вероятность потопов, землетрясений, иных природных катастроф).

 

Особенности проектирования серверных помещений:

  • Одна дверь для входа/выхода; для выхода в случае пожара - еще одна дверь, закрытая по умолчанию, с кнопкой экстренного выхода

  • Расположение серверных: дальше от мест массового присутствия сотрудников, лестниц, мест пребывания посторонних (ресепшн, зона погрузки), в самом сердце здания, дальше от стен, по этажности - не слишком высоко и не низко

  • Отверстия вентиляции должны быть зарешечены, внутри серверной – воздушное давление (пыль выдувается из серверной)

  • Кнопка для обесточивания серверного оборудования должна находиться рядом с выходом на случай пожара

  • Огнетушители – газовые, с возможностью находиться персоналу внутри помещения.

  • Датчики воды должны располагаться под поднятыми полами (для быстрого обнаружения воды) и в подвесных потолках (для обнаружения протечки сверху)

  • Датчики дыма (детектор частиц) и огня (температурные) должны быть видны и их местоположение должно быть задокументировано

  • Сигнал тревоги от датчиков должен идти охране

  • Желательно, чтобы в серверную приходила своя линия питания (не связанная со зданием)

  • Желательно - два или больше поставщика электроэнергии (от разных подстанций)

  • Должен быть бекап питания (UPS-аккумуляторы или дизель-генераторы с запасом топлива).

ИБ для начинающих Управление ИБ Оргмеры ИБ

Рекомендуем

Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)

Рекомендуем

Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)

Похожие статьи

Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Использование MITRE ATT&CK в Threat Intelligence Platform
Использование MITRE ATT&CK в Threat Intelligence Platform
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Финансовый сектор
Финансовый сектор
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание

Похожие статьи

Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Использование MITRE ATT&CK в Threat Intelligence Platform
Использование MITRE ATT&CK в Threat Intelligence Platform
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Финансовый сектор
Финансовый сектор
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание