SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"

Обзор публикации NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems"
11.04.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |     

Руслан Рахметов, Security Vision

Не секрет, что в современном киберпространстве одной из причин разрушительных инцидентов являются уязвимости, которые исследуются, выявляются и затем эксплуатируются злоумышленниками. В одной из предыдущих публикаций мы рассмотрели документ NIST SP 800-40, посвященный патч-менеджменту (англ. Patch Management), т.е. управлению процессами обновления программного обеспечения для устранения уязвимостей. Однако процесс установки обновлений также является и составным элементом более общего процесса внесения изменений в конфигурацию информационных систем - так называемый Configuration Management (далее - CM), т.е. управление изменениями конфигураций систем. Также нужно уесть, что уязвимости программных или аппаратных компонент могут иметь различную природу - в частности, ошибки конфигурирования или несогласованное изменение состояния информационных систем могут привести к успешной кибератаке. Тема данной статьи - документ NIST SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems" («Руководство по безопасному управлению конфигурацией информационных систем»), который предлагает структурированный подход к управлению конфигурацией ИТ-систем с фокусом на безопасность и мониторинг для снижения киберрисков и обеспечения требуемого уровня функциональности сервисов.

Публикация NIST SP 800-128 сфокусирована на безопасности CM-процессов и использует термин Security-focused Configuration Management (SecCM, безопасно-ориентированное управление конфигурациями), под которым понимается управление и контроль конфигурациями информационных систем для обеспечения кибербезопасности и менеджмента киберрисков. Применение методологии SecCM позволяет получить глубокий контроль над ИТ-активами, что повышает качество управления ИТ/ИБ-процессами, улучшает реагирование на киберинциденты, помогает в разработке и внедрении ПО, позволяет автоматизировать ИТ/ИБ-процессы, обеспечивает прозрачность проведения комплаенс-процедур. Классическое управление конфигурациями (Configuration Management, CM) состоит из набора действий, сфокусированных на внедрении и поддержке процесса проверки целостности и функциональности продуктов и систем путем контроля процессов инициализации, изменения и мониторинга их конфигураций. Конфигурационная единица (Configuration Item, CI) - это определенная часть системы (например, единица программного или аппаратного обеспечения, документация, микропрограмма), являющаяся целью процесса контроля конфигурации. Базовая конфигурация (Baseline Configuration) - это набор спецификаций систем или их конфигурационных единиц (CI), которые были проверены и утверждены на определенную дату; изменения в данную базовую конфигурацию могут быть внесены только через прохождение процедуры контроля внесения изменений в конфигурацию, а сама базовая конфигурация используется в качестве базы для последующих билдов, релизов и/или изменений.

В документе NIST SP 800-128 также используется понятие плана управления конфигурациями (Configuration Management Plan, CM Plan), который содержит подробное описание ролей, ответственных, политик и процедур, применяемых при управлении конфигурациями продуктов и систем. План управления конфигурациями включает в себя следующие элементы:

1. Группа по контролю за конфигурациями (Configuration Control Board, CCB) - утвержденная и наделенная полномочиями группы квалифицированных сотрудников, отвечающих за процесс контроля и согласования изменений на протяжении жизненных циклов продуктов и систем.

2. Идентификация конфигурационных единиц - методология выбора и определения конфигурационных единиц, используемых в процессе управления конфигурациями.

3. Контроль изменений конфигурации - процесс управления обновлениями базовой конфигурации для конфигурационных единиц.

4. Мониторинг конфигураций - процесс оценки или тестирования уровня соответствия конфигурационных единиц установленным базовым конфигурациям, включая использование механизмов отчетности о состоянии конфигураций.

Управление конфигурациями в соответствии с подходом SecCM включает в себя такие процессы, как:

1. Идентификация и документирование конфигураций, которые влияют на состояние кибербезопасности информационных систем и организации в целом.

2. Учет киберрисков при согласовании конфигураций.

3. Анализ последствий для кибербезопасности при внесении изменений в конфигурацию систем.

4. Документирование согласованных и произведенных изменений.

Внедрение методологии SecCM можно разбить на следующие фазы:

1. Планирование.

1.1. Планирование на организационном уровне:

1.1.1. Разработка и внедрение SecCM-программы в масштабах компании, с назначением руководителя SecCM-программы (из числа старшего менеджмента компании).

1.1.2. Разработка SecCM-политики, включающей в себя цели, границы, роли, ответственных, выполняемые действия, общеупотребимые безопасные конфигурации, требования по документированию вносимых изменений в конфигурацию систем.

1.1.3. Разработка SecCM-процедур, включающие в себя шаблоны документов (для заполнения владельцами систем), описание правил инвентаризации компонент, описание правил создания базовых конфигураций систем, описание стандартизированных безопасных конфигураций, описание процесса патч-менеджмента и его интеграцию в SecCM-процедуры, описание процедур принятия запросов на изменения от технической поддержки и пользователей, описание процедур мониторинга и отчетов о безопасности систем для выявления несогласованных изменений, описание процедур контроля изменений (включая описание запроса и согласования изменений, анализ влияния изменений на безопасность, требования по тестированию изменений перед внедрением, требования по ограничению доступа к вносимым изменениям, требования по запуску процедуры «отката» в случае проблем, требования по управлению незапланированными экстренными изменениями и т.д.).

1.1.4. Разработка стратегии мониторинга SecCM для проверки текущей эффективности SecCM-процессов для поддержки состояния защищенности организации, соответствия базовым конфигурациям, соответствия политике SecCM; проверка может выполняться по заранее согласованному расписанию и включать в себя предоставление отчетов по результатам проверки.

1.1.5. Определение типов изменений, которые не требуют контроля изменения конфигураций: предварительно согласованными изменениями могут быть установка обновлений антивирусных баз, установка официальных обновлений безопасности от вендоров, замена некоторых аппаратных комплектующих. Кроме того, некоторые типы изменений могут вообще не включаться в границы применимости SecCM-процедур, например обновление содержимого баз данных, создание учетных записей, создание пользовательских файлов.

1.1.6. Разработка обучающих тренингов по SecCM-процедурам для ответственных сотрудников.

1.1.7. Определение списка согласованных ИТ-продуктов (программного и аппаратного обеспечения), которые можно закупать и использовать без дополнительных согласований.

1.1.8. Использование инструментов автоматизации для управления конфигурациями и инвентаризации используемых компонент систем и продуктов, их конфигураций и настроек, выявления несоответствий корпоративной политике управления конфигурациями.

1.1.9. Создание тестовой среды для проверки новых продуктов и планируемых изменений.

1.2. Планирование на уровне информационных систем:

1.2.1. Создание SecCM-плана для информационных систем, включающий описание системы, список проинвентаризированных системных компонент, список конфигурационных единиц, уровень критичности при управлении изменениями в конфигурационных единицах, список ролей и ответственных, описание процедур контроля изменения конфигураций, внедренные меры контроля вносимых изменений в конфигурации, используемые SecCM-инструменты, описание общепринятых применимых безопасных конфигураций и перечень допустимых отклонений от них, критерии согласования базовых конфигураций, меры управления исключениями.

1.2.2. Создание или обновление инвентаризационного списка системных компонент, который состоит из множества дискретных идентифицируемых ИТ-активов. При использовании инструментов для инвентаризации ИТ-активов рекомендуется использовать решения, поддерживающие протокол SCAP (Security Content Automation Protocol, протокол автоматизации обмена данными о безопасности) и нотацию CPE (Common Platform Enumeration, общий метод перечисления программных компонент).

1.2.3. Определение конфигурационных единиц, из которых состоит информационная система.

1.2.4. Взаимосвязь между информационной системой и её конфигурационными единицами и программными компонентами.

1.2.5. Создание группы по контролю за конфигурациями информационной системы, в обязанности которой входит оценка и согласование конфигурационных изменений в информационной системе.

2. Определение и внедрение конфигураций.

2.1. Разработка безопасных конфигураций для информационной системы и её конфигурационных единиц. Безопасные конфигурации могут включать в себя задание безопасных значений (параметров ОС и приложений, сервисов, протоколов, мер защиты, учетных записей, параметров аудита, криптографических параметров), применение обновлений безопасности, использование согласованного надежного ПО, внедрение средств защиты информации, применение сетевых мер защиты, расположение компонента в защищенной точке сети, поддержка и обновление документации.

2.2. Внедрение безопасных конфигураций, включая такие этапы, как:

2.2.1. Приоритизация конфигураций для применения настроек безопасности в первую очередь для высокоприоритетных систем, с учетом уровня критичности системы, оценки рисков, результатов сканирования на наличие уязвимостей, уровня интеграции той или иной системы/программы в инфраструктуру организации.

2.2.2. Тестирование конфигураций в выделенной среде для выявления взаимного влияния настроек безопасности на функционирование целевой системы.

2.2.3. Разрешение выявленных проблем и документирование отклонений в результате тестирования.

2.2.4. Документирование и согласование базовой конфигурации, включающей безопасные конфигурации всех составных конфигурационных единиц, для последующего контроля всех отклонений от неё.

2.2.5. Внедрение базовой конфигурации - централизованно, по возможности с применением средств автоматизации.

3. Контроль изменений конфигураций.

3.1. Внедрение ограничения доступа на внесение изменений, с определением типов конфигурационных изменений (на уровне сети, операционных систем, приложений), созданием списка сотрудников с привилегированными правами на внесение изменений, внедрением технических мер защиты (права доступа на каталоги/файлы, ролевая модель разграничения доступа и т.д.) для предоставления доступа на внесение изменений только авторизованным сотрудникам.

3.2. Внедрение процесса контроля внесения изменений в конфигурации, включающего запрос на внесение изменений, документирование запроса, определение необходимости контроля конфигурации для внесения данного изменения, анализа предлагаемых изменений с оценкой потенциального влияния на безопасности системы, тестирование изменения, согласование изменения, внедрение изменения в конфигурацию, проверка корректности внесенных изменений, закрытие запроса на внесение изменений.

3.3. Проведение анализа влияния изменения на кибербезопасность (Security Impact Analysis) на различных этапах, включая фазу инициирования изменения, фазу разработки/приобретения и внедрения/оценки, фазу эксплуатации и поддержки после внесения изменения. Процесс анализа влияния изменения на кибербезопасность состоит из следующих шагов: анализ предлагаемых изменений, выявление уязвимостей, оценка рисков, оценка влияния на имеющиеся меры защиты, планирование защитных мер и контрмер.

3.4. Документирование внесенных изменений, обновление соответствующей документации, архивирование старых версий документов.

4. Мониторинг SecCM.

4.1. Оценка и отчетность о состоянии SecCM, включая сканирование ИТ-инфраструктуры для поиска неучтенных активов, поиск отклонений от базовых конфигураций, внедрение средств автоматизации мониторинга вносимых изменений, запрос логов и данных аудита для выявление несогласованных изменений, запуск проверок целостности для обнаружения отклонений от базовых конфигураций, аудит записей о внесенных изменениях для проверки соответствия процедурам SecCM.

4.2. Внедрение и управления инструментами для мониторинга процедур SecCM; при невозможности применения автоматизированных инструментов следует задокументировать такие системы/компоненты и разработать процесс проведения неавтоматизированной проверки.


Подкасты ИБ NIST Стандарты ИБ

Рекомендуем

Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
SGRC по закону. Финансы
SGRC по закону. Финансы
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

Рекомендуем

Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Обзор публикации NIST SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology"
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
SGRC по закону. Финансы
SGRC по закону. Финансы
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №2 «Обеспечьте SOC необходимыми полномочиями для выполнения задач»
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

Похожие статьи

Фреймворк COBIT 2019
Фреймворк COBIT 2019
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"

Похожие статьи

Фреймворк COBIT 2019
Фреймворк COBIT 2019
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Обзор публикации NIST SP 800-150 "Guide to Cyber Threat Information Sharing"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"