Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов

Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов

Руслан Рахметов, Security Vision

Уважаемые друзья, предыдущие серии публикаций об основах информационной безопасности, законодательстве по защите персональных данных и критической информационной инфраструктуры, безопасности в кредитно-финансовой сфере, а также анализ основных стандартов по управлению рисками информационной безопасности были посвящены скорее организационным аспектам ИБ. Теперь пришла пора перейти к более техническим статьям.

В следующих публикациях мы будем говорить непосредственно о том, как можно грамотно выстроить экономически эффективную систему управления информационной безопасностью (далее - СУИБ) на основе процессного подхода и лучших международных и отечественных практик и стандартов, при этом упор мы будет делать на основную нашу специализацию - управление рисками, событиями и инцидентами ИБ.

Мы обсудим все технические аспекты организации СУИБ, начиная с инвентаризации активов, защищенной настройки ОС, сбора журналов аудита и заканчивая применением систем мониторинга событий информационной безопасности SIEM, платформ IRP и SOAR, а также затронем вопросы анализа и реагирования на современные кибератаки. В сегодняшней публикации поговорим об инвентаризации активов. Итак, начнем.

В стандартах и лучших практиках ИБ повсеместно подчеркивается важность проведения доскональной инвентаризации активов в рамках выстраивания системы управления информационной безопасностью перед реализацией каких бы то ни было мер по защите информации. Действительно, трудно защищать то, что не было проанализировано, подсчитано и измерено. Для начала следует дать общее определение активу как ресурсу в материальной или нематериальной форме, который используется бизнесом для создания экономической выгоды. Однако, NIST дает более точное определение активу в контексте ИБ как сущности, имеющей ценность для организации и использующейся для достижения целей организации, включая, например, сотрудников, оборудование, сети, ПО, облачные платформы, программное и аппаратное обеспечение. При этом подчеркивается, что у активов есть неотъемлемые свойства, такие как их стоимость, критичность, ценность для компании, которые влияют на выбор конкретных защитных мер. Опять же указывается, что активы могут быть как материальными (например, программное и аппаратное обеспечение, платформа, устройство), так и нематериальными (например, информация, данные, торговая марка, лицензия, патент, интеллектуальная собственность, репутация).

Определившись с понятием актива, перейдем к обязательному процессу инвентаризации самих активов в контексте ИБ. В общем случае, управление активами (англ. Asset Management) - это систематический процесс, включающий в себя экономически эффективное создание, использование, поддержку, обновление и вывод из эксплуатации активов. Управление ИТ-активами сконцентрировано на аппаратном и программном обеспечении, которое выполняет некую бизнес-функцию и/или содержит данные и может являться объектом атаки и защиты.

ФСТЭК России в Методическом документе «Меры защиты информации в государственных информационных системах» требует проводить контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе (мера АНЗ.4), а в Приказе №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ» предписывает осуществлять инвентаризацию информационных ресурсов (мера АУД.1). В зарубежных стандартах также подчеркивается важность проведения инвентаризации: в стандарте ISO 27001:2013 присутствует контроль A.8.1.1 ”Inventory of assets”, публикация NIST SP 800-53 включает нормы CM-8 ”System component inventory” и PM-5 ”System inventory”, а NIST “Cybersecurity Framework” содержит контроли ID.AM-1 и ID.AM-2, посвященные инвентаризации соответственно физических устройств и систем, программных платформ и приложений. Кроме того, в публикации NIST SP 1800-5 ”IT Asset Management” («Управление ИТ-активами») перечислены следующие риски при отсутствующем или неполном процессе инвентаризации активов:

·       недостаток знаний о местоположении ИТ-активов;

·       недостаток конфигурационных контролей для ИТ-активов;

·       неэффективный патч-менеджмент;

·       неэффективное управление уязвимостями;

·       неполная операционная картина корпоративных активов;

·       отсутствие конвергентного репозитория ИТ-активов.

При этом NIST SP 1800-5 приводит характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management):

·       дополнение существующих в компании систем учета активов, СЗИ, сетевых решений;

·       API-интеграция с СЗИ (межсетевые экраны, системы обнаружения вторжений, системы управления доступом и учетными данными);

·       предоставление информации и контроль подключенных к сети компании физических и виртуальных активов;

·       автоматическое определение и оповещение о попытках неавторизованных устройств получить доступ к сети;

·       предоставление возможности определять и контролировать аппаратное и программное обеспечение, которое авторизовано для подключения к сети компании;

·       применение политик ограниченного использования ПО;

·       аудит и мониторинг изменений состояния активов;

·       интеграция с системами хранения и анализа журналов аудита;

·       запись и отслеживание атрибутов ИТ-активов.

В модуле «Управление активами» платформы Security Vision мы выделили следующие типы ИТ-активов, каждый из которых обладает собственным набором атрибутов:

·       бизнес-процесс;

·       информационная система;

·       техническое средство;

·       программное обеспечение;

·       информация.

Современный рынок ИБ насыщен решениями для инвентаризации, как специализированными, так и теми, которые опционально включают в себя возможности управления ИТ-активами. Среди специализированных стоит отметить системы CMDB (Configuration Management Database, база данных управления конфигурацией), которые предназначены для хранения, обработки, поддержания в актуальном состоянии информации об активах и их взаимосвязях. Программные (например, ОС, ПО, файлы) и аппаратные (например, серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:

·       бизнес-владелец (business owner) актива;

·       риск-владелец (risk owner) актива;

·       ответственный за актив со стороны ИТ (IT custodian);

·       ответственный за актив со стороны ИБ (IT Security custodian);

·       пользователь актива;

·       выполняемая активом бизнес-роль/функция;

·       выполняемая активом техническая роль/функция;

·       зависимый от актива бизнес-процесс;

·       критичность, стоимость, ценность актива;

·       требования и уровень обеспечения информационной безопасности (целостность, конфиденциальность, доступность) информации, обрабатываемой активом;

·       местоположение (адрес, помещение, номер стойки и т.д.);

·       конфигурация (FQDN-имя, версия ОС, установленное ПО, VLAN, IP-адрес, MAC-адрес, объем ОЗУ и т.д.).

Главные задачи, которые приходится решать при ведении процесса управления активами, включают в себя первоначальное наполнение информацией, обогащение и поддержание сведений в актуальном состоянии, автоматизацию процесса, интеграцию с разнообразными системами, содержащими ценную информацию об ИТ-активах. При этом некоторые решения по управлению активами дополнительно поддерживают получение актуальных данных о новых активах в сети компании, а также взаимодействуют с СЗИ в целях реагирования на несанкционированное появление нового устройства в сети (результатом реагирования может быть как проведение сканирования нового устройства, так и его временная изоляция). Кроме того, при реагировании на инциденты ИБ аналитику SOC-Центров кибербезопасности будет полезна детальная информация о хосте, участвующем в инциденте, поэтому системы управления ИТ-активами интегрируются и с системами мониторинга информационной безопасности SIEM, IRP-системами, SOAR-платформами. Таким образом, системы класса CMDB эволюционируют в полноценные ITAM-решения, которые предоставляют большее количество приведенных интеграционных возможностей и более широкий функционал.

Интересные публикации