SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов

Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
06.05.2020

Руслан Рахметов, Security Vision

Уважаемые друзья, предыдущие серии публикаций об основах информационной безопасности, законодательстве по защите персональных данных и критической информационной инфраструктуры, безопасности в кредитно-финансовой сфере, а также анализ основных стандартов по управлению рисками информационной безопасности были посвящены скорее организационным аспектам ИБ. Теперь пришла пора перейти к более техническим статьям.

В следующих публикациях мы будем говорить непосредственно о том, как можно грамотно выстроить экономически эффективную систему управления информационной безопасностью (далее - СУИБ) на основе процессного подхода и лучших международных и отечественных практик и стандартов, при этом упор мы будет делать на основную нашу специализацию - управление рисками, событиями и инцидентами ИБ.

Мы обсудим все технические аспекты организации СУИБ, начиная с инвентаризации активов, защищенной настройки ОС, сбора журналов аудита и заканчивая применением систем мониторинга событий информационной безопасности SIEM, платформ IRP и SOAR, а также затронем вопросы анализа и реагирования на современные кибератаки. В сегодняшней публикации поговорим об инвентаризации активов. Итак, начнем.

В стандартах и лучших практиках ИБ повсеместно подчеркивается важность проведения доскональной инвентаризации активов в рамках выстраивания системы управления информационной безопасностью перед реализацией каких бы то ни было мер по защите информации. Действительно, трудно защищать то, что не было проанализировано, подсчитано и измерено. Для начала следует дать общее определение активу как ресурсу в материальной или нематериальной форме, который используется бизнесом для создания экономической выгоды. Однако, NIST дает более точное определение активу в контексте ИБ как сущности, имеющей ценность для организации и использующейся для достижения целей организации, включая, например, сотрудников, оборудование, сети, ПО, облачные платформы, программное и аппаратное обеспечение. При этом подчеркивается, что у активов есть неотъемлемые свойства, такие как их стоимость, критичность, ценность для компании, которые влияют на выбор конкретных защитных мер. Опять же указывается, что активы могут быть как материальными (например, программное и аппаратное обеспечение, платформа, устройство), так и нематериальными (например, информация, данные, торговая марка, лицензия, патент, интеллектуальная собственность, репутация).

Определившись с понятием актива, перейдем к обязательному процессу инвентаризации самих активов в контексте ИБ. В общем случае, управление активами (англ. Asset Management) - это систематический процесс, включающий в себя экономически эффективное создание, использование, поддержку, обновление и вывод из эксплуатации активов. Управление ИТ-активами сконцентрировано на аппаратном и программном обеспечении, которое выполняет некую бизнес-функцию и/или содержит данные и может являться объектом атаки и защиты.

ФСТЭК России в Методическом документе «Меры защиты информации в государственных информационных системах» требует проводить контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе (мера АНЗ.4), а в Приказе №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ» предписывает осуществлять инвентаризацию информационных ресурсов (мера АУД.1). В зарубежных стандартах также подчеркивается важность проведения инвентаризации: в стандарте ISO 27001:2013 присутствует контроль A.8.1.1 ”Inventory of assets”, публикация NIST SP 800-53 включает нормы CM-8 ”System component inventory” и PM-5 ”System inventory”, а NIST “Cybersecurity Framework” содержит контроли ID.AM-1 и ID.AM-2, посвященные инвентаризации соответственно физических устройств и систем, программных платформ и приложений. Кроме того, в публикации NIST SP 1800-5 ”IT Asset Management” («Управление ИТ-активами») перечислены следующие риски при отсутствующем или неполном процессе инвентаризации активов:

·       недостаток знаний о местоположении ИТ-активов;

·       недостаток конфигурационных контролей для ИТ-активов;

·       неэффективный патч-менеджмент;

·       неэффективное управление уязвимостями;

·       неполная операционная картина корпоративных активов;

·       отсутствие конвергентного репозитория ИТ-активов.

При этом NIST SP 1800-5 приводит характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management):

·       дополнение существующих в компании систем учета активов, СЗИ, сетевых решений;

·       API-интеграция с СЗИ (межсетевые экраны, системы обнаружения вторжений, системы управления доступом и учетными данными);

·       предоставление информации и контроль подключенных к сети компании физических и виртуальных активов;

·       автоматическое определение и оповещение о попытках неавторизованных устройств получить доступ к сети;

·       предоставление возможности определять и контролировать аппаратное и программное обеспечение, которое авторизовано для подключения к сети компании;

·       применение политик ограниченного использования ПО;

·       аудит и мониторинг изменений состояния активов;

·       интеграция с системами хранения и анализа журналов аудита;

·       запись и отслеживание атрибутов ИТ-активов.

В модуле «Управление активами» платформы Security Vision мы выделили следующие типы ИТ-активов, каждый из которых обладает собственным набором атрибутов:

·       бизнес-процесс;

·       информационная система;

·       техническое средство;

·       программное обеспечение;

·       информация.

Современный рынок ИБ насыщен решениями для инвентаризации, как специализированными, так и теми, которые опционально включают в себя возможности управления ИТ-активами. Среди специализированных стоит отметить системы CMDB (Configuration Management Database, база данных управления конфигурацией), которые предназначены для хранения, обработки, поддержания в актуальном состоянии информации об активах и их взаимосвязях. Программные (например, ОС, ПО, файлы) и аппаратные (например, серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:

·       бизнес-владелец (business owner) актива;

·       риск-владелец (risk owner) актива;

·       ответственный за актив со стороны ИТ (IT custodian);

·       ответственный за актив со стороны ИБ (IT Security custodian);

·       пользователь актива;

·       выполняемая активом бизнес-роль/функция;

·       выполняемая активом техническая роль/функция;

·       зависимый от актива бизнес-процесс;

·       критичность, стоимость, ценность актива;

·       требования и уровень обеспечения информационной безопасности (целостность, конфиденциальность, доступность) информации, обрабатываемой активом;

·       местоположение (адрес, помещение, номер стойки и т.д.);

·       конфигурация (FQDN-имя, версия ОС, установленное ПО, VLAN, IP-адрес, MAC-адрес, объем ОЗУ и т.д.).

Главные задачи, которые приходится решать при ведении процесса управления активами, включают в себя первоначальное наполнение информацией, обогащение и поддержание сведений в актуальном состоянии, автоматизацию процесса, интеграцию с разнообразными системами, содержащими ценную информацию об ИТ-активах. При этом некоторые решения по управлению активами дополнительно поддерживают получение актуальных данных о новых активах в сети компании, а также взаимодействуют с СЗИ в целях реагирования на несанкционированное появление нового устройства в сети (результатом реагирования может быть как проведение сканирования нового устройства, так и его временная изоляция). Кроме того, при реагировании на инциденты ИБ аналитику SOC-Центров кибербезопасности будет полезна детальная информация о хосте, участвующем в инциденте, поэтому системы управления ИТ-активами интегрируются и с системами мониторинга информационной безопасности SIEM, IRP-системами, SOAR-платформами. Таким образом, системы класса CMDB эволюционируют в полноценные ITAM-решения, которые предоставляют большее количество приведенных интеграционных возможностей и более широкий функционал.

SGRC Управление ИБ SIEM Управление ИТ-активами IRP СЗИ

Рекомендуем

Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
SGRC по закону. Финансы
SGRC по закону. Финансы
Отчеты нового поколения
Отчеты нового поколения

Рекомендуем

Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
SGRC по закону. Финансы
SGRC по закону. Финансы
Отчеты нового поколения
Отчеты нового поколения

Похожие статьи

Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
False или не false?
False или не false?
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)

Похожие статьи

Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
False или не false?
False или не false?
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)