SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов

Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
06.05.2020


Руслан Рахметов, Security Vision


Уважаемые друзья, предыдущие серии публикаций об основах информационной безопасности, законодательстве по защите персональных данных и критической информационной инфраструктуры, безопасности в кредитно-финансовой сфере, а также анализ основных стандартов по управлению рисками информационной безопасности были посвящены скорее организационным аспектам ИБ. Теперь пришла пора перейти к более техническим статьям.


В следующих публикациях мы будем говорить непосредственно о том, как можно грамотно выстроить экономически эффективную систему управления информационной безопасностью (далее - СУИБ) на основе процессного подхода и лучших международных и отечественных практик и стандартов, при этом упор мы будет делать на основную нашу специализацию - управление рисками, событиями и инцидентами ИБ.


Мы обсудим все технические аспекты организации СУИБ, начиная с инвентаризации активов, защищенной настройки ОС, сбора журналов аудита и заканчивая применением систем мониторинга событий информационной безопасности SIEM, платформ IRP и SOAR, а также затронем вопросы анализа и реагирования на современные кибератаки. В сегодняшней публикации поговорим об инвентаризации активов. Итак, начнем.


В стандартах и лучших практиках ИБ повсеместно подчеркивается важность проведения доскональной инвентаризации активов в рамках выстраивания системы управления информационной безопасностью перед реализацией каких бы то ни было мер по защите информации. Действительно, трудно защищать то, что не было проанализировано, подсчитано и измерено. Для начала следует дать общее определение активу как ресурсу в материальной или нематериальной форме, который используется бизнесом для создания экономической выгоды. Однако, NIST дает более точное определение активу в контексте ИБ как сущности, имеющей ценность для организации и использующейся для достижения целей организации, включая, например, сотрудников, оборудование, сети, ПО, облачные платформы, программное и аппаратное обеспечение. При этом подчеркивается, что у активов есть неотъемлемые свойства, такие как их стоимость, критичность, ценность для компании, которые влияют на выбор конкретных защитных мер. Опять же указывается, что активы могут быть как материальными (например, программное и аппаратное обеспечение, платформа, устройство), так и нематериальными (например, информация, данные, торговая марка, лицензия, патент, интеллектуальная собственность, репутация).


Определившись с понятием актива, перейдем к обязательному процессу инвентаризации самих активов в контексте ИБ. В общем случае, управление активами (англ. Asset Management) - это систематический процесс, включающий в себя экономически эффективное создание, использование, поддержку, обновление и вывод из эксплуатации активов. Управление ИТ-активами сконцентрировано на аппаратном и программном обеспечении, которое выполняет некую бизнес-функцию и/или содержит данные и может являться объектом атаки и защиты.


ФСТЭК России в Методическом документе «Меры защиты информации в государственных информационных системах» требует проводить контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе (мера АНЗ.4), а в Приказе №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ» предписывает осуществлять инвентаризацию информационных ресурсов (мера АУД.1). В зарубежных стандартах также подчеркивается важность проведения инвентаризации: в стандарте ISO 27001:2013 присутствует контроль A.8.1.1 ”Inventory of assets”, публикация NIST SP 800-53 включает нормы CM-8 ”System component inventory” и PM-5 ”System inventory”, а NIST “Cybersecurity Framework” содержит контроли ID.AM-1 и ID.AM-2, посвященные инвентаризации соответственно физических устройств и систем, программных платформ и приложений. Кроме того, в публикации NIST SP 1800-5 ”IT Asset Management” («Управление ИТ-активами») перечислены следующие риски при отсутствующем или неполном процессе инвентаризации активов:


·       недостаток знаний о местоположении ИТ-активов;

·       недостаток конфигурационных контролей для ИТ-активов;

·       неэффективный патч-менеджмент;

·       неэффективное управление уязвимостями;

·       неполная операционная картина корпоративных активов;

·       отсутствие конвергентного репозитория ИТ-активов.


При этом NIST SP 1800-5 приводит характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management):


·       дополнение существующих в компании систем учета активов, СЗИ, сетевых решений;

·       API-интеграция с СЗИ (межсетевые экраны, системы обнаружения вторжений, системы управления доступом и учетными данными);

·       предоставление информации и контроль подключенных к сети компании физических и виртуальных активов;

·       автоматическое определение и оповещение о попытках неавторизованных устройств получить доступ к сети;

·       предоставление возможности определять и контролировать аппаратное и программное обеспечение, которое авторизовано для подключения к сети компании;

·       применение политик ограниченного использования ПО;

·       аудит и мониторинг изменений состояния активов;

·       интеграция с системами хранения и анализа журналов аудита;

·       запись и отслеживание атрибутов ИТ-активов.


В модуле «Управление активами» платформы Security Vision мы выделили следующие типы ИТ-активов, каждый из которых обладает собственным набором атрибутов:


·       бизнес-процесс;

·       информационная система;

·       техническое средство;

·       программное обеспечение;

·       информация.


Современный рынок ИБ насыщен решениями для инвентаризации, как специализированными, так и теми, которые опционально включают в себя возможности управления ИТ-активами. Среди специализированных стоит отметить системы CMDB (Configuration Management Database, база данных управления конфигурацией), которые предназначены для хранения, обработки, поддержания в актуальном состоянии информации об активах и их взаимосвязях. Программные (например, ОС, ПО, файлы) и аппаратные (например, серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:


·       бизнес-владелец (business owner) актива;

·       риск-владелец (risk owner) актива;

·       ответственный за актив со стороны ИТ (IT custodian);

·       ответственный за актив со стороны ИБ (IT Security custodian);

·       пользователь актива;

·       выполняемая активом бизнес-роль/функция;

·       выполняемая активом техническая роль/функция;

·       зависимый от актива бизнес-процесс;

·       критичность, стоимость, ценность актива;

·       требования и уровень обеспечения информационной безопасности (целостность, конфиденциальность, доступность) информации, обрабатываемой активом;

·       местоположение (адрес, помещение, номер стойки и т.д.);

·       конфигурация (FQDN-имя, версия ОС, установленное ПО, VLAN, IP-адрес, MAC-адрес, объем ОЗУ и т.д.).


Главные задачи, которые приходится решать при ведении процесса управления активами, включают в себя первоначальное наполнение информацией, обогащение и поддержание сведений в актуальном состоянии, автоматизацию процесса, интеграцию с разнообразными системами, содержащими ценную информацию об ИТ-активах. При этом некоторые решения по управлению активами дополнительно поддерживают получение актуальных данных о новых активах в сети компании, а также взаимодействуют с СЗИ в целях реагирования на несанкционированное появление нового устройства в сети (результатом реагирования может быть как проведение сканирования нового устройства, так и его временная изоляция). Кроме того, при реагировании на инциденты ИБ аналитику SOC-Центров кибербезопасности будет полезна детальная информация о хосте, участвующем в инциденте, поэтому системы управления ИТ-активами интегрируются и с системами мониторинга информационной безопасности SIEM, IRP-системами, SOAR-платформами. Таким образом, системы класса CMDB эволюционируют в полноценные ITAM-решения, которые предоставляют большее количество приведенных интеграционных возможностей и более широкий функционал.

SGRC Управление ИБ SIEM Управление ИТ-активами IRP СЗИ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют