Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов



Руслан Рахметов, Security Vision

Уважаемые друзья, предыдущие серии публикаций об основах информационной безопасности, законодательстве по защите персональных данных и критической информационной инфраструктуры, безопасности в кредитно-финансовой сфере, а также анализ основных стандартов по управлению рисками информационной безопасности были посвящены скорее организационным аспектам ИБ. Теперь пришла пора перейти к более техническим статьям.

В следующих публикациях мы будем говорить непосредственно о том, как можно грамотно выстроить экономически эффективную систему управления информационной безопасностью (далее - СУИБ) на основе процессного подхода и лучших международных и отечественных практик и стандартов, при этом упор мы будет делать на основную нашу специализацию - управление рисками, событиями и инцидентами ИБ.

Мы обсудим все технические аспекты организации СУИБ, начиная с инвентаризации активов, защищенной настройки ОС, сбора журналов аудита и заканчивая применением систем мониторинга событий информационной безопасности SIEM, платформ IRP и SOAR, а также затронем вопросы анализа и реагирования на современные кибератаки. В сегодняшней публикации поговорим об инвентаризации активов. Итак, начнем.

В стандартах и лучших практиках ИБ повсеместно подчеркивается важность проведения доскональной инвентаризации активов в рамках выстраивания системы управления информационной безопасностью перед реализацией каких бы то ни было мер по защите информации. Действительно, трудно защищать то, что не было проанализировано, подсчитано и измерено. Для начала следует дать общее определение активу как ресурсу в материальной или нематериальной форме, который используется бизнесом для создания экономической выгоды. Однако, NIST дает более точное определение активу в контексте ИБ как сущности, имеющей ценность для организации и использующейся для достижения целей организации, включая, например, сотрудников, оборудование, сети, ПО, облачные платформы, программное и аппаратное обеспечение. При этом подчеркивается, что у активов есть неотъемлемые свойства, такие как их стоимость, критичность, ценность для компании, которые влияют на выбор конкретных защитных мер. Опять же указывается, что активы могут быть как материальными (например, программное и аппаратное обеспечение, платформа, устройство), так и нематериальными (например, информация, данные, торговая марка, лицензия, патент, интеллектуальная собственность, репутация).

Определившись с понятием актива, перейдем к обязательному процессу инвентаризации самих активов в контексте ИБ. В общем случае, управление активами (англ. Asset Management) - это систематический процесс, включающий в себя экономически эффективное создание, использование, поддержку, обновление и вывод из эксплуатации активов. Управление ИТ-активами сконцентрировано на аппаратном и программном обеспечении, которое выполняет некую бизнес-функцию и/или содержит данные и может являться объектом атаки и защиты.

ФСТЭК России в Методическом документе «Меры защиты информации в государственных информационных системах» требует проводить контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе (мера АНЗ.4), а в Приказе №239 «Об утверждении требований по обеспечению безопасности значимых объектов КИИ РФ» предписывает осуществлять инвентаризацию информационных ресурсов (мера АУД.1). В зарубежных стандартах также подчеркивается важность проведения инвентаризации: в стандарте ISO 27001:2013 присутствует контроль A.8.1.1 ”Inventory of assets”, публикация NIST SP 800-53 включает нормы CM-8 ”System component inventory” и PM-5 ”System inventory”, а NIST “Cybersecurity Framework” содержит контроли ID.AM-1 и ID.AM-2, посвященные инвентаризации соответственно физических устройств и систем, программных платформ и приложений. Кроме того, в публикации NIST SP 1800-5 ”IT Asset Management” («Управление ИТ-активами») перечислены следующие риски при отсутствующем или неполном процессе инвентаризации активов:

·       недостаток знаний о местоположении ИТ-активов;

·       недостаток конфигурационных контролей для ИТ-активов;

·       неэффективный патч-менеджмент;

·       неэффективное управление уязвимостями;

·       неполная операционная картина корпоративных активов;

·       отсутствие конвергентного репозитория ИТ-активов.

При этом NIST SP 1800-5 приводит характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management):

·       дополнение существующих в компании систем учета активов, СЗИ, сетевых решений;

·       API-интеграция с СЗИ (межсетевые экраны, системы обнаружения вторжений, системы управления доступом и учетными данными);

·       предоставление информации и контроль подключенных к сети компании физических и виртуальных активов;

·       автоматическое определение и оповещение о попытках неавторизованных устройств получить доступ к сети;

·       предоставление возможности определять и контролировать аппаратное и программное обеспечение, которое авторизовано для подключения к сети компании;

·       применение политик ограниченного использования ПО;

·       аудит и мониторинг изменений состояния активов;

·       интеграция с системами хранения и анализа журналов аудита;

·       запись и отслеживание атрибутов ИТ-активов.

В модуле «Управление активами» платформы Security Vision мы выделили следующие типы ИТ-активов, каждый из которых обладает собственным набором атрибутов:

·       бизнес-процесс;

·       информационная система;

·       техническое средство;

·       программное обеспечение;

·       информация.

Современный рынок ИБ насыщен решениями для инвентаризации, как специализированными, так и теми, которые опционально включают в себя возможности управления ИТ-активами. Среди специализированных стоит отметить системы CMDB (Configuration Management Database, база данных управления конфигурацией), которые предназначены для хранения, обработки, поддержания в актуальном состоянии информации об активах и их взаимосвязях. Программные (например, ОС, ПО, файлы) и аппаратные (например, серверы, ПК, сетевые устройства) активы в терминологии CMDB называются CI (Configuration Items, конфигурационные единицы) и могут содержать следующую информацию:

·       бизнес-владелец (business owner) актива;

·       риск-владелец (risk owner) актива;

·       ответственный за актив со стороны ИТ (IT custodian);

·       ответственный за актив со стороны ИБ (IT Security custodian);

·       пользователь актива;

·       выполняемая активом бизнес-роль/функция;

·       выполняемая активом техническая роль/функция;

·       зависимый от актива бизнес-процесс;

·       критичность, стоимость, ценность актива;

·       требования и уровень обеспечения информационной безопасности (целостность, конфиденциальность, доступность) информации, обрабатываемой активом;

·       местоположение (адрес, помещение, номер стойки и т.д.);

·       конфигурация (FQDN-имя, версия ОС, установленное ПО, VLAN, IP-адрес, MAC-адрес, объем ОЗУ и т.д.).

Главные задачи, которые приходится решать при ведении процесса управления активами, включают в себя первоначальное наполнение информацией, обогащение и поддержание сведений в актуальном состоянии, автоматизацию процесса, интеграцию с разнообразными системами, содержащими ценную информацию об ИТ-активах. При этом некоторые решения по управлению активами дополнительно поддерживают получение актуальных данных о новых активах в сети компании, а также взаимодействуют с СЗИ в целях реагирования на несанкционированное появление нового устройства в сети (результатом реагирования может быть как проведение сканирования нового устройства, так и его временная изоляция). Кроме того, при реагировании на инциденты ИБ аналитику SOC-Центров кибербезопасности будет полезна детальная информация о хосте, участвующем в инциденте, поэтому системы управления ИТ-активами интегрируются и с системами мониторинга информационной безопасности SIEM, IRP-системами, SOAR-платформами. Таким образом, системы класса CMDB эволюционируют в полноценные ITAM-решения, которые предоставляют большее количество приведенных интеграционных возможностей и более широкий функционал.

Интересные публикации