SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Принципы информационной безопасности

Принципы информационной безопасности
09.01.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

При решении задач информационной безопасности возникают резонные вопросы: как реализуются принципы информационной безопасности на практике? как организовать защиту информации от несанкционированного доступа? что должно быть прописано в политике ИБ компании в соответствии с лучшими практиками и рекомендациями?


Итак, в соответствии с данными ранее определениями, защита информации - это обеспечение целостности, конфиденциальности, доступности информации. Таким образом, задачи информационной безопасности в широком смысле - это обеспечение её целостности, конфиденциальности и доступности, что реализуется с помощью мер и средств защиты информации (организационных, технических, физических). Для того, чтобы применяемые меры защиты (также называются контрмерами или контролями) были структурированы, логически взаимосвязаны и приводили не к формальному закрытию требований, а к реальному повышению киберзащищенности компании, следует выстраивать процессы информационной безопасности в рамках целостной системы управления ИБ (сокр. СУИБ) для минимизации киберрисков в целях удовлетворения потребностей бизнеса (владельцев, стейкхолдеров защищаемой компании). Защитные меры применяются к сотрудникам, процессам, технологиям, данным компании.


Пример: защитная мера в виде программа повышения осведомленности работников компании в вопросах кибербезопасности (так называемые awareness-тренинги) применяется к сотрудникам в целях противодействия кибератакам, реализуемым с помощью методов социальной инженерии (фишинг, телефонное мошенничество, шантаж, попытки получить конфиденциальную информацию при личной встрече с сотрудниками и т.д.). Еще один пример: контрмера в виде процесса проверки контрагентов компании (поставщиков, подрядчиков, аутсорсеров и т.д.) применяется к процессам информационного взаимодействия между компанией и её контрагентами, например, к обмену данными, настройке удаленных подключений, обмену электронной корреспонденцией и т.д.


По целям применяемых контрмер существует разделение на предупредительные, директивные, превентивные, сдерживающие, корректирующие, восстановительные, расследовательные, компенсирующие, дополняющие меры. Далее приведем примеры. Предупредительные меры - это оповещение пользователей и потенциальных нарушителей о контроле за их действиями для предупреждения инцидентов ИБ: например, это может быть сообщение на сайте о том, что все действия пользователей с информационным ресурсом записываются и могут быть проанализированы в дальнейшем. Директивные меры - это явным образом указанные правила работы и поведения пользователей: например, это могут быть указатели в офисном здании для того, чтобы добропорядочные посетители могли быстро найти искомый офис, а бесцельно блуждающие по здания могли бы считаться потенциальными нарушителями. Превентивные меры - это мероприятия, направленные на предотвращение инцидентов ИБ, недопущение нарушения политик ИБ или установленных правил, например, настройка СЗИ и защищенная настройка ОС, ПО для предотвращения нарушений ИБ. Сдерживающие меры - это способы задержать нарушителя, который прошел через предыдущие уровни защиты, например, если воры попали в офисный центр, то ценные документы должны лежать в сейфе, вскрытие которого задержит взломщиков до прибытия наряда полиции; в информационной системе такие меры могут быть реализованы с помощью ресурсов-приманок (honeypot или honeynet). Корректирующие меры - это оперативное исправление контролей, которые не сработали для недопущения атаки, включая устранение несоответствий контролей политикам ИБ. Восстановительные меры - это возвращение инфраструктуры после кибератаки в известное защищенное, «хорошее» состояние, с внесением необходимых корректирующих изменением для недопущения повторения инцидента в дальнейшем. Расследовательные меры - это способ установить первопричину инцидента и выявить нарушителя, узнать вектор атаки и проэксплуатированные уязвимости, выполнить компьютерные криминалистические исследования (форензик-исследования). Компенсирующие меры - это дополнительные контроли, которые обеспечивают выполнение обязательных мер защиты альтернативным способом, который является более целесообразным и экономически эффективным: например, для предотвращения утечек данных можно установить дорогостоящее DLP-решение, а можно запретить использование съемных накопителей, облачных хранилищ, ограничить возможность отправки электронной почты за пределы компании и предпринять иные меры для ограничения числа потенциальных каналов утечки информации. Дополняющие меры обеспечивают эффективность работы уже настроенных мер защиты и дополняют их: например, некоторые антивирусы позволяют пользователям с административными полномочиями на ПК отключить защиту, поэтому важно ограничить полномочия пользователей и контролировать выдачу прав локального администратора сотрудникам.


Если нарушители смогли успешно преодолеть выстроенные защитные меры и достичь своих целей, то говорят, что произошла кибератака. Иными словами, кибератака - это, как мы уже писали ранее, целенаправленное вредоносное воздействие на актив для нарушения его работы и/или для реализации киберугрозы (т.е. нарушение целостности, конфиденциальности, доступности информации). Также часто используется термин взлом, который означает несанкционированный доступ к информации, т.е. зафиксированный факт обработки информации (чтение, изменение, удаление и т.д.) с нарушением установленных прав доступа: например, когда с содержимым зарплатной ведомости компании ознакомился сотрудник подрядной организации или когда ценные файлы удалили хакеры в результате кибератаки.


Следует отметить, что в зарубежной литературе и новостях часто используется термин data breach, который некоторые некорректно понимают, как утечка данных, но фактически data breach - это нарушение безопасности данных, т.е. несанкционированный доступ к информации. Под data breach понимается не только кража данных хакерами, но и, например, несанкционированное удаление информации в результате заражения вирусом-вайпером или даже случайное размещение работником конфиденциальной информации на общедоступном ресурсе.

 

Политика информационной безопасности компании - это задокументированный, согласованный и утвержденный набор взаимосвязанных высокоуровневых принципов обеспечения защиты информации, в соответствии с которыми выстраиваются процессы ИБ в компании. По уровню иерархии и детализации политика ИБ стоит во главе всех внутренних нормативных документов, применяющихся в компании для защиты информации; ниже по иерархии идут стандарты, регламенты, процедуры, инструкции - они содержат уже более детализированные правила обеспечения ИБ в компании. Таким образом, политика ИБ в компании строится на высокоуровневых принципах ИБ; далее приведем примеры важнейшие из таких принципов.


Принципы ИБ означают определенные правила, которые показали свою эффективность при практическом применении для защиты информации:


1) Принцип наименьших полномочий - это правило предоставления пользователям и сущностям в информационной системе привилегий, минимально необходимых для выполнения ими своих должностных обязанностей и достижения целей работы. Например, пользователю из отдела бухгалтерии не нужно давать права администратора домена, а программа для резервного копирования должна работать из-под учетной записи, которая имеет доступ только на чтение сохраняемых файлов.


2) Принцип предоставления привилегированных (административных) полномочий только для выполнения конкретных служебных действий и только на определенный временной промежуток. Данный принцип реализуется с помощью технологий Just-In-Time Access (JIT, «доступ только на время») и Just-Enough Access (JEA, "доступ не больше, чем нужно"), которые позволяют предоставить учетной записи расширенные полномочия только на определенное время и в минимально необходимом объеме. Например, инженер получает привилегии на выполнение с административными правами только определенного скрипта и только на время отработки данного скрипта.


3) Еще один набор принципов ИБ - это предоставление доступа к информации только при наличии обоснования на использование данных (англ. need to use), ознакомление с информацией (англ. need to know), подключение к информационной системе (англ. need to connect), а также при наличии согласования на выполнение действий от непосредственного руководителя пользователя, запрашивающего доступ.


4) Принцип сегментирования и контроля доступа к данным с использованием подхода Zero Trust, который означает, что для всех устройств, приложений и пользователей создаются гранулированные правила сетевого доступа, которые действуют как для подключений к инфраструктуре извне, так и для внутренних сетевых соединений. Данные правила позволяют вести непрерывный контроль наличия полномочий у субъектов, а также вести мониторинг состояния безопасности субъекта при каждой попытке доступа.


5) Еще один принцип ИБ при работе с данными - это шифрование информации при хранении и передаче данных, а также использование криптосистем с гомоморфным шифрованием, которые позволяют выполнять операции с зашифрованными данными без их расшифрования.


6) Еще один важный принцип обеспечения кибербезопасности - это принцип разделения полномочий, который означает, что для выполнения критичной операции требуются как минимум два работника. Это делается для того, чтобы исключить ошибку одного сотрудника, а также затруднить выполнение вредоносных действий одним нелояльным или завербованным сотрудником, которому предоставлены широкие полномочия. Пример, знакомый многим по кинематографу: для открытия банковского сейфа требуются два разных ключа и их одновременный поворот двумя разными сотрудниками. Для того, чтобы обойти такое требование, этим сотрудникам потребуется вступить в сговор, что грозит им большей уголовной ответственностью.


7) Принцип актуализации полномочий означает, что при смене должностных обязанностей сотрудника, например, при переходе в другой отдел, нужно отключить ему старые права доступа к информационным ресурсам его старого отдела, и выдать права на доступ к ресурсам нового отдела. Другой пример: когда сотрудник завершает работу над одним проектом и переходит в другую проектную команду, права его учетной записи на доступ к файлам по старому проекту должны быть отозваны. Это позволит избежать ситуации, когда один давно работающий в компании сотрудник постепенно получает избыточные полномочия.


8) Принцип "Assumed Breach" (буквально переводится как «Думайте так, как будто вас уже взломали») означает планирование деятельности по ИБ в компании с учетом того, что один или несколько элементов инфраструктуры скомпрометированы злоумышленниками. Важно не исключать вероятность того, что кибератака на компанию уже произошла, но её признаки пока не стали явными, поэтому хакеры незримо присутствуют в сети. Для того, чтобы выстраивать кибербезопасность с учетом этого принципа, следует использовать методы проактивного выявления угроз (Threat Hunting) и описанный выше подход Zero Trust.


9) Выстраивание киберзащиты в соответствии с принципом эшелонированной защиты (англ. Defense in depth) означает формирование многоуровневой защиты, когда для доступа к ценному активу атакующему нужно сначала преодолеть несколько уровней защиты. Например, для доступа к файловому серверу извне атакующим нужно сначала взломать сервер в DMZ (демилитаризованная зона), затем перейти в корпоративную сеть, затем повысить привилегии для подключения к серверному сегменту, а уже затем - атаковать файловое хранилище. В этом отношении облачные корпоративные системы, хоть и являются удобными для доступа из любой точки мира и с любого устройства, но все же лишены части контролей (например, необходимости предварительной установки VPN-соединения), поэтому так важно использовать продвинутые системы аутентификации и контроля учетных записей в облаке - например, мультифакторную аутентификацию, условный доступ (англ. Conditional Access), проверку устройств на соответствие настройкам безопасности (англ. Posturing) и географическому региону присутствия компании.


10) Непрерывное улучшение и процессный PDCA-подход к обеспечению киберзащиты - это, вероятно, наиболее важный принцип ИБ, который означает, что процессы ИБ следует выстраивать в соответствии с циклом Деминга для управления процессами: Планирование - Выполнение - Оценка - Корректировка (англ. Plan - Do - Check - Act, сокращенно PDCA-цикл). Непрерывная оценка адекватности выстроенной СУИБ текущим актуальным киберугрозам и постоянное улучшение киберзащиты поможет соразмерно предупреждать и отвечать на кибератаки даже со стороны самых продвинутых атакующих.

Управление ИБ СЗИ ИБ для начинающих DLP Оргмеры ИБ Угрозы ИБ Подкасты ИБ Threat Hunting

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только