SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Принципы информационной безопасности

Принципы информационной безопасности
09.01.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

При решении задач информационной безопасности возникают резонные вопросы: как реализуются принципы информационной безопасности на практике? как организовать защиту информации от несанкционированного доступа? что должно быть прописано в политике ИБ компании в соответствии с лучшими практиками и рекомендациями?


Итак, в соответствии с данными ранее определениями, защита информации - это обеспечение целостности, конфиденциальности, доступности информации. Таким образом, задачи информационной безопасности в широком смысле - это обеспечение её целостности, конфиденциальности и доступности, что реализуется с помощью мер и средств защиты информации (организационных, технических, физических). Для того, чтобы применяемые меры защиты (также называются контрмерами или контролями) были структурированы, логически взаимосвязаны и приводили не к формальному закрытию требований, а к реальному повышению киберзащищенности компании, следует выстраивать процессы информационной безопасности в рамках целостной системы управления ИБ (сокр. СУИБ) для минимизации киберрисков в целях удовлетворения потребностей бизнеса (владельцев, стейкхолдеров защищаемой компании). Защитные меры применяются к сотрудникам, процессам, технологиям, данным компании.


Пример: защитная мера в виде программа повышения осведомленности работников компании в вопросах кибербезопасности (так называемые awareness-тренинги) применяется к сотрудникам в целях противодействия кибератакам, реализуемым с помощью методов социальной инженерии (фишинг, телефонное мошенничество, шантаж, попытки получить конфиденциальную информацию при личной встрече с сотрудниками и т.д.). Еще один пример: контрмера в виде процесса проверки контрагентов компании (поставщиков, подрядчиков, аутсорсеров и т.д.) применяется к процессам информационного взаимодействия между компанией и её контрагентами, например, к обмену данными, настройке удаленных подключений, обмену электронной корреспонденцией и т.д.


По целям применяемых контрмер существует разделение на предупредительные, директивные, превентивные, сдерживающие, корректирующие, восстановительные, расследовательные, компенсирующие, дополняющие меры. Далее приведем примеры. Предупредительные меры - это оповещение пользователей и потенциальных нарушителей о контроле за их действиями для предупреждения инцидентов ИБ: например, это может быть сообщение на сайте о том, что все действия пользователей с информационным ресурсом записываются и могут быть проанализированы в дальнейшем. Директивные меры - это явным образом указанные правила работы и поведения пользователей: например, это могут быть указатели в офисном здании для того, чтобы добропорядочные посетители могли быстро найти искомый офис, а бесцельно блуждающие по здания могли бы считаться потенциальными нарушителями. Превентивные меры - это мероприятия, направленные на предотвращение инцидентов ИБ, недопущение нарушения политик ИБ или установленных правил, например, настройка СЗИ и защищенная настройка ОС, ПО для предотвращения нарушений ИБ. Сдерживающие меры - это способы задержать нарушителя, который прошел через предыдущие уровни защиты, например, если воры попали в офисный центр, то ценные документы должны лежать в сейфе, вскрытие которого задержит взломщиков до прибытия наряда полиции; в информационной системе такие меры могут быть реализованы с помощью ресурсов-приманок (honeypot или honeynet). Корректирующие меры - это оперативное исправление контролей, которые не сработали для недопущения атаки, включая устранение несоответствий контролей политикам ИБ. Восстановительные меры - это возвращение инфраструктуры после кибератаки в известное защищенное, «хорошее» состояние, с внесением необходимых корректирующих изменением для недопущения повторения инцидента в дальнейшем. Расследовательные меры - это способ установить первопричину инцидента и выявить нарушителя, узнать вектор атаки и проэксплуатированные уязвимости, выполнить компьютерные криминалистические исследования (форензик-исследования). Компенсирующие меры - это дополнительные контроли, которые обеспечивают выполнение обязательных мер защиты альтернативным способом, который является более целесообразным и экономически эффективным: например, для предотвращения утечек данных можно установить дорогостоящее DLP-решение, а можно запретить использование съемных накопителей, облачных хранилищ, ограничить возможность отправки электронной почты за пределы компании и предпринять иные меры для ограничения числа потенциальных каналов утечки информации. Дополняющие меры обеспечивают эффективность работы уже настроенных мер защиты и дополняют их: например, некоторые антивирусы позволяют пользователям с административными полномочиями на ПК отключить защиту, поэтому важно ограничить полномочия пользователей и контролировать выдачу прав локального администратора сотрудникам.


Если нарушители смогли успешно преодолеть выстроенные защитные меры и достичь своих целей, то говорят, что произошла кибератака. Иными словами, кибератака - это, как мы уже писали ранее, целенаправленное вредоносное воздействие на актив для нарушения его работы и/или для реализации киберугрозы (т.е. нарушение целостности, конфиденциальности, доступности информации). Также часто используется термин взлом, который означает несанкционированный доступ к информации, т.е. зафиксированный факт обработки информации (чтение, изменение, удаление и т.д.) с нарушением установленных прав доступа: например, когда с содержимым зарплатной ведомости компании ознакомился сотрудник подрядной организации или когда ценные файлы удалили хакеры в результате кибератаки.


Следует отметить, что в зарубежной литературе и новостях часто используется термин data breach, который некоторые некорректно понимают, как утечка данных, но фактически data breach - это нарушение безопасности данных, т.е. несанкционированный доступ к информации. Под data breach понимается не только кража данных хакерами, но и, например, несанкционированное удаление информации в результате заражения вирусом-вайпером или даже случайное размещение работником конфиденциальной информации на общедоступном ресурсе.

 

Политика информационной безопасности компании - это задокументированный, согласованный и утвержденный набор взаимосвязанных высокоуровневых принципов обеспечения защиты информации, в соответствии с которыми выстраиваются процессы ИБ в компании. По уровню иерархии и детализации политика ИБ стоит во главе всех внутренних нормативных документов, применяющихся в компании для защиты информации; ниже по иерархии идут стандарты, регламенты, процедуры, инструкции - они содержат уже более детализированные правила обеспечения ИБ в компании. Таким образом, политика ИБ в компании строится на высокоуровневых принципах ИБ; далее приведем примеры важнейшие из таких принципов.


Принципы ИБ означают определенные правила, которые показали свою эффективность при практическом применении для защиты информации:


1) Принцип наименьших полномочий - это правило предоставления пользователям и сущностям в информационной системе привилегий, минимально необходимых для выполнения ими своих должностных обязанностей и достижения целей работы. Например, пользователю из отдела бухгалтерии не нужно давать права администратора домена, а программа для резервного копирования должна работать из-под учетной записи, которая имеет доступ только на чтение сохраняемых файлов.


2) Принцип предоставления привилегированных (административных) полномочий только для выполнения конкретных служебных действий и только на определенный временной промежуток. Данный принцип реализуется с помощью технологий Just-In-Time Access (JIT, «доступ только на время») и Just-Enough Access (JEA, "доступ не больше, чем нужно"), которые позволяют предоставить учетной записи расширенные полномочия только на определенное время и в минимально необходимом объеме. Например, инженер получает привилегии на выполнение с административными правами только определенного скрипта и только на время отработки данного скрипта.


3) Еще один набор принципов ИБ - это предоставление доступа к информации только при наличии обоснования на использование данных (англ. need to use), ознакомление с информацией (англ. need to know), подключение к информационной системе (англ. need to connect), а также при наличии согласования на выполнение действий от непосредственного руководителя пользователя, запрашивающего доступ.


4) Принцип сегментирования и контроля доступа к данным с использованием подхода Zero Trust, который означает, что для всех устройств, приложений и пользователей создаются гранулированные правила сетевого доступа, которые действуют как для подключений к инфраструктуре извне, так и для внутренних сетевых соединений. Данные правила позволяют вести непрерывный контроль наличия полномочий у субъектов, а также вести мониторинг состояния безопасности субъекта при каждой попытке доступа.


5) Еще один принцип ИБ при работе с данными - это шифрование информации при хранении и передаче данных, а также использование криптосистем с гомоморфным шифрованием, которые позволяют выполнять операции с зашифрованными данными без их расшифрования.


6) Еще один важный принцип обеспечения кибербезопасности - это принцип разделения полномочий, который означает, что для выполнения критичной операции требуются как минимум два работника. Это делается для того, чтобы исключить ошибку одного сотрудника, а также затруднить выполнение вредоносных действий одним нелояльным или завербованным сотрудником, которому предоставлены широкие полномочия. Пример, знакомый многим по кинематографу: для открытия банковского сейфа требуются два разных ключа и их одновременный поворот двумя разными сотрудниками. Для того, чтобы обойти такое требование, этим сотрудникам потребуется вступить в сговор, что грозит им большей уголовной ответственностью.


7) Принцип актуализации полномочий означает, что при смене должностных обязанностей сотрудника, например, при переходе в другой отдел, нужно отключить ему старые права доступа к информационным ресурсам его старого отдела, и выдать права на доступ к ресурсам нового отдела. Другой пример: когда сотрудник завершает работу над одним проектом и переходит в другую проектную команду, права его учетной записи на доступ к файлам по старому проекту должны быть отозваны. Это позволит избежать ситуации, когда один давно работающий в компании сотрудник постепенно получает избыточные полномочия.


8) Принцип "Assumed Breach" (буквально переводится как «Думайте так, как будто вас уже взломали») означает планирование деятельности по ИБ в компании с учетом того, что один или несколько элементов инфраструктуры скомпрометированы злоумышленниками. Важно не исключать вероятность того, что кибератака на компанию уже произошла, но её признаки пока не стали явными, поэтому хакеры незримо присутствуют в сети. Для того, чтобы выстраивать кибербезопасность с учетом этого принципа, следует использовать методы проактивного выявления угроз (Threat Hunting) и описанный выше подход Zero Trust.


9) Выстраивание киберзащиты в соответствии с принципом эшелонированной защиты (англ. Defense in depth) означает формирование многоуровневой защиты, когда для доступа к ценному активу атакующему нужно сначала преодолеть несколько уровней защиты. Например, для доступа к файловому серверу извне атакующим нужно сначала взломать сервер в DMZ (демилитаризованная зона), затем перейти в корпоративную сеть, затем повысить привилегии для подключения к серверному сегменту, а уже затем - атаковать файловое хранилище. В этом отношении облачные корпоративные системы, хоть и являются удобными для доступа из любой точки мира и с любого устройства, но все же лишены части контролей (например, необходимости предварительной установки VPN-соединения), поэтому так важно использовать продвинутые системы аутентификации и контроля учетных записей в облаке - например, мультифакторную аутентификацию, условный доступ (англ. Conditional Access), проверку устройств на соответствие настройкам безопасности (англ. Posturing) и географическому региону присутствия компании.


10) Непрерывное улучшение и процессный PDCA-подход к обеспечению киберзащиты - это, вероятно, наиболее важный принцип ИБ, который означает, что процессы ИБ следует выстраивать в соответствии с циклом Деминга для управления процессами: Планирование - Выполнение - Оценка - Корректировка (англ. Plan - Do - Check - Act, сокращенно PDCA-цикл). Непрерывная оценка адекватности выстроенной СУИБ текущим актуальным киберугрозам и постоянное улучшение киберзащиты поможет соразмерно предупреждать и отвечать на кибератаки даже со стороны самых продвинутых атакующих.

Управление ИБ СЗИ ИБ для начинающих DLP Оргмеры ИБ Угрозы ИБ Подкасты ИБ Threat Hunting

Рекомендуем

Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
SOAR-системы
SOAR-системы

Рекомендуем

Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
SOAR-системы
SOAR-системы

Похожие статьи

Принципы информационной безопасности
Принципы информационной безопасности
Применение стандарта ISO 31000
Применение стандарта ISO 31000
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Как система защиты данных от утечек понимает, что защищать
Как система защиты данных от утечек понимает, что защищать
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1

Похожие статьи

Принципы информационной безопасности
Принципы информационной безопасности
Применение стандарта ISO 31000
Применение стандарта ISO 31000
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9 «Общайтесь, взаимодействуйте, делитесь информацией»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №9  «Общайтесь, взаимодействуйте, делитесь информацией»
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Как система защиты данных от утечек понимает, что защищать
Как система защиты данных от утечек понимает, что защищать
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1