SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Процессы управления ИБ (конспект лекции)

Процессы управления ИБ (конспект лекции)
25.01.2021


Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2020


Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»


Минимизация рисков информационной безопасности – обоснование для внедрения процессов управления ИБ и реализации конкретных защитных мер (организационных, технических, физических).


Основные международные стандарты практического обеспечения информационной безопасности, включающие в себя описание организационных и технических требований для разработки целостной системы обеспечения и управления информационной безопасностью:

  • ISO/IEC 27001:2013 Information security management systems – Requirements («Системы менеджмента информационной безопасности – Требования»);

  • NIST SP 800-53 rev.5 Security and Privacy Controls for Information Systems and Organizations («Меры обеспечения безопасности и конфиденциальности для информационных систем и организаций», редакция 5);

  • CIS TOP-20 Controls («20 лучших мер защиты»).


Серия стандартов ISO/IEC 27000

ISO - International Organization for Standardization, Международная организация по стандартизации

IEC - International Electrotechnical Commission, Международная электротехническая комиссия

 

Принятые РФ стандарты ISO/IEC имеют префикс ГОСТ Р ИСО/МЭК, например ГОСТ Р ИСО/МЭК 27001-2006.

 

Наиболее интересные стандарты в серии ISO 27xxx, посвященной внедрению Системы менеджмента информационной безопасности (СМИБ):

ISO 27000 — СМИБ. Обзор и глоссарий

ISO 27001 — СМИБ. Требования

ISO 27002 — СМИБ. Свод практических правил для обеспечения мер ИБ

ISO 27003 — СМИБ. Руководство по внедрению СМИБ

ISO 27004 — СМИБ. Мониторинг, измерения, анализ и оценка

ISO 27005 — СМИБ. Управление рисками информационной безопасности

ISO 27018 — Свод практических правил по защите персональных данных в публичных облаках

ISO 27031 — Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса

ISO 27032 — Руководство по кибербезопасности

ISO 27035 — Управление инцидентами информационной безопасности

ISO 27036 — Информационная безопасность при взаимоотношениях с поставщиками

ISO 27039 — Выбор, настройка и работа с системами обнаружения и предотвращения вторжений

ISO 27043 — Принципы и процессы расследования инцидентов информационной безопасности

 

Основные фазы построения СМИБ по ISO 27xxx:

  • Оценка необходимости и потребности компании в мерах ЗИ путем оценки рисков и моделирования угроз/нарушителей

  • Внедрение и обеспечение процессов ИБ, мер защиты и иных контрмер для противодействия выявленным актуальным угрозам

  • Мониторинг и регулярный пересмотр эффективности работы СМИБ

  • Непрерывное совершенствование СМИБ.

 

Ключевые компоненты СМИБ:

  • Локальные нормативные акты (ЛНА)

  • Сотрудники с определенными должностными обязанностями

  • Процессы управления:

          1. Внедрением ЛНА

          2. Повышением квалификации и осведомленности сотрудников

          3. Планированием

          4. Внедрением мер защиты

          5. Текущей деятельностью

          6. Оценкой эффективности

          7. Анализом со стороны руководства

          8. Совершенствованием

 

Ключевые компоненты СМИБ:

  • Локальные нормативные акты (ЛНА)

  • Сотрудники с определенными должностными обязанностями

  • Процессы управления:

          1. Внедрением ЛНА

          2. Повышением квалификации и осведомленности сотрудников

          3. Планированием

          4. Внедрением мер защиты

          5. Текущей деятельностью

          6. Оценкой эффективности

          7. Анализом со стороны руководства

          8. Совершенствованием

 

Процессы обеспечения ИБ по стандарту ISO/IEC 27001:2013:

  • процесс создания и поддержки документального обеспечения деятельности по защите информации (политики, стандарты, регламенты, процедуры, инструкции)

  • процесс управления учетными записями пользователей и администраторов информационных систем

  • процесс разграничения и контроля прав логического доступа к информационным системам, реализация принципа минимизации полномочий

  • процесс проверки (скрининга) персонала при приеме на работу, обучение персонала принципам и политикам информационной безопасности компании, контроль выполнения требований информационной безопасности сотрудниками в процессе работы

  • процесс управления активами (инвентаризация, назначение владельцев и ответственных, контроль на всех стадиях жизненного цикла активов), включая управление устройствами (стационарными, мобильными)

  • процесс классификации информации по степени критичности и уровням необходимости соблюдения конфиденциальности, целостности, доступности

  • процесс криптографической защиты информации при использовании, хранении и передаче

  • процесс обеспечения физической безопасности и контроль физического доступа к объектам информационных систем

  • операционные процессы обеспечения информационной безопасности: контроль изменений, контроль конфигураций, контроль разработки и внедрения информационных систем

  • процесс защиты от вредоносного программного обеспечения

  • процесс обеспечения непрерывности бизнеса и восстановления работоспособности информационных систем и данных после сбоев

  • процесс аудита и мониторинга событий информационной безопасности

  • процесс управления инцидентами информационной безопасности

  • процесс управления уязвимостями в используемом программном обеспечении (сканирование, оценка, устранение путем обновления или наложенными средствами защиты)

  • процесс обеспечения сетевой безопасности (сегментирование ЛВС, фильтрация трафика, аутентификация устройств), включая обеспечение информационной безопасности при использовании «облачных» сервисов

  • процесс обеспечения информационной безопасности на всех стадиях жизненного цикла информационных систем, включая поддержку цикла безопасной разработки и внедрения программного обеспечения

  • процесс контроля информационного взаимодействия с поставщиками, клиентами, подрядчиками

  • процесс управления соответствием нормативным требованиям, предъявляемым к компании

  • процесс проведения независимых аудитов и тестов информационной безопасности.

 

Каждый процесс разбит на подпроцессы для детализации требований. Например, процесс обеспечения физической безопасности и контроль физического доступа к объектам информационных систем состоит из следующих подпроцессов:

  • Создание периметра физической безопасности (защита помещений, где хранится и обрабатывается важная информация)

  • Меры контроля физического доступа (СКУД, турникеты, замки и т.д.)

  • Защита помещений, комнат, участков зданий

  • Защита от внешних воздействий (стихийные бедствия, физические атаки)

  • Контроль работы в защищенных помещениях

  • Контроль зон возможного пребывания посторонних лиц (зоны погрузки/доставки должны быть ограничены)

  • Физическая защита оборудования

  • Защита от сбоев систем электроснабжения, вентиляции, кондиционирования

  • Физическая защита структурированных кабельных систем (СКС)

  • Обслуживание оборудования (очистка, охлаждение, питание)

  • Защита от физического выноса оборудования из здания

  • Защита оборудования за пределами контролируемых зон (бекапы, ЦОДы, удаленная работа на корпоративных ноутбуках)

  • Надежное удаление информации перед утилизацией/продажей оборудования

  • Защита оборудования, находящегося без присмотра (блокировка рабочих станций)

  • Политика «чистого рабочего стола», защита носителей/распечаток, доступ к принтерам

 

Документ NIST SP 800-53 (ревизия №5, Сентябрь 2020)

  • входит в NIST Cybersecurity Framework наряду с документами по управлению рисками (NIST SP 800-39, 800-37, 800-30) и логически с ними связан;

  • описывает конкретные шаги для минимизации рисков ИБ, выявленных на предыдущих этапах;

  • дополнения: NIST SP 800-53A (методы оценки внедренных мер), NIST SP 800-53B (базовые уровни мер).

 

Меры защиты по NIST SP 800-53:

  • контроль доступа

  • осведомленность и обучение

  • аудит и подотчетность

  • оценка, авторизация и мониторинг

  • управление конфигурациями

  • планирование непрерывности операций

  • идентификация и аутентификация

  • реагирование на инциденты

  • обслуживание систем

  • защита носителей информации

  • физическая безопасность и защита от стихийных бедствий

  • планирование

  • управление программой обеспечения информационной безопасности

  • кадровая безопасность

  • обработка и защита персональных данных

  • оценка рисков

  • приобретение систем и сервисов

  • защита систем и средств коммуникации

  • целостность систем и информации

  • управление цепочками поставок.

 

Все меры защиты, описанные в стандарте NIST SP 800-53, включают в себя также и конкретные шаги по реализации соответствующей меры. Например, мера защиты «Контроль доступа» включает в себя следующие действия:

  • создание политик и процедур контроля доступа

  • управление учетными записями

  • защиту доступа

  • контроль потоков информации

  • разделение и минимизацию полномочий

  • контроль неудачных попыток аутентификации

  • уведомление об осуществляемом мониторинге и правилах работы с информационными системами

  • уведомление о предыдущих попытках аутентификации

  • контроль количества параллельных сессий

  • блокировку сессии пользователя после периода бездействия

  • принудительный разрыв сессии по тайм-ауту или определенному условию

  • определение списка возможных действий без прохождения идентификации или аутентификации

  • использование меток безопасности и конфиденциальности

  • контроль удаленного и беспроводного доступа

  • контроль доступа мобильных устройств

  • использование внешних систем

  • предоставление общего доступа к информации

  • предоставление публично доступного контента

  • защита от массового извлечения данных

  • принятие решений о контроле доступа

  • применение контролера доступа (Reference Monitor).

 

Документ «CIS TOP-20 Controls»


Разработан некоммерческой организацией CIS (Center for Internet Security). Обновляется регулярно, последняя версия 7.1 (2020 г.). Кроме теоретических рекомендаций, выпускает практические документы – Benchmarks (бенчмарки, «золотые стандарты») с перечнем конкретных действий по настройке ОС, ПО, СЗИ.


Документ «CIS TOP-20 Controls» содержит 20 наиболее эффективных мер защиты (технических, организационных), разделенных на группы:


Базовые:

  1. Инвентаризация и контроль аппаратных активов

  2. Инвентаризация и контроль программных активов

  3. Непрерывное управление уязвимостями

  4. Контроль использования административных полномочий

  5. Защищенная настройка ПО и АО на устройствах

  6. Мониторинг и анализ журналов доступа (логов)


Основные:

  1. Защита email-клиентов и браузеров

  2. Защита от ВПО

  3. Ограничение и контроль использования сетевых портов, сервисов и протоколов

  4. Возможности по восстановлению данных

  5. Защищенная настройка сетевых устройств (межсетевые экраны, маршрутизаторы, коммутаторы)

  6. Защита информационного периметра

  7. Защита данных

  8. Контролируемый доступ на основе принципа служебной необходимости

  9. Контроль беспроводного доступа

  10. Мониторинг и контроль учетных записей


Организационные:

  1. Программа повышения осведомленности и обучение сотрудников

  2. Безопасность прикладного ПО (безопасная разработка)

  3. Управление и реагирование на инциденты

  4. Тесты на проникновение и тесты «Red Team»

 

Все меры защиты содержат в себе 5-10 подпунктов с конкретизацией меры. Например, мера №14 «Контролируемый доступ на основе принципа служебной необходимости» состоит из подпунктов:

  1. Сегментация ЛВС на основе важности данных, обрабатываемых в каждом из сегментов (VLAN)

  2. Фильтрация трафика между сегментами сети

  3. Запрет на взаимодействие между клиентскими устройствами (для блокировки распространения ВПО)

  4. Шифрование всей важной информации в процессе передачи

  5. Автоматизированный поиск важной информации в сети (для обновления списка защищаемых активов)

  6. Защита информации с применением списков контроля доступа (ACL, Access Control List)

  7. Контроль доступа к информации (например, с применением DLP)

  8. Шифрование всей важной информации в процессе хранения

  9. Детальное логирование всех фактов доступа и изменения важной информации

 

Этапы выстраивания системы управления информационной безопасностью:

  1. Изучение бизнеса компании, включая бизнес-процессы, используемые технологии, средства защиты

  2. Выявление рисков, угроз, применимых регуляторных норм

  3. Выбор наиболее подходящих стандартов, рекомендаций и лучших практик для выстраивания процессов ИБ конкретно в данной компании

  4. Составление списка мер защиты (организационные, технические, физические), которые закрывают выявленные риски и угрозы

  5. Дополнение списка мерами, которые продиктованы регуляторными нормами

  6. Разработка и утверждение локальной (внутренней) нормативной документации (сначала политики и стандарты ИБ, затем по мере необходимости регламенты, процедуры, инструкции – с индексами документов, грифом, сквозной нумерацией, историей изменений, версионностью, списком согласовавших и утвердивших)

  7. Повторный анализ имеющихся СЗИ – реализуют ли они все выявленные необходимые меры защиты?

  8. Выбор новых СЗИ и/или модернизация старых. Экономическое обоснование затрат (инвестиций) в СЗИ. Приобретение СЗИ

  9. Набор сотрудников в подразделение защиты информации (для работы с конкретными технологиями и средствами ИБ)

  10. Внедрение СЗИ (силами подрядчиков или самостоятельно), первичная настройка

  11. Контроль выполнения ЛНА с помощью СЗИ. Контроль минимизации рисков до заданного уровня (снижение количества инцидентов). Тюнинг СЗИ

  12. Непрерывное улучшение, охват все больших объектов бизнеса и ИТ-инфраструктуры

 

Экономическое обоснование затрат (инвестиций) в СЗИ. Приобретение СЗИ

CAPEX – capital expenditure, капитальные расходы (сервер, ПК, коробочное СЗИ)

OPEX – operational expenditure, операционные расходы (облако, аренда ЦОД, использование СЗИ по подписке)

ROSI – Return on Security Investment, возврат инвестиций в безопасность – экономическая эффективность СЗИ. Если ROSI > 1, то вложение в СЗИ оправдано.

 

ROSI = (ARO*SLE*MFTCO) / TCO

ARO - annualized rate of occurrence, среднее количество инцидентов в год в соответствии со статистическими данными

SLE - single loss expectancy, ожидаемые разовые потери, т.е. «стоимость» одного инцидента

MF - mitigation factor, фактор снижения угрозы с помощью СЗИ (в %)

TCO - total cost of ownership, совокупная стоимость владения СЗИ, включающая в себя стоимость самого СЗИ, затрат на внедрение, техподдержку вендора, регулярные обновления, зарплату администрирующего СЗИ персонала.

 

Пример:

DDoS-атаки происходят 10 раз в год, ущерб от одной DDoS-атаки = 1000000 рублей, MF = 90% по заявлению производителя анти-DDoS решения, TCO = (2000000 рублей само СЗИ + 1500000 рублей годовая з/п администратора ИБ + внедрение 300000 рублей) = 3800000 руб.

ROSI = (10*1000000*0.9 – 3800000) / 3800000 = 1.37.

ИБ для начинающих Управление ИБ NIST

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют