SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Ситуационная осведомленность в кибербезопасности

Ситуационная осведомленность в кибербезопасности
13.09.2021

|   Слушать на Mave  |   Слушать на Яндекс Музыке  |     


Руслан Рахметов, Security Vision 


Ситуационная осведомленность – это модель оценки обстановки. Одним из наиболее известных исследователей в этой области является Мика Эндсли, где она сформировала следующее определение: ситуационная осведомленность — это восприятие элементов и событий окружающей среды по отношению к времени или пространству, понимание их значения и проекция их статуса в ближайшем будущем.


Целью ситуационной осведомленности являются активное обнаружение и анализ информации, относящейся к немедленной операционной стабильности и безопасности, и координация такой информации на предприятии, чтобы гарантировать, что все организационные подразделения работают в рамках общей операционной картины.


Ситуационная осведомленность позволяет организации понять операционную среду критичных сервисов и среду влияния на их работу. Это понимание дает заинтересованным сторонам достаточно точное и актуальное понимание прошлого, текущего и прогнозируемого будущего состояния таких сервисов и поддерживает эффективное принятие решений в контексте общей операционной среды.


Процесс ситуационной осведомленности устанавливает общую операционную картину путем сбора, слияния и анализа данных для поддержки автоматизированных или человеческих решений при осуществлении действий по реагированию на инциденты кибербезопасности. Такие данные обязательно должны передаваться своевременно и в форме, которая позволит человеку быстро понять ключевые элементы, необходимые для принятия правильных решений.


Общая операционная картина должна быть точной и действенной (подходящей для поддержки принятия решений и действий). Однако разные участники предприятия нуждаются в разных и не обязательно полных знаниях об операционной среде. В зависимости от того, как это представлено, полная картина может содержать слишком много информации и перегрузить человека, принимающего решения. Операторам также не следует предоставлять массивный объем данных; скорее, операторы должны видеть только то, что важно, что определяется стратегией рисков и общей картиной рисков.


Роль и связи ситуационной осведомленности


Ситуационная осведомленность имеет тесную и двунаправленную связь со всеми другими процессами подразделения кибербезопасности, такими как управление активами, уязвимостями, инцидентами, рисками. Да, ситуационная осведомленность – это тоже процесс, который должен быть интегрирован в общую операционную деятельность по обеспечению кибербезопасности.


Процессы управления активами закладывают основу для ситуационной осведомленности путем определения критически важных услуг и связанных активов (с привязкой также к управлению рисками), на которых должен сосредоточиться процесс ситуационной осведомленности.


Управление рисками – это основа для выявления требований ситуационной осведомленности и линза, через которую информация ситуационной осведомленности интерпретируется и передается. Управление рисками также включает несколько процессов. Поставщики, команда по управлению уязвимостями или другие источники могут сообщить о существовании уязвимости организации. Процесс ситуационной осведомленности предоставляет эту информацию управлению активами, которое определяет, какие активы подвержены уязвимости, и потенциальные риски для критичных сервисов. Эта информация используется для процесса ситуационной осведомленности, который передает ее команде управления рисками. Обладая этой информацией, группа управления рисками может расставить приоритеты для рисков, связанных с уязвимостью, по сравнению с другими рисками и, при необходимости, повысить срочность корректирующих действий, таких как запрос исправления или обходного пути у поставщика.


Процесс ситуационной осведомленности передает данные в процесс управления инцидентами, который может соотносить их с информацией из других внешних CERT и, при необходимости, объявлять инцидент и передавать его соответствующим заинтересованным сторонам.


Выстроенный процесс ситуационной осведомленности включает в себя четыре этапа, с помощью которых организация планирует, осуществляет сбор и анализ, проводит обмен информацией и улучшает сам процесс ситуационной осведомленности, чтобы повысить операционную эффективность и обеспечить необходимый уровень кибербезопасности организации.


Рисунок 1 - Процесс ситуационной осведомленности


1. Планирование ситуационной осведомленности


Планирование необходимо для успешной реализации программы ситуационной осведомленности. В плане документируются цели программы, стратегия достижения этих целей, а также инфраструктура и ресурсы, необходимые для выполнения плана. При планировании ситуационной осведомленности важно осуществить следующие действия:

  • Получить поддержку со стороны руководства в виде ресурсов

  • Разработать стратегию программы ситуационной осведомленности

  • Разработать подход к сбору и анализу данных ситуационной осведомленности

  • Разработать подход к передаче ситуационной информации        

  • Составить план ситуационной осведомленности.


2. Сбор и анализ данных ситуационной осведомленности


Сбор и анализ данных является основным процессом, в рамках которого необходимо:

  • Установить требования к сбору и анализу данных ситуационной осведомленности

  • Разработать подход к сбору и анализу данных ситуационной осведомленности

  • Создать инфраструктуру для поддержки деятельности по мониторингу ситуационной осведомленности

  • Собирать, записывать и анализировать информацию.


3. Обмен информацией


Информация, собранная с помощью мероприятий по повышению осведомленности о ситуации, должна эффективно передаваться заинтересованным сторонам, которым эта информация нужна для принятия обоснованных решений относительно кибербезопасности организации.


Для построения процессов обмена информацией необходимо:

  • Установить требования к коммуникации с ситуационной осведомленностью

  • Установить стандарты и инструкции по обмену информацией

  • Создать инфраструктуру для поддержки действий по информированию о ситуации

  • Передавать ситуационную информацию.


4. Улучшение процессов и технологий ситуационной осведомленности


Успешное управление рисками для критически важных услуг во многом зависит от эффективности процессов и технологий ситуационной осведомленности в организации. В среде возрастающих угроз для организации особенно важно постоянно улучшать свои возможности ситуационной осведомленности.


В рамках мероприятий по совершенствованию процессов и технологий ситуационной осведомленности осуществляются:

  • Обзор общей эффективности программы ситуационной осведомленности

  • Выявление обновлений и улучшений в программе ситуационной осведомленности

  • Внесение улучшения в процессы и технологии.


Заключение


Ситуационная осведомленность включает сбор, анализ и передачу информации, которая обеспечивает более широкую и богатую перспективу операционной среды организации. Ситуационная осведомленность поддерживает постоянно меняющуюся картину окружающей среды, в которой происходит повседневная деятельность. Будучи включенными в общий процесс оценки экономических, социальных, политических и географических факторов события, которые сами по себе могут показаться не заслуживающими внимания, могут быть идентифицированы как подозрительные или даже злонамеренные. Для наблюдения, оценки и сопоставления событий и информации этот контекст требуется на местном или внутреннем организационном уровне (организационные события, такие как увольнения, особые громкие события и т.д.), а также на внешнем, национальном или мировом уровне.



Подкасты ИБ Стандарты ИБ Управление инцидентами Практика ИБ

Рекомендуем

Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1

Рекомендуем

Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1

Похожие статьи

«Фишки» Security Vision: общее
«Фишки» Security Vision: общее
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Особенности обеспечения безопасности в платежных процессах за счет технологии
Особенности обеспечения безопасности в платежных процессах за счет технологии
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API

Похожие статьи

«Фишки» Security Vision: общее
«Фишки» Security Vision: общее
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 1.
Особенности обеспечения безопасности в платежных процессах за счет технологии
Особенности обеспечения безопасности в платежных процессах за счет технологии
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API