Управление киберрисками с помощью Security Vision Cyber Risk System (CRS)

Чтобы перевести кибербезопасность в управляемый бизнес-процесс, необходимо обеспечить автоматизацию такого базового процесса, как управление рисками. Задача амбициозная, если мы говорим о реальной практической автоматизации, в которую входит регулярная идентификация новых рисков, анализ «темных зон» на стыке отдельных решений защиты, учет применяемых мер защиты, ведение реестра и контроль уровня рисков кибербезопасности с инструментом моделирования возможных исходов, визуализацию комплексного состояния информационной безопасности и четкие показатели эффективности систем безопасности. Решение Security Vision Cyber Risk System станет удобным инструментом для решения этой задачи.

1. Введение
2. Как составить стратегию управления киберрисками
3. Автоматизация управления киберрисками с помощью Security Vision Cyber Risk System (CRS)
4. Выводы

Введение

Согласно ежегодному отчету Всемирного экономического форума The Global Risks Report, кибератаки впервые вошли в топ-3 наиболее вероятных и значимых угроз мира. Кроме этого, в списке 2018 года впервые появились и другие киберриски — кража данных, зависимость от ИТ-технологий и разрывы в критически важной информационной инфраструктуре.

Рисунок 1. Карта глобальных рисков 2018 года

Киберриск – это любой риск финансовых потерь, организационных сбоев или ущерба репутации, связанный с каким-либо инцидентом в ИТ-инфраструктуре. Разделение зон ответственности ИБ и бизнеса в итоге приводит к тому, что ИБ-специалист ищет, «кто виноват» в уже случившихся инцидентах. Поскольку сегодня все ключевые бизнес-процессы завязаны на целостности ИТ-инфраструктуры, защита от киберугроз становится вопросом уровня топ-менеджмента. Поэтому для сохранения скорости бизнеса необходимо объединять системы управления бизнесом и информационными ресурсами с системами безопасности. Интеграция всех ключевых процессов бизнеса выводит систему управления киберрисками на новый уровень с повышенными требованиями к скорости реакции.

Как составить стратегию управления киберрисками

Стратегия кибербезопасности — это нечто большее, чем реализация контрольного списка требований. Модель угроз информационной безопасности включает в себя три направления — технологии, процессы, кадры. Но на стыке этих направлений появляются скрытые угрозы — темная зона для систем безопасности, специализирующихся на том или ином виде угроз.

Полноценная система менеджмента киберугроз должна иметь инструменты автоматической реакции и предусматривать сценарии реагирования на любые потенциальные риски на всех уровнях процессов компании. А чтобы понимать, куда наносить точечные удары, необходимо иметь информацию о текущем состоянии рисков в режиме реального времени. Управление рисками — основа системы защиты от киберугроз в компании, и для ее работы необходимо убедиться, что она вписывается в структуру управления компанией.

Поэтому для управления киберрисками на стратегическом уровне важно прояснить следующие вопросы:

1. Насколько сильно бизнес завязан на цифровой инфраструктуре? Каков уровень влияния киберугроз для вашей компании? Как эти риски можно идентифицировать? Регулярное обсуждение вопросов управления киберрисками с руководителями бизнес-подразделений повышает уровень поддержки руководства. При должной поддержке руководства становится возможным перевести процесс идентификации рисков в область автоматизированных. В этом случае «белые пятна» перестают быть больной мозолью. На первом этапе важно подключить справочники с базой активов компании, критичные бизнес-процессы, общий справочник рисков и др. справочники и данные компании, позволяющие автоматизировать идентификацию.
2. Какие угрозы актуальны для вашей компании? Комплексная программа кибербезопасности должна обеспечивать соответствие отраслевым стандартам и требованиям регуляторов. В первую очередь это касается банковской сферы. Анализ, объединение и интеграция данных о рисках из различных источников и участие в обмене информацией об угрозах с партнерами помогает организациям быстро выявлять и реагировать на инциденты. На этапе формирования модели угроз важно обеспечить входными данными и справочниками систему. Это как общедоступные и применимые к вам базы данных угроз, так и TI-платформы. На базе реестра угроз и применимого потенциала нарушителя мы строим частную модель угроз.
3. Не забываем про уязвимости. Параллельно с этим подтягиваем данные по техническим и организационным уязвимостям оцениваемых активов из области применения.
4. Насколько эффективны и как влияют на риски применяемые средства и меры защиты? Не секрет, что внедренные средства и меры защиты влияют на расчет рисков, тем более автоматический. Их эффективность зависит напрямую от должного уровня внедрения и использования по назначению. Меры защиты и их влияние учитывается с учетом выявленных уязвимостей.
5. А что было раньше с данными активами? Важным элементом в расчетах риска является информация об инцидентах случавшихся ранее применительно к активам из области оценки и оцениваемым активам. Правильно выстроенные алгоритмы обработки обеспечивают моментальную реакцию на инциденты и, таким образом, снижают вероятные потери от них. Кроме того, управление жизненным циклом инцидентов информационной безопасности определено в таких стандартах как СТО БР ИББС, ГОСТ Р ИСО/МЭК 18044-2007 или ISO 27000, и само по себе является хорошей практикой при внедрении комплексной системы управления информационной безопасностью.
6. Без математики нельзя. Все собранные данные и расчеты используются для многомерной оценки количественных рисков кибербезопасности. Качественная оценка происходит на базе опросных листов и оценок экспертов.
7. А для кого делаем расчеты? Ключевые индикаторы риска как основа мониторинга и контроля уровня риска кибербезопасности. Обязательно требует внимания.
8. А для чего делаем? Всегда не будет допустимого уровня риска, поэтому важна стратегия снижения риска кибербезопасности. Она базируется на разработке плана обработки рисков и практического моделирования возможных исходов рисков. Без автоматизации этих частей процесс будет давать сбои.
9. Наглядность и прозрачность. Для принятия эффективных управленческих решений и понимания уровня защищенности компании важна наглядность и прозрачность. Как следствие, визуальные инструменты оцифровки данных по информационной безопасности. Информационная безопасность всегда испытывала потребность в наглядности, что говорить про еще менее наглядный процесс — управление рисками кибербезопасности. Наглядное его отображение в реальном времени значительно поможет в понимании стратегии по кибербезопасности компании.

Автоматизация управления киберрисками с помощью Security Vision Cyber Risk System (CRS)

На российском рынке только начали появляться решения для автоматизации процессов управления киберрисками, и одно из них — Security Vision Cyber Risk System (CRS) от компании «Интеллектуальная безопасность».

Производитель Security Vision целенаправленно выделил управление киберрисками в отдельный продукт, понимая фундаментальную роль процесса в информационной безопасности. Анализ данных при расчете становится математически насыщенным и использует в качестве входных данных множество реестров и справочников, оценки по косвенным признакам случавшихся инцидентов, объединяя это в единый инструмент Cyber Risk System. Очевидно, что ручной анализ и сопоставление данных c разрозненных источников не даст той полноты анализа и скорости, которая нужна для подтверждения принимаемых управленческих решений и взаимодействия с инструментами автоматической реакции (например, Security Vision Incident Response Platform).

Решение интегрируется в инфраструктуру компании для круглосуточного анализа данных, поступающих как из систем защиты информации (DLP, IPS, WAF, управления инцидентами, сканеры уязвимостей и другие), так и из бизнес-приложений (АБС банка, СУБД бизнес-приложений). На основе этих данных система делает прогнозы по киберрискам организации и по произошедшим инцидентам. Система позволяет автоматизировать полный цикл управления киберрисками:

• Идентификация риска кибербезопасности;
• Анализ информации о мерах защиты;
• Ведение реестра рисков кибербезопасности;
• Моделирование возможных исходов риска кибербезопасности;
• Мониторинг и контроль уровня риска кибербезопасности.

При этом предоставляет инструмент расширенного охвата источников и предустановленных данных:

• Определение области оценки риска кибербезопасности;
• Частная модель угроз;
• Опросные листы;
• Оценка риска кибербезопасности;
• Интеграция со смежными системами;
• Планы обработки риска кибербезопасности;
• Ключевые индикаторы риска кибербезопасности;
• Экспресс-оценка риска кибербезопасности;
• Оценка рисков кибербезопасности третьих сторон.

Некоторые скриншоты системы представлены на рисунках 2-4:

Рисунок 2. Реестр угроз кибербезопасности в Security Vision Cyber Risk System (CRS)

Рисунок 3. Технические уязвимости в Security Vision Cyber Risk System (CRS)

Рисунок 4. Реестр рисков в Security Vision Cyber Risk System (CRS)

В основе системы управления киберрисками лежит конструктор сущностей, позволяющий выстраивать управление рисками в компании используя собственную методологию без привлечения разработчика. Это удобный инструмент для зрелых компаний, заботящихся о безопасности своих данных и ноу-хау.

Работа с данными в системе выстроена в нескольких представлениях. Визуально удобная отчетность-конструктор уже стала «хорошим тоном» в любой системе управления, наглядный отчет упрощает задачу коммуникации с топ-менеджментом компании.Помимо отчетности-конструктора, визуализация присутствует в виде витрины дашбордов, также построенного по принципу конструктора, с предустановленными виджетами. Предустановленные виджеты отражают визуализацию области оценки рисков во всевозможных разрезах. Это удобно, когда выбирается заданная область оценки рисков и тут же по ней выводится полная информация достаточная для принятия решений.

Финальным инструментом визуализации являются представления во встроенной ГИС системе в режиме 2D и 3D с возможными динамическими представлениями. Это удобно для операторов, наблюдающих процесс изменения в динамике. Представление дает возможность интерактивного взаимодействия оператора через ГИС систему.

Рисунок 5. Визуальное представление в Security Vision Cyber Risk System (CRS)

Рисунок 6. Дашборды в Security Vision Cyber Risk System (CRS)

Выводы

Динамика киберрисков и волна кибератак в последние годы показала, насколько бизнес зависим от ИТ-инфраструктуры. Массовость и публичность инцидентов выводит тему киберугроз в один из самых обсуждаемых вопросов экономики. В портфелях страховых брокеров появляются предложения страхования киберрисков. И топ-менеджмент флагманских компаний уже готов вникать в детали защиты от киберугроз.

Поэтому в ближайшие годы рынок систем стратегического управления киберрисками будет стремительно расти. Интеграторы уже начали реализовывать проекты по автоматизации комплексного выявления и реагирования на киберугрозы совместно с вендорами-пионерами этого направления.

Решение Security Vision Cyber Risk System уже зарекомендовало себя в проектах финансовой  отрасли в банках из списка топ-10, обеспечивая полный цикл автоматизации процесса управления киберрисками. К особенностям системы можно отнести:

• Конструктор — продукт позволяет моделировать и автоматизировать собственные методологии управления и оценки расчетов рисков, без текущей доработки со стороны разработчика.

• Объективная оценка данных — существующие смежные системы компании могут быть подключены к интеллектуальному разбору и анализу с использованием базы знаний решения.

• Мониторинг в режиме реального времени — внедренные в систему современные алгоритмы и технологии дают возможность перевести расчет рисков в разряд управляемых сервисов и контролировать состояние в режиме реального времени.

• Короткие сроки внедрения — существует как коробочное, так и проектное решение. Сроки внедрения коробочного решения позволяют получить результаты в течение месяца.

• Автоматизация — автоматическая адаптация методологий оценки рисков к собственным требованиям, международным стандартам и практикам, актуальным требованиям регуляторов, в том числе проекту положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».

• Наличие готового отечественного продукта по управлению рисками, апробированного банками из списка топ-10, — хорошее подспорье финансовому рынку в поиске решений по соответствию проекту положения Центробанка.

Источник: https://www.anti-malware.ru/practice/methods/security-vision-cyber-risk-system-crs