Чтобы перевести кибербезопасность в управляемый бизнес-процесс, необходимо обеспечить автоматизацию такого базового процесса, как управление рисками. Задача амбициозная, если мы говорим о реальной практической автоматизации, в которую входит регулярная идентификация новых рисков, анализ «темных зон» на стыке отдельных решений защиты, учет применяемых мер защиты, ведение реестра и контроль уровня рисков кибербезопасности с инструментом моделирования возможных исходов, визуализацию комплексного состояния информационной безопасности и четкие показатели эффективности систем безопасности. Решение Security Vision Cyber Risk System станет удобным инструментом для решения этой задачи.
Введение
Согласно ежегодному отчету Всемирного экономического форума The Global Risks Report, кибератаки впервые вошли в топ-3 наиболее вероятных и значимых угроз мира. Кроме этого, в списке 2018 года впервые появились и другие киберриски — кража данных, зависимость от ИТ-технологий и разрывы в критически важной информационной инфраструктуре.
Рисунок 1. Карта глобальных рисков 2018 года
Киберриск – это любой риск финансовых потерь, организационных сбоев или ущерба репутации, связанный с каким-либо инцидентом в ИТ-инфраструктуре. Разделение зон ответственности ИБ и бизнеса в итоге приводит к тому, что ИБ-специалист ищет, «кто виноват» в уже случившихся инцидентах. Поскольку сегодня все ключевые бизнес-процессы завязаны на целостности ИТ-инфраструктуры, защита от киберугроз становится вопросом уровня топ-менеджмента. Поэтому для сохранения скорости бизнеса необходимо объединять системы управления бизнесом и информационными ресурсами с системами безопасности. Интеграция всех ключевых процессов бизнеса выводит систему управления киберрисками на новый уровень с повышенными требованиями к скорости реакции.
Как составить стратегию управления киберрисками
Стратегия кибербезопасности — это нечто большее, чем реализация контрольного списка требований. Модель угроз информационной безопасности включает в себя три направления — технологии, процессы, кадры. Но на стыке этих направлений появляются скрытые угрозы — темная зона для систем безопасности, специализирующихся на том или ином виде угроз.
Полноценная система менеджмента киберугроз должна иметь инструменты автоматической реакции и предусматривать сценарии реагирования на любые потенциальные риски на всех уровнях процессов компании. А чтобы понимать, куда наносить точечные удары, необходимо иметь информацию о текущем состоянии рисков в режиме реального времени. Управление рисками — основа системы защиты от киберугроз в компании, и для ее работы необходимо убедиться, что она вписывается в структуру управления компанией.
Поэтому для управления киберрисками на стратегическом уровне важно прояснить следующие вопросы:
1. Насколько сильно бизнес завязан на цифровой инфраструктуре? Каков уровень влияния киберугроз для вашей компании? Как эти риски можно идентифицировать?
Регулярное обсуждение вопросов управления киберрисками с руководителями бизнес-подразделений повышает уровень поддержки руководства. При должной поддержке руководства становится возможным перевести процесс идентификации рисков в область автоматизированных. В этом случае «белые пятна» перестают быть больной мозолью. На первом этапе важно подключить справочники с базой активов компании, критичные бизнес-процессы, общий справочник рисков и др. справочники и данные компании, позволяющие автоматизировать идентификацию.
2. Какие угрозы актуальны для вашей компании?
Комплексная программа кибербезопасности должна обеспечивать соответствие отраслевым стандартам и требованиям регуляторов. В первую очередь это касается банковской сферы. Анализ, объединение и интеграция данных о рисках из различных источников и участие в обмене информацией об угрозах с партнерами помогает организациям быстро выявлять и реагировать на инциденты. На этапе формирования модели угроз важно обеспечить входными данными и справочниками систему. Это как общедоступные и применимые к вам базы данных угроз, так и TI-платформы. На базе реестра угроз и применимого потенциала нарушителя мы строим частную модель угроз.
3. Не забываем про уязвимости.
Параллельно с этим подтягиваем данные по техническим и организационным уязвимостям оцениваемых активов из области применения.
4. Насколько эффективны и как влияют на риски применяемые средства и меры защиты?
Не секрет, что внедренные средства и меры защиты влияют на расчет рисков, тем более автоматический. Их эффективность зависит напрямую от должного уровня внедрения и использования по назначению. Меры защиты и их влияние учитывается с учетом выявленных уязвимостей.
5. А что было раньше с данными активами?
Важным элементом в расчетах риска является информация об инцидентах случавшихся ранее применительно к активам из области оценки и оцениваемым активам. Правильно выстроенные алгоритмы обработки обеспечивают моментальную реакцию на инциденты и, таким образом, снижают вероятные потери от них. Кроме того, управление жизненным циклом инцидентов информационной безопасности определено в таких стандартах как СТО БР ИББС, ГОСТ Р ИСО/МЭК 18044-2007 или ISO 27000, и само по себе является хорошей практикой при внедрении комплексной системы управления информационной безопасностью.
6. Без математики нельзя.
Все собранные данные и расчеты используются для многомерной оценки количественных рисков кибербезопасности. Качественная оценка происходит на базе опросных листов и оценок экспертов.
7. А для кого делаем расчеты?
Ключевые индикаторы риска как основа мониторинга и контроля уровня риска кибербезопасности. Обязательно требует внимания.
8. А для чего делаем?
Всегда не будет допустимого уровня риска, поэтому важна стратегия снижения риска кибербезопасности. Она базируется на разработке плана обработки рисков и практического моделирования возможных исходов рисков. Без автоматизации этих частей процесс будет давать сбои.
9. Наглядность и прозрачность.
Для принятия эффективных управленческих решений и понимания уровня защищенности компании важна наглядность и прозрачность. Как следствие, визуальные инструменты оцифровки данных по информационной безопасности. Информационная безопасность всегда испытывала потребность в наглядности, что говорить про еще менее наглядный процесс — управление рисками кибербезопасности. Наглядное его отображение в реальном времени значительно поможет в понимании стратегии по кибербезопасности компании.
Автоматизация управления киберрисками с помощью Security Vision Cyber Risk System (CRS)
На российском рынке только начали появляться решения для автоматизации процессов управления киберрисками, и одно из них — Security Vision Cyber Risk System (CRS) от компании «Интеллектуальная безопасность».
Производитель Security Vision целенаправленно выделил управление киберрисками в отдельный продукт, понимая фундаментальную роль процесса в информационной безопасности. Анализ данных при расчете становится математически насыщенным и использует в качестве входных данных множество реестров и справочников, оценки по косвенным признакам случавшихся инцидентов, объединяя это в единый инструмент Cyber Risk System. Очевидно, что ручной анализ и сопоставление данных c разрозненных источников не даст той полноты анализа и скорости, которая нужна для подтверждения принимаемых управленческих решений и взаимодействия с инструментами автоматической реакции (например, Security Vision Incident Response Platform).
Решение интегрируется в инфраструктуру компании для круглосуточного анализа данных, поступающих как из систем защиты информации (DLP, IPS, WAF, управления инцидентами, сканеры уязвимостей и другие), так и из бизнес-приложений (АБС банка, СУБД бизнес-приложений). На основе этих данных система делает прогнозы по киберрискам организации и по произошедшим инцидентам.
Система позволяет автоматизировать полный цикл управления киберрисками:
- Идентификация риска кибербезопасности;
- Анализ информации о мерах защиты;
- Ведение реестра рисков кибербезопасности;
- Моделирование возможных исходов риска кибербезопасности;
- Мониторинг и контроль уровня риска кибербезопасности.
При этом предоставляет инструмент расширенного охвата источников и предустановленных данных:
- Определение области оценки риска кибербезопасности;
- Частная модель угроз;
- Опросные листы;
- Оценка риска кибербезопасности;
- Интеграция со смежными системами;
- Планы обработки риска кибербезопасности;
- Ключевые индикаторы риска кибербезопасности;
- Экспресс-оценка риска кибербезопасности;
- Оценка рисков кибербезопасности третьих сторон.
Некоторые скриншоты системы представлены на рисунках 2-4:
Рисунок 2. Реестр угроз кибербезопасности в Security Vision Cyber Risk System (CRS)
Рисунок 3. Технические уязвимости в Security Vision Cyber Risk System (CRS)
Рисунок 4. Реестр рисков в Security Vision Cyber Risk System (CRS)
В основе системы управления киберрисками лежит конструктор сущностей, позволяющий выстраивать управление рисками в компании используя собственную методологию без привлечения разработчика. Это удобный инструмент для зрелых компаний, заботящихся о безопасности своих данных и ноу-хау.
Работа с данными в системе выстроена в нескольких представлениях. Визуально удобная отчетность-конструктор уже стала «хорошим тоном» в любой системе управления, наглядный отчет упрощает задачу коммуникации с топ-менеджментом компании.Помимо отчетности-конструктора, визуализация присутствует в виде витрины дашбордов, также построенного по принципу конструктора, с предустановленными виджетами. Предустановленные виджеты отражают визуализацию области оценки рисков во всевозможных разрезах. Это удобно, когда выбирается заданная область оценки рисков и тут же по ней выводится полная информация достаточная для принятия решений.
Финальным инструментом визуализации являются представления во встроенной ГИС системе в режиме 2D и 3D с возможными динамическими представлениями. Это удобно для операторов, наблюдающих процесс изменения в динамике. Представление дает возможность интерактивного взаимодействия оператора через ГИС систему.
Рисунок 5. Визуальное представление в Security Vision Cyber Risk System (CRS)
Рисунок 6. Дашборды в Security Vision Cyber Risk System (CRS)
Выводы
Динамика киберрисков и волна кибератак в последние годы показала, насколько бизнес зависим от ИТ-инфраструктуры. Массовость и публичность инцидентов выводит тему киберугроз в один из самых обсуждаемых вопросов экономики. В портфелях страховых брокеров появляются предложения страхования киберрисков. И топ-менеджмент флагманских компаний уже готов вникать в детали защиты от киберугроз.
Поэтому в ближайшие годы рынок систем стратегического управления киберрисками будет стремительно расти. Интеграторы уже начали реализовывать проекты по автоматизации комплексного выявления и реагирования на киберугрозы совместно с вендорами-пионерами этого направления.
Решение Security Vision Cyber Risk System уже зарекомендовало себя в проектах финансовой отрасли в банках из списка топ-10, обеспечивая полный цикл автоматизации процесса управления киберрисками.
К особенностям системы можно отнести:
- Конструктор — продукт позволяет моделировать и автоматизировать собственные методологии управления и оценки расчетов рисков, без текущей доработки со стороны разработчика.
- Объективная оценка данных — существующие смежные системы компании могут быть подключены к интеллектуальному разбору и анализу с использованием базы знаний решения.
- Мониторинг в режиме реального времени — внедренные в систему современные алгоритмы и технологии дают возможность перевести расчет рисков в разряд управляемых сервисов и контролировать состояние в режиме реального времени.
- Короткие сроки внедрения — существует как коробочное, так и проектное решение. Сроки внедрения коробочного решения позволяют получить результаты в течение месяца.
- Автоматизация — автоматическая адаптация методологий оценки рисков к собственным требованиям, международным стандартам и практикам, актуальным требованиям регуляторов, в том числе проекту положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».
- Наличие готового отечественного продукта по управлению рисками, апробированного банками из списка топ-10, — хорошее подспорье финансовому рынку в поиске решений по соответствию проекту положения Центробанка.
Источник: https://www.anti-malware.ru/practice/methods/security-vision-cyber-risk-system-crs