SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37

Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
26.01.2020

  |  Слушать на Apple Podcasts  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   Слушать на Castbox  |   Слушать на Podcast Addict  |   Слушать на Pocket cast  |  

Руслан Рахметов, Security Vision

В предыдущей публикации мы говорили о стандарте NIST SP 800-39, который является основным и самым высокоуровневым из серии документов фреймворка управления рисками (Risk Management Framework). В текущей публикации перейдем к документу NIST SP 800-37 ”Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy” («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»). 

Актуальный документ имеет ревизию №2 и был обновлен в декабре 2018 с тем, чтобы учесть современный ландшафт угроз и акцентировать внимание на важности управления рисками на уровне руководителей компаний, подчеркнуть связь между фреймворком управления рисками (Risk Management Framework, RMF) и фреймворка кибербезопасности (Cybersecurity Framework, CSF), указать на важность интеграции процессов управления конфиденциальностью (англ. privacy) и управления рисками цепочек поставок (англ. supply chain risk management, SCRM), а также логически увязать список предлагаемых мер защиты (контролей, англ. controls) с документом NIST SP 800-53. Кроме этого, выполнение положений NIST SP 800-37 можно использовать при необходимости провести взаимную оценку процедур риск-менеджмента компаний в случаях, когда этим компаниям требуется обмениваться данными или ресурсами. По аналогии с NIST SP 800-39, рассматривается управление рисками на уровнях организации, миссии, информационных систем.

В NIST SP 800-37 указано, что Risk Management Framework в целом указывает на важность разработки и внедрения возможностей по обеспечению безопасности и конфиденциальности в ИТ-системах на протяжении всего жизненного цикла (англ. system development life cycle, SDLC), непрерывной поддержки ситуационной осведомленности о состоянии защиты ИТ-систем с применением процессов непрерывного мониторинга (continuous monitoring, CM) и предоставления информации руководству для принятия взвешенных риск-ориентированных решений. В RMF выделены следующие типы рисков: программный риск, риск несоответствия законодательству, финансовый риск, юридический риск, бизнес-риск, политический риск, риск безопасности и конфиденциальности (включая риск цепочки поставок), проектный риск, репутационный риск, риск безопасности жизнедеятельности, риск стратегического планирования.

Кроме этого, Risk Management Framework:

  • предоставляет повторяемый процесс для риск-ориентированной защиты информации и информационных систем;

  • подчеркивает важность подготовительных мероприятий для управления безопасностью и конфиденциальностью;

  • обеспечивает категоризацию информации и информационных систем, а также выбора, внедрения, оценки и мониторинга средств защиты;

  • предлагает использовать средства автоматизации для управления рисками и мерами защиты в режиме, близком к реальному времени, а также актуальные временные метрики для предоставления информации руководству для принятия решений;

  • связывает процессы риск-менеджмента на различных уровнях и указывает на важность выбора ответственных за приятие защитных мер.

В документе указаны 7 этапов применения RMF:

  1. подготовка, т.е. определение целей и их приоритизация с точки зрения организации и ИТ-систем;

  2. категоризация систем и информации на основе анализа возможного негативного влияния от потери информации (кроме негативного влияния, NIST SP 800-30 также указывает еще 3 фактора риска, учитываемых при проведении оценки риска: угрозы, уязвимости, вероятность события);

  3. выбор базового набора мер защиты и их уточнение (адаптация) для снижения риска до приемлемого уровня на основе оценки риска;

  4. внедрение мер защиты и описание того, как именно применяются меры защиты;

  5. оценка внедренных мер защиты для определения корректности их применения, работоспособности и продуцирования ими результатов, удовлетворяющих требованиям безопасности и конфиденциальности;

  6. авторизация систем или мер защиты на основе заключения о приемлемости рисков;

  7. непрерывный мониторинг систем и примененных мер защиты для оценки эффективности примененных мер, документирования изменений, проведения оценки рисков и анализа негативного влияния, создания отчетности по состоянию безопасности и конфиденциальности.

Далее в публикации NIST SP 800-37 перечисляются задачи, которые следует выполнить на каждом из этапов применения RMF. Для каждой из задач указывается название задачи (контроля), перечисляются входные и выходные (результирующие) данные процесса с привязкой к категориям соответствующих контролей CSF, указывается список ответственных и вспомогательных ролей, дополнительное описание задачи, а также при необходимости даются ссылки на связанные документы NIST.

Перечислим далее задачи для каждого из этапов применения RMF.

Задачи этапа «Подготовка» на уровне организации включают в себя:

  • определение ролей для управления рисками;

  • создание стратегии управления рисками, с учетом риск-толерантности организации;

  • проведение оценки рисков;

  • выбор целевых значений мер защиты и/или профилей из документа Cybersecurity Framework;

  • определение для ИТ-систем общих мер защиты, которые могут быть унаследованы с более высоких уровней (например, с уровня организации или бизнес-процессов)

  • приоритизация ИТ-систем;

  • разработка и внедрение стратегии непрерывного мониторинга эффективности мер защиты.

Задачи этапа «Подготовка» на уровне ИТ-систем включают в себя:

  • определение бизнес-функций и процессов, которые поддерживает каждая ИТ-система;

  • идентификация лиц (стейкхолдеров), заинтересованных в создании, внедрении, оценке, функционировании, поддержке, выводе из эксплуатации систем;

  • определение активов, требующих защиты;

  • определение границы авторизации для системы;

  • выявление типов информации, обрабатываемых/передаваемых/хранимых в системе;

  • идентификация и анализ жизненного цикла всех типов информации, обрабатываемых/передаваемых/хранимых в системе;

  • проведение оценки рисков на уровне ИТ-систем и обновление списка результатов оценки;

  • определение требований по безопасности и конфиденциальности для систем и сред функционирования;

  • определение местоположения систем в общей архитектуре компании;

  • распределение точек применения требований по безопасности и конфиденциальности для систем и сред функционирования;

  • формальная регистрация ИТ-систем в соответствующих департаментах и документах.

Задачи этапа «Категоризация» включают в себя:

  • документирование характеристик системы;

  • категоризация системы и документирование результатов категоризации по требованиям безопасности;

  • пересмотр и согласование результатов и решений по категоризации по требованиям безопасности.

Задачи этапа «Выбор набора мер защиты» включают в себя:

  • выбор мер защиты для системы и среды её функционирования;

  • уточнение (адаптация) выбранных мер защиты для системы и среды её функционирования;

  • распределение точек применения мер обеспечения безопасности и конфиденциальности к системе и среде её функционирования;

  • документирование запланированных мер обеспечения безопасности и конфиденциальности системы и среды её функционирования в соответствующих планах;

  • создание и внедрение стратегии мониторинга эффективности применяемых мер защиты, которая логически связана и дополняет общую организационную стратегию мониторинга;

  • пересмотр и согласование планов обеспечения безопасности и конфиденциальности для систем и среды её функционирования.

Задачи этапа «Внедрение мер защиты» включают в себя:

  • внедрение мер защиты в соответствии с планами обеспечения безопасности и конфиденциальности;

  • документирование изменений в запланированные меры защиты постфактум, на основании реального результата внедрения.

Задачи этапа «Оценка внедренных мер защиты» включают в себя:

  • выбор оценщика или команды по оценке, соответствующих типу проводимой оценки;

  • разработка, пересмотр и согласование планов по оценке внедренных мер защиты;

  • проведение оценки мер защиты в соответствии с процедурами оценки, описанными в планах оценки;

  • подготовка отчетов по оценке, содержащих найденные недочеты и рекомендации по их устранению;

  • выполнение корректирующих действий с мерами защиты и переоценка откорректированных мер;

  • подготовка плана действий на основании найденных недочетов и рекомендации из отчетов по оценке.

Задачи этапа «Авторизация» включают в себя:

  • сбор авторизационного пакета документов и отправка его ответственному лицу на авторизацию;

  • анализ и определение риска использования системы или применения мер защиты;

  • определение и внедрение предпочтительного плана действий при реагировании на выявленный риск;

  • определение приемлемости риска использования системы или применения мер защиты;

  • сообщение о результатах авторизации и о любом недостатке мер защиты, представляющем значительный риск для безопасности или конфиденциальности.

Задачи этапа «Непрерывный мониторинг» включают в себя:

  • мониторинг информационной системы и её среды функционирования на наличие изменений которые влияют на состояние безопасности и конфиденциальности системы;

  • оценка мер защиты в соответствии со стратегией непрерывного мониторинга;

  • реагирование на риск на основе результатов непрерывного мониторинга, оценок риска, плана действий;

  • обновление планов, отчетов по оценке, планов действий на основании результатов непрерывного мониторинга;

  • сообщение о состоянии безопасности и конфиденциальности системы соответствующему должностному лицу в соответствии со стратегией непрерывного мониторинга;

  • пересмотр состояния безопасности и конфиденциальности системы для определения приемлемости риска;

  • разработка стратегии вывода системы из эксплуатации и выполнение соответствующих действий при окончании её службы.



NIST Киберриски (Cyber Risk, CRS) Подкасты ИБ Стандарты ИБ

Рекомендуем

Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (ISO 27000)
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Статический анализ исходного кода
Статический анализ исходного кода
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
SGRC по закону. Финансы
SGRC по закону. Финансы
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры

Рекомендуем

Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Модуль «Управление уязвимостями» на платформе Security Vision
Модуль «Управление уязвимостями» на платформе Security Vision
Управление информационной безопасностью (ISO 27000)
Управление информационной безопасностью (ISO 27000)
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Статический анализ исходного кода
Статический анализ исходного кода
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
SGRC по закону. Финансы
SGRC по закону. Финансы
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Модуль «Управление активами и инвентаризация» на платформе Security Vision: еще больше возможностей
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 7. Обзор российского законодательства в области защиты критической информационной инфраструктуры

Похожие статьи

Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Динамический анализ исходного кода
Динамический анализ исходного кода
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?

Похожие статьи

Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Защита веб-приложений: анти-DDoS
Защита веб-приложений: анти-DDoS
Динамический анализ исходного кода
Динамический анализ исходного кода
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?