SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37

Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
26.01.2020

  |  Слушать на Apple Podcasts  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   Слушать на Castbox  |   Слушать на Podcast Addict  |   Слушать на Pocket cast  |  


Руслан Рахметов, Security Vision


В предыдущей публикации мы говорили о стандарте NIST SP 800-39, который является основным и самым высокоуровневым из серии документов фреймворка управления рисками (Risk Management Framework). В текущей публикации перейдем к документу NIST SP 800-37 ”Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy” («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»). 


Актуальный документ имеет ревизию №2 и был обновлен в декабре 2018 с тем, чтобы учесть современный ландшафт угроз и акцентировать внимание на важности управления рисками на уровне руководителей компаний, подчеркнуть связь между фреймворком управления рисками (Risk Management Framework, RMF) и фреймворка кибербезопасности (Cybersecurity Framework, CSF), указать на важность интеграции процессов управления конфиденциальностью (англ. privacy) и управления рисками цепочек поставок (англ. supply chain risk management, SCRM), а также логически увязать список предлагаемых мер защиты (контролей, англ. controls) с документом NIST SP 800-53. Кроме этого, выполнение положений NIST SP 800-37 можно использовать при необходимости провести взаимную оценку процедур риск-менеджмента компаний в случаях, когда этим компаниям требуется обмениваться данными или ресурсами. По аналогии с NIST SP 800-39, рассматривается управление рисками на уровнях организации, миссии, информационных систем.


В NIST SP 800-37 указано, что Risk Management Framework в целом указывает на важность разработки и внедрения возможностей по обеспечению безопасности и конфиденциальности в ИТ-системах на протяжении всего жизненного цикла (англ. system development life cycle, SDLC), непрерывной поддержки ситуационной осведомленности о состоянии защиты ИТ-систем с применением процессов непрерывного мониторинга (continuous monitoring, CM) и предоставления информации руководству для принятия взвешенных риск-ориентированных решений. В RMF выделены следующие типы рисков: программный риск, риск несоответствия законодательству, финансовый риск, юридический риск, бизнес-риск, политический риск, риск безопасности и конфиденциальности (включая риск цепочки поставок), проектный риск, репутационный риск, риск безопасности жизнедеятельности, риск стратегического планирования.


Кроме этого, Risk Management Framework:

  • предоставляет повторяемый процесс для риск-ориентированной защиты информации и информационных систем;

  • подчеркивает важность подготовительных мероприятий для управления безопасностью и конфиденциальностью;

  • обеспечивает категоризацию информации и информационных систем, а также выбора, внедрения, оценки и мониторинга средств защиты;

  • предлагает использовать средства автоматизации для управления рисками и мерами защиты в режиме, близком к реальному времени, а также актуальные временные метрики для предоставления информации руководству для принятия решений;

  • связывает процессы риск-менеджмента на различных уровнях и указывает на важность выбора ответственных за приятие защитных мер.


В документе указаны 7 этапов применения RMF:

  1. подготовка, т.е. определение целей и их приоритизация с точки зрения организации и ИТ-систем;

  2. категоризация систем и информации на основе анализа возможного негативного влияния от потери информации (кроме негативного влияния, NIST SP 800-30 также указывает еще 3 фактора риска, учитываемых при проведении оценки риска: угрозы, уязвимости, вероятность события);

  3. выбор базового набора мер защиты и их уточнение (адаптация) для снижения риска до приемлемого уровня на основе оценки риска;

  4. внедрение мер защиты и описание того, как именно применяются меры защиты;

  5. оценка внедренных мер защиты для определения корректности их применения, работоспособности и продуцирования ими результатов, удовлетворяющих требованиям безопасности и конфиденциальности;

  6. авторизация систем или мер защиты на основе заключения о приемлемости рисков;

  7. непрерывный мониторинг систем и примененных мер защиты для оценки эффективности примененных мер, документирования изменений, проведения оценки рисков и анализа негативного влияния, создания отчетности по состоянию безопасности и конфиденциальности.


Далее в публикации NIST SP 800-37 перечисляются задачи, которые следует выполнить на каждом из этапов применения RMF. Для каждой из задач указывается название задачи (контроля), перечисляются входные и выходные (результирующие) данные процесса с привязкой к категориям соответствующих контролей CSF, указывается список ответственных и вспомогательных ролей, дополнительное описание задачи, а также при необходимости даются ссылки на связанные документы NIST.


Перечислим далее задачи для каждого из этапов применения RMF.


Задачи этапа «Подготовка» на уровне организации включают в себя:

  • определение ролей для управления рисками;

  • создание стратегии управления рисками, с учетом риск-толерантности организации;

  • проведение оценки рисков;

  • выбор целевых значений мер защиты и/или профилей из документа Cybersecurity Framework;

  • определение для ИТ-систем общих мер защиты, которые могут быть унаследованы с более высоких уровней (например, с уровня организации или бизнес-процессов)

  • приоритизация ИТ-систем;

  • разработка и внедрение стратегии непрерывного мониторинга эффективности мер защиты.


Задачи этапа «Подготовка» на уровне ИТ-систем включают в себя:

  • определение бизнес-функций и процессов, которые поддерживает каждая ИТ-система;

  • идентификация лиц (стейкхолдеров), заинтересованных в создании, внедрении, оценке, функционировании, поддержке, выводе из эксплуатации систем;

  • определение активов, требующих защиты;

  • определение границы авторизации для системы;

  • выявление типов информации, обрабатываемых/передаваемых/хранимых в системе;

  • идентификация и анализ жизненного цикла всех типов информации, обрабатываемых/передаваемых/хранимых в системе;

  • проведение оценки рисков на уровне ИТ-систем и обновление списка результатов оценки;

  • определение требований по безопасности и конфиденциальности для систем и сред функционирования;

  • определение местоположения систем в общей архитектуре компании;

  • распределение точек применения требований по безопасности и конфиденциальности для систем и сред функционирования;

  • формальная регистрация ИТ-систем в соответствующих департаментах и документах.


Задачи этапа «Категоризация» включают в себя:

  • документирование характеристик системы;

  • категоризация системы и документирование результатов категоризации по требованиям безопасности;

  • пересмотр и согласование результатов и решений по категоризации по требованиям безопасности.


Задачи этапа «Выбор набора мер защиты» включают в себя:

  • выбор мер защиты для системы и среды её функционирования;

  • уточнение (адаптация) выбранных мер защиты для системы и среды её функционирования;

  • распределение точек применения мер обеспечения безопасности и конфиденциальности к системе и среде её функционирования;

  • документирование запланированных мер обеспечения безопасности и конфиденциальности системы и среды её функционирования в соответствующих планах;

  • создание и внедрение стратегии мониторинга эффективности применяемых мер защиты, которая логически связана и дополняет общую организационную стратегию мониторинга;

  • пересмотр и согласование планов обеспечения безопасности и конфиденциальности для систем и среды её функционирования.


Задачи этапа «Внедрение мер защиты» включают в себя:

  • внедрение мер защиты в соответствии с планами обеспечения безопасности и конфиденциальности;

  • документирование изменений в запланированные меры защиты постфактум, на основании реального результата внедрения.


Задачи этапа «Оценка внедренных мер защиты» включают в себя:

  • выбор оценщика или команды по оценке, соответствующих типу проводимой оценки;

  • разработка, пересмотр и согласование планов по оценке внедренных мер защиты;

  • проведение оценки мер защиты в соответствии с процедурами оценки, описанными в планах оценки;

  • подготовка отчетов по оценке, содержащих найденные недочеты и рекомендации по их устранению;

  • выполнение корректирующих действий с мерами защиты и переоценка откорректированных мер;

  • подготовка плана действий на основании найденных недочетов и рекомендации из отчетов по оценке.


Задачи этапа «Авторизация» включают в себя:

  • сбор авторизационного пакета документов и отправка его ответственному лицу на авторизацию;

  • анализ и определение риска использования системы или применения мер защиты;

  • определение и внедрение предпочтительного плана действий при реагировании на выявленный риск;

  • определение приемлемости риска использования системы или применения мер защиты;

  • сообщение о результатах авторизации и о любом недостатке мер защиты, представляющем значительный риск для безопасности или конфиденциальности.


Задачи этапа «Непрерывный мониторинг» включают в себя:

  • мониторинг информационной системы и её среды функционирования на наличие изменений которые влияют на состояние безопасности и конфиденциальности системы;

  • оценка мер защиты в соответствии со стратегией непрерывного мониторинга;

  • реагирование на риск на основе результатов непрерывного мониторинга, оценок риска, плана действий;

  • обновление планов, отчетов по оценке, планов действий на основании результатов непрерывного мониторинга;

  • сообщение о состоянии безопасности и конфиденциальности системы соответствующему должностному лицу в соответствии со стратегией непрерывного мониторинга;

  • пересмотр состояния безопасности и конфиденциальности системы для определения приемлемости риска;

  • разработка стратегии вывода системы из эксплуатации и выполнение соответствующих действий при окончании её службы.



NIST Киберриски (Cyber Risk, CRS) Подкасты ИБ Стандарты ИБ

Рекомендуем

Интернет вещей и его применение
Интернет вещей и его применение
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Пентесты
Пентесты
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Конфиденциальная информация
Конфиденциальная информация
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Что за зверь Security Champion?
Что за зверь Security Champion?

Рекомендуем

Интернет вещей и его применение
Интернет вещей и его применение
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Пентесты
Пентесты
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Метрики: их очарование и коварство
Метрики: их очарование и коварство
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Конфиденциальная информация
Конфиденциальная информация
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Что за зверь Security Champion?
Что за зверь Security Champion?

Похожие статьи

SCA на языке безопасника
SCA на языке безопасника
Управление мобильными устройствами
Управление мобильными устройствами
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Геймификация и управление персоналом
Геймификация и управление персоналом
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Пентесты
Пентесты
SSDL: Dev vs Sec
SSDL: Dev vs Sec

Похожие статьи

SCA на языке безопасника
SCA на языке безопасника
Управление мобильными устройствами
Управление мобильными устройствами
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Геймификация и управление персоналом
Геймификация и управление персоналом
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Пентесты
Пентесты
SSDL: Dev vs Sec
SSDL: Dev vs Sec