SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137

Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
16.02.2020

|  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


В предыдущей публикации мы описали все основные термины, используемые в стандарте NIST SP 800-30. Перейдем теперь к обзору непосредственно этапов проведения оценки рисков в соответствии с данным документом.

 

Как мы уже писали в предыдущей публикации, процесс оценки рисков разбивается на 4 шага:

  • подготовка к оценке рисков;

  • проведение оценки рисков;

  • коммуницирование результатов оценки и передача информации внутри организации;

  • поддержание достигнутых результатов.

 

Рассмотрим подробнее все задачи, выполняемые на каждом из этапов.


1. Подготовка к оценке рисков.


В рамках подготовки к оценке рисков выполняются следующие задачи:


1.1. Идентификация цели оценки рисков: какая информация ожидается в результате оценки, какие решения будут продиктованы результатом оценки.


1.2. Идентификация области (англ. scope) оценки рисков в контексте применимости к конкретной организации, временного промежутка, сведений об архитектуре и используемых технологиях


1.3. Идентификация специфичных предположений и ограничений, с учетом которых проводится оценка рисков. В рамках этой задачи определяются предположения и ограничения в таких элементах, как источники угроз, события угроз, уязвимости, предварительные условия, вероятность возникновения, негативное влияние, риск-толерантность и уровень неточности, а также выбранный способ анализа.


1.4. Идентификация источников предварительной информации, источников угроз и уязвимостей, а также информации о негативном влиянии, которая будет использоваться в оценке рисков. В этом процессе источники информации могут быть как внутренними (такими, как отчеты по инцидентам и аудитам, журналы безопасности и результаты мониторинга), так и внешними (например, отчеты CERTов, результаты исследований и прочая релевантная общедоступная информация).


1.5. Идентификация модели рисков, способа оценки рисков и подхода к анализу, которые будут использоваться в оценке рисков.

 

2. Проведение оценки рисков.


В рамках оценки рисков выполняются следующие задачи:


2.1. Идентификация и характеризация актуальных источников угроз, включая возможности, намерения и цели намеренных угроз, а также возможные эффекты от ненамеренных угроз.


2.2. Идентификация потенциальных событий угроз, релевантности этих событий, а также источников угроз, которые могут инициировать события угроз.


2.3. Идентификация уязвимостей и предварительных условий, которые влияют на вероятность того, что актуальные события угроз приведут к негативному влиянию. Ее целью является определение того, насколько рассматриваемые бизнес-процессы и информационные системы уязвимы перед идентифицированными ранее источниками угроз и насколько идентифицированные события угроз действительно могут быть инициированы этими источниками угроз.


2.4. Определение вероятности того, что актуальные события угроз приведут к негативному влиянию, с учетом характеристик источников угроз, уязвимостей и предварительных условий, а также подверженности организации этим угрозам, принимая во внимание внедренные меры защиты.


2.5. Определение негативного влияния, порожденного источниками угроз, с учетом характеристик источников угроз, уязвимостей и предварительных условий, а также подверженности организации этим угрозам, принимая во внимание внедренные меры защиты.


2.6. Определение риска от реализации актуальных событий угроз, принимая во внимание уровень негативного влияния от этих событий и вероятность наступления этих событий. В Приложении «I» к данному стандарту приведена таблица I-2 для расчета уровня риска в зависимости от уровней вероятности и негативного влияния.

 

3. Коммуницирование результатов оценки рисков и передача информации.


В рамках коммуницирования результатов оценки рисков и передачи информации выполняются следующие задачи:


3.1. Коммуницирование результатов оценки рисков лицам, принимающим решения, для реагирования на риски.


3.2. Передача заинтересованным лицам информации, касающейся рисков, выявленных в результате оценки.

 

4. Поддержание достигнутых результатов.


В рамках поддержания достигнутых результатов выполняются следующие задачи:


4.1. Проведение непрерывного мониторинга факторов риска, которые влияют на риски в операционной деятельности организации, на её активы, сотрудников, другие организации. Данной задаче посвящен стандарт NIST SP 800-137, который мы рассмотрим далее.


4.2. Актуализация оценки рисков с использованием результатов процесса непрерывного мониторинга факторов риска.


Как видим, документ NIST SP 800-30 предлагает достаточно детальный подход к моделированию угроз и расчету рисков. Ценными являются также приложения к данному стандарту, содержащие примеры расчетов по каждой из подзадач оценки рисков, а также перечни возможных источников угроз, событий угроз, уязвимостей и предварительных условий.


Перейдем теперь к обзору документа NIST SP 800-137 ”Information Security Continuous Monitoring for Federal information Systems and Organizations” («Непрерывный мониторинг информационной безопасности для федеральных информационных систем и организаций»). Вкупе с уже проанализированными ранее публикациями NIST SP 800-39, 800-37, 800-30, а также уже ранее рассмотренным NIST SP 800-53, данный документ формирует логически связанный Фреймворк управления рисками (RMF, Risk Management Framework).

 

Целью построения стратегии непрерывного мониторинга информационной безопасности является оценка эффективности мер защиты и статуса безопасности систем с целью реагирования на постоянно меняющиеся вызовы и задачи в сфере информационной безопасности. Система непрерывного мониторинга ИБ помогает предоставлять ситуационную осведомленность о состоянии безопасности информационных систем компании на основании информации, собранной из различных ресурсов (таких как активы, процессы, технологии, сотрудники), а также об имеющихся возможностях по реагированию на изменения ситуации. Данная система является одной из тактик в общей стратегии управления рисками.

 

Как и прочие документы серии SP, в данной публикации приведен рекомендуемый процессный подход к выстраиванию системы мониторинга ИБ, состоящий из:

  • определения стратегии непрерывного мониторинга ИБ (включает в себя выстраивание стратегии на уровне организации, бизнес-процессов и информационных систем; назначение ролей и ответственных; выбор тестового набора систем для сбора данных);

  • разработки программы непрерывного мониторинга ИБ (включает в себя определение метрик для оценки и контроля; выбор частоты проведения мониторинга и оценки; разработку архитектуры системы мониторинга);

  • внедрения программы непрерывного мониторинга ИБ;

  • анализа найденных недочетов и отчета о них (включает в себя анализ данных; отчетность по оценке мер защиты; отчетность по мониторингу статуса защиты);

  • реагирование на выявленные недочеты;

  • пересмотр и обновление стратегии и программы непрерывного мониторинга ИБ.

 

В документе также даются следующие рекомендации по выбору инструментов обеспечения непрерывного мониторинга ИБ:

  • поддержка ими большого количества источников данных;

  • использование открытых и общедоступных спецификаций (например, SCAP - Security Content Automation Protocol);

  • интеграция с другим ПО, таким как системы Help Desk, системы управления инвентаризацией и конфигурациями, системами реагирования на инциденты;

  • поддержка процесса анализа соответствия применимым законодательным нормам;

  • гибкий процесс создания отчетов, возможность «проваливаться» (англ. drill-down) в глубину рассматриваемых данных;

  • поддержка систем Security Information and Event Management (SIEM) и систем визуализации данных.

Угрозы ИБ Киберриски (Cyber Risk, CRS) Управление ИБ Подкасты ИБ ГОСТы и документы ИБ Стандарты ИБ NIST

Рекомендуем

Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных

Рекомендуем

Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
TIP и TI (Threat Intelligence или Киберразведка), что это такое
TIP и TI (Threat Intelligence или Киберразведка), что это такое
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных

Похожие статьи

Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1

Похожие статьи

Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1