SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137

Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
16.02.2020

|  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


В предыдущей публикации мы описали все основные термины, используемые в стандарте NIST SP 800-30. Перейдем теперь к обзору непосредственно этапов проведения оценки рисков в соответствии с данным документом.

 

Как мы уже писали в предыдущей публикации, процесс оценки рисков разбивается на 4 шага:

  • подготовка к оценке рисков;

  • проведение оценки рисков;

  • коммуницирование результатов оценки и передача информации внутри организации;

  • поддержание достигнутых результатов.

 

Рассмотрим подробнее все задачи, выполняемые на каждом из этапов.


1. Подготовка к оценке рисков.


В рамках подготовки к оценке рисков выполняются следующие задачи:


1.1. Идентификация цели оценки рисков: какая информация ожидается в результате оценки, какие решения будут продиктованы результатом оценки.


1.2. Идентификация области (англ. scope) оценки рисков в контексте применимости к конкретной организации, временного промежутка, сведений об архитектуре и используемых технологиях


1.3. Идентификация специфичных предположений и ограничений, с учетом которых проводится оценка рисков. В рамках этой задачи определяются предположения и ограничения в таких элементах, как источники угроз, события угроз, уязвимости, предварительные условия, вероятность возникновения, негативное влияние, риск-толерантность и уровень неточности, а также выбранный способ анализа.


1.4. Идентификация источников предварительной информации, источников угроз и уязвимостей, а также информации о негативном влиянии, которая будет использоваться в оценке рисков. В этом процессе источники информации могут быть как внутренними (такими, как отчеты по инцидентам и аудитам, журналы безопасности и результаты мониторинга), так и внешними (например, отчеты CERTов, результаты исследований и прочая релевантная общедоступная информация).


1.5. Идентификация модели рисков, способа оценки рисков и подхода к анализу, которые будут использоваться в оценке рисков.

 

2. Проведение оценки рисков.


В рамках оценки рисков выполняются следующие задачи:


2.1. Идентификация и характеризация актуальных источников угроз, включая возможности, намерения и цели намеренных угроз, а также возможные эффекты от ненамеренных угроз.


2.2. Идентификация потенциальных событий угроз, релевантности этих событий, а также источников угроз, которые могут инициировать события угроз.


2.3. Идентификация уязвимостей и предварительных условий, которые влияют на вероятность того, что актуальные события угроз приведут к негативному влиянию. Ее целью является определение того, насколько рассматриваемые бизнес-процессы и информационные системы уязвимы перед идентифицированными ранее источниками угроз и насколько идентифицированные события угроз действительно могут быть инициированы этими источниками угроз.


2.4. Определение вероятности того, что актуальные события угроз приведут к негативному влиянию, с учетом характеристик источников угроз, уязвимостей и предварительных условий, а также подверженности организации этим угрозам, принимая во внимание внедренные меры защиты.


2.5. Определение негативного влияния, порожденного источниками угроз, с учетом характеристик источников угроз, уязвимостей и предварительных условий, а также подверженности организации этим угрозам, принимая во внимание внедренные меры защиты.


2.6. Определение риска от реализации актуальных событий угроз, принимая во внимание уровень негативного влияния от этих событий и вероятность наступления этих событий. В Приложении «I» к данному стандарту приведена таблица I-2 для расчета уровня риска в зависимости от уровней вероятности и негативного влияния.

 

3. Коммуницирование результатов оценки рисков и передача информации.


В рамках коммуницирования результатов оценки рисков и передачи информации выполняются следующие задачи:


3.1. Коммуницирование результатов оценки рисков лицам, принимающим решения, для реагирования на риски.


3.2. Передача заинтересованным лицам информации, касающейся рисков, выявленных в результате оценки.

 

4. Поддержание достигнутых результатов.


В рамках поддержания достигнутых результатов выполняются следующие задачи:


4.1. Проведение непрерывного мониторинга факторов риска, которые влияют на риски в операционной деятельности организации, на её активы, сотрудников, другие организации. Данной задаче посвящен стандарт NIST SP 800-137, который мы рассмотрим далее.


4.2. Актуализация оценки рисков с использованием результатов процесса непрерывного мониторинга факторов риска.


Как видим, документ NIST SP 800-30 предлагает достаточно детальный подход к моделированию угроз и расчету рисков. Ценными являются также приложения к данному стандарту, содержащие примеры расчетов по каждой из подзадач оценки рисков, а также перечни возможных источников угроз, событий угроз, уязвимостей и предварительных условий.


Перейдем теперь к обзору документа NIST SP 800-137 ”Information Security Continuous Monitoring for Federal information Systems and Organizations” («Непрерывный мониторинг информационной безопасности для федеральных информационных систем и организаций»). Вкупе с уже проанализированными ранее публикациями NIST SP 800-39, 800-37, 800-30, а также уже ранее рассмотренным NIST SP 800-53, данный документ формирует логически связанный Фреймворк управления рисками (RMF, Risk Management Framework).

 

Целью построения стратегии непрерывного мониторинга информационной безопасности является оценка эффективности мер защиты и статуса безопасности систем с целью реагирования на постоянно меняющиеся вызовы и задачи в сфере информационной безопасности. Система непрерывного мониторинга ИБ помогает предоставлять ситуационную осведомленность о состоянии безопасности информационных систем компании на основании информации, собранной из различных ресурсов (таких как активы, процессы, технологии, сотрудники), а также об имеющихся возможностях по реагированию на изменения ситуации. Данная система является одной из тактик в общей стратегии управления рисками.

 

Как и прочие документы серии SP, в данной публикации приведен рекомендуемый процессный подход к выстраиванию системы мониторинга ИБ, состоящий из:

  • определения стратегии непрерывного мониторинга ИБ (включает в себя выстраивание стратегии на уровне организации, бизнес-процессов и информационных систем; назначение ролей и ответственных; выбор тестового набора систем для сбора данных);

  • разработки программы непрерывного мониторинга ИБ (включает в себя определение метрик для оценки и контроля; выбор частоты проведения мониторинга и оценки; разработку архитектуры системы мониторинга);

  • внедрения программы непрерывного мониторинга ИБ;

  • анализа найденных недочетов и отчета о них (включает в себя анализ данных; отчетность по оценке мер защиты; отчетность по мониторингу статуса защиты);

  • реагирование на выявленные недочеты;

  • пересмотр и обновление стратегии и программы непрерывного мониторинга ИБ.

 

В документе также даются следующие рекомендации по выбору инструментов обеспечения непрерывного мониторинга ИБ:

  • поддержка ими большого количества источников данных;

  • использование открытых и общедоступных спецификаций (например, SCAP - Security Content Automation Protocol);

  • интеграция с другим ПО, таким как системы Help Desk, системы управления инвентаризацией и конфигурациями, системами реагирования на инциденты;

  • поддержка процесса анализа соответствия применимым законодательным нормам;

  • гибкий процесс создания отчетов, возможность «проваливаться» (англ. drill-down) в глубину рассматриваемых данных;

  • поддержка систем Security Information and Event Management (SIEM) и систем визуализации данных.

Угрозы ИБ Киберриски (Cyber Risk, CRS) Управление ИБ Подкасты ИБ ГОСТы и документы ИБ Стандарты ИБ NIST

Рекомендуем

Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Динамические плейбуки
Динамические плейбуки
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика

Рекомендуем

Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Динамические плейбуки
Динамические плейбуки
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика

Похожие статьи

Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обзор Баз данных угроз
Обзор Баз данных угроз
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Тестирование на проникновение
Тестирование на проникновение
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн

Похожие статьи

Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обзор Баз данных угроз
Обзор Баз данных угроз
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Тестирование на проникновение
Тестирование на проникновение
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн