SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Взаимодействие ИТ и ИБ: средства защиты

Взаимодействие ИТ и ИБ: средства защиты
28.12.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Ярослав Ясенков, инженер по информационной безопасности, Отдел развития Производственного департамента Security Vision


Введение

Практика показывает, что цель достижения информационной безопасности возникает перед компаниями, достигшими определенного уровня зрелости. На пути к достижению этой зрелости увеличивается объём обрабатываемой информации, растут риски утраты или утечки такой информации. Одновременно с этим растёт и количество персонала. Расширение штата приводит к разделению целей и задач, возложенных на ответственных лиц. А там, где происходит разделение целей, неизбежно возникают конфликтные ситуации. Не становится исключением и разделение ИТ и ИБ подразделений компании.


Развитие таких конфликтных ситуаций может негативно сказаться на эффективности работы компании в целом. Поэтому важно понимать основные точки противоречий между ИТ и ИБ подразделениями и принять ряд организационных решений, способных минимизировать такие ситуации и направить работу специалистов в плодотворное русло.


Проблемы взаимодействий

Одной из основных проблем является недостаток взаимопонимания между ИТ и ИБ специалистами. Как правило, основной целью, стоящей перед ИТ подразделением, является автоматизация и повышение эффективности процессов компании. Основными приоритетами ИТ при этом являются быстрота, простота и дешевизна. И это может быть актуально как для ИТ подразделения, которое создает автоматизацию для использования внутри компании, так и для поставки заказчику. В то же время перед ИБ подразделением стоит цель снижения рисков информационной безопасности и достижения пресловутого состояния защищенности информации. Такое состояние не может быть достигнуто быстрыми, разовыми действиями, а требует плановой продолжительной организационной и технической работы. На практике это приводит, например, к тому, что ИТ подразделение может стремиться к максимально быстрой и неограниченной доступности информации, в то время как ИБ подразделение всячески «вставляет палки в колеса» путем ограничения доступа к информации.


Другой проблемой является недостаток обмена информацией между ИТ и ИБ подразделениями. ИТ отдел может не всегда предоставлять достаточную информацию о новых системах, обновлениях или изменениях в инфраструктуре, что затрудняет работу ИБ специалистов. ИБ отдел, в свою очередь, может недостаточно проинформировать ИТ отдел о новых угрозах или требованиях безопасности, что может привести к уязвимостям в информационных системах.


Наконец, финансовые ограничения могут стать еще одной проблемой между ИТ и ИБ подразделениями. ИТ отдел может считать, что улучшение безопасности требует дополнительных затрат, которые могут быть неприемлемы для компании. ИБ отдел, в свою очередь, может считать, что ИТ отдел не выделяет достаточно ресурсов на обеспечение безопасности.


Подходы к преодолению проблем

Для преодоления проблем при взаимодействии ИТ и ИБ подразделений в компании можно применить следующие подходы:


- Установление четкой коммуникации: важно создать каналы связи между ИТ и ИБ подразделениями, чтобы обеспечить регулярный обмен информацией и обсуждение вопросов безопасности. Следует организовать регулярные совещания, чтобы обсудить текущие задачи, проблемы и планы. Это поможет улучшить взаимопонимание целей и задач и согласованность в работе.


- Обучение и повышение квалификации: следует организовывать тренинги и семинары для ИТ и ИБ специалистов, при этом роль учителя по очереди может принадлежать, как ИТ подразделению, так и ИБ подразделению. Это поможет улучшить понимание друг друга и снизить конфликты, связанные с различиями в подходах и приоритетах.


- Разработка процедур и политик: компания должна разработать единые процедуры и политики, которые учитывают как потребности ИТ, так и ИБ подразделений. Например, можно создать процедуры для обмена информацией о новых системах и изменениях в инфраструктуре, а также политики безопасности, которые устанавливают требования и меры защиты данных.


- Участие руководства: руководство компании должно активно участвовать в урегулировании конфликтов и поддержке сотрудничества между ИТ и ИБ подразделениями, а также выполнять роль посредника при разногласиях и принимать решения, которые учитывают, как потребности безопасности, так и эффективности работы.


- Выделение достаточных ресурсов: компания должна обеспечить достаточные финансовые и человеческие ресурсы для обеспечения безопасности информации. Это может включать найм специалистов по информационной безопасности, приобретение необходимого оборудования и программного обеспечения, а также проведение аудитов и тестирований безопасности.


Также не стоит забывать и про то, что совместное использование средств защиты ИТ и ИБ подразделениями, может предоставить ряд преимуществ и пользы для обеих сторон, а также повысить эффективность рабочих процессов.


Как работают со средствами защиты в ИТ

Сведения о результатах работы межсетевых экранов, прокси, систем обнаружения вторжений и других средств, которые позволяют контролировать сетевую активность и обнаруживать аномалии или подозрительное поведение помогут ИТ подразделению лучше понимать актуальный ландшафт угроз, и проектировать и настраивать инфраструктуру оптимальным образом.


Использование сканеров уязвимостей позволит найти слабые места в ИТ-инфраструктуре и быстро получить рекомендации по их устранению. Анализаторы коды позволят на ранних этапах разработки выявить недостатки в разрабатываемом ПО и принять меры для их устранения, что позволит оптимизировать затраты на разработку.


Использование средств контроля доступа позволит защитить данные от несанкционированного доступа и изменений. Это особенно важно для ИТ подразделения, которое отвечает за хранение и обработку большого объема информации.


Применение средств класса GRC позволит повысить эффективность как ИБ, так и ИТ подразделений. Поможет автоматизировать и обеспечить процессы соблюдения требований информационной безопасности.


Системы класса SIEM, основной функцией которых является анализ и корреляция событий, могут быть использованы ИТ подразделением для осуществления мониторинга доступности информационных систем. В случае выхода из строя или незапланированного отключения источника событий SIEM сможет проинформировать администраторов о произошедшем сбое. Правила корреляции SIEM также могут помочь в мониторинге информационных систем, поскольку могут выявлять разного рода отклонения в штатном потоке событий.


Другим примером системы, которая может быть одинаково полезна ИТ и ИБ подразделению является IDM. IDM позволяют централизованно управлять доступом пользователей к различным ИТ ресурсам, а также автоматизируют процессы управления доступом, такие как создание, изменение прав доступа, удаление и блокирование учетных записей пользователей. Это, с одной стороны, позволяет сократить время и ресурсы, затрачиваемые ИТ подразделением на управление учетными записями, а с другой стороны позволяет ИБ подразделению реализовать контроль над процессами предоставления доступа к информационным ресурсам и обеспечить соответствие нормативным требованиям.


Средства защиты информации являются основным источником сведений о происходящих в инфраструктуре инцидентах. Но для результативного обеспечения информационной безопасности важно также уделять внимание коммуникации между ИБ и ИТ подразделением. По результатам расследования инцидентов специалисты ИБ накапливают знания о недостатках существующей информационной инфраструктуры, о способах усиления её защищенности для устранения возможности повторения подобных инцидентов в будущем. Поэтому крайне важно обеспечить передачу таких знаний ИТ подразделению.

 

Выводы

В целом, совместное использование средств защиты информации ИБ и ИТ подразделениями, а также их эффективное взаимодействие помогут повысить безопасность и надежность информационных систем компании, ускорить выявление и реагирование на инциденты информационной безопасности, выполнить нормативные требования в области информационной безопасности, и в конечном счете снизить использование ресурсов, включая финансовые бюджеты, персонал и инфраструктуру, а также приведет к оптимизации процессов работы компании, улучшению производительности и снижению времени простоя систем.

СЗИ SIEM SGRC Практика ИБ Подкасты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только