SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Взаимодействие ИТ и ИБ: средства защиты

Взаимодействие ИТ и ИБ: средства защиты
28.12.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Ярослав Ясенков, инженер по информационной безопасности, Отдел развития Производственного департамента Security Vision


Введение

Практика показывает, что цель достижения информационной безопасности возникает перед компаниями, достигшими определенного уровня зрелости. На пути к достижению этой зрелости увеличивается объём обрабатываемой информации, растут риски утраты или утечки такой информации. Одновременно с этим растёт и количество персонала. Расширение штата приводит к разделению целей и задач, возложенных на ответственных лиц. А там, где происходит разделение целей, неизбежно возникают конфликтные ситуации. Не становится исключением и разделение ИТ и ИБ подразделений компании.


Развитие таких конфликтных ситуаций может негативно сказаться на эффективности работы компании в целом. Поэтому важно понимать основные точки противоречий между ИТ и ИБ подразделениями и принять ряд организационных решений, способных минимизировать такие ситуации и направить работу специалистов в плодотворное русло.


Проблемы взаимодействий

Одной из основных проблем является недостаток взаимопонимания между ИТ и ИБ специалистами. Как правило, основной целью, стоящей перед ИТ подразделением, является автоматизация и повышение эффективности процессов компании. Основными приоритетами ИТ при этом являются быстрота, простота и дешевизна. И это может быть актуально как для ИТ подразделения, которое создает автоматизацию для использования внутри компании, так и для поставки заказчику. В то же время перед ИБ подразделением стоит цель снижения рисков информационной безопасности и достижения пресловутого состояния защищенности информации. Такое состояние не может быть достигнуто быстрыми, разовыми действиями, а требует плановой продолжительной организационной и технической работы. На практике это приводит, например, к тому, что ИТ подразделение может стремиться к максимально быстрой и неограниченной доступности информации, в то время как ИБ подразделение всячески «вставляет палки в колеса» путем ограничения доступа к информации.


Другой проблемой является недостаток обмена информацией между ИТ и ИБ подразделениями. ИТ отдел может не всегда предоставлять достаточную информацию о новых системах, обновлениях или изменениях в инфраструктуре, что затрудняет работу ИБ специалистов. ИБ отдел, в свою очередь, может недостаточно проинформировать ИТ отдел о новых угрозах или требованиях безопасности, что может привести к уязвимостям в информационных системах.


Наконец, финансовые ограничения могут стать еще одной проблемой между ИТ и ИБ подразделениями. ИТ отдел может считать, что улучшение безопасности требует дополнительных затрат, которые могут быть неприемлемы для компании. ИБ отдел, в свою очередь, может считать, что ИТ отдел не выделяет достаточно ресурсов на обеспечение безопасности.


Подходы к преодолению проблем

Для преодоления проблем при взаимодействии ИТ и ИБ подразделений в компании можно применить следующие подходы:


- Установление четкой коммуникации: важно создать каналы связи между ИТ и ИБ подразделениями, чтобы обеспечить регулярный обмен информацией и обсуждение вопросов безопасности. Следует организовать регулярные совещания, чтобы обсудить текущие задачи, проблемы и планы. Это поможет улучшить взаимопонимание целей и задач и согласованность в работе.


- Обучение и повышение квалификации: следует организовывать тренинги и семинары для ИТ и ИБ специалистов, при этом роль учителя по очереди может принадлежать, как ИТ подразделению, так и ИБ подразделению. Это поможет улучшить понимание друг друга и снизить конфликты, связанные с различиями в подходах и приоритетах.


- Разработка процедур и политик: компания должна разработать единые процедуры и политики, которые учитывают как потребности ИТ, так и ИБ подразделений. Например, можно создать процедуры для обмена информацией о новых системах и изменениях в инфраструктуре, а также политики безопасности, которые устанавливают требования и меры защиты данных.


- Участие руководства: руководство компании должно активно участвовать в урегулировании конфликтов и поддержке сотрудничества между ИТ и ИБ подразделениями, а также выполнять роль посредника при разногласиях и принимать решения, которые учитывают, как потребности безопасности, так и эффективности работы.


- Выделение достаточных ресурсов: компания должна обеспечить достаточные финансовые и человеческие ресурсы для обеспечения безопасности информации. Это может включать найм специалистов по информационной безопасности, приобретение необходимого оборудования и программного обеспечения, а также проведение аудитов и тестирований безопасности.


Также не стоит забывать и про то, что совместное использование средств защиты ИТ и ИБ подразделениями, может предоставить ряд преимуществ и пользы для обеих сторон, а также повысить эффективность рабочих процессов.


Как работают со средствами защиты в ИТ

Сведения о результатах работы межсетевых экранов, прокси, систем обнаружения вторжений и других средств, которые позволяют контролировать сетевую активность и обнаруживать аномалии или подозрительное поведение помогут ИТ подразделению лучше понимать актуальный ландшафт угроз, и проектировать и настраивать инфраструктуру оптимальным образом.


Использование сканеров уязвимостей позволит найти слабые места в ИТ-инфраструктуре и быстро получить рекомендации по их устранению. Анализаторы коды позволят на ранних этапах разработки выявить недостатки в разрабатываемом ПО и принять меры для их устранения, что позволит оптимизировать затраты на разработку.


Использование средств контроля доступа позволит защитить данные от несанкционированного доступа и изменений. Это особенно важно для ИТ подразделения, которое отвечает за хранение и обработку большого объема информации.


Применение средств класса GRC позволит повысить эффективность как ИБ, так и ИТ подразделений. Поможет автоматизировать и обеспечить процессы соблюдения требований информационной безопасности.


Системы класса SIEM, основной функцией которых является анализ и корреляция событий, могут быть использованы ИТ подразделением для осуществления мониторинга доступности информационных систем. В случае выхода из строя или незапланированного отключения источника событий SIEM сможет проинформировать администраторов о произошедшем сбое. Правила корреляции SIEM также могут помочь в мониторинге информационных систем, поскольку могут выявлять разного рода отклонения в штатном потоке событий.


Другим примером системы, которая может быть одинаково полезна ИТ и ИБ подразделению является IDM. IDM позволяют централизованно управлять доступом пользователей к различным ИТ ресурсам, а также автоматизируют процессы управления доступом, такие как создание, изменение прав доступа, удаление и блокирование учетных записей пользователей. Это, с одной стороны, позволяет сократить время и ресурсы, затрачиваемые ИТ подразделением на управление учетными записями, а с другой стороны позволяет ИБ подразделению реализовать контроль над процессами предоставления доступа к информационным ресурсам и обеспечить соответствие нормативным требованиям.


Средства защиты информации являются основным источником сведений о происходящих в инфраструктуре инцидентах. Но для результативного обеспечения информационной безопасности важно также уделять внимание коммуникации между ИБ и ИТ подразделением. По результатам расследования инцидентов специалисты ИБ накапливают знания о недостатках существующей информационной инфраструктуры, о способах усиления её защищенности для устранения возможности повторения подобных инцидентов в будущем. Поэтому крайне важно обеспечить передачу таких знаний ИТ подразделению.

 

Выводы

В целом, совместное использование средств защиты информации ИБ и ИТ подразделениями, а также их эффективное взаимодействие помогут повысить безопасность и надежность информационных систем компании, ускорить выявление и реагирование на инциденты информационной безопасности, выполнить нормативные требования в области информационной безопасности, и в конечном счете снизить использование ресурсов, включая финансовые бюджеты, персонал и инфраструктуру, а также приведет к оптимизации процессов работы компании, улучшению производительности и снижению времени простоя систем.

СЗИ SIEM SGRC Практика ИБ Подкасты ИБ

Рекомендуем

Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Конфиденциальная информация
Конфиденциальная информация
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC

Рекомендуем

Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
Реагирование на инциденты ИБ. Киберпреступность (конспект лекции)
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
Конфиденциальная информация
Конфиденциальная информация
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Как научиться выстраивать килчейн
Как научиться выстраивать килчейн
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC

Похожие статьи

Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2

Похожие статьи

Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Управление рисками информационной безопасности. Часть 5. Стандарт NIST SP 800-30 (продолжение). Стандарт NIST SP 800-137
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2