Security Vision Security Governance, Risk Management and Compliance (SGRC / a-SGRC)

Системы SGRC адаптируются под локальные требования, нормы и стандарты, а также под индивидуальные потребности и особенности бизнес-процессов Заказчика, а это вносит корректировки в подходы и методы автоматизации. Коробочные решения продуктов этого класса предназначены для решения набора стандартных, наиболее актуальных задач – например, для контроля выполнения организацией требований по защите информации в соответствии с тем или иным нормативным требованием.

В отличие от «коробок», проектные решения обладают гораздо более широким функционалом и возможностями гибкой настройки к ИТ-инфраструктуре и особенностям бизнес-процессов Заказчика. Кроме того, по мере необходимости организация может производить донастройку проектного решения для того, чтобы соответствовать внутрикорпоративным регламентами и требованиям законодательства, которые периодически изменяются.  

Система Security Vision Security Governance, Risk Management and Compliance автоматизирует управление рисками, управление аудитами, управление соответствием (СТО БР ИББС, PCI-DSS, ISO 27ххх, ФЗ-152 и др.), управление документами и стандартами ИБ и управление уязвимостями. Решение Security Vision SGRC предлагается как в коробочном, так и в проектном вариантах. Коробочное решение включает в себя модули управления ИТ-активами и инцидентами ИБ, конструктор рабочих процессов, отчетов и дашбордов, коннекторы к источникам данных, модули управления уязвимостями, рисками ИБ и соответствием нормативным требованиям, а также модули базы знаний, аудитов и документов ИБ. Проектное же решение гибко адаптируется к требованиям заказчиков и дает возможность подключения дополнительных программных модулей: конструктор процесса реагирования и коннекторы реагирования, модуль управления соответствием требованиям по защите персональных данных и безопасности КИИ, модули взаимодействия с ФинЦЕРТ и НКЦКИ (система ГосСОПКА).

Security Vision SGRC позволяет:

• создать единый центр стратегического управления процессами ИБ;
• автоматизировать деятельность по управлению рисками ИБ, реагированию на инциденты, контролю соответствия законодательным требованиям, требованиям отраслевых стандартов и договорных обязательств;
• снизить трудозатраты на процесс контроля за соответствием, а также на подготовительные мероприятия к аудитам;
• повысить полноту и глубину автоматических проверок применения требований стандарта к компонентам, входящим в область аудита;
• контролировать достижение целей информационной безопасности;
• оптимизировать деятельность отдела информационной безопасности за счет автоматизации основных процессов ИБ;
• контролировать эффективность функционирования системы ИБ в организации за счет визуализации и системы отчетности;
• автоматизировать контроль и выполнение требований регуляторов.

Ноу-хау, заметно отличающее продукт Security Vision SGRC от конкурентов - технология auto-SGRC, базирующаяся на IRP механизмах, позволяющих за счет двусторонней связи с ИТ/ИБ системами вести «диалог», автоматически корректировать настройки ИТ-активов и СЗИ и автоматически контролировать состояние ИБ.

Аuto-SGRC позволяет автоматизировать/роботизировать те функции систем SGRC, которые ранее выполнялись преимущественно в ручном режиме: сбор данных о новых ИТ-активах и изменениях в старых, выявление новых устройств и процессов, проверку настройки средств защиты, непрерывную оценку соответствия фактических политик безопасности применимым требованиям, автоматическую проверку реального выполнения требований стандартов и обеспечение наличия актуальной информации при проведении аудитов.

Выводы

Применение SGRC-платформ помогает выстроить работающую систему управления информационной безопасностью с четкими, отлаженными процессами ИБ и данными, которые можно агрегировать, измерить и использовать для принятия эффективных управленческих решений.

А технология a-SGRC представляет собой фактически новую веху в автоматизации/роботизации процессов информационной безопасности, особенно в части расчета рисков и соответствия законодательным нормам и внутренним стандартам. Решение a-SGRC помогает реализовать контроль соблюдения нормативных требований в режиме реального времени, обеспечивая максимальную степень автоматизации действий департаментов ИБ, при этом давая возможность поддерживать уровень не только «бумажной», но и фактической безопасности путем интеграции с различными ИТ-системами и средствами защиты для их оперативного переконфигурирования и контроля. Функционал аналитики и визуализации поможет руководителям видеть актуальное состояние выполнения требований законодательных норм, а аудиторский интерфейс будет полезен во время проведения как внутренних, так и внешних проверок.

Например, будем автоматически собирать данные о новых ИТ-активах и изменениях в старых, выявлять новые устройства и процессы, проверять настройки средств защиты, непрерывно оценивать соответствие фактических политик безопасности применимым требованиям, а также выдавать актуальную информацию при проведении аудитов, автоматически проверяя реальное выполнение требований стандартов? Будет также крайне полезно и даже необходимо совместить данные возможности с функционалом IRP-систем, в которых мы можем в автоматическом и непрерывном режиме корректировать настройки средств защиты, тем самым не только обрабатывая инциденты ИБ, но и выполняя требования нормативных документов по защите информации. Данный функционал может быть реализован с нашей технологией аuto-SGRC (или сокращенно a-SGRC), которая позволяет максимально автоматизировать/роботизировать процессы управления информационной безопасностью, а также добавить в эту схему столь необходимую обратную связь, при помощи которой мы можем автоматически корректировать настройки ИТ-активов и СЗИ. Далее рассмотрим функционал этого решения подробно.

Контроль выполнения нормативных требований по защите информации: автоматизация и роботизация

Итак, одной из основных целей «классических» SGRC-систем является обеспечение департаментов ИБ инструментами контроля выполнения нормативных требований по защите информации - как внутренних, так и государственных. Для решения этой задачи обычные SGRC-решения предлагают экспортировать данные об ИТ-активах из внутренних систем, далее занести в SGRC-платформу необходимые к выполнению нормы, а затем предполагают ручное проставление оценок выполнения указанных требований. Таким образом, функционал данных SGRC-систем хоть и предусматривает некоторую долю автоматизации ручного труда и скорее накопление учетных данных, но при этом рутинная нагрузка и бремя ответственности за корректность и актуальность собранных и внесенных данных все равно ложатся на сотрудников подразделений ИБ. Без роботизации действий возникают большие риски возникновения и распространения ошибок, вызванных человеческим фактором.

Логичным шагом стало наше решение максимально автоматизировать все перечисленные ручные действия, добавив в процесс интерактивности в виде возможности незамедлительно переконфигурировать ИТ-системы и СЗИ в случае, если их настройки перестали соответствовать заранее заданным критериям и параметрам. Ключевым элементом технологии является сопряжение функций автоматизации действий и сценариев реагирования с классическими функциями SGRC, что позволяет обеспечивать автоматические проверки соответствия стандартам, актуальные и фактические данные для расчёта рисков и основных процессов информационной безопасности. Таким образом, мы не только полностью автоматизируем процесс обеспечения соответствия нормативным документам, но и повышаем уровень реальной, а не «бумажной» безопасности. Кроме того, существенно экономится время при проведении внутренних проверок и аудитов - необходимые отчеты с актуальными сведениями формируются в пару кликов. Актуальные данные становятся важной основой не только в ИБ процессах, но и в сопутствующих ИТ процессах.

Алгоритм практического применения

Мы предлагаем следующий подход к автоматизации процесса на примере обеспечения соответствия нормативным требованиям по защите информации:

1. Создание единого хранилища формализованных и атомизированных требований по обеспечению ИБ: государственные и локальные нормативные акты анализируются на предмет конкретных требований, выполнение которых можно контролировать.

2. Непрерывный и осмысленный сбор актуальной технической информации из ИТ-систем (СЗИ, системы инвентаризации, устройства, ИТ системы) путем подключения к ним напрямую или с помощью выгрузки данных из централизованных хранилищ. Автоматизированный сбор данных позволяет всегда работать только с актуальной и релевантной информацией, полученной из первоисточника. При этом нагрузка на системы не вырастает, проверяется действительный GAP информации.

В настоящий момент реализована интеграция с такими, например, системами, как сканеры защищенности (MaxPatrol, RedCheck, Nessus, Qualys), системы SIEM (IBM QRadar, ArcSight ESM, Fortinet SIEM, MaxPatrol SIEM, Splunk), межсетевые экраны и системы обнаружения вторжений (Cisco, PaloAlto, FireEye, CheckPoint), антивирусные средства (Kaspersky, Symantec, Microsoft), а также с DLP-системами, средствами управления учетными данными, сетями, конфигурациями и т.д. (постоянно пополняемые списки коннекторов данных: https://www.securityvision.ru/modules/konnektory-k-istochnikam-dannykh/ и коннекторов реагирования: https://www.securityvision.ru/modules/konnektory-reagirovaniya/). Кроме этого, для получения данных непосредственно с устройств поддерживаются следующие протоколы и механизмы: DNS, HTTP, HTTPS, PowerShell, RPC, SNMP, SSH, SSL, TLS, WMI; механизмы подключения к службам каталогов Active Directory и СУБД Microsoft SQL, MySQL, Oracle, PostgreSQL.

3. Собранная информация используется для анализа выполнения тех или иных нормативных требований. Например, информация от сканера защищенности, касающаяся примененных групповых политик на устройствах Windows, даст понять, выполняются ли требования о минимальной длине и сложности пароля в домене, а конфигурационный файл сетевого устройства или данные SIEM-системы покажут, есть ли сетевая связность между определенными сегментами ЛВС. Получаемые от устройств и систем данные заносятся в базу a-SGRC, где ставятся в соответствие пунктам требований комплаенса из автоматизированного опросника (чек-листа). Разумеется, есть возможность заполнить чек-лист выполнения требований не только по результатам программного опроса СЗИ и ИТ-систем, но и вручную, что будет полезно в случае отсутствия интеграции с какими-то сервисами. Результаты сравнения реальных фактов (настроек и параметров ПО и устройств) с требуемыми нормативами формируют оценку выполнения требований и отражаются в чек-листах и отчетах, формируемых автоматически и по запросу пользователей системы.

4. В случае, если настроено автоматическое устранение выявленных нарушений нормативных требований, система a-SGRC отправляет на конкретное устройство или СЗИ команду для изменения их настроек, параметров, режима работы. Например, если по каким-то причинам на устройстве в защищенном сегменте был открыт новый сетевой порт или разрешен небезопасный протокол, на него будет отправлена команда для «отката» сделанных изменений.

Кроме этого, можно, например, контролировать права доступа пользователей в компании путем анализа и своевременного редактирования состава групп безопасности в Active Directory, а неустраненные уязвимости ОС и список несогласованного ПО передавать на обработку в департамент ИТ через систему Help Desk. Для обеспечения интеграции с максимально широким списком устройств на удаленных системах поддерживается работа следующих интерпретаторов: *nix Bash, Windows PowerShell, Batch, cmd, Java, Javascript, Python, REST-запросы, SNMP, SOAP; также могут быть выполнены запросы к базам данных MS SQL, MySQL, Oracle, PostgreSQL.

5. Информация о выявленных несоответствиях нормативным требованиям агрегируется в системе и доступна как на онлайн-дашбордах, так и в виде отчетов. Есть возможность в режиме реального времени вывести аналитику по тенденциям изменения состояния соответствия, текущий процент и уровень выполненных требований, статусы назначенных задач по приведению систем в соответствие требованиям.

6. В случае, когда компании предстоит пройти внутреннюю или внешнюю проверку, используется функционал предоставления аудиторских данных, которые включают в себя как отображение текущей нормативной базы и состояния соответствия, так и историю предыдущих проверок, вынесенных замечаний и устраненных недостатков, а также дополнительную релевантную информацию (списки ответственных сотрудников, данные систем, заявки на предоставление доступа и т.д.).

Выводы

Итак, мы видим, что технология a-SGRC представляет собой фактически новую веху в автоматизации/роботизации процессов информационной безопасности, особенно в части расчета рисков и соответствия законодательным нормам и внутренним стандартам. Решение a-SGRC помогает реализовать контроль соблюдения нормативных требований в режиме реального времени, обеспечивая максимальную степень автоматизации действий департаментов ИБ, при этом давая возможность поддерживать уровень не только «бумажной», но и фактической безопасности путем интеграции с различными ИТ-системами и средствами защиты для их оперативного переконфигурирования и контроля. Функционал аналитики и визуализации поможет руководителям видеть актуальное состояние выполнения требований законодательных норм, а аудиторский интерфейс будет полезен во время проведения как внутренних, так и внешних проверок.