Выстраивание системы управления информационной безопасностью в соответствии со стандартом ISO серии 27XXX
Выполнение требований
Стандарты серии ISO 27XXX, включая ратифицированный стандарт ГОСТ Р ИСО/МЭК 27001:2013 «Система менеджмента информационной безопасности. Требования» устанавливают требования к системам управления информационной безопасностью и определяют основные области деятельности для комплексной защиты информации в организациях.
Применимость:
· Частные компании, преследующие цели выхода на международные рынки и получения имиджевого конкурентного преимущества
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарты ISO/IEC 27035-1:2016 и ISO/IEC 27035-2:2016 устанавливают принципы управления инцидентами и дают рекомендации по планированию и подготовке к реагированию на инциденты соответственно. Данный стандарт является международным, его первая ревизия 2011 года заменила стандарт ISO/IEC TR 18044:2004, далее в 2016 году стандарт был обновлен. Данный документ может являться обязательным при условии прохождения организацией сертификации на соответствие стандарту ISO/IEC 27001.
Применимость:
· Построение центров мониторинга информационной безопасности
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт NISTSP 800-61 «Руководство по обработке инцидентов компьютерной безопасности»содержит рекомендации по реагированию на инциденты информационной безопасности. Разработан Национальным институтом стандартов и технологий (англ. National Institute of Standards and Technology, NIST) и является сборником лучших мировых практик по реализации процессов реагирования на инциденты. Стандарт не является обязательным для российских организаций, но содержит сведения, заслуживающие внимания и применения на практике.
Применимость:
· Построение центров мониторинга информационной безопасности
· Выстраивание системы управления информационной безопасностью в соответствии с лучшими международными практиками
Список требований стандарта NISTSP 800-61
Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта NISTSP 800-61
Сбор информации о характерной работе сетей и систем для реагирования при изменении нормального поведения: п. 3.6
Агент доступности
Агент сбора
Контроль за изменениями в ИТ-инфраструктуре
Агент инвентаризации
Осуществление корреляции событий: п. 3.6
Ядро корреляции
Поддержка и использование базы знаний: п. 3.6
Комплектация Incident Response Platform [IRP]: База знаний
Сбор и хранение данных об инциденте в неизменном виде: п. 3.6
Агент контроля целостности
Автоматизация обмена данными об инцидентах: п. 4.2.2
Комплектация Incident Response Platform [IRP]: Оповещение и эскалация
Интеграция с CERT (ГосСОПКА, FinCERT, GIB Intelligence, IBM X-Force)
Оценка рисков как результатов комбинации угроз и уязвимостей:
п. 3.1.2
Комплектация Cyber Risk System [CRS]: Управление рисками кибербезопасности
Комплектация Incident Response Platform [IRP]: Управление жизненным циклом уязвимостей
Устранение угрозы и восстановление после инцидента: п. 3.3.4
Комплектация Incident Response Platform [IRP]: Управление жизненным циклом инцидентов, Оповещение и эскалация, Конструктор сценариев реагирования
Стандарты серии ISO 27XXX, включая ратифицированный стандарт ГОСТ Р ИСО/МЭК 27001:2013 «Система менеджмента информационной безопасности. Требования» устанавливают требования к системам управления информационной безопасностью и определяют основные области деятельности для комплексной защиты информации в организациях.
Применимость:
· Частные компании, преследующие цели выхода на международные рынки и получения имиджевого конкурентного преимущества
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарты ISO/IEC 27035-1:2016 и ISO/IEC 27035-2:2016 устанавливают принципы управления инцидентами и дают рекомендации по планированию и подготовке к реагированию на инциденты соответственно. Данный стандарт является международным, его первая ревизия 2011 года заменила стандарт ISO/IEC TR 18044:2004, далее в 2016 году стандарт был обновлен. Данный документ может являться обязательным при условии прохождения организацией сертификации на соответствие стандарту ISO/IEC 27001.
Применимость:
· Построение центров мониторинга информационной безопасности
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт NISTSP 800-61 «Руководство по обработке инцидентов компьютерной безопасности»содержит рекомендации по реагированию на инциденты информационной безопасности. Разработан Национальным институтом стандартов и технологий (англ. National Institute of Standards and Technology, NIST) и является сборником лучших мировых практик по реализации процессов реагирования на инциденты. Стандарт не является обязательным для российских организаций, но содержит сведения, заслуживающие внимания и применения на практике.
Применимость:
· Построение центров мониторинга информационной безопасности
· Выстраивание системы управления информационной безопасностью в соответствии с лучшими международными практиками
Список требований стандарта NISTSP 800-61
Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта NISTSP 800-61
Сбор информации о характерной работе сетей и систем для реагирования при изменении нормального поведения: п. 3.6
Агент доступности
Агент сбора
Контроль за изменениями в ИТ-инфраструктуре
Агент инвентаризации
Осуществление корреляции событий: п. 3.6
Ядро корреляции
Поддержка и использование базы знаний: п. 3.6
Комплектация Incident Response Platform [IRP]: База знаний
Сбор и хранение данных об инциденте в неизменном виде: п. 3.6
Агент контроля целостности
Автоматизация обмена данными об инцидентах: п. 4.2.2
Комплектация Incident Response Platform [IRP]: Оповещение и эскалация
Интеграция с CERT (ГосСОПКА, FinCERT, GIB Intelligence, IBM X-Force)
Оценка рисков как результатов комбинации угроз и уязвимостей:
п. 3.1.2
Комплектация Cyber Risk System [CRS]: Управление рисками кибербезопасности
Комплектация Incident Response Platform [IRP]: Управление жизненным циклом уязвимостей
Устранение угрозы и восстановление после инцидента: п. 3.3.4
Комплектация Incident Response Platform [IRP]: Управление жизненным циклом инцидентов, Оповещение и эскалация, Конструктор сценариев реагирования
Проблематика
Многие компании, как правило из частного сектора, работающие с международными партнерами, стремятся продемонстрировать выстроенную зрелую систему защиты информации, соответствующую международным стандартам и лучшим практикам. Для целей подтверждения такого соответствия служит добровольная сертификация по международной серии стандартов ISO 27XXX. Данная серия стандартов представляет собой набор нормативных документов, охватывающих разные области обеспечения информационной безопасности, такие как построение и внедрение системы управления ИБ, риск-менеджмент в области ИБ, рекомендации по аудиту систем управления ИБ, рекомендации по обеспечению непрерывности бизнес-процессов, стандарты по обеспечению безопасности сетей и приложений, принципы и рекомендации по реагированию на инциденты. Большинство из стандартов данной серии были адаптированы в Российской Федерации и получили префикс ГОСТ Р ИСО/МЭК.
Итак, основными процессами обеспечения информационной безопасности в соответствии со стандартом ГОСТ Р ИСО/МЭК 27001:2013 «Система менеджмента информационной безопасности. Требования» являются:
· процесс создания и поддержки документального обеспечения деятельности по защите информации (политики, стандарты, регламенты, процедуры);
· процесс управления учетными записями пользователей и администраторов информационных систем;
· процесс разграничения и контроля прав логического доступа к информационным системам, реализация принципа минимизации полномочий;
· процесс проверки (скрининга) персонала при приеме на работу, обучение персонала принципам и политикам информационной безопасности компании, контроль выполнения требований информационной безопасности сотрудниками в процессе работы;
· процесс управления активами (инвентаризация, назначение владельцев и ответственных, контроль на всех стадиях жизненного цикла активов), включая управление устройствами (стационарными, мобильными);
· процесс классификации информации по степени критичности и уровням необходимости соблюдения конфиденциальности, целостности, доступности;
· процесс криптографической защиты информации при хранении и передаче, где применимо;
· процесс обеспечения физической безопасности и контроля физического доступа к объектам информационных систем;
· операционные процессы обеспечения информационной безопасности: контроль изменений, контроль конфигураций, контроль разработки и внедрения информационных систем;
· процесс защиты от вредоносного программного обеспечения;
· процесс обеспечения непрерывности бизнеса и восстановления работоспособности информационных систем и данных после сбоев;
· процесс аудита и мониторинга событий информационной безопасности;
· процесс управления инцидентами информационной безопасности;
· процесс управления уязвимостями в используемом программном обеспечении (сканирование, оценка, устранение путем обновления или наложенными средствами защиты);
· процесс обеспечения сетевой безопасности (сегментирование ЛВС, фильтрация трафика, аутентификация устройств), включая обеспечение информационной безопасности при использовании "облачных" сервисов;
· процесс обеспечения информационной безопасности на всех стадиях жизненного цикла информационных систем, включая поддержку цикла безопасной разработки и внедрения программного обеспечения;
· процесс контроля информационного взаимодействия с поставщиками, клиентами, подрядчиками;
· процесс управления соответствием нормативным требованиям, предъявляемым к компании;
· процесс проведения независимых аудитов и тестов информационной безопасности.
Таким образом, у компании, которая решила сертифицировать свой процесс управления информационной безопасностью по стандарту ISO 27XXX, возникает большое количество направлений деятельности. Решением поставленных задач может стать частичная или полная автоматизация некоторых процессов обеспечения информационной безопасности из числа перечисленных выше. Например, процесс управления активами можно автоматизировать, регулярно делая «обход» сети сканером или централизованно получая информацию с агентов, установленных на конечных точках. Процесс управления уязвимостями можно также упростить, агрегируя и анализируя результаты сканирования, с последующим устранением наиболее критичных уязвимостей на важных активах.
Далее, процесс классификации можно облегчить, ведя электронный реестр всех активов (документов, узлов сети, бизнес-процессов, баз данных, серверов и рабочих станций), присваивая каждому из активов метку конфиденциальности в зависимости от хранящихся на нём данных, установленных программ, нахождения его в том или ином сегменте сети, залогиненного пользователя.
Кроме того, контроль внесения изменений в конфигурацию информационных систем можно также упростить, ведя реестр внесенных изменений в виде заявок на изменения, которые проходят заранее созданные и согласованные маршруты (рабочие процессы) на стадиях своего жизненного цикла, позволяя сотрудникам подразделений ИБ своевременно согласовывать или отзывать вносимые изменения.
Процесс аудита и мониторинга событий информационной безопасности является также явным кандидатом на автоматизацию, поскольку ручная обработка большого потока информации как правило не является эффективной. С помощью средств управления и анализа событиями и инцидентами ИБ у сотрудников подразделения информационной безопасности появляется высокоэффективный инструмент по реагированию на инциденты любой сложности, при этом они получают полную информацию и аналитику в любой момент времени.
Процесс реагирования на инциденты информационной безопасности является одним из ключевых в работе сотрудников, отвечающих за защиту информации. Необходимо обрабатывать инциденты на всех этапах их жизненного цикла:
· подготовка к инциденту, которая включает в себя выстраивание процессов реагирования, создание шаблонов и сценариев применения ответных мер, а также настройку и эксплуатацию средств защиты информации,
· обнаружение инцидента средствами мониторинга либо с помощью обработки входящей информации,
· анализ инцидента, классификация,
· сдерживание угрозы для минимизации ущерба от атаки,
· устранение угрозы, т.е. либо изоляция затронутого узла сети, либо удаление вредоносного объекта,
· восстановление после инцидента,
· улучшение защиты по результатам анализа произошедшего инцидента и выполненных шагов реагирования на него.
В условиях быстроразвивающейся масштабной угрозы особенно важно эффективно распределять временные ресурсы сотрудников подразделения информационной безопасности, передавая все шаблонные действия в систему автоматизированного реагирования на инцидент. Кроме того, система такого класса сможет автоматически отреагировать на событие или инцидент даже в отсутствие оператора, если заранее были заданы условия ответной реакции и сами ответные действия.
Многие компании, как правило из частного сектора, работающие с международными партнерами, стремятся продемонстрировать выстроенную зрелую систему защиты информации, соответствующую международным стандартам и лучшим практикам. Для целей подтверждения такого соответствия служит добровольная сертификация по международной серии стандартов ISO 27XXX. Данная серия стандартов представляет собой набор нормативных документов, охватывающих разные области обеспечения информационной безопасности, такие как построение и внедрение системы управления ИБ, риск-менеджмент в области ИБ, рекомендации по аудиту систем управления ИБ, рекомендации по обеспечению непрерывности бизнес-процессов, стандарты по обеспечению безопасности сетей и приложений, принципы и рекомендации по реагированию на инциденты. Большинство из стандартов данной серии были адаптированы в Российской Федерации и получили префикс ГОСТ Р ИСО/МЭК.
Итак, основными процессами обеспечения информационной безопасности в соответствии со стандартом ГОСТ Р ИСО/МЭК 27001:2013 «Система менеджмента информационной безопасности. Требования» являются:
· процесс создания и поддержки документального обеспечения деятельности по защите информации (политики, стандарты, регламенты, процедуры);
· процесс управления учетными записями пользователей и администраторов информационных систем;
· процесс разграничения и контроля прав логического доступа к информационным системам, реализация принципа минимизации полномочий;
· процесс проверки (скрининга) персонала при приеме на работу, обучение персонала принципам и политикам информационной безопасности компании, контроль выполнения требований информационной безопасности сотрудниками в процессе работы;
· процесс управления активами (инвентаризация, назначение владельцев и ответственных, контроль на всех стадиях жизненного цикла активов), включая управление устройствами (стационарными, мобильными);
· процесс классификации информации по степени критичности и уровням необходимости соблюдения конфиденциальности, целостности, доступности;
· процесс криптографической защиты информации при хранении и передаче, где применимо;
· процесс обеспечения физической безопасности и контроля физического доступа к объектам информационных систем;
· операционные процессы обеспечения информационной безопасности: контроль изменений, контроль конфигураций, контроль разработки и внедрения информационных систем;
· процесс защиты от вредоносного программного обеспечения;
· процесс обеспечения непрерывности бизнеса и восстановления работоспособности информационных систем и данных после сбоев;
· процесс аудита и мониторинга событий информационной безопасности;
· процесс управления инцидентами информационной безопасности;
· процесс управления уязвимостями в используемом программном обеспечении (сканирование, оценка, устранение путем обновления или наложенными средствами защиты);
· процесс обеспечения сетевой безопасности (сегментирование ЛВС, фильтрация трафика, аутентификация устройств), включая обеспечение информационной безопасности при использовании "облачных" сервисов;
· процесс обеспечения информационной безопасности на всех стадиях жизненного цикла информационных систем, включая поддержку цикла безопасной разработки и внедрения программного обеспечения;
· процесс контроля информационного взаимодействия с поставщиками, клиентами, подрядчиками;
· процесс управления соответствием нормативным требованиям, предъявляемым к компании;
· процесс проведения независимых аудитов и тестов информационной безопасности.
Таким образом, у компании, которая решила сертифицировать свой процесс управления информационной безопасностью по стандарту ISO 27XXX, возникает большое количество направлений деятельности. Решением поставленных задач может стать частичная или полная автоматизация некоторых процессов обеспечения информационной безопасности из числа перечисленных выше. Например, процесс управления активами можно автоматизировать, регулярно делая «обход» сети сканером или централизованно получая информацию с агентов, установленных на конечных точках. Процесс управления уязвимостями можно также упростить, агрегируя и анализируя результаты сканирования, с последующим устранением наиболее критичных уязвимостей на важных активах.
Далее, процесс классификации можно облегчить, ведя электронный реестр всех активов (документов, узлов сети, бизнес-процессов, баз данных, серверов и рабочих станций), присваивая каждому из активов метку конфиденциальности в зависимости от хранящихся на нём данных, установленных программ, нахождения его в том или ином сегменте сети, залогиненного пользователя.
Кроме того, контроль внесения изменений в конфигурацию информационных систем можно также упростить, ведя реестр внесенных изменений в виде заявок на изменения, которые проходят заранее созданные и согласованные маршруты (рабочие процессы) на стадиях своего жизненного цикла, позволяя сотрудникам подразделений ИБ своевременно согласовывать или отзывать вносимые изменения.
Процесс аудита и мониторинга событий информационной безопасности является также явным кандидатом на автоматизацию, поскольку ручная обработка большого потока информации как правило не является эффективной. С помощью средств управления и анализа событиями и инцидентами ИБ у сотрудников подразделения информационной безопасности появляется высокоэффективный инструмент по реагированию на инциденты любой сложности, при этом они получают полную информацию и аналитику в любой момент времени.
Процесс реагирования на инциденты информационной безопасности является одним из ключевых в работе сотрудников, отвечающих за защиту информации. Необходимо обрабатывать инциденты на всех этапах их жизненного цикла:
· подготовка к инциденту, которая включает в себя выстраивание процессов реагирования, создание шаблонов и сценариев применения ответных мер, а также настройку и эксплуатацию средств защиты информации,
· обнаружение инцидента средствами мониторинга либо с помощью обработки входящей информации,
· анализ инцидента, классификация,
· сдерживание угрозы для минимизации ущерба от атаки,
· устранение угрозы, т.е. либо изоляция затронутого узла сети, либо удаление вредоносного объекта,
· восстановление после инцидента,
· улучшение защиты по результатам анализа произошедшего инцидента и выполненных шагов реагирования на него.
В условиях быстроразвивающейся масштабной угрозы особенно важно эффективно распределять временные ресурсы сотрудников подразделения информационной безопасности, передавая все шаблонные действия в систему автоматизированного реагирования на инцидент. Кроме того, система такого класса сможет автоматически отреагировать на событие или инцидент даже в отсутствие оператора, если заранее были заданы условия ответной реакции и сами ответные действия.
Применение
ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами, инцидентами, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ.
Например, продукт Security Vision в комплектации Security Operation Center [SOC] предлагает решение для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации продукт обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени.
В дополнение к функционалу комплектации Security Operation Center [SOC], следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности, помогающий автоматизировать соблюдение соответствия нормам международных стандартов по реагированию на инциденты ISO/IEC 27035-1(-2):2016, а также рекомендациям Национального института стандартов и технологий NIST800-61. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности.
Компаниям также стоит обратить внимание на продукт Security Vision Cyber Risk System [CRS] – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре, которое поможет автоматизировать выполнение процессов для соответствия стандарту риск-менеджмента ISO/IEC 27005:2018.
Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт Security Governance, Risk Management and Compliance [SGRC] для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.
Продукт Security Vision сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.
ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами, инцидентами, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ.
Например, продукт Security Vision в комплектации Security Operation Center [SOC] предлагает решение для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации продукт обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени.
В дополнение к функционалу комплектации Security Operation Center [SOC], следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности, помогающий автоматизировать соблюдение соответствия нормам международных стандартов по реагированию на инциденты ISO/IEC 27035-1(-2):2016, а также рекомендациям Национального института стандартов и технологий NIST800-61. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности.
Компаниям также стоит обратить внимание на продукт Security Vision Cyber Risk System [CRS] – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре, которое поможет автоматизировать выполнение процессов для соответствия стандарту риск-менеджмента ISO/IEC 27005:2018.
Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт Security Governance, Risk Management and Compliance [SGRC] для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.
Продукт Security Vision сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.
Ссылки
https://www.iso.org/ru/home.html
