Выстраивание системы управления информационной безопасностью в соответствии с лучшими международными стандартами и практиками
Выполнение требований
Стандарт NISTSP 800-61 «Руководство по обработке инцидентов компьютерной безопасности» содержит рекомендации по реагированию на инциденты информационной безопасности. Разработан Национальным институтом стандартов и технологий (англ. National Institute of Standards and Technology, NIST) и является сборником лучших мировых практик по реализации процессов реагирования на инциденты. Стандарт не является обязательным для российских организаций, но содержит сведения, заслуживающие внимания и применения на практике.
Применимость:
· Построение центров мониторинга информационной безопасности
· Выстраивание системы управления информационной безопасностью в соответствии с лучшими международными практиками
Список требований стандарта NISTSP 800-61
Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта NISTSP 800-61
Сбор информации о характерной работе сетей и систем для реагирования при изменении нормального поведения: п. 3.6
Агент доступности
Агент сбора
Контроль за изменениями в ИТ-инфраструктуре
Агент инвентаризации
Осуществление корреляции событий: п. 3.6
Ядро корреляции
Поддержка и использование базы знаний: п. 3.6
Комплектация Incident Response Platform [IRP]: База знаний
Сбор и хранение данных об инциденте в неизменном виде: п. 3.6
Агент контроля целостности
Автоматизация обмена данными об инцидентах: п. 4.2.2
Комплектация Incident Response Platform [IRP]: Оповещение и эскалация
Интеграция с CERT (ГосСОПКА, FinCERT, GIB Intelligence, IBM X-Force)
Оценка рисков как результатов комбинации угроз и уязвимостей:
п. 3.1.2
Комплектация Cyber Risk System [CRS]: Управление рисками кибербезопасности
Комплектация Incident Response Platform [IRP]: Управление жизненным циклом уязвимостей
Устранение угрозы и восстановление после инцидента: п. 3.3.4
Комплектация Incident Response Platform [IRP]: Управление жизненным циклом инцидентов, Оповещение и эскалация, Конструктор сценариев реагирования
Стандарт NISTSP 800-61 «Руководство по обработке инцидентов компьютерной безопасности» содержит рекомендации по реагированию на инциденты информационной безопасности. Разработан Национальным институтом стандартов и технологий (англ. National Institute of Standards and Technology, NIST) и является сборником лучших мировых практик по реализации процессов реагирования на инциденты. Стандарт не является обязательным для российских организаций, но содержит сведения, заслуживающие внимания и применения на практике.
Применимость:
· Построение центров мониторинга информационной безопасности
· Выстраивание системы управления информационной безопасностью в соответствии с лучшими международными практиками
Список требований стандарта NISTSP 800-61
Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта NISTSP 800-61
Сбор информации о характерной работе сетей и систем для реагирования при изменении нормального поведения: п. 3.6
Агент доступности
Агент сбора
Контроль за изменениями в ИТ-инфраструктуре
Агент инвентаризации
Осуществление корреляции событий: п. 3.6
Ядро корреляции
Поддержка и использование базы знаний: п. 3.6
Комплектация Incident Response Platform [IRP]: База знаний
Сбор и хранение данных об инциденте в неизменном виде: п. 3.6
Агент контроля целостности
Автоматизация обмена данными об инцидентах: п. 4.2.2
Комплектация Incident Response Platform [IRP]: Оповещение и эскалация
Интеграция с CERT (ГосСОПКА, FinCERT, GIB Intelligence, IBM X-Force)
Оценка рисков как результатов комбинации угроз и уязвимостей:
п. 3.1.2
Комплектация Cyber Risk System [CRS]: Управление рисками кибербезопасности
Комплектация Incident Response Platform [IRP]: Управление жизненным циклом уязвимостей
Устранение угрозы и восстановление после инцидента: п. 3.3.4
Комплектация Incident Response Platform [IRP]: Управление жизненным циклом инцидентов, Оповещение и эскалация, Конструктор сценариев реагирования
Проблематика
Национальный институт стандартов и технологий (англ. National Institute of Standards and Technology, NIST) – подразделение Управления по технологиям США, одного из агентств Министерства торговли США. Данное учреждение участвует в разработке стандартов и спецификаций к программным решениям для государственного и частного секторов США. Документы, выпускаемые данным институтом, отличаются глубиной проработки и логической связностью. Из множества выпущенных данной организацией стандартов можно отметить документы NIST 800-53 (Меры по обеспечению безопасности и конфиденциальности в федеральных информационных системах и организациях), NIST 800-61 (Руководство по обработке инцидентов компьютерной безопасности).
Центр Интернет-безопасности (англ. Center for Internet Security, CIS) – американская некоммерческая организация, чья миссия декларируется как «идентифицировать, создавать, проверять, продвигать и поддерживать лучшие практики в области кибер-защиты». Данная организация регулярно публикует стандарты и бенчмарки по информационной безопасности, в том числе и документ «Средства контроля и метрики» («CIS Controls Measures and Metrics» или т.н. «CISTOP-20 Controls»), который включает в себя 20 наиболее эффективных, с точки зрения данной организации, мер защиты от кибер-угроз.
В соответствии с документом NIST 800-53, список направлений деятельности по информационной безопасности выглядит следующим образом:
· Обучение и тренировки персонала
· Аудит и учет
· Оценка безопасности и согласование внесения изменений в системы
· Управление конфигурациями
· Планирование непрерывности бизнеса
· Идентификация и аутентификация
· Реагирование на инциденты
· Поддержка и техническое обслуживание оборудования
· Защита носителей с данными
· Физическая безопасность
· Планирование деятельности по информационной безопасности
· Кадровая безопасность
· Оценка рисков
· Приобретение систем и сервисов
· Защита систем и коммуникаций
· Целостность систем и информации
Документ «CIS Controls Measures and Metrics» приводит следующий список первоочередных мероприятий по обеспечению информационной безопасности:
· Инвентаризация и контроль аппаратных активов
· Инвентаризация и контроль программных активов
· Непрерывное управление уязвимостями
· Контроль за использованием административных полномочий
· Безопасные настройки для аппаратного и программного обеспечения на мобильных устройствах, ноутбуках, рабочих станциях и серверах
· Обслуживание, мониторинг и анализ журналов событий
· Защита электронной почты и веб-браузеров
· Защита от вредоносного программного обеспечения
· Ограничение и контроль за сетевыми портами, протоколами и сервисами
· Возможности восстановления данных
· Безопасная настройка сетевых устройств, таких как брандмауэры, маршрутизаторы и коммутаторы
· Защита сетевого периметра
· Защита данных
· Контролируемый доступ к информации на основании наличия служебной необходимости
· Контроль беспроводных сетей
· Мониторинг и контроль учетных записей
· Внедрение программы повышения осведомленности и подготовки в области информационной безопасности
· Безопасность прикладного программного обеспечения
· Управление и реагирование на инциденты
· Тестирование на проникновение и кибер-учения
Документ NIST 800-61 предлагает рекомендации по реагированию на компьютерные инциденты, среди которых:
· Создание плана и процедур реагирования
· Структура команды реагирования на кибер-инциденты
· Выбор средств мониторинга, хранения, корреляции и анализа журналов событий и инцидентов
· Координация при и после обработки инцидента
· Реагирование на инцидент:
1. обнаружение инцидента средствами мониторинга либо с помощью обработки входящей информации,
2. анализ инцидента, классификация,
3. сдерживание угрозы для минимизации ущерба от атаки,
4. устранение угрозы, т.е. либо изоляция затронутого узла сети, либо удаление вредоносного объекта,
5. восстановление после инцидента,
6. улучшение защиты по результатам анализа произошедшего инцидента и выполненных шагов реагирования на него.
Все три вышеуказанных документа подчеркивают важность автоматизации процессов управления информационной безопасностью, таких как управление информационной безопасностью, активами, инцидентами, уязвимостями, реагирование на инциденты, взаимодействие членов команд реагирования.
Национальный институт стандартов и технологий (англ. National Institute of Standards and Technology, NIST) – подразделение Управления по технологиям США, одного из агентств Министерства торговли США. Данное учреждение участвует в разработке стандартов и спецификаций к программным решениям для государственного и частного секторов США. Документы, выпускаемые данным институтом, отличаются глубиной проработки и логической связностью. Из множества выпущенных данной организацией стандартов можно отметить документы NIST 800-53 (Меры по обеспечению безопасности и конфиденциальности в федеральных информационных системах и организациях), NIST 800-61 (Руководство по обработке инцидентов компьютерной безопасности).
Центр Интернет-безопасности (англ. Center for Internet Security, CIS) – американская некоммерческая организация, чья миссия декларируется как «идентифицировать, создавать, проверять, продвигать и поддерживать лучшие практики в области кибер-защиты». Данная организация регулярно публикует стандарты и бенчмарки по информационной безопасности, в том числе и документ «Средства контроля и метрики» («CIS Controls Measures and Metrics» или т.н. «CISTOP-20 Controls»), который включает в себя 20 наиболее эффективных, с точки зрения данной организации, мер защиты от кибер-угроз.
В соответствии с документом NIST 800-53, список направлений деятельности по информационной безопасности выглядит следующим образом:
· Обучение и тренировки персонала
· Аудит и учет
· Оценка безопасности и согласование внесения изменений в системы
· Управление конфигурациями
· Планирование непрерывности бизнеса
· Идентификация и аутентификация
· Реагирование на инциденты
· Поддержка и техническое обслуживание оборудования
· Защита носителей с данными
· Физическая безопасность
· Планирование деятельности по информационной безопасности
· Кадровая безопасность
· Оценка рисков
· Приобретение систем и сервисов
· Защита систем и коммуникаций
· Целостность систем и информации
Документ «CIS Controls Measures and Metrics» приводит следующий список первоочередных мероприятий по обеспечению информационной безопасности:
· Инвентаризация и контроль аппаратных активов
· Инвентаризация и контроль программных активов
· Непрерывное управление уязвимостями
· Контроль за использованием административных полномочий
· Безопасные настройки для аппаратного и программного обеспечения на мобильных устройствах, ноутбуках, рабочих станциях и серверах
· Обслуживание, мониторинг и анализ журналов событий
· Защита электронной почты и веб-браузеров
· Защита от вредоносного программного обеспечения
· Ограничение и контроль за сетевыми портами, протоколами и сервисами
· Возможности восстановления данных
· Безопасная настройка сетевых устройств, таких как брандмауэры, маршрутизаторы и коммутаторы
· Защита сетевого периметра
· Защита данных
· Контролируемый доступ к информации на основании наличия служебной необходимости
· Контроль беспроводных сетей
· Мониторинг и контроль учетных записей
· Внедрение программы повышения осведомленности и подготовки в области информационной безопасности
· Безопасность прикладного программного обеспечения
· Управление и реагирование на инциденты
· Тестирование на проникновение и кибер-учения
Документ NIST 800-61 предлагает рекомендации по реагированию на компьютерные инциденты, среди которых:
· Создание плана и процедур реагирования
· Структура команды реагирования на кибер-инциденты
· Выбор средств мониторинга, хранения, корреляции и анализа журналов событий и инцидентов
· Координация при и после обработки инцидента
· Реагирование на инцидент:
1. обнаружение инцидента средствами мониторинга либо с помощью обработки входящей информации,
2. анализ инцидента, классификация,
3. сдерживание угрозы для минимизации ущерба от атаки,
4. устранение угрозы, т.е. либо изоляция затронутого узла сети, либо удаление вредоносного объекта,
5. восстановление после инцидента,
6. улучшение защиты по результатам анализа произошедшего инцидента и выполненных шагов реагирования на него.
Все три вышеуказанных документа подчеркивают важность автоматизации процессов управления информационной безопасностью, таких как управление информационной безопасностью, активами, инцидентами, уязвимостями, реагирование на инциденты, взаимодействие членов команд реагирования.
Применение
ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ.
Например, продукт Security Vision в комплектации Security Operation Center [SOC] предлагает решение для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации продукт обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени.
В дополнение к функционалу комплектации Security Operation Center [SOC], следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности, помогающий автоматизировать соблюдение соответствия нормам международных стандартов по реагированию на инциденты ISO/IEC 27035-1(-2):2016, а также рекомендациям Национального института стандартов и технологий NIST800-61. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности.
Компаниям стоит обратить внимание на продукт Security Vision Cyber Risk System [CRS] – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре, которое поможет автоматизировать выполнение процессов для соответствия стандарту риск-менеджмента ISO/IEC 27005:2018.
Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт «Security Governance, Risk Management and Compliance [SGRC]» для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.
Продукт «Security Vision» сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.
ГК «Интеллектуальная безопасность» имеет в своем портфеле решений несколько продуктов, которые направлены на автоматизацию процессов управления информационной безопасностью, активами, уязвимостями, реагирования на инциденты, поддержки принятия управленческих решений на основании данных ситуационной осведомленности и риск-менеджмента в области ИБ.
Например, продукт Security Vision в комплектации Security Operation Center [SOC] предлагает решение для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации продукт обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени.
В дополнение к функционалу комплектации Security Operation Center [SOC], следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности, помогающий автоматизировать соблюдение соответствия нормам международных стандартов по реагированию на инциденты ISO/IEC 27035-1(-2):2016, а также рекомендациям Национального института стандартов и технологий NIST800-61. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы и уменьшить объем ручного труда сотрудников подразделений информационной безопасности.
Компаниям стоит обратить внимание на продукт Security Vision Cyber Risk System [CRS] – решение для автоматизации процессов управления рисками кибер-безопасности, обеспечения оперативного принятия решений в вопросах кибер-безопасности, в стратегических инициативах организации, ИТ-проектах и ИТ-инфраструктуре, которое поможет автоматизировать выполнение процессов для соответствия стандарту риск-менеджмента ISO/IEC 27005:2018.
Более того, портфель решений ГК «Интеллектуальная безопасность» включает в себя также продукт «Security Governance, Risk Management and Compliance [SGRC]» для автоматизации построения полноценной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими оперативно принимать управленческие решения, основываясь на объективных данных с помощью реализованного функционала ситуационной осведомленности.
Продукт «Security Vision» сертифицирован ФСТЭК России по 4 уровню контроля отсутствия недекларированных возможностей и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.
Ссылки
• CIS Controls Measures and Metrics: https://www.cisecurity.org/wp-content/uploads/2018/03/CIS-Controls-Measures-and-Metrics-V7.pdf
• CIS Controls Measures and Metrics: https://www.cisecurity.org/controls/
• NIST 800-61: https://nvlpubs.nist.gov/
• NIST 800-53: https://nvlpubs.nist.gov/
