Samatov 9/18/20 1:24 PM Page 37
www.itsec.ru
АВТОМАТИЗАЦИЯ
Автоматизация процессов информационной безопасности. Автоматический ответ на инциденты Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова
О
беспечение информационной безопасности – это деятельность, состоящая из огромного числа процессов, часть из которых может быть рутинной и/или трудоемкой. Константин Саматов познакомит читателей с некоторыми инструментами автоматизации процессов информационной безопасности и опытом их применения в процессах обеспечения безопасности объектов критической информационной инфраструктуры.
Процесс – это деятельность, использующая ресурсы и управляемая в целях преобразования входов в выходы 1 . Приведем в качестве примера процесс реагирования на инцидент информационной безопасности, где вход – это события информационной безопасности, деятельность – это реализация мероприятий по идентификации события в качестве инцидента и реагирование на него, а выход – восстановление исходного состояния информационного актива. Процессы являются центральным элементом информационной безопасности и реализуются на разных уровнях управления (см. табл. 1). Как видно из табл. 1, есть несколько уровней и на каждом уровне множество процессов, которые необходимо сначала реализовать (с учетом широкого набора регулятивных требований), затем поддерживать (с учетом новых угроз и рисков, а также постоянного увеличения количества информационных активов) и совершенствовать (повышать их зрелость). При этом текущие реалии таковы, что численность работников подразделений информационной безопасности, как правило, невелика, причем даже в крупных компаниях.
Очевидно, что для эффективного выстраивания процессов информационной безопасности и их непрерывного совершенствования требуется применение инструментов автоматизации.
Инструменты автоматизации процессов информационной безопасности На сегодняшний день существует большое количество различных инструментов автоматизации процессов информационной безопасности, практически для каждого процесса есть свой
инструмент. В табл. 2 в качестве примера приведены наиболее распространенные инструменты автоматизации и показано, какие процессы они автоматизируют. Далее я проиллюстрирую то, каким образом можно автоматизировать процессы информационной безопасности при помощи описанных выше инструментов на примере актуального для большинства организаций обеспечения безопасности значимых объектов критической информационной инфраструктуры (КИИ).
Очевидно, что для эффективного выстраивания процессов информационной безопасности и их непрерывного совершенствования требуется применение инструментов автоматизации.
Таблица 1 Уровень управления
Чем реализуется
В каких процессах проявляется
Стратегический
Система менеджмента информационной безопасности
Процессы менеджмента информационной безопасности: планирование, внедрение, мониторинг и контроль, совершенствование
Функциональный
Система информационной безопасности
Процессы обеспечения информационной безопасности всей организации, например: обеспечение непрерывности, мониторинг информационной инфраструктуры, управление инцидентами и уязвимостями, обеспечение физической безопасности, предотвращение утечек, контроль персонала и т.п.
Операционный
Подсистема безопасности конкретного информационного актива
Процессы обеспечения информационной безопасности конкретного актива (информационная система, автоматизированная система управления и т.п.), например: настройка прав доступа, обновление программного обеспечения, защита от вредоносного программного обеспечения и т.п.
1 ГОСТ Р ИСО/МЭК 27001–2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности требования.
• 37
